数字化转型背景下企业网络信息安全体系建设思考

摘要：随着互联网技术的日新月异，许多企业在发展过程中都主动地或被动地参与到了数字化转型的浪潮中。在数字化的业务模式下，企业所能容纳的数据信息量将取得飞跃式的扩展，对数据信息的分析处理能力也将上升一个维度，为企业的生产活动带来重要的帮助。不过，企业也同时要面对着无边界、零信任、不对称和动态化的网络信息安全问题。在数字化转型背景下，企业如何处理这些问题，搭建坚固的信息安全壁垒，是企业必须予以重视并分析研究的事务。本文将探讨在数字化转型背景下企业如何有效建设网络信息安全体系，以供参考。

关键词：数字化转型;网络安全;网络信息安全体系;建设策略

一、引言

在数字化转型背景下，企业网络信息安全问题频发，给不少正处于数字化转型阶段的企业以及已经过渡到数字化形态的企业带来了严重的危害。在网络信息安全遭到威胁的情况下，企业的内部信息就有可能泄露给商业竞争对手，被网络黑客恶意篡改或者损坏等等，从而给企业的内部决策以及其他生產活动带来不容小觑的打击，甚至于危害到企业在行业市场中的生存。所以，企业必须要从多个维度去分析研究适用于企业自身的网络信息安全体系模式，以期能够保障企业的数据信息安全。

二、数字化转型背景下企业网络信息安全需求探析

（一）无边界

网络信息安全问题是每个企业都需要格外关注的问题。如果信息安全得不到保障，企业内部的决策与活动内容等信息都会有泄露的危险，从而危害企业在市场中的生存，甚至于给企业带来毁灭性的打击。而在处理网络信息安全问题时，一个很重要的任务就是设置合理的边界。边界就如同一个国家所设防的防线，用于抵御外敌的入侵，保障自身的安全。在网络信息安全体系中，边界也正是起到类似的作用。只有建立起了明确的边界，才能够有效防护企业自身的数据信息，防止这些信息泄露给其他企业，或者被不法分子恶意篡改、毁坏或复制，给企业带来严重危害。然而，在数字化转型背景下，随着物联网技术与5G技术的发展，企业的数字化过程也变得比较复杂，不少企业在建立信息安全边界时都遇到了很大的困难，不知道应当如何确立有效的边界。在新技术的更迭中，网络信息安全保障边界也已经不再是传统意义上的边界。企业的信息化系统从原有的业务功能模块渐渐演变成互联网企业的解决策略，硬件基础设施从服务器渐渐发展到公有云和混合云架构。在数字化的过程中，业务功能模式已被逐渐解构成无边界公共服务组合的模式。从而，信息化系统的边界已经在此过程中打破了传统意义上的安全边界。在移动化嵌入式计算技术的发展之下，网络信息安全体系的边界将不再仅仅是数据的采集和指令的执行，更是涵盖了独立的计算边界。所以，在数字化转型背景下，为了建设有效的网络信息安全体系，需要从无边界这一角度出发制定策略。

（二）零信任

在网络信息安全体系建设中，另一个重要的问题是信任问题。在传统的观念下，一个企业要想保障自身的信息安全，获取信任是绕不过去的一个要点。由此，企业通常需要采取一系列措施来确保员工的信誉，识别员工的身份与权限，确定终端设备的系统身份，获取合作伙伴的信任等等。在各种各样的工作场景中，企业要完成身份的检测，以及合格性的监察，从而确保信任问题能够得到解决。此外，在信任问题上的另一个要点在于信息化系统的组件。随着信息技术的发展，企业在部署企业内部的信息化系统的过程中，有时会因为资金问题，或者对信息软件的特殊需求而定制第三方的开源软件，同时引用第三方的组件和代码，以及第三方所提供的公共服务。在一系列第三方所供给的资源中，就存在着信息安全问题，同时也涉及了信任的问题。如果企业没有建立起有效的信任机制以及检验策略，就会给企业内部带来不容小觑的网络信息安全问题。除此之外，数据也是企业信任体系建设中的一个关键问题所在。在数字化转型背景下，大数据、物联网和云计算等新技术的发展态势强劲，这也使得企业所需采集、分析和处理的数据信息越来越复杂多元，结构也越来越丰富，这就给数据的来源、采集、传输和完整等项环节带来了信任问题，进而影响企业网络信息安全体系的建设。因此，在数字化转型背景下，企业面对庞杂的数据信息环境，需要从零信任出发，构建网络信息安全体系，预防信任危机。

（三）不对称

在网络信息安全体系的构建过程中，企业不得不考虑的又一个问题是不对称问题。关于对称，其实也就是关于信息攻防的问题。在数字化转型背景下，随着数字技术的飞速发展，企业所面临的攻击将不再是传统意义上的统一式打击，而是有针对性的、更加精准的信息攻击，并且具备可持续的效应，给企业的网络信息安全体系造成不可估量的破坏，威胁企业的生存发展。在复杂的形势下，企业可能会遭受来自多方面的信息攻击，比如商业上的竞争，灰色产业的利益纠纷，以及黑客的报复性打击等等。一旦企业被选定为攻击对象，就会引来攻防不对称性问题，给企业带来巨大的难题。企业的网络信息安全体系如果未加完善，机制过于简单，防护过于薄弱，那么在面对黑客所运用的漏洞挖掘、武器库和Oday漏洞挖掘等精密的攻击方式时，企业的重要数据信息就很难保全，不可避免地会遭到破坏，难以抵御黑客的毁灭性打击。由此可见，这种攻防不对称性在数字化转型背景下是企业所必须要予以审慎考虑的情况，以免企业的网络信息安全体系在对方的攻击之下毫无招架之力。基于此，企业就需要制定明确的防范目标，防止企业内部的恶意行为以及外部的骚扰入侵。同时，企业需要制定科学有效的应对策略，比如借鉴或引用纵深防御机制安全模式等。除此之外，企业也需要具备不可或缺的技术和工具，要在硬件设施上做足准备，从而能够支撑一系列安全防范措施的执行和推进，最终构建出有效的网络信息安全体系，确保企业自身的数据信息安全。

（四）动态化

网络安全是动态的而不是静态的。信息技术变化越来越快，过去分散独立的网络变得高度关联、相互依赖，网络安全的威胁来源和攻击手段不断变化，那种依靠装几个安全设备和安全软件就想永保安全的想法已不合时宜，需要树立动态、综合的防护理念。网络安全风险是动态的。一是系统漏洞是动态的，信息化基础设施和重要信息系统在不断改进、不断升级、不断扩容，使网络系统漏洞和脆弱性增多;二是产品漏洞是动态的，这些新技术新应用需要大量进口软硬件产品，以及国产化软硬件产品，这些产品中的脆弱性、安全漏洞和产品供应链带来的安全隐患仍然不可忽视;三是管理漏洞是动态的，这些变更的新系统、新产品在管理运维上同样可以出现安全漏洞，新的安全制度、管理规定尚未重新制定，甚至出现复杂系统资产底数不清，给网络安全管理带来潜在隐患;四是威胁手段是动态的，从近年来发生的安全事件看，很多网络攻击长期潜伏，只靠传统安全措施来保障新时期网络高度发展变化的系统，显然是不可能的。因此，在数字化转型背景下，企业需要树立动态的网络安全观，以动态的视角去看待网络安全问题。

三、数字化转型背景下企业网络信息安全体系建设策略

（一）组织保障

在数字化转型背景下，企业要建设高质量的网络信息安全体系，就应当从组织保障的角度入手，进而推动网络信息安全体系的有效构建。网络信息安全保障体系是一种自上而下的结构，要建立这样一个体系，对企业管理层的组织能力、管理能力和决策能力都是一个很大的考验。管理层应当审视市场的发展规律，新技术的发展态势，并结合企业自身的具体发展状况，对比同行业其他企业的发展经验等等，以此来制定有效的决策，为网络信息安全体系的建设调配资源，给员工提出维护信息安全具体措施上的建议，设置考核机制和安全标准等等。此外，企业管理层还应当将制定的战略目标进行分解，从多个角度去剖析具体的举措，做好网络信息安全体系的组织保障工作，以管理、运营和技术这几个不同的层面去推进具体建设计划的构想与执行，继而规划出完善的网络信息安全体系建设蓝图，确保企业能够在预定的期间内完成网络信息安全体系的有效建设，防范信息安全风险。

（二）管理体系

为了能够在数字化转型背景下顺利地建设成功网络信息安全体系，防范信息安全风险，抵御危险信息的侵扰，企业就应当构建合理完善的管理体系。如果没有一个成功的管理体系，那么企业即便是引进了先进的资源和技术，能够为网络信息安全体系的建设提供强有力的硬件条件支撑，企业也无法合理调用这些资源和技术，难以将先进技术或设备的优势发挥出来，从而浪费了宝贵的资源，难以顺利完成网络信息安全体系的全面建设工作。基于此，企业就应该建立健全管理体系，制定严明的责任机制，明确不同岗位员工的工作任务，以及每项工作的考核标准等等，从而使得企业员工在执行工作任务的过程中能够有清晰的思路，明确工作的开展方向，并使其在工作过程中以及完成工作之后能够有可以依循的标准，去判断自己的工作成果是否符合企业管理人员所制定的规范，是否达到了符合企业建设网络信息安全体系的需求的标准，从而使得技术和人力等各种资源的分配达到一个协调的状态，形成有效的管理体系，推动网络信息安全体系的顺利建设。

（三）运营体系

在建设网络信息安全体系的过程中，企业始终都需要秉持这样一个理念，即罗马不是一日建成的。要想顺利完成网络信息安全体系的建设任务，就必须要有战略眼光和足够的耐心，做好动态化的运营工作，构建科学有效的运营体系。在运营体系的支撑下，网络信息安全体系才能够被不断地修正和改进，才能够解决实际工作中所遇到的各种具体的信息安全问题，从而形成一套真正能够起到保护作用的安全體系。企业管理人员需要根据信息化基础设施的物理环境去帮助员工进行协调，保障员工的人身安全，确保员工在工作过程中不会因为物理环境或硬件设施的原因而威胁到自身的安全。同时还需要促进企业各部门之间的分工合作，使各个业务部门的工作人员都能够形成紧密的配合，团结一致地参与到网络信息安全体系的建设工作当中，及时交流信息，使得每个部门的人员都能够站在更广的视角下去完成分内的建设工作，继而提高整体的工作效率。只有协调好各部门之间的配合与互动，才能够顺利建成以维护网络信息安全为目标的运营体系，进而推动网络信息安全体系的有效运转。

（四）技术体系

从技术体系的维度去分析，企业应当从用户、终端、网络、数据、系统和应用这几个层面去制定相应的安全防护策略，以期网络信息安全体系在运转过程中不会遇到技术层面上的阻碍，推动网络信息安全体系的顺利构建。比方说，在用户领域上，企业应当解决好身份管理机制以及身份认证的问题;在终端领域上，企业应当着力于解决以信息安全为核心的资产管理问题，同时要防范好网络黑客对终端设备的恶意攻击。在无边界的趋势下，企业应当把注意力聚焦在网络的出入口安全问题上，并全面加固系统层面的安全设施，做好接入管理工作，同时要保障信息数据在生产、存贮、上传、采集、分析和应用等不同阶段的安全，确保数据的机密性和完整性不遭到破坏，从而推动网络信息安全体系的有效建成。在构建网络信息安全体系的过程中，应该明确信息化建设是一个长期持续的过程，一定不能大意。而技术体系又是其中非常关键的一部分，所以更应该将其当做重中之重来对待。国家方面针对信息安全有一定的规定和要求。因此企业方面在进行体系建设的过程中，可以多了解这一方面的规定。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被取、篡改。关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估。因此，等级保护测评与安全整改也是每个企业必须落实的一项网络安全建设义务。

（五）安全产品与服务保障

企业在建立网络信息安全体系的过程中，必然需要一定的安全防护产品来做支撑，在选择的时候一定要结合自身的发展实际以及特定需求。如今市面上的安全防护产品种类繁多，像防火墙、防病毒、入侵检测等基本产品，已经在一定程度上普及了企业或组织网络信息安全的基本面。在数字化转型背景下，企业业务多样化发展，新型网络安全产品也层出不穷。从互联网到物联网，从桌面终端到移动终端，从网络设备到服务器、云计算等信息资产，市面上安全企业可以为用户提供物联网安全、终端安全、移动安全、边界安全、运维安全、数据安全、云安全等多种解决方案。企业可以尽量选择不会对现有系统产生过大影响的产品，比如不必重设现有系统，可以实现对其的防护。选择这一类防护产品辅助工作，保障信息安全。

四、企业网络信息安全体系建设的保证

第一，提升信息化能力。对于如今的企业来说，已经普遍重视了网络信息安全保障，也重视了这一体系的建设，不过要让整体建设质量更有保证，企业方面还需要针对自身的信息化能力做不断地提升。从业务能力和IT能力这两个维度重点考虑。重点提升标准化能力，基础服务能力，数据运营能力，优质服务能力和智能服务能力。

第二，加强重视。技术的不断发展给企业的工作带来了极大的便利，但是信息安全问题受到了人们的关注，对此企业中的每一个人都应该重视起来。在工作的时候需要多注意，按照规定进行，切不可给一些不法分子可乘之机。企业方面可以在内部开展网络信息安全教育大会，让大家都可以增强重视力度，每一个部门的人都为此做出努力，尤其是财务，业务等部门，重要数据应该做加密处理。只有人人都重视网络信息安全体系建设成功之后，才能更好地发挥作用。

五、结束语

综上所述，在数字化转型背景下，随着不同种类信息技术的飞速发展进步，很多企业都在紧跟时代的步伐并响应政策的号召，推动自身的数字化转型进程。不过在此过程中，企业不得不注意的关键一点就是维护自身的网络信息安全，构建科学有效的网络信息安全体系，保障企业的内部数据信息不被外部组织所侵害和干扰，做好防范工作，从而在转型过程中保全自身在行业市场中的生存基础。为此，企业应当从组织保障、管理体系、运营体系、技术体系、安全产品多个角度去制定战略性的以及具体的建设策略，从而在无边界、零信任和不对称的数字化转型背景下有效建成网络信息安全体系。

作者单位：万小博    国家计算机网络应急技术处理协调中心上海分中心

参  考  文  献

[1]刘志诚.互联网金融业务用户隐私数据安全保障理论与实践[J].网络空间安全，2020，11（01）.

[2]朱传武.新常态下数字化转型企业网络信息安全体系建设[J].数码设计（信息科技论坛），2021（04）.

[3]孙国强，李腾.数字经济背景下企业网络数字化转型路径研究[J].科学学与科学技术管理，2021，42（01）.

[4]刘志诚.新常态下数字化转型企业网络信息安全体系建设[J].网络空间安全，2018，09（11）.

[5]陈志雄.基于大数据背景下企业网络信息安全体系研究[J].科技论坛，2019（09）.

[6]李龙森，连玉朱.大数据移动终端网络信息安全性传输仿真[J].计算机仿真，2018，35（06）.