本報(bào)記者 樊三彩
6月25日,《中華人民共和國(guó)數(shù)據(jù)安全法》(下稱《數(shù)據(jù)安全法》)全文公布。該法所稱數(shù)據(jù),是指任何以電子或者其他方式對(duì)信息的記錄,并對(duì)“數(shù)據(jù)安全”做出如下定義——是指通過(guò)采取必要措施,確保數(shù)據(jù)處于有效保護(hù)和合法利用的狀態(tài),以及具備保障持續(xù)安全狀態(tài)的能力。
那么,冶金企業(yè)面臨哪些數(shù)據(jù)安全問(wèn)題?我們應(yīng)采取何種方法來(lái)規(guī)避風(fēng)險(xiǎn)?針對(duì)這些問(wèn)題,7月10日,《中國(guó)冶金報(bào)》記者采訪了北京首鋼自動(dòng)化信息技術(shù)有限公司網(wǎng)絡(luò)安全中心經(jīng)理丁建林,圍繞《數(shù)據(jù)安全法》和冶金企業(yè)數(shù)據(jù)安全有關(guān)內(nèi)容進(jìn)行了交流。
冶金企業(yè)面臨哪些數(shù)據(jù)安全問(wèn)題?
業(yè)內(nèi)專家認(rèn)為,冶金企業(yè)也面臨數(shù)據(jù)安全的問(wèn)題,主要是工藝參數(shù)、需求、營(yíng)銷、價(jià)格等數(shù)據(jù)。
丁建林表示,現(xiàn)在我國(guó)網(wǎng)絡(luò)安全保護(hù)已經(jīng)從等保(網(wǎng)絡(luò)安全等級(jí)保護(hù)制度)1.0邁向等保2.0階段。隨著兩化融合、工業(yè)互聯(lián)網(wǎng)的推進(jìn),冶金行業(yè)面臨著更嚴(yán)峻的數(shù)據(jù)處理挑戰(zhàn),比如數(shù)據(jù)源更多樣,傳輸通道更多,數(shù)據(jù)類型更豐富(結(jié)構(gòu)化、半結(jié)構(gòu)化、非結(jié)構(gòu)化),數(shù)據(jù)量也更大?!盀榱藨?yīng)對(duì)這種情況,很多冶金企業(yè)都構(gòu)建了數(shù)據(jù)中臺(tái)和業(yè)務(wù)中臺(tái),將生產(chǎn)、經(jīng)營(yíng)、管理、供應(yīng)商數(shù)據(jù)等通過(guò)這個(gè)平臺(tái)進(jìn)行采集、建模、分析等,從而發(fā)掘數(shù)據(jù)價(jià)值,實(shí)現(xiàn)幫助決策、提質(zhì)增效等目標(biāo)。”他說(shuō)。
與此同時(shí),隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展,企業(yè)IT(互聯(lián)網(wǎng)技術(shù))與OT(操作技術(shù))的網(wǎng)絡(luò)安全邊界也越來(lái)越模糊,加之?dāng)?shù)據(jù)量的增大,冶金企業(yè)面臨的安全風(fēng)險(xiǎn)越來(lái)越大,比如來(lái)自互聯(lián)網(wǎng)上的黑客等外來(lái)的惡意攻擊比較多,時(shí)刻考驗(yàn)著系統(tǒng)的防御能力?!叭绻行┫到y(tǒng)防護(hù)能力不足,存在容易被利用的高危漏洞,就很容易被入侵?!倍〗纸又e例道,比如,有些攻擊者如果出于政治目的,可能會(huì)篡改頁(yè)面、發(fā)動(dòng)反動(dòng)言論;出于經(jīng)濟(jì)利益目的,可能就會(huì)竊取數(shù)據(jù),造成企業(yè)數(shù)據(jù)泄露、商業(yè)秘密泄露等。丁建林表示,以企業(yè)人力資源系統(tǒng)為例,如果發(fā)生數(shù)據(jù)安全問(wèn)題,那么企業(yè)職工的家庭住址、身份證號(hào)、手機(jī)信息等將被泄露,后果不堪設(shè)想。
“當(dāng)然,除了來(lái)自互聯(lián)網(wǎng)的攻擊,企業(yè)內(nèi)網(wǎng)本身也面臨操作不當(dāng)、越權(quán)訪問(wèn)、惡意攻擊等帶來(lái)的數(shù)據(jù)安全風(fēng)險(xiǎn),同樣不容忽視。”丁建林補(bǔ)充道。
如何做好數(shù)據(jù)安全管理?
《數(shù)據(jù)安全法》提出,數(shù)據(jù)處理,包括數(shù)據(jù)的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)等。丁建林認(rèn)為,這涵蓋了數(shù)據(jù)的全生命周期,企業(yè)要防止數(shù)據(jù)安全問(wèn)題的發(fā)生,就必須加強(qiáng)數(shù)據(jù)安全治理,做好數(shù)據(jù)的全生命周期安全管理。
數(shù)據(jù)目前已經(jīng)被列為第五類生產(chǎn)要素,加之《數(shù)據(jù)安全法》的推出,數(shù)據(jù)安全的重要性已經(jīng)愈加凸顯?!稊?shù)據(jù)安全法》提出,要建立健全全流程數(shù)據(jù)安全管理制度。丁建林表示:“全生命周期管理,實(shí)際上就是數(shù)據(jù)安全保護(hù)工作的最佳實(shí)踐和方法論。企業(yè)在哪一環(huán)節(jié)出問(wèn)題,都可能導(dǎo)致數(shù)據(jù)安全風(fēng)險(xiǎn),每一環(huán)節(jié)都需要技術(shù)的支撐?!?/span>
丁建林透露,目前,首鋼集團(tuán)正在制訂“十四五”規(guī)劃,將依據(jù)業(yè)內(nèi)數(shù)據(jù)安全標(biāo)準(zhǔn)規(guī)范加強(qiáng)數(shù)據(jù)安全治理。重點(diǎn)聚焦安全組織、技術(shù)平臺(tái)和安全管理。第一是為保障數(shù)據(jù)安全治理有效開(kāi)展,將在集團(tuán)網(wǎng)信委領(lǐng)導(dǎo)下,加強(qiáng)架構(gòu)與智能、部門與角色、業(yè)務(wù)與權(quán)責(zé)、人員與能力、協(xié)作與監(jiān)督等方面能力。第二,數(shù)據(jù)的分類分級(jí)非常重要,這是一項(xiàng)基礎(chǔ)性工作,但實(shí)施挑戰(zhàn)巨大,因?yàn)樾枰獏f(xié)調(diào)投入的人力、物力比較多,需要上述組織架構(gòu)充分發(fā)揮作用。第三是數(shù)據(jù)存儲(chǔ)方面,對(duì)企業(yè)核心數(shù)據(jù)將通過(guò)國(guó)產(chǎn)密碼算法進(jìn)行加密?!皩?shù)據(jù)進(jìn)行加密傳輸和加密存儲(chǔ),即使數(shù)據(jù)被竊取,也解不開(kāi)核心數(shù)據(jù)?!彼e例道。第四是加強(qiáng)數(shù)據(jù)的合規(guī)審計(jì)。第四是做好數(shù)據(jù)備份和容災(zāi)?!巴艘蝗f(wàn)步講,萬(wàn)一出事,不能影響生產(chǎn)經(jīng)營(yíng)?!彼忉尩?。第五是強(qiáng)化對(duì)數(shù)據(jù)開(kāi)放共享過(guò)程中的安全風(fēng)險(xiǎn)管控。
在人才方面,數(shù)據(jù)領(lǐng)域的人才一直存在供不應(yīng)求的問(wèn)題。丁建林告訴《中國(guó)冶金報(bào)》記者,“市場(chǎng)缺口很大,尤其是高水平的安全人員”。要解決這一問(wèn)題,他認(rèn)為,一是加強(qiáng)企業(yè)內(nèi)部培訓(xùn)和教育,提高從業(yè)人員安全能力;二是企業(yè)跟院校等其他社會(huì)組織聯(lián)合進(jìn)行人才培養(yǎng),充分利用好國(guó)家對(duì)安全產(chǎn)業(yè)、人才的好政策。
丁建林表示,長(zhǎng)期以來(lái),首鋼集團(tuán)都非常重視數(shù)據(jù)安全保護(hù),目前數(shù)據(jù)安全治理體系已初見(jiàn)成效,隨著《數(shù)據(jù)安全法》的出臺(tái),國(guó)家監(jiān)管力度加強(qiáng)和數(shù)字化轉(zhuǎn)型的迫切需要,企業(yè)數(shù)據(jù)已成為核心資產(chǎn),數(shù)據(jù)價(jià)值釋放和數(shù)據(jù)安全保護(hù)為一體之兩翼、驅(qū)動(dòng)之雙輪?!啊稊?shù)據(jù)安全法》對(duì)產(chǎn)業(yè)、企業(yè)是機(jī)遇、也是挑戰(zhàn),數(shù)據(jù)安全關(guān)乎企業(yè)生產(chǎn)經(jīng)營(yíng)甚至生死存亡,也關(guān)系到國(guó)家安全,所以我們必須重視?!彼f(shuō)。
《中國(guó)冶金報(bào)》(2021年7月13日 04版四版)