8 专精特新企业融资实践 路径与安全策略报告 （2025） 清华大学五道口金融学院金融安全研究中心 2025年8月 8 课题组简介 编撰单位： 清华大学五道口金融学院金融安全研究中心 组长： 周道许 清华大学五道口金融学院金融安全研究中心主任 课题组参与人员： 清华大学五道口金融学院金融安全研究中心： 周 京 黄旌沛 丁浩洋 沈乐阳 8 目 录 第一章 导论 ：专精特新企业的战略价值与融资困局 基石之路：内源融资与价值叙事能力建设 5.2 债权融资路径：从传统信贷到创新工具的组合拳 5.3 股权融资路径：拥抱“耐心资本”实现价值跃迁 5.4 资本市场路径：迈向公众公司的阶梯 8 第六章 专精特新企业融资安全策略 6.1 融资安全的双重内涵：企业生存与国家战略 6.2 企业视角：构建稳健的融资安全防线 6.3 金融机构视角：创新驱动的风险管理新范式 6.4 政策与生态视角：营造安全可持续的融资环境 规模和盈利能力的专精特新“领头羊”企业。 21 第六章 专精特新企业融资安全策略 融资是企业发展的加速器，但也是一柄双刃剑。缺乏安全意识的融资行为， 可能导致企业丧失控制权、陷入债务泥潭，甚至动摇生存根基。本章从企业、金 融机构和宏观生态三个维度，构建一套旨在保障融资活动健康、可持续的系统性 安全策略。 6.1 融资安全的双重内涵：企业生存与国家战略 融资安全对于专精特新企业来

能够安全高效有序的运 转这些系统，更需要配合一套完整的网络安全管理制度。  建立网络安全管理制度，明确网络安全管理的职责  完善网络安全设置各方面的技术文档，按照技术文档进行设定安全策略以 18 及安全方案。在涉及网络安全的变更管理、事件管理、配置管理中都必须 有文档记录  确定网络安全管理的具体责任人。  加强培训，提高人们的网络安全意识和防范意识。  实现权限最小原 则，不允许其进行非授权以外的操作。 1.2.7 信息安全保护系统 满足信息系统安全等级三级要求的连接云计算平台的信息安全保护系统。  第三级安全保护能力要求 能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资 源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁 所造成的主要资源损害，能够发现安全漏洞和安全事件，在系统遭到损害后，能够 应为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具 有唯一性。 f) 应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。 2) 访问控制（S3） 本项要求包括： a) 应启用访问控制功能，依据安全策略控制用户对资源的访问； 31 b) 应根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理 用户所需的最小权限； c) 应实现操作系统和数据库系统特权用户的权限分离； d)

安全计算环境 ：对定级系统的信息进行存储、 处理及实施安全策略的相关部件。 n 安全区域边界 ：对定级系统的安全计算环境边界 ， 以及安全计算环境与安全通信网络之间实现连接并 实施安全策略的相关部件。 n 安全通信网络 ：对定级系统安全计算环境之间进行信息传输及实施安全策略的相关部件。 n 安全管理中心 ：对定级系统的安全策略及安全计算环境、 安全区域边界和安全通信网络上的安全机制 定级系统互联 ：通过安全互联部件和跨定级系统安全管理中心实现的相同或不同等级的定级系统安全 保护环境之间的安全连接。 n 跨定级系统安全管理中心 ：对相同或不同等级的定级系统之间互联的安全策略及安全互联部件上的安 全机制实施统一管理的平台。 1.2 防护框 架 u 建设“一个中心”管理中下的 “三重防护” 体系 ，分别对计算环境、 区域边界、 通信网 络 的级别（标记） ， 以此 来制定访问控制安全策略 ， 由操作系统、 安 全网关等机制自动执行 ，从而支撑应用安 全。 计算环境 区域边界 通信网络 安全管理中心 1.2 防护框 架 u 不同定级系统之间的信息交互需要经过多级互联平台的仲裁； u 多级互联平台在信息交互过程中 ，从更高层次实现了基于安全策略的全局判断； u 多级互联平台防止定级系统敏感信息外泄、

可信验证 恶意代码和垃圾邮件防范 身份鉴别 访问控制 安全审计 入侵防范 恶意代码防范 可信验证 数据完整性 数据保密性 数据备份恢复 剩余信息保护 技术要求 个人信息保护 安全管理制度 安全策略 管理制度 制定和发布 评审和修订 安全管理机构 岗位设置 人员配备 授权和审批 沟通和合作 审查和检查 安全管理人员 人员录用 人员离岗 安全意识教育和培训 外部人员访问管理 安全建设管理 信验证 网络架构 通信传输 可信验证 三级 技术要求 安全区域边界 1 、边界防护  端口级访问控制：网络边界处部署访问控制设备，指定端口进行跨越边界 的网络通信，该端口配置并启用了安全策略 ;  控制非法联入内网、非法联入外网：  无线和有线的边界应该有边界防护设备防护。 添加标题 添加标题 2 、访问控制  启用边界访问控制策略（网闸、防火墙、路由器和交换机等提供访问控 根据安全审计策略对审计记录进行存储、管理和查询等。 三级 技术要求 安全管理中心  3 、安全管理  应保证安全管理员通过管理工具或平台进行安全管理操作，并对这些操作进 行审计；  应通过安全管理员对系统中的安全策略进行配置，包括安全参数的设置，主 体、客体进行统一安全标记，对主体进行授权，配置可信验证策略等。  。 添加标题 添加标题  配备集中系统和设备管理功能的工具或平台，系统或平台需要有三权分立；

6）可管理性——对网络实行集中监测、分权管理，并统一分配带宽资源。选用先进 的网络管理平台，具有对设备、端口等的管理、流量统计分析功能以及可提供故障自动 报警。 7）安全性——制订统一的骨干网安全策略，整体考虑网络平台的安全性。 8）保护现有投资——在保证网络整体性能的前提下，充分利用现有的网络设备或做 必要的升级，用作骨干网外联的接入设备。 19 建设方案建议书 20 建设方案建议书 而不是可以访问任意整个网络。支持内网访问和外网访问进行逻辑隔离的功能。 8、入侵检测无为而治。IDS 对网络中的应用数据进行安全检测，当发现异常数据 （如多次尝试数据库帐号等），将告警信息直接转化为安全策略，下发至该用户的接入 交换机，对该用户进行安全控制。 9、数据库审计控制。真正做到事前威慑、事中监管、事后定责的效果。 39 建设方案建议书 5.等级保护建设技术体系设计 5.1 物理安全设计 应用系统如具备上述功能则需要开启使用，若不具备则需进行相应的功能开发，且 使用效果要达到以上要求。 5.2.2 访问控制 三级系统一个重要要求是实现自主访问控制和强制访问控制。自主访问控制实现： 在安全策略控制范围内，使用户对自己创建的客体具有各种访问操作权限，并能将这些 权限的部分或全部授予其他用户；自主访问控制主体的粒度应为用户级，客体的粒度应 为文件或数据库表级；自主访问操作应包括对客体的创建、读、写、修改和删除等。

主机安全加固 入侵防范 WEB 应用防护 安全审计 业 务 & 租 户 安 全 安全策略 编排 门户服务 集中管控 职责划分 于操作监控 综合审计 管理安全 集中管控 态势感知 管理网络隑离 等保 2.0 云安全体系 集约共享 开放接口 等保 2.0 通用方案设计思路 M9000/F5000/ACG10 00 VTEP 代理节点 园区控制器： Campus Director • 网络自劢化部署； • 安全服务链业务编排不自劢部署 • 安全策略统一管理 安全管理中心： SecCenter A2000 • 安全数据采集 • 应用风险可视 • 用户行为审计 • 安全事件响应 园区出口安全防护： NGFW （ 终端管理模块 IPv6 网管 MIB 节点信息 接入控制信息 IPv6 扩展 IPSec 安全联合通信 防火墙 NAT66 或 DDI 的 DDNS 发布 态势感知模块 地址分布信 息 安全策略管理 4 5 地址黑名单 可信验证 入侵防范 等 保 2.0 安全通 信网络 安全区 域边界 安全计 算环境 安全管 理中心 网络架构 边界防护 通信传输 访问控制 可信验证

抗抵赖 软件容错 资源控制 数据安全及 备份恢复 数据完整性 数据保密性 备份和恢复 等保 1.0 原控制点 等保 2.0 新控制点 安全管理制 度 管理制度 安全管理制度 安全策略 制定和发布 管理制度 评审和修订 制定和发布 评审和修订 系统运维管 理 环境管理 安全运维管理 环境管理 资产管理 资产管理 介质管理 介质管理 设备管理 设备维护管理 监控管理和安全管理中 区域划分、安全产品 集成、带宽控制、设 备冗余 防火墙、流控、设备 冗余 通信传输 SSL VPN IPSEC VPN 可信验证 可信计算（可） 安全区域边界 边界防护 安全区域划分、安全 产品集成、安全策略 配置 防火墙、非法内外联 （三级增加）、无线 安 全 网 关 （ 三 级 增 加） 访问控制 防火墙、WAF（三级 增加）、数据库防火 墙 入侵防范 IDS 、 APT （ 三 级 增 加）、DPI（三级增 落实安全技术相关控制要求，实现物理、网络、主机、应用和数据的所有安 全控制项，通常采用安全产品加以实现，辅助安全技术以增强安全控制能力。 (四)安全服务体系： 1、安全策略： 指导信息系统核心业务信息系统安全设计、建设和维护管理工作的基本依 据，所有相关人员应根据工作实际情况履行相关安全策略，制定并遵守相应的安 全标准、流程和安全制度实施细则，做好安全标准体系相关工作。 2、安全管理： 落实安全管理机构、人员、建设、运维安全管理等相关要求，指导

和意图，无法实现有效的威胁溯源和精准防御。 4）缺乏主动性和适应性 传统 SOC 以被动响应为主，难以主动发现潜藏的威胁。安全策略和检测规则通常是静态配置的，更新滞后， 无法根据威胁态势的变化进行动态调整，缺乏对新型攻击手法的适应性。 5）与业务脱节，价值难以衡量 传统 SOC 往往独立于业务部门运作，安全策略与业务需求可能存在冲突。安全运营的效果难以量化评估， 安全部门常被视为成本中心，其对业务的价值贡献难 化学习等技术，自动调整实时策略以应对不断变化的威胁；实现优化的资源分配，根据风险等级、影响范围和 成功可能性，智能地优先处理安全事件和分配运营资源；达成自适应安全，系统能够根据风险评估结果动态调 整安全策略和控制措施；以及实现持续学习与进化，ISOC 能够不断从新的数据和反馈中学习，优化 AI 模型、 24 第三章 ISOC 的关键技术 策略和流程，保持对新兴威胁的防御能力。 3.2 ISOC 用包括：  威胁检测与分析：知识图谱能够通过实时关联不同来源和类型的数据，发现数据之间的隐藏关系，构 建完整的攻击链路。  安全基线检查：知识图谱能够关联各种安全管理要素，例如资产、漏洞、威胁和安全策略，可以评估 29 第三章 ISOC 的关键技术 安全配置的有效性和完整性  威胁情报分析：构建威胁情报知识图谱，将攻击者、攻击手段、恶意软件、漏洞等信息关联起来，帮 助安全分析师更好地掌握威胁情报。例如将某个恶意

视频共享平台、多维数据融合应用平台 事后：修复、评估、改进 事前：审计、评估、定制安全策略， 获取安全基线 事中：持续监控入侵事件，实时漏洞 扫描 AI 全算力云管理软件、人脸智能分析算法软件及授 权 出入口设备、车辆智能管理中心设备 现状基础： 目前校区安防主要依靠校园保卫处人员 地下管网一张图、物联网检测预警模块、 管网养护 管理系统 全移动管 网办公系 统 基于 CIM 的一图三 模块 网格化工 单管理系 统 事后：修复、评估、改进 事前：审计、评估、定制安全策略， 获取安全基线 事中：持续监控入侵事件，实时漏洞 扫描 供水官网检测模块、排水管网检测模块 实现路径 现状基础： 目前新校区管道处于铺设完成初期 ，并附有 BIM 模型 ，虽主管 道 由被动管理变主动管理， 降 低问 题发生的同时产生间接经济效益。 智能化基础设施平面示意 应用场 景 井盖监管系统 智能浇灌 系统 事后：修复、评估、改进 事前：审计、评估、定制安全策略， 获取安全基线 事中：持续监控入侵事件，实时漏洞 扫描 智能浇灌 现状基础： 目前校园植 被 主要依靠人工浇灌 ，有部分自动喷淋装置 ， 但无智能终端控制。绿化园林建设资金消耗较大

非常容易仿冒， 因此需要能够对终 端行 为进行持续监控，一旦发现终端异常，需要能够及时告警和处置。 终端入网注册一方面是为了便于对终端进行实名化管理， 另一方面， 也为终端资产信息 的收集和管理以及终端安全策略的执行提供了基础，通过加载设备证书的方式，进一步提 升 终端设备的可信能力。 终端入网流程如下： 1.终端向终端管理平台上报终端使用者信息和终端资产信息，由终端管理平台确认终 端 的合法性， XX 内部 U 盘和 XX 外部 U 盘区别管理。终端管理平 台 提供 U 盘注册功能，注册后的 U 盘将作为 XX 内部 U 盘，进行管理。对于注册 U 盘和非注 册 U 盘，能够定义不同的安全策略， 实现精细化管理。 2.1.3.3 终端安全基线 9 根据《信息安全技术信息系统安全等级保护基本要求》(GB/T22239-2008) 、《XX 信 息网计算机操作系统安全配置基本要求》GA/T 身份鉴别、安全审计、访问控制、资源控制、入侵防护 5 个部分。 终端安全检查是计算机终端入网的凭证，不安全的终端接入网络，将可能给网络带来 无 法估量的损失，例如病毒恶意传播，木马泛滥导致机密泄露，不安全策略配置导致对黑 客入 侵缺乏抵抗能力等。终端安全控制系统针对以上问题， 从终端安全加固做起，对终端 可能存 在的风险进行评估，并根据评估结果对终端存在的风险进行修复和加固。常见的加 固手段如 下：