本報記者 樊三彩
6月25日,《中華人民共和國數據安全法》(下稱(chēng)《數據安全法》)全文公布。該法所稱(chēng)數據,是指任何以電子或者其他方式對信息的記錄,并對“數據安全”做出如下定義——是指通過(guò)采取必要措施,確保數據處于有效保護和合法利用的狀態(tài),以及具備保障持續安全狀態(tài)的能力。
那么,冶金企業(yè)面臨哪些數據安全問(wèn)題?我們應采取何種方法來(lái)規避風(fēng)險?針對這些問(wèn)題,7月10日,《中國冶金報》記者采訪(fǎng)了北京首鋼自動(dòng)化信息技術(shù)有限公司網(wǎng)絡(luò )安全中心經(jīng)理丁建林,圍繞《數據安全法》和冶金企業(yè)數據安全有關(guān)內容進(jìn)行了交流。
冶金企業(yè)面臨哪些數據安全問(wèn)題?
業(yè)內專(zhuān)家認為,冶金企業(yè)也面臨數據安全的問(wèn)題,主要是工藝參數、需求、營(yíng)銷(xiāo)、價(jià)格等數據。
丁建林表示,現在我國網(wǎng)絡(luò )安全保護已經(jīng)從等保(網(wǎng)絡(luò )安全等級保護制度)1.0邁向等保2.0階段。隨著(zhù)兩化融合、工業(yè)互聯(lián)網(wǎng)的推進(jìn),冶金行業(yè)面臨著(zhù)更嚴峻的數據處理挑戰,比如數據源更多樣,傳輸通道更多,數據類(lèi)型更豐富(結構化、半結構化、非結構化),數據量也更大?!盀榱藨獙@種情況,很多冶金企業(yè)都構建了數據中臺和業(yè)務(wù)中臺,將生產(chǎn)、經(jīng)營(yíng)、管理、供應商數據等通過(guò)這個(gè)平臺進(jìn)行采集、建模、分析等,從而發(fā)掘數據價(jià)值,實(shí)現幫助決策、提質(zhì)增效等目標?!彼f(shuō)。
與此同時(shí),隨著(zhù)互聯(lián)網(wǎng)技術(shù)的發(fā)展,企業(yè)IT(互聯(lián)網(wǎng)技術(shù))與OT(操作技術(shù))的網(wǎng)絡(luò )安全邊界也越來(lái)越模糊,加之數據量的增大,冶金企業(yè)面臨的安全風(fēng)險越來(lái)越大,比如來(lái)自互聯(lián)網(wǎng)上的黑客等外來(lái)的惡意攻擊比較多,時(shí)刻考驗著(zhù)系統的防御能力?!叭绻行┫到y防護能力不足,存在容易被利用的高危漏洞,就很容易被入侵?!倍〗纸又?zhù)舉例道,比如,有些攻擊者如果出于政治目的,可能會(huì )篡改頁(yè)面、發(fā)動(dòng)反動(dòng)言論;出于經(jīng)濟利益目的,可能就會(huì )竊取數據,造成企業(yè)數據泄露、商業(yè)秘密泄露等。丁建林表示,以企業(yè)人力資源系統為例,如果發(fā)生數據安全問(wèn)題,那么企業(yè)職工的家庭住址、身份證號、手機信息等將被泄露,后果不堪設想。
“當然,除了來(lái)自互聯(lián)網(wǎng)的攻擊,企業(yè)內網(wǎng)本身也面臨操作不當、越權訪(fǎng)問(wèn)、惡意攻擊等帶來(lái)的數據安全風(fēng)險,同樣不容忽視?!倍〗盅a充道。
如何做好數據安全管理?
《數據安全法》提出,數據處理,包括數據的收集、存儲、使用、加工、傳輸、提供、公開(kāi)等。丁建林認為,這涵蓋了數據的全生命周期,企業(yè)要防止數據安全問(wèn)題的發(fā)生,就必須加強數據安全治理,做好數據的全生命周期安全管理。
數據目前已經(jīng)被列為第五類(lèi)生產(chǎn)要素,加之《數據安全法》的推出,數據安全的重要性已經(jīng)愈加凸顯?!稊祿踩ā诽岢?,要建立健全全流程數據安全管理制度。丁建林表示:“全生命周期管理,實(shí)際上就是數據安全保護工作的最佳實(shí)踐和方法論。企業(yè)在哪一環(huán)節出問(wèn)題,都可能導致數據安全風(fēng)險,每一環(huán)節都需要技術(shù)的支撐?!?/span>
丁建林透露,目前,首鋼集團正在制訂“十四五”規劃,將依據業(yè)內數據安全標準規范加強數據安全治理。重點(diǎn)聚焦安全組織、技術(shù)平臺和安全管理。第一是為保障數據安全治理有效開(kāi)展,將在集團網(wǎng)信委領(lǐng)導下,加強架構與智能、部門(mén)與角色、業(yè)務(wù)與權責、人員與能力、協(xié)作與監督等方面能力。第二,數據的分類(lèi)分級非常重要,這是一項基礎性工作,但實(shí)施挑戰巨大,因為需要協(xié)調投入的人力、物力比較多,需要上述組織架構充分發(fā)揮作用。第三是數據存儲方面,對企業(yè)核心數據將通過(guò)國產(chǎn)密碼算法進(jìn)行加密?!皩祿M(jìn)行加密傳輸和加密存儲,即使數據被竊取,也解不開(kāi)核心數據?!彼e例道。第四是加強數據的合規審計。第四是做好數據備份和容災?!巴艘蝗f(wàn)步講,萬(wàn)一出事,不能影響生產(chǎn)經(jīng)營(yíng)?!彼忉尩?。第五是強化對數據開(kāi)放共享過(guò)程中的安全風(fēng)險管控。
在人才方面,數據領(lǐng)域的人才一直存在供不應求的問(wèn)題。丁建林告訴《中國冶金報》記者,“市場(chǎng)缺口很大,尤其是高水平的安全人員”。要解決這一問(wèn)題,他認為,一是加強企業(yè)內部培訓和教育,提高從業(yè)人員安全能力;二是企業(yè)跟院校等其他社會(huì )組織聯(lián)合進(jìn)行人才培養,充分利用好國家對安全產(chǎn)業(yè)、人才的好政策。
丁建林表示,長(cháng)期以來(lái),首鋼集團都非常重視數據安全保護,目前數據安全治理體系已初見(jiàn)成效,隨著(zhù)《數據安全法》的出臺,國家監管力度加強和數字化轉型的迫切需要,企業(yè)數據已成為核心資產(chǎn),數據價(jià)值釋放和數據安全保護為一體之兩翼、驅動(dòng)之雙輪?!啊稊祿踩ā穼Ξa(chǎn)業(yè)、企業(yè)是機遇、也是挑戰,數據安全關(guān)乎企業(yè)生產(chǎn)經(jīng)營(yíng)甚至生死存亡,也關(guān)系到國家安全,所以我們必須重視?!彼f(shuō)。
《中國冶金報》(2021年7月13日 04版四版)
