王愛軍

（國家能源集團(tuán)國源電力有限公司，北京 101000）

1 企業(yè)信息安全治理的重要意義

1.1 滿足合規(guī)的要求

1.2 確保應(yīng)用場景安全

通過引入先進(jìn)的數(shù)字技術(shù)，企業(yè)可以實(shí)現(xiàn)從傳統(tǒng)到現(xiàn)代的跨越式發(fā)展，這就需要將技術(shù)、數(shù)據(jù)、人才等多種要素有機(jī)結(jié)合起來，構(gòu)建一套完善的數(shù)字化解決方案，從而實(shí)現(xiàn)企業(yè)的數(shù)字化轉(zhuǎn)型。隨著數(shù)字化轉(zhuǎn)型的深入發(fā)展，企業(yè)所面臨的信息安全風(fēng)險已經(jīng)超越了傳統(tǒng)的基礎(chǔ)設(shè)施、網(wǎng)絡(luò)環(huán)境和系統(tǒng)應(yīng)用，越來越多的是由于數(shù)據(jù)的變化和創(chuàng)新性所帶來的威脅[2]。為此，建立完善的信息安全管控機(jī)制，并且根據(jù)不同的數(shù)據(jù)應(yīng)用場景，制定合理的規(guī)章制度，顯得尤為重要。

2 企業(yè)信息安全治理存在的問題

2.1 是注重效率還是注重安全

企業(yè)數(shù)字化轉(zhuǎn)型是一種極具挑戰(zhàn)性的組織變革，其目的在于將信息技術(shù)應(yīng)用于企業(yè)研發(fā)、生產(chǎn)、管理、服務(wù)等各個領(lǐng)域，使其具備更加先進(jìn)的技術(shù)，從而極大地改善企業(yè)的運(yùn)營效率，提升其市場競爭力，并使其長期穩(wěn)定地發(fā)展。隨著數(shù)字化技術(shù)的不斷發(fā)展，它已經(jīng)深入到企業(yè)的各個運(yùn)營環(huán)節(jié)，同時也帶來了一些新的挑戰(zhàn)，比如數(shù)字安全和信息安全的威脅。為了解決這些問題，企業(yè)必須在追求轉(zhuǎn)型績效和保障數(shù)字安全之間尋求一種平衡，以便更好地實(shí)現(xiàn)“追求績效”和“追求安全”的目標(biāo)。

2.2 各方在信息安全方面的行動存在分歧

隨著企業(yè)數(shù)字化轉(zhuǎn)型的推進(jìn)，信息安全已經(jīng)成為企業(yè)發(fā)展的重要組成部分，它涉及企業(yè)的各個層面，包括業(yè)務(wù)、流程和人員，因此，必須加強(qiáng)對信息安全的管理，確保各部門和人員的溝通協(xié)調(diào)，共同保證信息安全。隨著技術(shù)的發(fā)展，企業(yè)內(nèi)部各個部門的信息安全經(jīng)驗(yàn)和認(rèn)識水平的差距越來越明顯，從而加劇了信息安全行動的協(xié)調(diào)難度[3]。

2.3 風(fēng)險管理責(zé)任無法有效落實(shí)

企業(yè)數(shù)字化轉(zhuǎn)型是一項(xiàng)極具挑戰(zhàn)性的工程，它不僅需要不斷深入地探索、整合、利用數(shù)據(jù)，還必須把握好節(jié)奏，從而使企業(yè)能夠創(chuàng)造出更有競爭力的數(shù)據(jù)驅(qū)動的產(chǎn)品、服務(wù)，并在各種領(lǐng)域得到廣泛的應(yīng)用。隨著數(shù)字技術(shù)的飛速發(fā)展，傳統(tǒng)的安全管理方式已無法滿足當(dāng)今復(fù)雜的業(yè)務(wù)需求，一旦出現(xiàn)數(shù)據(jù)泄漏，就會給企業(yè)帶來巨大的經(jīng)濟(jì)損失。

2.4 網(wǎng)絡(luò)黑客攻擊危害

網(wǎng)絡(luò)黑客的入侵已經(jīng)成為當(dāng)今社會最嚴(yán)峻的信息安全問題，極大地威脅著網(wǎng)絡(luò)環(huán)境。黑客無視安全性和隱私保護(hù)，利用各種手段對用戶計(jì)算機(jī)系統(tǒng)實(shí)施攻擊，以破壞其安全性和可靠性，并對其造成嚴(yán)重的損害[4]。這種攻擊可以分為兩種：一種是主動攻擊，即破壞網(wǎng)絡(luò)設(shè)施和服務(wù)；另一種則是利用蠕蟲病毒等惡意軟件，破壞網(wǎng)絡(luò)環(huán)境，導(dǎo)致用戶無法正常訪問和操作。隨著黑客等非法入侵者的滲透，大數(shù)據(jù)挖掘技術(shù)的使用者可能會遭受到非法攻擊，從而導(dǎo)致用戶信息安全受到極大的威脅，這將使得信息安全風(fēng)險急劇上升。

2.5 網(wǎng)絡(luò)病毒危害

木馬和蠕蟲病毒是人為編寫的計(jì)算機(jī)語言程序，它們具有高度的自我復(fù)制能力、傳播能力、破壞力和隱蔽性。如果用戶的計(jì)算機(jī)或其他設(shè)備感染了網(wǎng)絡(luò)病毒，它們將會對系統(tǒng)的運(yùn)行狀態(tài)、數(shù)據(jù)和賬號信息造成嚴(yán)重的影響。隨著科技的進(jìn)步，計(jì)算機(jī)網(wǎng)絡(luò)病毒的種類越來越多，而且傳播的速度也越來越快，可以通過硬盤、電子郵件、聊天工具、瀏覽器、文件下載等多種途徑傳播，特洛伊木馬尤其明顯，它們會被“合法身份”等程序或指令所掩蓋，一旦發(fā)作，它們就會對計(jì)算機(jī)系統(tǒng)造成嚴(yán)重的破壞，導(dǎo)致無法執(zhí)行正常的程序指令，還會盜用用戶信息，甚至造成系統(tǒng)癱瘓，嚴(yán)重影響用戶系統(tǒng)的安全性和社交環(huán)境，威脅用戶的信息安全。

2.6 第三方泄密網(wǎng)絡(luò)資料

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)購和聊天交流已經(jīng)成為許多網(wǎng)民的日常生活場景，這也帶來了一些安全隱患，例如，第三方平臺可能會被惡意攻擊，第三方人員可能無視職業(yè)道德，此前曝出的攜程網(wǎng)的“安全門事件”、支付寶前員工可能會非法倒賣淘寶用戶的個人信息，這些都對用戶的信息安全構(gòu)成嚴(yán)重的威脅。2011—2014年間個人信息泄露的情況日益惡化，第三方主動或被動泄露用戶的網(wǎng)絡(luò)信息成為一個令人擔(dān)憂的現(xiàn)實(shí)[5]。為此，政府應(yīng)該采取有效措施，建立完善的個人信息保護(hù)機(jī)制，以防止個人信息被泄露，保護(hù)個人的隱私和財(cái)產(chǎn)。

3 企業(yè)信息安全治理的優(yōu)化措施

3.1 設(shè)計(jì)完善的信息安全管控架構(gòu)

企業(yè)信息安全治理是一項(xiàng)復(fù)雜的系統(tǒng)工程，它需要考慮企業(yè)高層管理團(tuán)隊(duì)中CEO、CIO、CFO、各部門主管以及員工的利益、訴求和責(zé)任，并且在實(shí)施過程中充分尊重和保護(hù)他們的權(quán)利，以確保他們能夠有效地實(shí)施信息安全治理，并且能夠有效地實(shí)現(xiàn)數(shù)字化轉(zhuǎn)型，從而實(shí)現(xiàn)企業(yè)信息安全的可持續(xù)發(fā)展[6]。通過良性互動和匹配，實(shí)現(xiàn)信息安全和數(shù)字化轉(zhuǎn)型的有效結(jié)合。

3.2 完善信息安全管理機(jī)制

建立健全的企業(yè)內(nèi)部管理制度是保障信息安全的基礎(chǔ)，這些制度包括多項(xiàng)規(guī)定，可以有效地協(xié)調(diào)各方利益，并且能夠根據(jù)實(shí)際情況，采取恰當(dāng)?shù)拇胧?，以促進(jìn)信息安全管理的有效實(shí)施。隨著企業(yè)數(shù)字化轉(zhuǎn)型的推進(jìn)，信息安全治理不僅應(yīng)當(dāng)堅(jiān)持契約治理的原則，同時也應(yīng)當(dāng)結(jié)合管控治理的關(guān)鍵因素，并將流程治理的有效控制措施融入其中，達(dá)到有效地防范和控制信息安全風(fēng)險的目的。

1.定位上，強(qiáng)調(diào)審前程序的獨(dú)立性。目前我國的民事審前程序僅僅是庭審的前奏或投影，沒有實(shí)質(zhì)的內(nèi)容，只有單一的程序性價值，依附性較強(qiáng)。因此，審前程序的二元性價值改造需要解決的第一個問題就是確定審前程序的獨(dú)立性。將審前準(zhǔn)備和庭審程序?qū)崿F(xiàn)真正的分離，既可以防止法官的先入為主，也能有效遏制證據(jù)突襲，確保訴訟公正與民主價值的實(shí)現(xiàn)。

3.3 完善和有效地管理信息安全

采取有效的管控措施對于確保企業(yè)信息安全至關(guān)重要，這種管控措施可以從企業(yè)內(nèi)部的角度出發(fā)，以確保每一項(xiàng)業(yè)務(wù)的正確執(zhí)行，并且能夠規(guī)范每一個職能崗位的信息安全操作。為了有效保護(hù)企業(yè)數(shù)字化轉(zhuǎn)型過程中的關(guān)鍵信息資源，我們制定了嚴(yán)格的規(guī)章制度，并且明確了每一項(xiàng)工作的安全職責(zé)，從而使得每一項(xiàng)工作都能夠有效地執(zhí)行，并且能夠有效的防范和控制風(fēng)險，從而確保企業(yè)的重要信息資產(chǎn)的安全、完整和可用。

3.4 運(yùn)用網(wǎng)絡(luò)信息安全防護(hù)技術(shù)

①采用密匙管理加密算法，對于重要的數(shù)據(jù)進(jìn)行節(jié)點(diǎn)、鏈路和端到端的加密，從而提高數(shù)據(jù)的安全性和完整性；②防火墻技術(shù)可以說是一種極具威懾力的網(wǎng)絡(luò)信息安全管理工具，它可以將安全區(qū)域和可疑區(qū)域隔絕開來，阻止未經(jīng)授權(quán)和非法的通信，以此來確保用戶的網(wǎng)絡(luò)信息安全；③入侵檢測技術(shù)則可以更好地幫助企業(yè)發(fā)現(xiàn)和阻止可疑的攻擊，它可以及早發(fā)現(xiàn)和阻止病毒和黑客的活動，為企業(yè)提供更加可靠和可控的網(wǎng)絡(luò)環(huán)境，以確保企業(yè)和個人的數(shù)據(jù)安全。通過采取有效措施，確保用戶的網(wǎng)絡(luò)信息安全；④通過采取系統(tǒng)容災(zāi)技術(shù)，可以大大提升網(wǎng)絡(luò)信息安全性，這種技術(shù)可以通過將系統(tǒng)信息的存儲、保護(hù)和容災(zāi)相結(jié)合，從而實(shí)現(xiàn)更強(qiáng)大的自我恢復(fù)能力，目前，最為普遍的兩種容災(zāi)技術(shù)分別為基于計(jì)算機(jī)系統(tǒng)的容錯和基于數(shù)據(jù)備份的容錯。

3.5 加強(qiáng)網(wǎng)絡(luò)信息安全保護(hù)意識

為了有效應(yīng)對網(wǎng)絡(luò)信息安全所面臨的挑戰(zhàn)，應(yīng)該根據(jù)不同的攻擊類型，采取有針對性的、高效的預(yù)防措施，從而確保網(wǎng)絡(luò)信息安全。此外，為了有效抵御網(wǎng)絡(luò)嗅探攻擊，可以采取網(wǎng)絡(luò)分段和一次性口令技術(shù)，以達(dá)到最佳的防護(hù)效果[7]。在日常生活中，用戶應(yīng)該加強(qiáng)對網(wǎng)絡(luò)信息安全的認(rèn)知，不登錄有可能涉及欺詐的網(wǎng)站，以免發(fā)生不良后果，并最大限度地減少風(fēng)險。

3.6 完善網(wǎng)絡(luò)信息安全管理機(jī)制

首先，建立一個嚴(yán)格的網(wǎng)絡(luò)信息安全保密框架，將保護(hù)用戶的個人隱私作為核心，制定出一套有效的網(wǎng)絡(luò)信息保護(hù)標(biāo)準(zhǔn)，并采取有效的技術(shù)手段來實(shí)現(xiàn)，同時，加強(qiáng)對網(wǎng)絡(luò)違法行為的懲戒，確保網(wǎng)絡(luò)信息的安全性。其次，建立一個長期有效的網(wǎng)絡(luò)信息安全保障機(jī)制，將網(wǎng)絡(luò)信息的安全性作為一個長期的目標(biāo)，確保其得到有效的保護(hù)。最后為了確保網(wǎng)絡(luò)系統(tǒng)的安全性，必須建立一個完善的信息安全保障體系，包括邊界防御、安全響應(yīng)、安全策略和破壞報(bào)警機(jī)制，以確保網(wǎng)絡(luò)的安全性[8]。這樣，才能有效地保護(hù)我們的網(wǎng)絡(luò)。

3.7 建設(shè)創(chuàng)新型的安全“數(shù)字人”

3.7.1 企業(yè)安全痛點(diǎn)分析

（1）業(yè)務(wù)范圍廣泛：涉及多個業(yè)務(wù)領(lǐng)域，不同業(yè)務(wù)需制定相應(yīng)安全策略。

（2）多地分布：業(yè)務(wù)分布在不同的地理位置，需要通過網(wǎng)絡(luò)進(jìn)行協(xié)同管理。要求網(wǎng)絡(luò)安全必須具備可管理性、可控性和可追溯性等特點(diǎn)。

（3）安全人才不足：一線安全團(tuán)隊(duì)面臨的最大痛點(diǎn)是行業(yè)普遍存在的安全人才缺口大、成本高、先進(jìn)技術(shù)迭代快速，技術(shù)人員認(rèn)知跟不上等現(xiàn)實(shí)問題。另外，安全治理工作繁重，涉及員工數(shù)量眾多，存在泄密和誤操作的風(fēng)險。

（4）IT系統(tǒng)架構(gòu)復(fù)雜：應(yīng)用系統(tǒng)架構(gòu)比較復(fù)雜，不同系統(tǒng)之間存在復(fù)雜的數(shù)據(jù)交互和集成關(guān)系，業(yè)務(wù)應(yīng)用依賴關(guān)系復(fù)雜，網(wǎng)絡(luò)安全風(fēng)險識別，調(diào)查、防護(hù)和追溯難度大。

（5）安全工具多：現(xiàn)有網(wǎng)絡(luò)安全工具版本眾多，網(wǎng)絡(luò)安全管理和安全運(yùn)維復(fù)雜。

3.7.2 具體舉措

結(jié)合企業(yè)長期數(shù)字化轉(zhuǎn)型的業(yè)務(wù)驅(qū)動，按照國家“三化六防”網(wǎng)絡(luò)安全工作的核心指導(dǎo)思想，以打造全方位、立體化的安全數(shù)字空間為目標(biāo)，緊密聯(lián)系實(shí)際為一線安全團(tuán)隊(duì)建立創(chuàng)新型、體系化、團(tuán)隊(duì)化且可靈活部署的安全數(shù)字人系統(tǒng)，通過安全數(shù)字人來補(bǔ)充和完善網(wǎng)絡(luò)安全的人才、技術(shù)以及流程的不足，充分利用數(shù)字孿生和AI人工智能等先進(jìn)技術(shù)，建設(shè)安全數(shù)字人員工隊(duì)伍，并使之常態(tài)化運(yùn)行，從而降低網(wǎng)絡(luò)安全管理人員和運(yùn)維人員的工作量，提升工作效率，全面實(shí)現(xiàn)“降本增效”的安全治理的工作閉環(huán)。

4 結(jié)束語

企業(yè)數(shù)字化轉(zhuǎn)型需要依靠網(wǎng)絡(luò)、數(shù)據(jù)和信息安全來支撐。在這個過程中，我們面臨諸多挑戰(zhàn)，為解決這些實(shí)際問題，需要不斷改進(jìn)企業(yè)信息安全治理的結(jié)構(gòu)、機(jī)制和模式，并采取一系列優(yōu)化措施來提高信息安全水平，為現(xiàn)代企業(yè)數(shù)字化轉(zhuǎn)型構(gòu)建完善的信息管理體系，從而為企業(yè)關(guān)鍵信息和數(shù)據(jù)資源提供強(qiáng)有力的安全保障?！?/p>