數字化轉型背景下企業網絡信息安全體系建設思考

摘要：隨著互聯網技術的日新月異，許多企業在發展過程中都主動地或被動地參與到了數字化轉型的浪潮中。在數字化的業務模式下，企業所能容納的數據信息量將取得飛躍式的擴展，對數據信息的分析處理能力也將上升一個維度，為企業的生產活動帶來重要的幫助。不過，企業也同時要面對著無邊界、零信任、不對稱和動態化的網絡信息安全問題。在數字化轉型背景下，企業如何處理這些問題，搭建堅固的信息安全壁壘，是企業必須予以重視并分析研究的事務。本文將探討在數字化轉型背景下企業如何有效建設網絡信息安全體系，以供參考。

關鍵詞：數字化轉型;網絡安全;網絡信息安全體系;建設策略

一、引言

在數字化轉型背景下，企業網絡信息安全問題頻發，給不少正處于數字化轉型階段的企業以及已經過渡到數字化形態的企業帶來了嚴重的危害。在網絡信息安全遭到威脅的情況下，企業的內部信息就有可能泄露給商業競爭對手，被網絡黑客惡意篡改或者損壞等等，從而給企業的內部決策以及其他生產活動帶來不容小覷的打擊，甚至于危害到企業在行業市場中的生存。所以，企業必須要從多個維度去分析研究適用于企業自身的網絡信息安全體系模式，以期能夠保障企業的數據信息安全。

二、數字化轉型背景下企業網絡信息安全需求探析

（一）無邊界

網絡信息安全問題是每個企業都需要格外關注的問題。如果信息安全得不到保障，企業內部的決策與活動內容等信息都會有泄露的危險，從而危害企業在市場中的生存，甚至于給企業帶來毀滅性的打擊。而在處理網絡信息安全問題時，一個很重要的任務就是設置合理的邊界。邊界就如同一個國家所設防的防線，用于抵御外敵的入侵，保障自身的安全。在網絡信息安全體系中，邊界也正是起到類似的作用。只有建立起了明確的邊界，才能夠有效防護企業自身的數據信息，防止這些信息泄露給其他企業，或者被不法分子惡意篡改、毀壞或復制，給企業帶來嚴重危害。然而，在數字化轉型背景下，隨著物聯網技術與5G技術的發展，企業的數字化過程也變得比較復雜，不少企業在建立信息安全邊界時都遇到了很大的困難，不知道應當如何確立有效的邊界。在新技術的更迭中，網絡信息安全保障邊界也已經不再是傳統意義上的邊界。企業的信息化系統從原有的業務功能模塊漸漸演變成互聯網企業的解決策略，硬件基礎設施從服務器漸漸發展到公有云和混合云架構。在數字化的過程中，業務功能模式已被逐漸解構成無邊界公共服務組合的模式。從而，信息化系統的邊界已經在此過程中打破了傳統意義上的安全邊界。在移動化嵌入式計算技術的發展之下，網絡信息安全體系的邊界將不再僅僅是數據的采集和指令的執行，更是涵蓋了獨立的計算邊界。所以，在數字化轉型背景下，為了建設有效的網絡信息安全體系，需要從無邊界這一角度出發制定策略。

（二）零信任

在網絡信息安全體系建設中，另一個重要的問題是信任問題。在傳統的觀念下，一個企業要想保障自身的信息安全，獲取信任是繞不過去的一個要點。由此，企業通常需要采取一系列措施來確保員工的信譽，識別員工的身份與權限，確定終端設備的系統身份，獲取合作伙伴的信任等等。在各種各樣的工作場景中，企業要完成身份的檢測，以及合格性的監察，從而確保信任問題能夠得到解決。此外，在信任問題上的另一個要點在于信息化系統的組件。隨著信息技術的發展，企業在部署企業內部的信息化系統的過程中，有時會因為資金問題，或者對信息軟件的特殊需求而定制第三方的開源軟件，同時引用第三方的組件和代碼，以及第三方所提供的公共服務。在一系列第三方所供給的資源中，就存在著信息安全問題，同時也涉及了信任的問題。如果企業沒有建立起有效的信任機制以及檢驗策略，就會給企業內部帶來不容小覷的網絡信息安全問題。除此之外，數據也是企業信任體系建設中的一個關鍵問題所在。在數字化轉型背景下，大數據、物聯網和云計算等新技術的發展態勢強勁，這也使得企業所需采集、分析和處理的數據信息越來越復雜多元，結構也越來越豐富，這就給數據的來源、采集、傳輸和完整等項環節帶來了信任問題，進而影響企業網絡信息安全體系的建設。因此，在數字化轉型背景下，企業面對龐雜的數據信息環境，需要從零信任出發，構建網絡信息安全體系，預防信任危機。

（三）不對稱

在網絡信息安全體系的構建過程中，企業不得不考慮的又一個問題是不對稱問題。關于對稱，其實也就是關于信息攻防的問題。在數字化轉型背景下，隨著數字技術的飛速發展，企業所面臨的攻擊將不再是傳統意義上的統一式打擊，而是有針對性的、更加精準的信息攻擊，并且具備可持續的效應，給企業的網絡信息安全體系造成不可估量的破壞，威脅企業的生存發展。在復雜的形勢下，企業可能會遭受來自多方面的信息攻擊，比如商業上的競爭，灰色產業的利益糾紛，以及黑客的報復性打擊等等。一旦企業被選定為攻擊對象，就會引來攻防不對稱性問題，給企業帶來巨大的難題。企業的網絡信息安全體系如果未加完善，機制過于簡單，防護過于薄弱，那么在面對黑客所運用的漏洞挖掘、武器庫和Oday漏洞挖掘等精密的攻擊方式時，企業的重要數據信息就很難保全，不可避免地會遭到破壞，難以抵御黑客的毀滅性打擊。由此可見，這種攻防不對稱性在數字化轉型背景下是企業所必須要予以審慎考慮的情況，以免企業的網絡信息安全體系在對方的攻擊之下毫無招架之力?；诖?，企業就需要制定明確的防范目標，防止企業內部的惡意行為以及外部的騷擾入侵。同時，企業需要制定科學有效的應對策略，比如借鑒或引用縱深防御機制安全模式等。除此之外，企業也需要具備不可或缺的技術和工具，要在硬件設施上做足準備，從而能夠支撐一系列安全防范措施的執行和推進，最終構建出有效的網絡信息安全體系，確保企業自身的數據信息安全。

（四）動態化

網絡安全是動態的而不是靜態的。信息技術變化越來越快，過去分散獨立的網絡變得高度關聯、相互依賴，網絡安全的威脅來源和攻擊手段不斷變化，那種依靠裝幾個安全設備和安全軟件就想永保安全的想法已不合時宜，需要樹立動態、綜合的防護理念。網絡安全風險是動態的。一是系統漏洞是動態的，信息化基礎設施和重要信息系統在不斷改進、不斷升級、不斷擴容，使網絡系統漏洞和脆弱性增多;二是產品漏洞是動態的，這些新技術新應用需要大量進口軟硬件產品，以及國產化軟硬件產品，這些產品中的脆弱性、安全漏洞和產品供應鏈帶來的安全隱患仍然不可忽視;三是管理漏洞是動態的，這些變更的新系統、新產品在管理運維上同樣可以出現安全漏洞，新的安全制度、管理規定尚未重新制定，甚至出現復雜系統資產底數不清，給網絡安全管理帶來潛在隱患;四是威脅手段是動態的，從近年來發生的安全事件看，很多網絡攻擊長期潛伏，只靠傳統安全措施來保障新時期網絡高度發展變化的系統，顯然是不可能的。因此，在數字化轉型背景下，企業需要樹立動態的網絡安全觀，以動態的視角去看待網絡安全問題。

三、數字化轉型背景下企業網絡信息安全體系建設策略

（一）組織保障

在數字化轉型背景下，企業要建設高質量的網絡信息安全體系，就應當從組織保障的角度入手，進而推動網絡信息安全體系的有效構建。網絡信息安全保障體系是一種自上而下的結構，要建立這樣一個體系，對企業管理層的組織能力、管理能力和決策能力都是一個很大的考驗。管理層應當審視市場的發展規律，新技術的發展態勢，并結合企業自身的具體發展狀況，對比同行業其他企業的發展經驗等等，以此來制定有效的決策，為網絡信息安全體系的建設調配資源，給員工提出維護信息安全具體措施上的建議，設置考核機制和安全標準等等。此外，企業管理層還應當將制定的戰略目標進行分解，從多個角度去剖析具體的舉措，做好網絡信息安全體系的組織保障工作，以管理、運營和技術這幾個不同的層面去推進具體建設計劃的構想與執行，繼而規劃出完善的網絡信息安全體系建設藍圖，確保企業能夠在預定的期間內完成網絡信息安全體系的有效建設，防范信息安全風險。

（二）管理體系

為了能夠在數字化轉型背景下順利地建設成功網絡信息安全體系，防范信息安全風險，抵御危險信息的侵擾，企業就應當構建合理完善的管理體系。如果沒有一個成功的管理體系，那么企業即便是引進了先進的資源和技術，能夠為網絡信息安全體系的建設提供強有力的硬件條件支撐，企業也無法合理調用這些資源和技術，難以將先進技術或設備的優勢發揮出來，從而浪費了寶貴的資源，難以順利完成網絡信息安全體系的全面建設工作?；诖?，企業就應該建立健全管理體系，制定嚴明的責任機制，明確不同崗位員工的工作任務，以及每項工作的考核標準等等，從而使得企業員工在執行工作任務的過程中能夠有清晰的思路，明確工作的開展方向，并使其在工作過程中以及完成工作之后能夠有可以依循的標準，去判斷自己的工作成果是否符合企業管理人員所制定的規范，是否達到了符合企業建設網絡信息安全體系的需求的標準，從而使得技術和人力等各種資源的分配達到一個協調的狀態，形成有效的管理體系，推動網絡信息安全體系的順利建設。

（三）運營體系

在建設網絡信息安全體系的過程中，企業始終都需要秉持這樣一個理念，即羅馬不是一日建成的。要想順利完成網絡信息安全體系的建設任務，就必須要有戰略眼光和足夠的耐心，做好動態化的運營工作，構建科學有效的運營體系。在運營體系的支撐下，網絡信息安全體系才能夠被不斷地修正和改進，才能夠解決實際工作中所遇到的各種具體的信息安全問題，從而形成一套真正能夠起到保護作用的安全體系。企業管理人員需要根據信息化基礎設施的物理環境去幫助員工進行協調，保障員工的人身安全，確保員工在工作過程中不會因為物理環境或硬件設施的原因而威脅到自身的安全。同時還需要促進企業各部門之間的分工合作，使各個業務部門的工作人員都能夠形成緊密的配合，團結一致地參與到網絡信息安全體系的建設工作當中，及時交流信息，使得每個部門的人員都能夠站在更廣的視角下去完成分內的建設工作，繼而提高整體的工作效率。只有協調好各部門之間的配合與互動，才能夠順利建成以維護網絡信息安全為目標的運營體系，進而推動網絡信息安全體系的有效運轉。

（四）技術體系

從技術體系的維度去分析，企業應當從用戶、終端、網絡、數據、系統和應用這幾個層面去制定相應的安全防護策略，以期網絡信息安全體系在運轉過程中不會遇到技術層面上的阻礙，推動網絡信息安全體系的順利構建。比方說，在用戶領域上，企業應當解決好身份管理機制以及身份認證的問題;在終端領域上，企業應當著力于解決以信息安全為核心的資產管理問題，同時要防范好網絡黑客對終端設備的惡意攻擊。在無邊界的趨勢下，企業應當把注意力聚焦在網絡的出入口安全問題上，并全面加固系統層面的安全設施，做好接入管理工作，同時要保障信息數據在生產、存貯、上傳、采集、分析和應用等不同階段的安全，確保數據的機密性和完整性不遭到破壞，從而推動網絡信息安全體系的有效建成。在構建網絡信息安全體系的過程中，應該明確信息化建設是一個長期持續的過程，一定不能大意。而技術體系又是其中非常關鍵的一部分，所以更應該將其當做重中之重來對待。國家方面針對信息安全有一定的規定和要求。因此企業方面在進行體系建設的過程中，可以多了解這一方面的規定。網絡運營者應當按照網絡安全等級保護制度的要求，履行下列安全保護義務，保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數據泄露或者被取、篡改。關鍵信息基礎設施的運營者應當自行或者委托網絡安全服務機構對其網絡的安全性和可能存在的風險每年至少進行一次檢測評估。因此，等級保護測評與安全整改也是每個企業必須落實的一項網絡安全建設義務。

（五）安全產品與服務保障

企業在建立網絡信息安全體系的過程中，必然需要一定的安全防護產品來做支撐，在選擇的時候一定要結合自身的發展實際以及特定需求。如今市面上的安全防護產品種類繁多，像防火墻、防病毒、入侵檢測等基本產品，已經在一定程度上普及了企業或組織網絡信息安全的基本面。在數字化轉型背景下，企業業務多樣化發展，新型網絡安全產品也層出不窮。從互聯網到物聯網，從桌面終端到移動終端，從網絡設備到服務器、云計算等信息資產，市面上安全企業可以為用戶提供物聯網安全、終端安全、移動安全、邊界安全、運維安全、數據安全、云安全等多種解決方案。企業可以盡量選擇不會對現有系統產生過大影響的產品，比如不必重設現有系統，可以實現對其的防護。選擇這一類防護產品輔助工作，保障信息安全。

四、企業網絡信息安全體系建設的保證

第一，提升信息化能力。對于如今的企業來說，已經普遍重視了網絡信息安全保障，也重視了這一體系的建設，不過要讓整體建設質量更有保證，企業方面還需要針對自身的信息化能力做不斷地提升。從業務能力和IT能力這兩個維度重點考慮。重點提升標準化能力，基礎服務能力，數據運營能力，優質服務能力和智能服務能力。

第二，加強重視。技術的不斷發展給企業的工作帶來了極大的便利，但是信息安全問題受到了人們的關注，對此企業中的每一個人都應該重視起來。在工作的時候需要多注意，按照規定進行，切不可給一些不法分子可乘之機。企業方面可以在內部開展網絡信息安全教育大會，讓大家都可以增強重視力度，每一個部門的人都為此做出努力，尤其是財務，業務等部門，重要數據應該做加密處理。只有人人都重視網絡信息安全體系建設成功之后，才能更好地發揮作用。

五、結束語

綜上所述，在數字化轉型背景下，隨著不同種類信息技術的飛速發展進步，很多企業都在緊跟時代的步伐并響應政策的號召，推動自身的數字化轉型進程。不過在此過程中，企業不得不注意的關鍵一點就是維護自身的網絡信息安全，構建科學有效的網絡信息安全體系，保障企業的內部數據信息不被外部組織所侵害和干擾，做好防范工作，從而在轉型過程中保全自身在行業市場中的生存基礎。為此，企業應當從組織保障、管理體系、運營體系、技術體系、安全產品多個角度去制定戰略性的以及具體的建設策略，從而在無邊界、零信任和不對稱的數字化轉型背景下有效建成網絡信息安全體系。

作者單位：萬小博? ? 國家計算機網絡應急技術處理協調中心上海分中心

參? 考? 文? 獻

[1]劉志誠.互聯網金融業務用戶隱私數據安全保障理論與實踐[J].網絡空間安全，2020，11（01）.

[2]朱傳武.新常態下數字化轉型企業網絡信息安全體系建設[J].數碼設計（信息科技論壇），2021（04）.

[3]孫國強，李騰.數字經濟背景下企業網絡數字化轉型路徑研究[J].科學學與科學技術管理，2021，42（01）.

[4]劉志誠.新常態下數字化轉型企業網絡信息安全體系建設[J].網絡空間安全，2018，09（11）.

[5]陳志雄.基于大數據背景下企業網絡信息安全體系研究[J].科技論壇，2019（09）.

[6]李龍森，連玉朱.大數據移動終端網絡信息安全性傳輸仿真[J].計算機仿真，2018，35（06）.