赵妍

基于零信任安全模型，建立智能化威胁检测系统， 识别和应对新型安全威胁。

数字化转型视域下国有企业保密管理体系构建的遵循原则

风险导向原则。风险导向原则强调将风险管理作为一个系统性、全面性的过程，而不是孤立的活动。保密工作是一项基础性、广泛性管理工作，意味着企业需要全方位地了解、评估和管理与信息安全相关的各种风险，包括技术、人员、业务和合规性等方面的风险。风险导向原则倡导对风险进行持续的评估，以及时发现新兴威胁、变化的业务环境和技术演进可能带来的风险，因地制宜地选择适当的安全措施，采用预防性措施来降低风险，包括在事前采取措施，通过防范为主的策略，减少事故和漏洞的发生，从而提高整体信息安全性。

业务驱动原则。业务驱动原则是指将业务需求和战略目标置于核心位置，确保保密管理体系与业务的紧密对接，以实现信息安全与业务发展的有机融合。业务驱动原则强调将业务需求作为保密管理体系设计和实施的首要考虑因素，保密措施应当能够服务于业务流程，确保信息安全策略与企业的长期发展目标一致，以支持和推动业务战略的实施。

技术创新原则。技术创新原则是指要充分利用和引领最新的技术进展，以提高信息安全的水平。国有企业需要把握前沿、先进的技术趋势， 将新兴技术应用于保密管理体系中， 以提高对新型威胁的识别和应对能力。技术创新原则的概述突出了在数字化转型中充分利用技术手段，不断提升信息安全水平。通过引入前瞻性技术，国有企业能够更好地应对日益复杂和多样化的安全威胁。

全员参与原则。全员参与原则强调信息安全不仅仅是信息技术部门的责任，而是全员共同参与的事项。国有企业需要将信息安全意识普及至所有员工，确保每个员工都了解信息安全的重要性以及他们在保密管理中的角色和责任；提供定期的信息安全培训和教育，以使员工了解最新的安全威胁、最佳实践和保密政策。全员参与原则的概述体现了信息安全管理不仅仅是一项技术工作，更是一项需要全员共同努力的文化建设。通过全员参与，可以形成更为坚固和全面的信息安全防线。

社会责任原则。社会责任原则是指企业应当积极履行社会责任， 保护用户、客户、员工及社会公众的信息安全。在数字化转型中，注重企业的可持续发展，通过信息安全的有效管理，确保企业在长期内能够为社会创造持续的价值。社会责任原则的概述凸显了国有企业在数字化转型中要注重社会责任，通过积极履行社会责任，构建更加可持续、稳健的保密管理体系，为社会创造积极的社会价值。

数字化转型视域下国有企业保密管理体系构建的实践路径

加强物联网安全认证。随着数字化转型的深入，物联网技术在国有企业中得到广泛应用，但与之伴随的是增加的信息安全风险。加强物联网安全认证是确保物联网设备和系统在数字化转型过程中安全可靠运行的重要实践路径。制定和遵循综合的物联网安全标准，强化物联网设备的身份认证机制，可以提高对设备身份真实性的信任。物联网设备之间的通信和数据传输实施端到端的加密机制，防止数据在传输过程中被恶意篡改或窃取。物联网设备的固件及时更新，通过安全的方式进行更新，以修复已知漏洞和提高设备的安全性。物联网设备的远程访问实施强有力的访问控制策略，限制只有授权人员能够进行远程访问，并监测访问行为。对于需要高度安全性的物联网设备，可以考虑引入生物识别技术，提高对设备使用者身份的确认准确性。

普及多因素身份验证。多因素身份验证通过结合两个或多个不同的身份验证因素，提高对用户身份真实性的确认，从而增强信息安全。多因素身份验证，明确要求哪些场景和用户需要进行多因素身份验证， 以及采用哪些身份验证因素。引入生物特征认证作为多因素身份验证的一部分，提供硬件令牌（如USB 安全令牌、智能卡等），结合用户登录的时间和地点信息进行验证， 利用手机应用作为身份验证因素， 与多因素身份验证结合使用更强化的密码策略，确保用户密码的复杂性和安全性。通过普及多因素身份验证，国有企业能够在数字化转型中提高对用户身份真实性的确认， 有效降低被未经授权用户访问敏感信息的风险，增强整体信息安全水平。

引入自动化漏洞管理。自动化漏洞管理有助于及时发现和修复系统和应用中的漏洞，提高信息安全水平。选择适用于国有企业环境的漏洞扫描工具，设定定期的自动漏洞扫描计划，确定漏洞扫描的范围， 引入实时漏洞监测机制，引入自动化漏洞评估机制，将漏洞管理纳入企业的整体安全信息与事件管理系统中，形成全面的安全管理体系。自动产生漏洞报告，提供清晰的漏洞信息，包括风险评估、修复建议等， 同时自动通知相关团队进行处理。引入自动化漏洞管理有助于提高漏洞發现的速度和准确性，降低漏洞被攻击的风险，促进国有企业信息安全的持续改进。

发展数字化培训工具。国有企业能够更好地借助数字化培训工具， 提升员工保密素养，促进保密管理体系的建设。加强保密教育和培训， 增强保密意识。发展数字化培训工具旨在通过创新的教育手段和技术手段，使保密培训更加贴近员工实际工作需求，提高培训的效果和覆盖面。企业制定数字化培训的战略规划，将数字化培训纳入整体战略， 根据培训需求和战略规划，选择适用于国有企业的数字化培训工具， 搭建易于访问和使用的在线学习平台，确保员工能够随时随地获取培训资源。通过发展数字化培训工具， 国有企业可以更好地利用数字化手段提升员工的保密素养，构建更为健全的保密管理体系，适应数字化转型的新要求。

实施多维度风险管理。国有企业制定明确的风险管理战略，确保风险管理与企业战略一致；对风险进行多维度的分类，建立全面的风险清单，优先处理高风险区域。借助先进的技术手段，制定明确的风险阈值，对风险管理体系进行持续监测，及时了解风险管理体系的建立和实施符合相关法规和合规性要求。通过实施多维度风险管理，国有企业可以更全面、系统地管理各类风险，提高对数字化转型过程中可能出现的潜在威胁的防范和应对水平。

数字化转型视域下国有企业保密管理体系构建的未来图景

基于上下文访问控制，推出零信任安全模型。未来数字化转型下， 国有企业保密管理体系将迎来更为先进和灵活的安全模型，其中零信任安全模型将占据核心地位。该模型基于上下文访问控制，旨在实现对敏感信息的更加细粒度、动态的管理和监控。零信任理念认为，在网络环境中不存在可信任的内部用户，每个用户、设备或系统都应该经过验证和授权，即使在内部网络也不例外。这一理念将成为国有企业数字化转型中保密管理的核心思想。在零信任模型下，权限不再是一成不变的，而是根据用户的实际需求和上下文环境的变化进行动态调整。基于上下文访问控制的零信任安全模型，国有企业可以更加灵活、智能地管理和保护敏感信息， 提升数字化转型过程中的信息安全水平。

智能合规性数据保护，全生命周期安全管理。国有企业保密管理体系引入人工智能和机器学习技术， 实现对敏感数据的智能合规性保护。基于数据的实际使用情况和用户行为，实施动态权限控制，确保只有经过授权的用户在特定环境下能够访问敏感数据，并随着权限需求的变化进行实时调整。企业引入智能审计系统，实时监测数据访问和操作，发现潜在的风险行为，通过机器学习算法，识别异常活动，及时采取防范措施。通过智能合规性数据保护和全生命周期安全管理，国有企业将更好地适应未来数字化转型的需求，提高对敏感信息的全方位保护和管理水平。这一未来图景有助于在数字化环境中有效应对日益增长的数据安全挑战。

建立智能化威胁检测系统，识别应对新型安全威胁。国有企业的保密管理体系将积极构建智能化威胁检测系统，以更好地识别并应对新型安全威胁。企业建立智能化威胁检测系统，整合全球范围内的威胁情报，通过与外部威胁情报服务的对接，及时了解新型威胁、漏洞和攻击手法，提高对外部威胁的感知能力。通过建立智能化威胁检测系统，国有企业将更加敏锐地感知新型安全威胁，提升威胁检测和应对的能力，保障数字化转型过程中的信息安全。这一未来图景有助于构建更为智能、灵活和协同的安全防护体系。

（作者单位：航天科工财务有限责任公司）