小怪獸

2022-08-18

數(shù)據(jù)作為一種新型生產(chǎn)要素，已成為數(shù)字經(jīng)濟(jì)時代的核心戰(zhàn)略資源和企業(yè)的重要資產(chǎn)。當(dāng)前以勒索軟件為代表的數(shù)據(jù)安全事件在企業(yè)中頻繁發(fā)生。對企業(yè)數(shù)據(jù)安全應(yīng)急能力提出了挑戰(zhàn)。新形勢下，企業(yè)，尤其是工業(yè)和信息化領(lǐng)域的企業(yè)，在數(shù)據(jù)的高效利用方面，還存在哪些挑戰(zhàn)？如何保護(hù)企業(yè)自身的技術(shù)秘密？可以從哪些方面提升安全防護(hù)能力？



7月21日，國家工業(yè)信息安全發(fā)展研究中心保障技術(shù)所所長李俊、聯(lián)通數(shù)字科技有限公司數(shù)字企業(yè)解決方案專家李宏發(fā)、聯(lián)通數(shù)字科技有限公司高級咨詢顧問李祺巖、聯(lián)通數(shù)字科技有限公司數(shù)據(jù)智能事業(yè)部技術(shù)總監(jiān)張松峰等，在國聯(lián)股份高級副總裁張健的主持下，從政策解讀、案例分析、解決方案等不同維度，分享了自己的思考和見解。


1政策詳解

首先，李俊所長對《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法（試行）》（以下簡稱《管理辦法》）進(jìn)行了全面介紹，并詳細(xì)解讀了重要條款。

他介紹到，《管理辦法》共八章四十一條，通過明確監(jiān)管范圍、監(jiān)管機(jī)構(gòu)、分級分類、重要數(shù)據(jù)備案管理、數(shù)據(jù)全生命周期安全管理、監(jiān)測預(yù)警與應(yīng)急管理、檢測評估與認(rèn)證管理、監(jiān)督檢查等重點(diǎn)內(nèi)容，構(gòu)建形成工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理框架。

其中，數(shù)據(jù)分級分類管理部分提出數(shù)據(jù)分級分類方法、重要數(shù)據(jù)備案管理要求；數(shù)據(jù)全生命周期安全管理部分明確了數(shù)據(jù)實(shí)際、存儲等環(huán)節(jié)管理要求；數(shù)據(jù)安全監(jiān)測預(yù)警與應(yīng)急管理部分提出監(jiān)測預(yù)警機(jī)制、信息上報和共享機(jī)制等；數(shù)據(jù)安全檢測、認(rèn)證、評估管理部分提出安全檢測與認(rèn)證、安全評估等。



upfile


2企業(yè)在數(shù)據(jù)利用方面還存在3大挑戰(zhàn)

在圓桌思辨環(huán)節(jié)，張松峰表示，數(shù)據(jù)作為一種新型生產(chǎn)要素，在企業(yè)數(shù)字化轉(zhuǎn)型過程中起著非常重要的作用。但部分企業(yè)在數(shù)據(jù)利用方面還存在著一些障礙和挑戰(zhàn)，主要表現(xiàn)為三個方面：

一是原始數(shù)據(jù)質(zhì)量不高。數(shù)據(jù)要素要想高效流通，數(shù)據(jù)源頭一定要準(zhǔn)確，否則會直接影響到后續(xù)數(shù)據(jù)的使用效果。

二是數(shù)據(jù)家底摸不清。明確數(shù)據(jù)資源分布，理清數(shù)據(jù)資源來源，是開展數(shù)據(jù)要素利用的基礎(chǔ)。沒有系統(tǒng)性、整體性、體系化的數(shù)據(jù)資產(chǎn)盤點(diǎn)，連有多少系統(tǒng)、每個系統(tǒng)有哪些數(shù)據(jù)都不清楚，想談?wù)摂?shù)據(jù)資產(chǎn)和數(shù)據(jù)要素利用，無異于盲人摸象。

三是數(shù)據(jù)共享流通比較困難。目前由于缺乏統(tǒng)一的數(shù)據(jù)標(biāo)準(zhǔn)和數(shù)據(jù)治理體系，導(dǎo)致數(shù)據(jù)共享和流通比較困難。根據(jù)2021年的一份企業(yè)數(shù)據(jù)治理報告，雖然多數(shù)企業(yè)有數(shù)據(jù)治理意識，但是有數(shù)據(jù)治理部門的比例小于25%。“這也反映了一點(diǎn)企業(yè)內(nèi)部數(shù)據(jù)管理混亂的問題。”

他認(rèn)為，雖然工業(yè)和信息化部、全國信息化標(biāo)準(zhǔn)委員會近幾年相繼頒發(fā)了一些數(shù)據(jù)領(lǐng)域的標(biāo)準(zhǔn)，但整體來看，有些企業(yè)對這些標(biāo)準(zhǔn)還是比較謹(jǐn)慎，害怕泄露自己的數(shù)據(jù)家底，這也在一定程度上限制了數(shù)據(jù)要素的流通。

李祺巖則從組織管理和流程治理的角度，對企業(yè)的數(shù)據(jù)利用提出了建議。他表示，聯(lián)通內(nèi)部會將標(biāo)準(zhǔn)數(shù)據(jù)的一些定義環(huán)節(jié)，問責(zé)到具體處室。由處室對數(shù)據(jù)的質(zhì)量、數(shù)據(jù)資產(chǎn)、數(shù)據(jù)的應(yīng)用、成效等進(jìn)行評估。本著誰使用誰評價的原則，進(jìn)行數(shù)據(jù)的全生命周期管理。每一個環(huán)節(jié)，都有相應(yīng)的主責(zé)組織牽頭相應(yīng)工作。這是聯(lián)通將數(shù)據(jù)由資源轉(zhuǎn)變?yōu)橘Y產(chǎn)的前提條件。

他認(rèn)為，當(dāng)企業(yè)原有的組織結(jié)構(gòu)，難以滿足新的生產(chǎn)力、數(shù)據(jù)、技術(shù)要素的配置和需求的時候，就必須以組織變革、流程再造為重點(diǎn)，進(jìn)一步梳理體制機(jī)制的建設(shè)，使生產(chǎn)關(guān)系更加適應(yīng)于企業(yè)生產(chǎn)力的發(fā)展。


3“三防”保護(hù)企業(yè)技術(shù)秘密

對許多企業(yè)來說，工藝數(shù)據(jù)、配方數(shù)據(jù)、知識專利等技術(shù)秘密，很可能是生存的立身之本。數(shù)據(jù)的安全和防護(hù)是數(shù)據(jù)利用的基礎(chǔ)。那么，企業(yè)要如何保護(hù)自己的重要和核心數(shù)據(jù)呢？

李宏發(fā)提出了“人防”、“物防”、“技防”三大措施。

“人防”，指的是通過管理制度，包括值班制度、安保制度、關(guān)鍵敏感數(shù)據(jù)的分級分類管理、數(shù)據(jù)接觸人員的安全記錄、操作規(guī)程培訓(xùn)等，將個人的利益或職業(yè)生涯規(guī)劃與企業(yè)的數(shù)據(jù)安全掛鉤，減少企業(yè)內(nèi)部主動的、人為的數(shù)據(jù)泄露事件。

“物防”，指的是物理安全的防護(hù)，防止非授權(quán)人員接觸到相關(guān)數(shù)據(jù)的實(shí)體設(shè)施，包括門禁、圍欄等。

“技防”，指的是通過數(shù)字技術(shù)提高數(shù)據(jù)安全防護(hù)的手段。比如數(shù)據(jù)加密、身份認(rèn)證、安全評估、審計追蹤、入侵監(jiān)測等。

他介紹，現(xiàn)在還有幾個有趣的趨勢。一個是“桌面云化”，或者說“零數(shù)據(jù)終端”，所有敏感數(shù)據(jù)都集中在云資源池里，終端通過授權(quán)登錄之后才能查看、操作，關(guān)機(jī)后，本地硬盤相關(guān)數(shù)據(jù)自動清零，usb、打印機(jī)等外設(shè)的使用也被管控、限制。

另一個是工藝數(shù)據(jù)的分布式存儲。比如有一個企業(yè)，流水線工藝流程分了四個工位，每個工位對應(yīng)一個電子看板。4個工位的人員都確認(rèn)到位了，電子看板上就會下發(fā)對應(yīng)工位的作業(yè)指導(dǎo)書和三維演示，但如果有人離開了工位，4個電子看板都會暫停，以防止工藝流程的整體泄密。


4四方面提升數(shù)據(jù)安全防護(hù)能力

李俊則認(rèn)為，企業(yè)要做好數(shù)據(jù)安全工作，應(yīng)該從四個方面來開展。

一是做好分類分級，識別數(shù)據(jù)保護(hù)重點(diǎn)。

二是加強(qiáng)數(shù)據(jù)全生命周期的安全防護(hù)。

三是要同步推進(jìn)監(jiān)管驅(qū)動和行業(yè)自律的數(shù)據(jù)安全評估，常態(tài)化開展自查自糾，固本強(qiáng)基。

四是要完善數(shù)據(jù)的安全監(jiān)測預(yù)警和應(yīng)急處置機(jī)制。做到預(yù)防為主，平戰(zhàn)結(jié)合。