趙妍

基于零信任安全模型，建立智能化威脅檢測(cè)系統(tǒng)， 識(shí)別和應(yīng)對(duì)新型安全威脅。

數(shù)字化轉(zhuǎn)型視域下國(guó)有企業(yè)保密管理體系構(gòu)建的遵循原則

風(fēng)險(xiǎn)導(dǎo)向原則。風(fēng)險(xiǎn)導(dǎo)向原則強(qiáng)調(diào)將風(fēng)險(xiǎn)管理作為一個(gè)系統(tǒng)性、全面性的過(guò)程，而不是孤立的活動(dòng)。保密工作是一項(xiàng)基礎(chǔ)性、廣泛性管理工作，意味著企業(yè)需要全方位地了解、評(píng)估和管理與信息安全相關(guān)的各種風(fēng)險(xiǎn)，包括技術(shù)、人員、業(yè)務(wù)和合規(guī)性等方面的風(fēng)險(xiǎn)。風(fēng)險(xiǎn)導(dǎo)向原則倡導(dǎo)對(duì)風(fēng)險(xiǎn)進(jìn)行持續(xù)的評(píng)估，以及時(shí)發(fā)現(xiàn)新興威脅、變化的業(yè)務(wù)環(huán)境和技術(shù)演進(jìn)可能帶來(lái)的風(fēng)險(xiǎn)，因地制宜地選擇適當(dāng)?shù)陌踩胧捎妙A(yù)防性措施來(lái)降低風(fēng)險(xiǎn)，包括在事前采取措施，通過(guò)防范為主的策略，減少事故和漏洞的發(fā)生，從而提高整體信息安全性。

業(yè)務(wù)驅(qū)動(dòng)原則。業(yè)務(wù)驅(qū)動(dòng)原則是指將業(yè)務(wù)需求和戰(zhàn)略目標(biāo)置于核心位置，確保保密管理體系與業(yè)務(wù)的緊密對(duì)接，以實(shí)現(xiàn)信息安全與業(yè)務(wù)發(fā)展的有機(jī)融合。業(yè)務(wù)驅(qū)動(dòng)原則強(qiáng)調(diào)將業(yè)務(wù)需求作為保密管理體系設(shè)計(jì)和實(shí)施的首要考慮因素，保密措施應(yīng)當(dāng)能夠服務(wù)于業(yè)務(wù)流程，確保信息安全策略與企業(yè)的長(zhǎng)期發(fā)展目標(biāo)一致，以支持和推動(dòng)業(yè)務(wù)戰(zhàn)略的實(shí)施。

技術(shù)創(chuàng)新原則。技術(shù)創(chuàng)新原則是指要充分利用和引領(lǐng)最新的技術(shù)進(jìn)展，以提高信息安全的水平。國(guó)有企業(yè)需要把握前沿、先進(jìn)的技術(shù)趨勢(shì)， 將新興技術(shù)應(yīng)用于保密管理體系中， 以提高對(duì)新型威脅的識(shí)別和應(yīng)對(duì)能力。技術(shù)創(chuàng)新原則的概述突出了在數(shù)字化轉(zhuǎn)型中充分利用技術(shù)手段，不斷提升信息安全水平。通過(guò)引入前瞻性技術(shù)，國(guó)有企業(yè)能夠更好地應(yīng)對(duì)日益復(fù)雜和多樣化的安全威脅。

全員參與原則。全員參與原則強(qiáng)調(diào)信息安全不僅僅是信息技術(shù)部門(mén)的責(zé)任，而是全員共同參與的事項(xiàng)。國(guó)有企業(yè)需要將信息安全意識(shí)普及至所有員工，確保每個(gè)員工都了解信息安全的重要性以及他們?cè)诒Ｃ芄芾碇械慕巧拓?zé)任；提供定期的信息安全培訓(xùn)和教育，以使員工了解最新的安全威脅、最佳實(shí)踐和保密政策。全員參與原則的概述體現(xiàn)了信息安全管理不僅僅是一項(xiàng)技術(shù)工作，更是一項(xiàng)需要全員共同努力的文化建設(shè)。通過(guò)全員參與，可以形成更為堅(jiān)固和全面的信息安全防線。

社會(huì)責(zé)任原則。社會(huì)責(zé)任原則是指企業(yè)應(yīng)當(dāng)積極履行社會(huì)責(zé)任， 保護(hù)用戶、客戶、員工及社會(huì)公眾的信息安全。在數(shù)字化轉(zhuǎn)型中，注重企業(yè)的可持續(xù)發(fā)展，通過(guò)信息安全的有效管理，確保企業(yè)在長(zhǎng)期內(nèi)能夠?yàn)樯鐣?huì)創(chuàng)造持續(xù)的價(jià)值。社會(huì)責(zé)任原則的概述凸顯了國(guó)有企業(yè)在數(shù)字化轉(zhuǎn)型中要注重社會(huì)責(zé)任，通過(guò)積極履行社會(huì)責(zé)任，構(gòu)建更加可持續(xù)、穩(wěn)健的保密管理體系，為社會(huì)創(chuàng)造積極的社會(huì)價(jià)值。

數(shù)字化轉(zhuǎn)型視域下國(guó)有企業(yè)保密管理體系構(gòu)建的實(shí)踐路徑

加強(qiáng)物聯(lián)網(wǎng)安全認(rèn)證。隨著數(shù)字化轉(zhuǎn)型的深入，物聯(lián)網(wǎng)技術(shù)在國(guó)有企業(yè)中得到廣泛應(yīng)用，但與之伴隨的是增加的信息安全風(fēng)險(xiǎn)。加強(qiáng)物聯(lián)網(wǎng)安全認(rèn)證是確保物聯(lián)網(wǎng)設(shè)備和系統(tǒng)在數(shù)字化轉(zhuǎn)型過(guò)程中安全可靠運(yùn)行的重要實(shí)踐路徑。制定和遵循綜合的物聯(lián)網(wǎng)安全標(biāo)準(zhǔn)，強(qiáng)化物聯(lián)網(wǎng)設(shè)備的身份認(rèn)證機(jī)制，可以提高對(duì)設(shè)備身份真實(shí)性的信任。物聯(lián)網(wǎng)設(shè)備之間的通信和數(shù)據(jù)傳輸實(shí)施端到端的加密機(jī)制，防止數(shù)據(jù)在傳輸過(guò)程中被惡意篡改或竊取。物聯(lián)網(wǎng)設(shè)備的固件及時(shí)更新，通過(guò)安全的方式進(jìn)行更新，以修復(fù)已知漏洞和提高設(shè)備的安全性。物聯(lián)網(wǎng)設(shè)備的遠(yuǎn)程訪問(wèn)實(shí)施強(qiáng)有力的訪問(wèn)控制策略，限制只有授權(quán)人員能夠進(jìn)行遠(yuǎn)程訪問(wèn)，并監(jiān)測(cè)訪問(wèn)行為。對(duì)于需要高度安全性的物聯(lián)網(wǎng)設(shè)備，可以考慮引入生物識(shí)別技術(shù)，提高對(duì)設(shè)備使用者身份的確認(rèn)準(zhǔn)確性。

普及多因素身份驗(yàn)證。多因素身份驗(yàn)證通過(guò)結(jié)合兩個(gè)或多個(gè)不同的身份驗(yàn)證因素，提高對(duì)用戶身份真實(shí)性的確認(rèn)，從而增強(qiáng)信息安全。多因素身份驗(yàn)證，明確要求哪些場(chǎng)景和用戶需要進(jìn)行多因素身份驗(yàn)證， 以及采用哪些身份驗(yàn)證因素。引入生物特征認(rèn)證作為多因素身份驗(yàn)證的一部分，提供硬件令牌（如USB 安全令牌、智能卡等），結(jié)合用戶登錄的時(shí)間和地點(diǎn)信息進(jìn)行驗(yàn)證， 利用手機(jī)應(yīng)用作為身份驗(yàn)證因素， 與多因素身份驗(yàn)證結(jié)合使用更強(qiáng)化的密碼策略，確保用戶密碼的復(fù)雜性和安全性。通過(guò)普及多因素身份驗(yàn)證，國(guó)有企業(yè)能夠在數(shù)字化轉(zhuǎn)型中提高對(duì)用戶身份真實(shí)性的確認(rèn)， 有效降低被未經(jīng)授權(quán)用戶訪問(wèn)敏感信息的風(fēng)險(xiǎn)，增強(qiáng)整體信息安全水平。

引入自動(dòng)化漏洞管理。自動(dòng)化漏洞管理有助于及時(shí)發(fā)現(xiàn)和修復(fù)系統(tǒng)和應(yīng)用中的漏洞，提高信息安全水平。選擇適用于國(guó)有企業(yè)環(huán)境的漏洞掃描工具，設(shè)定定期的自動(dòng)漏洞掃描計(jì)劃，確定漏洞掃描的范圍， 引入實(shí)時(shí)漏洞監(jiān)測(cè)機(jī)制，引入自動(dòng)化漏洞評(píng)估機(jī)制，將漏洞管理納入企業(yè)的整體安全信息與事件管理系統(tǒng)中，形成全面的安全管理體系。自動(dòng)產(chǎn)生漏洞報(bào)告，提供清晰的漏洞信息，包括風(fēng)險(xiǎn)評(píng)估、修復(fù)建議等， 同時(shí)自動(dòng)通知相關(guān)團(tuán)隊(duì)進(jìn)行處理。引入自動(dòng)化漏洞管理有助于提高漏洞發(fā)現(xiàn)的速度和準(zhǔn)確性，降低漏洞被攻擊的風(fēng)險(xiǎn)，促進(jìn)國(guó)有企業(yè)信息安全的持續(xù)改進(jìn)。

發(fā)展數(shù)字化培訓(xùn)工具。國(guó)有企業(yè)能夠更好地借助數(shù)字化培訓(xùn)工具， 提升員工保密素養(yǎng)，促進(jìn)保密管理體系的建設(shè)。加強(qiáng)保密教育和培訓(xùn)， 增強(qiáng)保密意識(shí)。發(fā)展數(shù)字化培訓(xùn)工具旨在通過(guò)創(chuàng)新的教育手段和技術(shù)手段，使保密培訓(xùn)更加貼近員工實(shí)際工作需求，提高培訓(xùn)的效果和覆蓋面。企業(yè)制定數(shù)字化培訓(xùn)的戰(zhàn)略規(guī)劃，將數(shù)字化培訓(xùn)納入整體戰(zhàn)略， 根據(jù)培訓(xùn)需求和戰(zhàn)略規(guī)劃，選擇適用于國(guó)有企業(yè)的數(shù)字化培訓(xùn)工具， 搭建易于訪問(wèn)和使用的在線學(xué)習(xí)平臺(tái)，確保員工能夠隨時(shí)隨地獲取培訓(xùn)資源。通過(guò)發(fā)展數(shù)字化培訓(xùn)工具， 國(guó)有企業(yè)可以更好地利用數(shù)字化手段提升員工的保密素養(yǎng)，構(gòu)建更為健全的保密管理體系，適應(yīng)數(shù)字化轉(zhuǎn)型的新要求。

實(shí)施多維度風(fēng)險(xiǎn)管理。國(guó)有企業(yè)制定明確的風(fēng)險(xiǎn)管理戰(zhàn)略，確保風(fēng)險(xiǎn)管理與企業(yè)戰(zhàn)略一致；對(duì)風(fēng)險(xiǎn)進(jìn)行多維度的分類，建立全面的風(fēng)險(xiǎn)清單，優(yōu)先處理高風(fēng)險(xiǎn)區(qū)域。借助先進(jìn)的技術(shù)手段，制定明確的風(fēng)險(xiǎn)閾值，對(duì)風(fēng)險(xiǎn)管理體系進(jìn)行持續(xù)監(jiān)測(cè)，及時(shí)了解風(fēng)險(xiǎn)管理體系的建立和實(shí)施符合相關(guān)法規(guī)和合規(guī)性要求。通過(guò)實(shí)施多維度風(fēng)險(xiǎn)管理，國(guó)有企業(yè)可以更全面、系統(tǒng)地管理各類風(fēng)險(xiǎn)，提高對(duì)數(shù)字化轉(zhuǎn)型過(guò)程中可能出現(xiàn)的潛在威脅的防范和應(yīng)對(duì)水平。

數(shù)字化轉(zhuǎn)型視域下國(guó)有企業(yè)保密管理體系構(gòu)建的未來(lái)圖景

基于上下文訪問(wèn)控制，推出零信任安全模型。未來(lái)數(shù)字化轉(zhuǎn)型下， 國(guó)有企業(yè)保密管理體系將迎來(lái)更為先進(jìn)和靈活的安全模型，其中零信任安全模型將占據(jù)核心地位。該模型基于上下文訪問(wèn)控制，旨在實(shí)現(xiàn)對(duì)敏感信息的更加細(xì)粒度、動(dòng)態(tài)的管理和監(jiān)控。零信任理念認(rèn)為，在網(wǎng)絡(luò)環(huán)境中不存在可信任的內(nèi)部用戶，每個(gè)用戶、設(shè)備或系統(tǒng)都應(yīng)該經(jīng)過(guò)驗(yàn)證和授權(quán)，即使在內(nèi)部網(wǎng)絡(luò)也不例外。這一理念將成為國(guó)有企業(yè)數(shù)字化轉(zhuǎn)型中保密管理的核心思想。在零信任模型下，權(quán)限不再是一成不變的，而是根據(jù)用戶的實(shí)際需求和上下文環(huán)境的變化進(jìn)行動(dòng)態(tài)調(diào)整?；谏舷挛脑L問(wèn)控制的零信任安全模型，國(guó)有企業(yè)可以更加靈活、智能地管理和保護(hù)敏感信息， 提升數(shù)字化轉(zhuǎn)型過(guò)程中的信息安全水平。

智能合規(guī)性數(shù)據(jù)保護(hù)，全生命周期安全管理。國(guó)有企業(yè)保密管理體系引入人工智能和機(jī)器學(xué)習(xí)技術(shù)， 實(shí)現(xiàn)對(duì)敏感數(shù)據(jù)的智能合規(guī)性保護(hù)?；跀?shù)據(jù)的實(shí)際使用情況和用戶行為，實(shí)施動(dòng)態(tài)權(quán)限控制，確保只有經(jīng)過(guò)授權(quán)的用戶在特定環(huán)境下能夠訪問(wèn)敏感數(shù)據(jù)，并隨著權(quán)限需求的變化進(jìn)行實(shí)時(shí)調(diào)整。企業(yè)引入智能審計(jì)系統(tǒng)，實(shí)時(shí)監(jiān)測(cè)數(shù)據(jù)訪問(wèn)和操作，發(fā)現(xiàn)潛在的風(fēng)險(xiǎn)行為，通過(guò)機(jī)器學(xué)習(xí)算法，識(shí)別異?；顒?dòng)，及時(shí)采取防范措施。通過(guò)智能合規(guī)性數(shù)據(jù)保護(hù)和全生命周期安全管理，國(guó)有企業(yè)將更好地適應(yīng)未來(lái)數(shù)字化轉(zhuǎn)型的需求，提高對(duì)敏感信息的全方位保護(hù)和管理水平。這一未來(lái)圖景有助于在數(shù)字化環(huán)境中有效應(yīng)對(duì)日益增長(zhǎng)的數(shù)據(jù)安全挑戰(zhàn)。

建立智能化威脅檢測(cè)系統(tǒng)，識(shí)別應(yīng)對(duì)新型安全威脅。國(guó)有企業(yè)的保密管理體系將積極構(gòu)建智能化威脅檢測(cè)系統(tǒng)，以更好地識(shí)別并應(yīng)對(duì)新型安全威脅。企業(yè)建立智能化威脅檢測(cè)系統(tǒng)，整合全球范圍內(nèi)的威脅情報(bào)，通過(guò)與外部威脅情報(bào)服務(wù)的對(duì)接，及時(shí)了解新型威脅、漏洞和攻擊手法，提高對(duì)外部威脅的感知能力。通過(guò)建立智能化威脅檢測(cè)系統(tǒng)，國(guó)有企業(yè)將更加敏銳地感知新型安全威脅，提升威脅檢測(cè)和應(yīng)對(duì)的能力，保障數(shù)字化轉(zhuǎn)型過(guò)程中的信息安全。這一未來(lái)圖景有助于構(gòu)建更為智能、靈活和協(xié)同的安全防護(hù)體系。

（作者單位：航天科工財(cái)務(wù)有限責(zé)任公司）