小怪獸

2022-08-18

數(shù)據(jù)作為一種新型生產要素，已成為數(shù)字經濟時代的核心戰(zhàn)略資源和企業(yè)的重要資產。當前以勒索軟件為代表的數(shù)據(jù)安全事件在企業(yè)中頻繁發(fā)生。對企業(yè)數(shù)據(jù)安全應急能力提出了挑戰(zhàn)。新形勢下，企業(yè)，尤其是工業(yè)和信息化領域的企業(yè)，在數(shù)據(jù)的高效利用方面，還存在哪些挑戰(zhàn)？如何保護企業(yè)自身的技術秘密？可以從哪些方面提升安全防護能力？



7月21日，國家工業(yè)信息安全發(fā)展研究中心保障技術所所長李俊、聯(lián)通數(shù)字科技有限公司數(shù)字企業(yè)解決方案專家李宏發(fā)、聯(lián)通數(shù)字科技有限公司高級咨詢顧問李祺巖、聯(lián)通數(shù)字科技有限公司數(shù)據(jù)智能事業(yè)部技術總監(jiān)張松峰等，在國聯(lián)股份高級副總裁張健的主持下，從政策解讀、案例分析、解決方案等不同維度，分享了自己的思考和見解。


1政策詳解

首先，李俊所長對《工業(yè)和信息化領域數(shù)據(jù)安全管理辦法（試行）》（以下簡稱《管理辦法》）進行了全面介紹，并詳細解讀了重要條款。

他介紹到，《管理辦法》共八章四十一條，通過明確監(jiān)管范圍、監(jiān)管機構、分級分類、重要數(shù)據(jù)備案管理、數(shù)據(jù)全生命周期安全管理、監(jiān)測預警與應急管理、檢測評估與認證管理、監(jiān)督檢查等重點內容，構建形成工業(yè)和信息化領域數(shù)據(jù)安全管理框架。

其中，數(shù)據(jù)分級分類管理部分提出數(shù)據(jù)分級分類方法、重要數(shù)據(jù)備案管理要求；數(shù)據(jù)全生命周期安全管理部分明確了數(shù)據(jù)實際、存儲等環(huán)節(jié)管理要求；數(shù)據(jù)安全監(jiān)測預警與應急管理部分提出監(jiān)測預警機制、信息上報和共享機制等；數(shù)據(jù)安全檢測、認證、評估管理部分提出安全檢測與認證、安全評估等。



upfile


2企業(yè)在數(shù)據(jù)利用方面還存在3大挑戰(zhàn)

在圓桌思辨環(huán)節(jié)，張松峰表示，數(shù)據(jù)作為一種新型生產要素，在企業(yè)數(shù)字化轉型過程中起著非常重要的作用。但部分企業(yè)在數(shù)據(jù)利用方面還存在著一些障礙和挑戰(zhàn)，主要表現(xiàn)為三個方面：

一是原始數(shù)據(jù)質量不高。數(shù)據(jù)要素要想高效流通，數(shù)據(jù)源頭一定要準確，否則會直接影響到后續(xù)數(shù)據(jù)的使用效果。

二是數(shù)據(jù)家底摸不清。明確數(shù)據(jù)資源分布，理清數(shù)據(jù)資源來源，是開展數(shù)據(jù)要素利用的基礎。沒有系統(tǒng)性、整體性、體系化的數(shù)據(jù)資產盤點，連有多少系統(tǒng)、每個系統(tǒng)有哪些數(shù)據(jù)都不清楚，想談論數(shù)據(jù)資產和數(shù)據(jù)要素利用，無異于盲人摸象。

三是數(shù)據(jù)共享流通比較困難。目前由于缺乏統(tǒng)一的數(shù)據(jù)標準和數(shù)據(jù)治理體系，導致數(shù)據(jù)共享和流通比較困難。根據(jù)2021年的一份企業(yè)數(shù)據(jù)治理報告，雖然多數(shù)企業(yè)有數(shù)據(jù)治理意識，但是有數(shù)據(jù)治理部門的比例小于25%。“這也反映了一點企業(yè)內部數(shù)據(jù)管理混亂的問題。”

他認為，雖然工業(yè)和信息化部、全國信息化標準委員會近幾年相繼頒發(fā)了一些數(shù)據(jù)領域的標準，但整體來看，有些企業(yè)對這些標準還是比較謹慎，害怕泄露自己的數(shù)據(jù)家底，這也在一定程度上限制了數(shù)據(jù)要素的流通。

李祺巖則從組織管理和流程治理的角度，對企業(yè)的數(shù)據(jù)利用提出了建議。他表示，聯(lián)通內部會將標準數(shù)據(jù)的一些定義環(huán)節(jié)，問責到具體處室。由處室對數(shù)據(jù)的質量、數(shù)據(jù)資產、數(shù)據(jù)的應用、成效等進行評估。本著誰使用誰評價的原則，進行數(shù)據(jù)的全生命周期管理。每一個環(huán)節(jié)，都有相應的主責組織牽頭相應工作。這是聯(lián)通將數(shù)據(jù)由資源轉變?yōu)橘Y產的前提條件。

他認為，當企業(yè)原有的組織結構，難以滿足新的生產力、數(shù)據(jù)、技術要素的配置和需求的時候，就必須以組織變革、流程再造為重點，進一步梳理體制機制的建設，使生產關系更加適應于企業(yè)生產力的發(fā)展。


3“三防”保護企業(yè)技術秘密

對許多企業(yè)來說，工藝數(shù)據(jù)、配方數(shù)據(jù)、知識專利等技術秘密，很可能是生存的立身之本。數(shù)據(jù)的安全和防護是數(shù)據(jù)利用的基礎。那么，企業(yè)要如何保護自己的重要和核心數(shù)據(jù)呢？

李宏發(fā)提出了“人防”、“物防”、“技防”三大措施。

“人防”，指的是通過管理制度，包括值班制度、安保制度、關鍵敏感數(shù)據(jù)的分級分類管理、數(shù)據(jù)接觸人員的安全記錄、操作規(guī)程培訓等，將個人的利益或職業(yè)生涯規(guī)劃與企業(yè)的數(shù)據(jù)安全掛鉤，減少企業(yè)內部主動的、人為的數(shù)據(jù)泄露事件。

“物防”，指的是物理安全的防護，防止非授權人員接觸到相關數(shù)據(jù)的實體設施，包括門禁、圍欄等。

“技防”，指的是通過數(shù)字技術提高數(shù)據(jù)安全防護的手段。比如數(shù)據(jù)加密、身份認證、安全評估、審計追蹤、入侵監(jiān)測等。

他介紹，現(xiàn)在還有幾個有趣的趨勢。一個是“桌面云化”，或者說“零數(shù)據(jù)終端”，所有敏感數(shù)據(jù)都集中在云資源池里，終端通過授權登錄之后才能查看、操作，關機后，本地硬盤相關數(shù)據(jù)自動清零，usb、打印機等外設的使用也被管控、限制。

另一個是工藝數(shù)據(jù)的分布式存儲。比如有一個企業(yè)，流水線工藝流程分了四個工位，每個工位對應一個電子看板。4個工位的人員都確認到位了，電子看板上就會下發(fā)對應工位的作業(yè)指導書和三維演示，但如果有人離開了工位，4個電子看板都會暫停，以防止工藝流程的整體泄密。


4四方面提升數(shù)據(jù)安全防護能力

李俊則認為，企業(yè)要做好數(shù)據(jù)安全工作，應該從四個方面來開展。

一是做好分類分級，識別數(shù)據(jù)保護重點。

二是加強數(shù)據(jù)全生命周期的安全防護。

三是要同步推進監(jiān)管驅動和行業(yè)自律的數(shù)據(jù)安全評估，常態(tài)化開展自查自糾，固本強基。

四是要完善數(shù)據(jù)的安全監(jiān)測預警和應急處置機制。做到預防為主，平戰(zhàn)結合。