本報記者 樊三彩
6月25日,《中華人民共和國數(shù)據(jù)安全法》(下稱《數(shù)據(jù)安全法》)全文公布。該法所稱數(shù)據(jù),是指任何以電子或者其他方式對信息的記錄,并對“數(shù)據(jù)安全”做出如下定義——是指通過采取必要措施,確保數(shù)據(jù)處于有效保護和合法利用的狀態(tài),以及具備保障持續(xù)安全狀態(tài)的能力。
那么,冶金企業(yè)面臨哪些數(shù)據(jù)安全問題?我們應采取何種方法來規(guī)避風險?針對這些問題,7月10日,《中國冶金報》記者采訪了北京首鋼自動化信息技術有限公司網(wǎng)絡安全中心經(jīng)理丁建林,圍繞《數(shù)據(jù)安全法》和冶金企業(yè)數(shù)據(jù)安全有關內(nèi)容進行了交流。
冶金企業(yè)面臨哪些數(shù)據(jù)安全問題?
業(yè)內(nèi)專家認為,冶金企業(yè)也面臨數(shù)據(jù)安全的問題,主要是工藝參數(shù)、需求、營銷、價格等數(shù)據(jù)。
丁建林表示,現(xiàn)在我國網(wǎng)絡安全保護已經(jīng)從等保(網(wǎng)絡安全等級保護制度)1.0邁向等保2.0階段。隨著兩化融合、工業(yè)互聯(lián)網(wǎng)的推進,冶金行業(yè)面臨著更嚴峻的數(shù)據(jù)處理挑戰(zhàn),比如數(shù)據(jù)源更多樣,傳輸通道更多,數(shù)據(jù)類型更豐富(結構化、半結構化、非結構化),數(shù)據(jù)量也更大。“為了應對這種情況,很多冶金企業(yè)都構建了數(shù)據(jù)中臺和業(yè)務中臺,將生產(chǎn)、經(jīng)營、管理、供應商數(shù)據(jù)等通過這個平臺進行采集、建模、分析等,從而發(fā)掘數(shù)據(jù)價值,實現(xiàn)幫助決策、提質(zhì)增效等目標?!彼f。
與此同時,隨著互聯(lián)網(wǎng)技術的發(fā)展,企業(yè)IT(互聯(lián)網(wǎng)技術)與OT(操作技術)的網(wǎng)絡安全邊界也越來越模糊,加之數(shù)據(jù)量的增大,冶金企業(yè)面臨的安全風險越來越大,比如來自互聯(lián)網(wǎng)上的黑客等外來的惡意攻擊比較多,時刻考驗著系統(tǒng)的防御能力?!叭绻行┫到y(tǒng)防護能力不足,存在容易被利用的高危漏洞,就很容易被入侵?!倍〗纸又e例道,比如,有些攻擊者如果出于政治目的,可能會篡改頁面、發(fā)動反動言論;出于經(jīng)濟利益目的,可能就會竊取數(shù)據(jù),造成企業(yè)數(shù)據(jù)泄露、商業(yè)秘密泄露等。丁建林表示,以企業(yè)人力資源系統(tǒng)為例,如果發(fā)生數(shù)據(jù)安全問題,那么企業(yè)職工的家庭住址、身份證號、手機信息等將被泄露,后果不堪設想。
“當然,除了來自互聯(lián)網(wǎng)的攻擊,企業(yè)內(nèi)網(wǎng)本身也面臨操作不當、越權訪問、惡意攻擊等帶來的數(shù)據(jù)安全風險,同樣不容忽視?!倍〗盅a充道。
如何做好數(shù)據(jù)安全管理?
《數(shù)據(jù)安全法》提出,數(shù)據(jù)處理,包括數(shù)據(jù)的收集、存儲、使用、加工、傳輸、提供、公開等。丁建林認為,這涵蓋了數(shù)據(jù)的全生命周期,企業(yè)要防止數(shù)據(jù)安全問題的發(fā)生,就必須加強數(shù)據(jù)安全治理,做好數(shù)據(jù)的全生命周期安全管理。
數(shù)據(jù)目前已經(jīng)被列為第五類生產(chǎn)要素,加之《數(shù)據(jù)安全法》的推出,數(shù)據(jù)安全的重要性已經(jīng)愈加凸顯?!稊?shù)據(jù)安全法》提出,要建立健全全流程數(shù)據(jù)安全管理制度。丁建林表示:“全生命周期管理,實際上就是數(shù)據(jù)安全保護工作的最佳實踐和方法論。企業(yè)在哪一環(huán)節(jié)出問題,都可能導致數(shù)據(jù)安全風險,每一環(huán)節(jié)都需要技術的支撐。”
丁建林透露,目前,首鋼集團正在制訂“十四五”規(guī)劃,將依據(jù)業(yè)內(nèi)數(shù)據(jù)安全標準規(guī)范加強數(shù)據(jù)安全治理。重點聚焦安全組織、技術平臺和安全管理。第一是為保障數(shù)據(jù)安全治理有效開展,將在集團網(wǎng)信委領導下,加強架構與智能、部門與角色、業(yè)務與權責、人員與能力、協(xié)作與監(jiān)督等方面能力。第二,數(shù)據(jù)的分類分級非常重要,這是一項基礎性工作,但實施挑戰(zhàn)巨大,因為需要協(xié)調(diào)投入的人力、物力比較多,需要上述組織架構充分發(fā)揮作用。第三是數(shù)據(jù)存儲方面,對企業(yè)核心數(shù)據(jù)將通過國產(chǎn)密碼算法進行加密?!皩?shù)據(jù)進行加密傳輸和加密存儲,即使數(shù)據(jù)被竊取,也解不開核心數(shù)據(jù)。”他舉例道。第四是加強數(shù)據(jù)的合規(guī)審計。第四是做好數(shù)據(jù)備份和容災?!巴艘蝗f步講,萬一出事,不能影響生產(chǎn)經(jīng)營?!彼忉尩?。第五是強化對數(shù)據(jù)開放共享過程中的安全風險管控。
在人才方面,數(shù)據(jù)領域的人才一直存在供不應求的問題。丁建林告訴《中國冶金報》記者,“市場缺口很大,尤其是高水平的安全人員”。要解決這一問題,他認為,一是加強企業(yè)內(nèi)部培訓和教育,提高從業(yè)人員安全能力;二是企業(yè)跟院校等其他社會組織聯(lián)合進行人才培養(yǎng),充分利用好國家對安全產(chǎn)業(yè)、人才的好政策。
丁建林表示,長期以來,首鋼集團都非常重視數(shù)據(jù)安全保護,目前數(shù)據(jù)安全治理體系已初見成效,隨著《數(shù)據(jù)安全法》的出臺,國家監(jiān)管力度加強和數(shù)字化轉(zhuǎn)型的迫切需要,企業(yè)數(shù)據(jù)已成為核心資產(chǎn),數(shù)據(jù)價值釋放和數(shù)據(jù)安全保護為一體之兩翼、驅(qū)動之雙輪。“《數(shù)據(jù)安全法》對產(chǎn)業(yè)、企業(yè)是機遇、也是挑戰(zhàn),數(shù)據(jù)安全關乎企業(yè)生產(chǎn)經(jīng)營甚至生死存亡,也關系到國家安全,所以我們必須重視?!彼f。
《中國冶金報》(2021年7月13日 04版四版)
