數(shù)字化轉(zhuǎn)型背景下企業(yè)網(wǎng)絡(luò)信息安全體系建設(shè)思考

摘要：隨著互聯(lián)網(wǎng)技術(shù)的日新月異，許多企業(yè)在發(fā)展過程中都主動地或被動地參與到了數(shù)字化轉(zhuǎn)型的浪潮中。在數(shù)字化的業(yè)務(wù)模式下，企業(yè)所能容納的數(shù)據(jù)信息量將取得飛躍式的擴展，對數(shù)據(jù)信息的分析處理能力也將上升一個維度，為企業(yè)的生產(chǎn)活動帶來重要的幫助。不過，企業(yè)也同時要面對著無邊界、零信任、不對稱和動態(tài)化的網(wǎng)絡(luò)信息安全問題。在數(shù)字化轉(zhuǎn)型背景下，企業(yè)如何處理這些問題，搭建堅固的信息安全壁壘，是企業(yè)必須予以重視并分析研究的事務(wù)。本文將探討在數(shù)字化轉(zhuǎn)型背景下企業(yè)如何有效建設(shè)網(wǎng)絡(luò)信息安全體系，以供參考。

關(guān)鍵詞：數(shù)字化轉(zhuǎn)型;網(wǎng)絡(luò)安全;網(wǎng)絡(luò)信息安全體系;建設(shè)策略

一、引言

在數(shù)字化轉(zhuǎn)型背景下，企業(yè)網(wǎng)絡(luò)信息安全問題頻發(fā)，給不少正處于數(shù)字化轉(zhuǎn)型階段的企業(yè)以及已經(jīng)過渡到數(shù)字化形態(tài)的企業(yè)帶來了嚴重的危害。在網(wǎng)絡(luò)信息安全遭到威脅的情況下，企業(yè)的內(nèi)部信息就有可能泄露給商業(yè)競爭對手，被網(wǎng)絡(luò)黑客惡意篡改或者損壞等等，從而給企業(yè)的內(nèi)部決策以及其他生產(chǎn)活動帶來不容小覷的打擊，甚至于危害到企業(yè)在行業(yè)市場中的生存。所以，企業(yè)必須要從多個維度去分析研究適用于企業(yè)自身的網(wǎng)絡(luò)信息安全體系模式，以期能夠保障企業(yè)的數(shù)據(jù)信息安全。

二、數(shù)字化轉(zhuǎn)型背景下企業(yè)網(wǎng)絡(luò)信息安全需求探析

（一）無邊界

網(wǎng)絡(luò)信息安全問題是每個企業(yè)都需要格外關(guān)注的問題。如果信息安全得不到保障，企業(yè)內(nèi)部的決策與活動內(nèi)容等信息都會有泄露的危險，從而危害企業(yè)在市場中的生存，甚至于給企業(yè)帶來毀滅性的打擊。而在處理網(wǎng)絡(luò)信息安全問題時，一個很重要的任務(wù)就是設(shè)置合理的邊界。邊界就如同一個國家所設(shè)防的防線，用于抵御外敵的入侵，保障自身的安全。在網(wǎng)絡(luò)信息安全體系中，邊界也正是起到類似的作用。只有建立起了明確的邊界，才能夠有效防護企業(yè)自身的數(shù)據(jù)信息，防止這些信息泄露給其他企業(yè)，或者被不法分子惡意篡改、毀壞或復(fù)制，給企業(yè)帶來嚴重危害。然而，在數(shù)字化轉(zhuǎn)型背景下，隨著物聯(lián)網(wǎng)技術(shù)與5G技術(shù)的發(fā)展，企業(yè)的數(shù)字化過程也變得比較復(fù)雜，不少企業(yè)在建立信息安全邊界時都遇到了很大的困難，不知道應(yīng)當(dāng)如何確立有效的邊界。在新技術(shù)的更迭中，網(wǎng)絡(luò)信息安全保障邊界也已經(jīng)不再是傳統(tǒng)意義上的邊界。企業(yè)的信息化系統(tǒng)從原有的業(yè)務(wù)功能模塊漸漸演變成互聯(lián)網(wǎng)企業(yè)的解決策略，硬件基礎(chǔ)設(shè)施從服務(wù)器漸漸發(fā)展到公有云和混合云架構(gòu)。在數(shù)字化的過程中，業(yè)務(wù)功能模式已被逐漸解構(gòu)成無邊界公共服務(wù)組合的模式。從而，信息化系統(tǒng)的邊界已經(jīng)在此過程中打破了傳統(tǒng)意義上的安全邊界。在移動化嵌入式計算技術(shù)的發(fā)展之下，網(wǎng)絡(luò)信息安全體系的邊界將不再僅僅是數(shù)據(jù)的采集和指令的執(zhí)行，更是涵蓋了獨立的計算邊界。所以，在數(shù)字化轉(zhuǎn)型背景下，為了建設(shè)有效的網(wǎng)絡(luò)信息安全體系，需要從無邊界這一角度出發(fā)制定策略。

（二）零信任

在網(wǎng)絡(luò)信息安全體系建設(shè)中，另一個重要的問題是信任問題。在傳統(tǒng)的觀念下，一個企業(yè)要想保障自身的信息安全，獲取信任是繞不過去的一個要點。由此，企業(yè)通常需要采取一系列措施來確保員工的信譽，識別員工的身份與權(quán)限，確定終端設(shè)備的系統(tǒng)身份，獲取合作伙伴的信任等等。在各種各樣的工作場景中，企業(yè)要完成身份的檢測，以及合格性的監(jiān)察，從而確保信任問題能夠得到解決。此外，在信任問題上的另一個要點在于信息化系統(tǒng)的組件。隨著信息技術(shù)的發(fā)展，企業(yè)在部署企業(yè)內(nèi)部的信息化系統(tǒng)的過程中，有時會因為資金問題，或者對信息軟件的特殊需求而定制第三方的開源軟件，同時引用第三方的組件和代碼，以及第三方所提供的公共服務(wù)。在一系列第三方所供給的資源中，就存在著信息安全問題，同時也涉及了信任的問題。如果企業(yè)沒有建立起有效的信任機制以及檢驗策略，就會給企業(yè)內(nèi)部帶來不容小覷的網(wǎng)絡(luò)信息安全問題。除此之外，數(shù)據(jù)也是企業(yè)信任體系建設(shè)中的一個關(guān)鍵問題所在。在數(shù)字化轉(zhuǎn)型背景下，大數(shù)據(jù)、物聯(lián)網(wǎng)和云計算等新技術(shù)的發(fā)展態(tài)勢強勁，這也使得企業(yè)所需采集、分析和處理的數(shù)據(jù)信息越來越復(fù)雜多元，結(jié)構(gòu)也越來越豐富，這就給數(shù)據(jù)的來源、采集、傳輸和完整等項環(huán)節(jié)帶來了信任問題，進而影響企業(yè)網(wǎng)絡(luò)信息安全體系的建設(shè)。因此，在數(shù)字化轉(zhuǎn)型背景下，企業(yè)面對龐雜的數(shù)據(jù)信息環(huán)境，需要從零信任出發(fā)，構(gòu)建網(wǎng)絡(luò)信息安全體系，預(yù)防信任危機。

（三）不對稱

在網(wǎng)絡(luò)信息安全體系的構(gòu)建過程中，企業(yè)不得不考慮的又一個問題是不對稱問題。關(guān)于對稱，其實也就是關(guān)于信息攻防的問題。在數(shù)字化轉(zhuǎn)型背景下，隨著數(shù)字技術(shù)的飛速發(fā)展，企業(yè)所面臨的攻擊將不再是傳統(tǒng)意義上的統(tǒng)一式打擊，而是有針對性的、更加精準的信息攻擊，并且具備可持續(xù)的效應(yīng)，給企業(yè)的網(wǎng)絡(luò)信息安全體系造成不可估量的破壞，威脅企業(yè)的生存發(fā)展。在復(fù)雜的形勢下，企業(yè)可能會遭受來自多方面的信息攻擊，比如商業(yè)上的競爭，灰色產(chǎn)業(yè)的利益糾紛，以及黑客的報復(fù)性打擊等等。一旦企業(yè)被選定為攻擊對象，就會引來攻防不對稱性問題，給企業(yè)帶來巨大的難題。企業(yè)的網(wǎng)絡(luò)信息安全體系如果未加完善，機制過于簡單，防護過于薄弱，那么在面對黑客所運用的漏洞挖掘、武器庫和Oday漏洞挖掘等精密的攻擊方式時，企業(yè)的重要數(shù)據(jù)信息就很難保全，不可避免地會遭到破壞，難以抵御黑客的毀滅性打擊。由此可見，這種攻防不對稱性在數(shù)字化轉(zhuǎn)型背景下是企業(yè)所必須要予以審慎考慮的情況，以免企業(yè)的網(wǎng)絡(luò)信息安全體系在對方的攻擊之下毫無招架之力?；诖耍髽I(yè)就需要制定明確的防范目標(biāo)，防止企業(yè)內(nèi)部的惡意行為以及外部的騷擾入侵。同時，企業(yè)需要制定科學(xué)有效的應(yīng)對策略，比如借鑒或引用縱深防御機制安全模式等。除此之外，企業(yè)也需要具備不可或缺的技術(shù)和工具，要在硬件設(shè)施上做足準備，從而能夠支撐一系列安全防范措施的執(zhí)行和推進，最終構(gòu)建出有效的網(wǎng)絡(luò)信息安全體系，確保企業(yè)自身的數(shù)據(jù)信息安全。

（四）動態(tài)化

網(wǎng)絡(luò)安全是動態(tài)的而不是靜態(tài)的。信息技術(shù)變化越來越快，過去分散獨立的網(wǎng)絡(luò)變得高度關(guān)聯(lián)、相互依賴，網(wǎng)絡(luò)安全的威脅來源和攻擊手段不斷變化，那種依靠裝幾個安全設(shè)備和安全軟件就想永保安全的想法已不合時宜，需要樹立動態(tài)、綜合的防護理念。網(wǎng)絡(luò)安全風(fēng)險是動態(tài)的。一是系統(tǒng)漏洞是動態(tài)的，信息化基礎(chǔ)設(shè)施和重要信息系統(tǒng)在不斷改進、不斷升級、不斷擴容，使網(wǎng)絡(luò)系統(tǒng)漏洞和脆弱性增多;二是產(chǎn)品漏洞是動態(tài)的，這些新技術(shù)新應(yīng)用需要大量進口軟硬件產(chǎn)品，以及國產(chǎn)化軟硬件產(chǎn)品，這些產(chǎn)品中的脆弱性、安全漏洞和產(chǎn)品供應(yīng)鏈帶來的安全隱患仍然不可忽視;三是管理漏洞是動態(tài)的，這些變更的新系統(tǒng)、新產(chǎn)品在管理運維上同樣可以出現(xiàn)安全漏洞，新的安全制度、管理規(guī)定尚未重新制定，甚至出現(xiàn)復(fù)雜系統(tǒng)資產(chǎn)底數(shù)不清，給網(wǎng)絡(luò)安全管理帶來潛在隱患;四是威脅手段是動態(tài)的，從近年來發(fā)生的安全事件看，很多網(wǎng)絡(luò)攻擊長期潛伏，只靠傳統(tǒng)安全措施來保障新時期網(wǎng)絡(luò)高度發(fā)展變化的系統(tǒng)，顯然是不可能的。因此，在數(shù)字化轉(zhuǎn)型背景下，企業(yè)需要樹立動態(tài)的網(wǎng)絡(luò)安全觀，以動態(tài)的視角去看待網(wǎng)絡(luò)安全問題。

三、數(shù)字化轉(zhuǎn)型背景下企業(yè)網(wǎng)絡(luò)信息安全體系建設(shè)策略

（一）組織保障

在數(shù)字化轉(zhuǎn)型背景下，企業(yè)要建設(shè)高質(zhì)量的網(wǎng)絡(luò)信息安全體系，就應(yīng)當(dāng)從組織保障的角度入手，進而推動網(wǎng)絡(luò)信息安全體系的有效構(gòu)建。網(wǎng)絡(luò)信息安全保障體系是一種自上而下的結(jié)構(gòu)，要建立這樣一個體系，對企業(yè)管理層的組織能力、管理能力和決策能力都是一個很大的考驗。管理層應(yīng)當(dāng)審視市場的發(fā)展規(guī)律，新技術(shù)的發(fā)展態(tài)勢，并結(jié)合企業(yè)自身的具體發(fā)展?fàn)顩r，對比同行業(yè)其他企業(yè)的發(fā)展經(jīng)驗等等，以此來制定有效的決策，為網(wǎng)絡(luò)信息安全體系的建設(shè)調(diào)配資源，給員工提出維護信息安全具體措施上的建議，設(shè)置考核機制和安全標(biāo)準等等。此外，企業(yè)管理層還應(yīng)當(dāng)將制定的戰(zhàn)略目標(biāo)進行分解，從多個角度去剖析具體的舉措，做好網(wǎng)絡(luò)信息安全體系的組織保障工作，以管理、運營和技術(shù)這幾個不同的層面去推進具體建設(shè)計劃的構(gòu)想與執(zhí)行，繼而規(guī)劃出完善的網(wǎng)絡(luò)信息安全體系建設(shè)藍圖，確保企業(yè)能夠在預(yù)定的期間內(nèi)完成網(wǎng)絡(luò)信息安全體系的有效建設(shè)，防范信息安全風(fēng)險。

（二）管理體系

為了能夠在數(shù)字化轉(zhuǎn)型背景下順利地建設(shè)成功網(wǎng)絡(luò)信息安全體系，防范信息安全風(fēng)險，抵御危險信息的侵擾，企業(yè)就應(yīng)當(dāng)構(gòu)建合理完善的管理體系。如果沒有一個成功的管理體系，那么企業(yè)即便是引進了先進的資源和技術(shù)，能夠為網(wǎng)絡(luò)信息安全體系的建設(shè)提供強有力的硬件條件支撐，企業(yè)也無法合理調(diào)用這些資源和技術(shù)，難以將先進技術(shù)或設(shè)備的優(yōu)勢發(fā)揮出來，從而浪費了寶貴的資源，難以順利完成網(wǎng)絡(luò)信息安全體系的全面建設(shè)工作。基于此，企業(yè)就應(yīng)該建立健全管理體系，制定嚴明的責(zé)任機制，明確不同崗位員工的工作任務(wù)，以及每項工作的考核標(biāo)準等等，從而使得企業(yè)員工在執(zhí)行工作任務(wù)的過程中能夠有清晰的思路，明確工作的開展方向，并使其在工作過程中以及完成工作之后能夠有可以依循的標(biāo)準，去判斷自己的工作成果是否符合企業(yè)管理人員所制定的規(guī)范，是否達到了符合企業(yè)建設(shè)網(wǎng)絡(luò)信息安全體系的需求的標(biāo)準，從而使得技術(shù)和人力等各種資源的分配達到一個協(xié)調(diào)的狀態(tài)，形成有效的管理體系，推動網(wǎng)絡(luò)信息安全體系的順利建設(shè)。

（三）運營體系

在建設(shè)網(wǎng)絡(luò)信息安全體系的過程中，企業(yè)始終都需要秉持這樣一個理念，即羅馬不是一日建成的。要想順利完成網(wǎng)絡(luò)信息安全體系的建設(shè)任務(wù)，就必須要有戰(zhàn)略眼光和足夠的耐心，做好動態(tài)化的運營工作，構(gòu)建科學(xué)有效的運營體系。在運營體系的支撐下，網(wǎng)絡(luò)信息安全體系才能夠被不斷地修正和改進，才能夠解決實際工作中所遇到的各種具體的信息安全問題，從而形成一套真正能夠起到保護作用的安全體系。企業(yè)管理人員需要根據(jù)信息化基礎(chǔ)設(shè)施的物理環(huán)境去幫助員工進行協(xié)調(diào)，保障員工的人身安全，確保員工在工作過程中不會因為物理環(huán)境或硬件設(shè)施的原因而威脅到自身的安全。同時還需要促進企業(yè)各部門之間的分工合作，使各個業(yè)務(wù)部門的工作人員都能夠形成緊密的配合，團結(jié)一致地參與到網(wǎng)絡(luò)信息安全體系的建設(shè)工作當(dāng)中，及時交流信息，使得每個部門的人員都能夠站在更廣的視角下去完成分內(nèi)的建設(shè)工作，繼而提高整體的工作效率。只有協(xié)調(diào)好各部門之間的配合與互動，才能夠順利建成以維護網(wǎng)絡(luò)信息安全為目標(biāo)的運營體系，進而推動網(wǎng)絡(luò)信息安全體系的有效運轉(zhuǎn)。

（四）技術(shù)體系

從技術(shù)體系的維度去分析，企業(yè)應(yīng)當(dāng)從用戶、終端、網(wǎng)絡(luò)、數(shù)據(jù)、系統(tǒng)和應(yīng)用這幾個層面去制定相應(yīng)的安全防護策略，以期網(wǎng)絡(luò)信息安全體系在運轉(zhuǎn)過程中不會遇到技術(shù)層面上的阻礙，推動網(wǎng)絡(luò)信息安全體系的順利構(gòu)建。比方說，在用戶領(lǐng)域上，企業(yè)應(yīng)當(dāng)解決好身份管理機制以及身份認證的問題;在終端領(lǐng)域上，企業(yè)應(yīng)當(dāng)著力于解決以信息安全為核心的資產(chǎn)管理問題，同時要防范好網(wǎng)絡(luò)黑客對終端設(shè)備的惡意攻擊。在無邊界的趨勢下，企業(yè)應(yīng)當(dāng)把注意力聚焦在網(wǎng)絡(luò)的出入口安全問題上，并全面加固系統(tǒng)層面的安全設(shè)施，做好接入管理工作，同時要保障信息數(shù)據(jù)在生產(chǎn)、存貯、上傳、采集、分析和應(yīng)用等不同階段的安全，確保數(shù)據(jù)的機密性和完整性不遭到破壞，從而推動網(wǎng)絡(luò)信息安全體系的有效建成。在構(gòu)建網(wǎng)絡(luò)信息安全體系的過程中，應(yīng)該明確信息化建設(shè)是一個長期持續(xù)的過程，一定不能大意。而技術(shù)體系又是其中非常關(guān)鍵的一部分，所以更應(yīng)該將其當(dāng)做重中之重來對待。國家方面針對信息安全有一定的規(guī)定和要求。因此企業(yè)方面在進行體系建設(shè)的過程中，可以多了解這一方面的規(guī)定。網(wǎng)絡(luò)運營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護制度的要求，履行下列安全保護義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被取、篡改。關(guān)鍵信息基礎(chǔ)設(shè)施的運營者應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機構(gòu)對其網(wǎng)絡(luò)的安全性和可能存在的風(fēng)險每年至少進行一次檢測評估。因此，等級保護測評與安全整改也是每個企業(yè)必須落實的一項網(wǎng)絡(luò)安全建設(shè)義務(wù)。

（五）安全產(chǎn)品與服務(wù)保障

企業(yè)在建立網(wǎng)絡(luò)信息安全體系的過程中，必然需要一定的安全防護產(chǎn)品來做支撐，在選擇的時候一定要結(jié)合自身的發(fā)展實際以及特定需求。如今市面上的安全防護產(chǎn)品種類繁多，像防火墻、防病毒、入侵檢測等基本產(chǎn)品，已經(jīng)在一定程度上普及了企業(yè)或組織網(wǎng)絡(luò)信息安全的基本面。在數(shù)字化轉(zhuǎn)型背景下，企業(yè)業(yè)務(wù)多樣化發(fā)展，新型網(wǎng)絡(luò)安全產(chǎn)品也層出不窮。從互聯(lián)網(wǎng)到物聯(lián)網(wǎng)，從桌面終端到移動終端，從網(wǎng)絡(luò)設(shè)備到服務(wù)器、云計算等信息資產(chǎn)，市面上安全企業(yè)可以為用戶提供物聯(lián)網(wǎng)安全、終端安全、移動安全、邊界安全、運維安全、數(shù)據(jù)安全、云安全等多種解決方案。企業(yè)可以盡量選擇不會對現(xiàn)有系統(tǒng)產(chǎn)生過大影響的產(chǎn)品，比如不必重設(shè)現(xiàn)有系統(tǒng)，可以實現(xiàn)對其的防護。選擇這一類防護產(chǎn)品輔助工作，保障信息安全。

四、企業(yè)網(wǎng)絡(luò)信息安全體系建設(shè)的保證

第一，提升信息化能力。對于如今的企業(yè)來說，已經(jīng)普遍重視了網(wǎng)絡(luò)信息安全保障，也重視了這一體系的建設(shè)，不過要讓整體建設(shè)質(zhì)量更有保證，企業(yè)方面還需要針對自身的信息化能力做不斷地提升。從業(yè)務(wù)能力和IT能力這兩個維度重點考慮。重點提升標(biāo)準化能力，基礎(chǔ)服務(wù)能力，數(shù)據(jù)運營能力，優(yōu)質(zhì)服務(wù)能力和智能服務(wù)能力。

第二，加強重視。技術(shù)的不斷發(fā)展給企業(yè)的工作帶來了極大的便利，但是信息安全問題受到了人們的關(guān)注，對此企業(yè)中的每一個人都應(yīng)該重視起來。在工作的時候需要多注意，按照規(guī)定進行，切不可給一些不法分子可乘之機。企業(yè)方面可以在內(nèi)部開展網(wǎng)絡(luò)信息安全教育大會，讓大家都可以增強重視力度，每一個部門的人都為此做出努力，尤其是財務(wù)，業(yè)務(wù)等部門，重要數(shù)據(jù)應(yīng)該做加密處理。只有人人都重視網(wǎng)絡(luò)信息安全體系建設(shè)成功之后，才能更好地發(fā)揮作用。

五、結(jié)束語

綜上所述，在數(shù)字化轉(zhuǎn)型背景下，隨著不同種類信息技術(shù)的飛速發(fā)展進步，很多企業(yè)都在緊跟時代的步伐并響應(yīng)政策的號召，推動自身的數(shù)字化轉(zhuǎn)型進程。不過在此過程中，企業(yè)不得不注意的關(guān)鍵一點就是維護自身的網(wǎng)絡(luò)信息安全，構(gòu)建科學(xué)有效的網(wǎng)絡(luò)信息安全體系，保障企業(yè)的內(nèi)部數(shù)據(jù)信息不被外部組織所侵害和干擾，做好防范工作，從而在轉(zhuǎn)型過程中保全自身在行業(yè)市場中的生存基礎(chǔ)。為此，企業(yè)應(yīng)當(dāng)從組織保障、管理體系、運營體系、技術(shù)體系、安全產(chǎn)品多個角度去制定戰(zhàn)略性的以及具體的建設(shè)策略，從而在無邊界、零信任和不對稱的數(shù)字化轉(zhuǎn)型背景下有效建成網(wǎng)絡(luò)信息安全體系。

作者單位：萬小博? ? 國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心上海分中心

參? 考? 文? 獻

[1]劉志誠.互聯(lián)網(wǎng)金融業(yè)務(wù)用戶隱私數(shù)據(jù)安全保障理論與實踐[J].網(wǎng)絡(luò)空間安全，2020，11（01）.

[2]朱傳武.新常態(tài)下數(shù)字化轉(zhuǎn)型企業(yè)網(wǎng)絡(luò)信息安全體系建設(shè)[J].數(shù)碼設(shè)計（信息科技論壇），2021（04）.

[3]孫國強，李騰.數(shù)字經(jīng)濟背景下企業(yè)網(wǎng)絡(luò)數(shù)字化轉(zhuǎn)型路徑研究[J].科學(xué)學(xué)與科學(xué)技術(shù)管理，2021，42（01）.

[4]劉志誠.新常態(tài)下數(shù)字化轉(zhuǎn)型企業(yè)網(wǎng)絡(luò)信息安全體系建設(shè)[J].網(wǎng)絡(luò)空間安全，2018，09（11）.

[5]陳志雄.基于大數(shù)據(jù)背景下企業(yè)網(wǎng)絡(luò)信息安全體系研究[J].科技論壇，2019（09）.

[6]李龍森，連玉朱.大數(shù)據(jù)移動終端網(wǎng)絡(luò)信息安全性傳輸仿真[J].計算機仿真，2018，35（06）.