數字化轉型視域下 國有企業保密管理體系

趙妍

基于零信任安全模型，建立智能化威脅檢測系統， 識別和應對新型安全威脅。

數字化轉型視域下國有企業保密管理體系構建的遵循原則

風險導向原則。風險導向原則強調將風險管理作為一個系統性、全面性的過程，而不是孤立的活動。保密工作是一項基礎性、廣泛性管理工作，意味著企業需要全方位地了解、評估和管理與信息安全相關的各種風險，包括技術、人員、業務和合規性等方面的風險。風險導向原則倡導對風險進行持續的評估，以及時發現新興威脅、變化的業務環境和技術演進可能帶來的風險，因地制宜地選擇適當的安全措施，采用預防性措施來降低風險，包括在事前采取措施，通過防范為主的策略，減少事故和漏洞的發生，從而提高整體信息安全性。

業務驅動原則。業務驅動原則是指將業務需求和戰略目標置于核心位置，確保保密管理體系與業務的緊密對接，以實現信息安全與業務發展的有機融合。業務驅動原則強調將業務需求作為保密管理體系設計和實施的首要考慮因素，保密措施應當能夠服務于業務流程，確保信息安全策略與企業的長期發展目標一致，以支持和推動業務戰略的實施。

技術創新原則。技術創新原則是指要充分利用和引領最新的技術進展，以提高信息安全的水平。國有企業需要把握前沿、先進的技術趨勢， 將新興技術應用于保密管理體系中， 以提高對新型威脅的識別和應對能力。技術創新原則的概述突出了在數字化轉型中充分利用技術手段，不斷提升信息安全水平。通過引入前瞻性技術，國有企業能夠更好地應對日益復雜和多樣化的安全威脅。

全員參與原則。全員參與原則強調信息安全不僅僅是信息技術部門的責任，而是全員共同參與的事項。國有企業需要將信息安全意識普及至所有員工，確保每個員工都了解信息安全的重要性以及他們在保密管理中的角色和責任；提供定期的信息安全培訓和教育，以使員工了解最新的安全威脅、最佳實踐和保密政策。全員參與原則的概述體現了信息安全管理不僅僅是一項技術工作，更是一項需要全員共同努力的文化建設。通過全員參與，可以形成更為堅固和全面的信息安全防線。

社會責任原則。社會責任原則是指企業應當積極履行社會責任， 保護用戶、客戶、員工及社會公眾的信息安全。在數字化轉型中，注重企業的可持續發展，通過信息安全的有效管理，確保企業在長期內能夠為社會創造持續的價值。社會責任原則的概述凸顯了國有企業在數字化轉型中要注重社會責任，通過積極履行社會責任，構建更加可持續、穩健的保密管理體系，為社會創造積極的社會價值。

數字化轉型視域下國有企業保密管理體系構建的實踐路徑

加強物聯網安全認證。隨著數字化轉型的深入，物聯網技術在國有企業中得到廣泛應用，但與之伴隨的是增加的信息安全風險。加強物聯網安全認證是確保物聯網設備和系統在數字化轉型過程中安全可靠運行的重要實踐路徑。制定和遵循綜合的物聯網安全標準，強化物聯網設備的身份認證機制，可以提高對設備身份真實性的信任。物聯網設備之間的通信和數據傳輸實施端到端的加密機制，防止數據在傳輸過程中被惡意篡改或竊取。物聯網設備的固件及時更新，通過安全的方式進行更新，以修復已知漏洞和提高設備的安全性。物聯網設備的遠程訪問實施強有力的訪問控制策略，限制只有授權人員能夠進行遠程訪問，并監測訪問行為。對于需要高度安全性的物聯網設備，可以考慮引入生物識別技術，提高對設備使用者身份的確認準確性。

普及多因素身份驗證。多因素身份驗證通過結合兩個或多個不同的身份驗證因素，提高對用戶身份真實性的確認，從而增強信息安全。多因素身份驗證，明確要求哪些場景和用戶需要進行多因素身份驗證， 以及采用哪些身份驗證因素。引入生物特征認證作為多因素身份驗證的一部分，提供硬件令牌（如USB 安全令牌、智能卡等），結合用戶登錄的時間和地點信息進行驗證， 利用手機應用作為身份驗證因素， 與多因素身份驗證結合使用更強化的密碼策略，確保用戶密碼的復雜性和安全性。通過普及多因素身份驗證，國有企業能夠在數字化轉型中提高對用戶身份真實性的確認， 有效降低被未經授權用戶訪問敏感信息的風險，增強整體信息安全水平。

引入自動化漏洞管理。自動化漏洞管理有助于及時發現和修復系統和應用中的漏洞，提高信息安全水平。選擇適用于國有企業環境的漏洞掃描工具，設定定期的自動漏洞掃描計劃，確定漏洞掃描的范圍， 引入實時漏洞監測機制，引入自動化漏洞評估機制，將漏洞管理納入企業的整體安全信息與事件管理系統中，形成全面的安全管理體系。自動產生漏洞報告，提供清晰的漏洞信息，包括風險評估、修復建議等， 同時自動通知相關團隊進行處理。引入自動化漏洞管理有助于提高漏洞發現的速度和準確性，降低漏洞被攻擊的風險，促進國有企業信息安全的持續改進。

發展數字化培訓工具。國有企業能夠更好地借助數字化培訓工具， 提升員工保密素養，促進保密管理體系的建設。加強保密教育和培訓， 增強保密意識。發展數字化培訓工具旨在通過創新的教育手段和技術手段，使保密培訓更加貼近員工實際工作需求，提高培訓的效果和覆蓋面。企業制定數字化培訓的戰略規劃，將數字化培訓納入整體戰略， 根據培訓需求和戰略規劃，選擇適用于國有企業的數字化培訓工具， 搭建易于訪問和使用的在線學習平臺，確保員工能夠隨時隨地獲取培訓資源。通過發展數字化培訓工具， 國有企業可以更好地利用數字化手段提升員工的保密素養，構建更為健全的保密管理體系，適應數字化轉型的新要求。

實施多維度風險管理。國有企業制定明確的風險管理戰略，確保風險管理與企業戰略一致；對風險進行多維度的分類，建立全面的風險清單，優先處理高風險區域。借助先進的技術手段，制定明確的風險閾值，對風險管理體系進行持續監測，及時了解風險管理體系的建立和實施符合相關法規和合規性要求。通過實施多維度風險管理，國有企業可以更全面、系統地管理各類風險，提高對數字化轉型過程中可能出現的潛在威脅的防范和應對水平。

數字化轉型視域下國有企業保密管理體系構建的未來圖景

基于上下文訪問控制，推出零信任安全模型。未來數字化轉型下， 國有企業保密管理體系將迎來更為先進和靈活的安全模型，其中零信任安全模型將占據核心地位。該模型基于上下文訪問控制，旨在實現對敏感信息的更加細粒度、動態的管理和監控。零信任理念認為，在網絡環境中不存在可信任的內部用戶，每個用戶、設備或系統都應該經過驗證和授權，即使在內部網絡也不例外。這一理念將成為國有企業數字化轉型中保密管理的核心思想。在零信任模型下，權限不再是一成不變的，而是根據用戶的實際需求和上下文環境的變化進行動態調整?；谏舷挛脑L問控制的零信任安全模型，國有企業可以更加靈活、智能地管理和保護敏感信息， 提升數字化轉型過程中的信息安全水平。

智能合規性數據保護，全生命周期安全管理。國有企業保密管理體系引入人工智能和機器學習技術， 實現對敏感數據的智能合規性保護?；跀祿膶嶋H使用情況和用戶行為，實施動態權限控制，確保只有經過授權的用戶在特定環境下能夠訪問敏感數據，并隨著權限需求的變化進行實時調整。企業引入智能審計系統，實時監測數據訪問和操作，發現潛在的風險行為，通過機器學習算法，識別異?；顒?，及時采取防范措施。通過智能合規性數據保護和全生命周期安全管理，國有企業將更好地適應未來數字化轉型的需求，提高對敏感信息的全方位保護和管理水平。這一未來圖景有助于在數字化環境中有效應對日益增長的數據安全挑戰。

建立智能化威脅檢測系統，識別應對新型安全威脅。國有企業的保密管理體系將積極構建智能化威脅檢測系統，以更好地識別并應對新型安全威脅。企業建立智能化威脅檢測系統，整合全球范圍內的威脅情報，通過與外部威脅情報服務的對接，及時了解新型威脅、漏洞和攻擊手法，提高對外部威脅的感知能力。通過建立智能化威脅檢測系統，國有企業將更加敏銳地感知新型安全威脅，提升威脅檢測和應對的能力，保障數字化轉型過程中的信息安全。這一未來圖景有助于構建更為智能、靈活和協同的安全防護體系。

（作者單位：航天科工財務有限責任公司）