本報記者 樊三彩
6月25日,《中華人民共和國數據安全法》(下稱《數據安全法》)全文公布。該法所稱數據,是指任何以電子或者其他方式對信息的記錄,并對“數據安全”做出如下定義——是指通過采取必要措施,確保數據處于有效保護和合法利用的狀態,以及具備保障持續安全狀態的能力。
那么,冶金企業面臨哪些數據安全問題?我們應采取何種方法來規避風險?針對這些問題,7月10日,《中國冶金報》記者采訪了北京首鋼自動化信息技術有限公司網絡安全中心經理丁建林,圍繞《數據安全法》和冶金企業數據安全有關內容進行了交流。
冶金企業面臨哪些數據安全問題?
業內專家認為,冶金企業也面臨數據安全的問題,主要是工藝參數、需求、營銷、價格等數據。
丁建林表示,現在我國網絡安全保護已經從等保(網絡安全等級保護制度)1.0邁向等保2.0階段。隨著兩化融合、工業互聯網的推進,冶金行業面臨著更嚴峻的數據處理挑戰,比如數據源更多樣,傳輸通道更多,數據類型更豐富(結構化、半結構化、非結構化),數據量也更大?!盀榱藨獙@種情況,很多冶金企業都構建了數據中臺和業務中臺,將生產、經營、管理、供應商數據等通過這個平臺進行采集、建模、分析等,從而發掘數據價值,實現幫助決策、提質增效等目標?!彼f。
與此同時,隨著互聯網技術的發展,企業IT(互聯網技術)與OT(操作技術)的網絡安全邊界也越來越模糊,加之數據量的增大,冶金企業面臨的安全風險越來越大,比如來自互聯網上的黑客等外來的惡意攻擊比較多,時刻考驗著系統的防御能力。“如果有些系統防護能力不足,存在容易被利用的高危漏洞,就很容易被入侵?!倍〗纸又e例道,比如,有些攻擊者如果出于政治目的,可能會篡改頁面、發動反動言論;出于經濟利益目的,可能就會竊取數據,造成企業數據泄露、商業秘密泄露等。丁建林表示,以企業人力資源系統為例,如果發生數據安全問題,那么企業職工的家庭住址、身份證號、手機信息等將被泄露,后果不堪設想。
“當然,除了來自互聯網的攻擊,企業內網本身也面臨操作不當、越權訪問、惡意攻擊等帶來的數據安全風險,同樣不容忽視?!倍〗盅a充道。
如何做好數據安全管理?
《數據安全法》提出,數據處理,包括數據的收集、存儲、使用、加工、傳輸、提供、公開等。丁建林認為,這涵蓋了數據的全生命周期,企業要防止數據安全問題的發生,就必須加強數據安全治理,做好數據的全生命周期安全管理。
數據目前已經被列為第五類生產要素,加之《數據安全法》的推出,數據安全的重要性已經愈加凸顯。《數據安全法》提出,要建立健全全流程數據安全管理制度。丁建林表示:“全生命周期管理,實際上就是數據安全保護工作的最佳實踐和方法論。企業在哪一環節出問題,都可能導致數據安全風險,每一環節都需要技術的支撐。”
丁建林透露,目前,首鋼集團正在制訂“十四五”規劃,將依據業內數據安全標準規范加強數據安全治理。重點聚焦安全組織、技術平臺和安全管理。第一是為保障數據安全治理有效開展,將在集團網信委領導下,加強架構與智能、部門與角色、業務與權責、人員與能力、協作與監督等方面能力。第二,數據的分類分級非常重要,這是一項基礎性工作,但實施挑戰巨大,因為需要協調投入的人力、物力比較多,需要上述組織架構充分發揮作用。第三是數據存儲方面,對企業核心數據將通過國產密碼算法進行加密?!皩祿M行加密傳輸和加密存儲,即使數據被竊取,也解不開核心數據?!彼e例道。第四是加強數據的合規審計。第四是做好數據備份和容災?!巴艘蝗f步講,萬一出事,不能影響生產經營。”他解釋道。第五是強化對數據開放共享過程中的安全風險管控。
在人才方面,數據領域的人才一直存在供不應求的問題。丁建林告訴《中國冶金報》記者,“市場缺口很大,尤其是高水平的安全人員”。要解決這一問題,他認為,一是加強企業內部培訓和教育,提高從業人員安全能力;二是企業跟院校等其他社會組織聯合進行人才培養,充分利用好國家對安全產業、人才的好政策。
丁建林表示,長期以來,首鋼集團都非常重視數據安全保護,目前數據安全治理體系已初見成效,隨著《數據安全法》的出臺,國家監管力度加強和數字化轉型的迫切需要,企業數據已成為核心資產,數據價值釋放和數據安全保護為一體之兩翼、驅動之雙輪?!啊稊祿踩ā穼Ξa業、企業是機遇、也是挑戰,數據安全關乎企業生產經營甚至生死存亡,也關系到國家安全,所以我們必須重視?!彼f。
《中國冶金報》(2021年7月13日 04版四版)
