由江蘇省人力資源和社會保障廳、江蘇省財政廳主辦,江蘇省鹽城技師學院承辦,江蘇省數字經濟聯合會支持的第二期“江蘇省數字技能高級技師崗位技能提升培訓班”,近期在鹽城開班。作為全國首創為一線技能人才數字化賦能項目,省江蘇工匠、高級技師等近50名一線高級技能人才參加本次培訓。
本次培訓,美創科技CTO周杰受邀并以《數字化時代的企業數據安全建設》為主題,分享“智改數轉”背景下,制造企業如何優化數據安全防御理念、構建堅實的數據安全防御體系。
周杰表示,數據作為數字經濟的核心生產要素,發揮著對傳統經濟要素價值倍增、資源優化、投入替代的作用,是加快數字經濟發展,推動數字產業化、產業數字化的重要“燃料”。
作為制造業大省,2021年底,江蘇出臺制造業“智改數轉“三年行動計劃,率先建成全國制造業高質量發展示范區。以數字技術為支撐,以數據要素為核心,對制造企業而言,關乎生存和長遠發展的必然選擇。但制造企業在加速釋放數據價值的同時,也面臨著更多的內外部風險與合規壓力。
顯著黑產利益驅動下,外部攻擊向大規模數據竊取轉變,新時期外部攻擊呈現:專業犯罪集團介入、定向化程度更高、勒索金額更高、發生頻次更高、攻防級別更高、影響更惡劣等特點。同時,我國數據安全監管日益趨嚴,企業合規壓力增大,2021年以來《數據安全法》、《個人信息保護法》等法律法規相繼出臺,數據表明:關系到個人信息的法律有52部,行政法規42部,司法解釋50部,部門規章870部,團體規定43部,行業規定171部。
企業數據安全保護工作開展得并不理想,數字化安全戰略與架構缺失、數據資產不明、身份的識別與訪問管理缺失、數字化應用產生的個人隱私保護以及跨境風險、數據安全的常態化運營與相應機制缺失等,導致企業數據資產隱患不斷增大。
數字化安全戰略與架構缺失
“數字化轉型成為眾多企業求生存、求發展的必然選擇,然而數字化轉型應建立在堅固的基石:數據安全之上,反之,就如建立在沙灘上的大樓,越高坍塌的可能性越高。”
周杰認為,“應對數字化轉型下的數據風險,企業需以政策為指導,以法律法規為標尺,以相關標準和指南為依據,以數據為中心,以組織為單位,自上而下統籌建設。”
在數據安全領域的長期探索和實踐,美創科技形成了一套數據安全體系建設思路,具體而言包括:以零信任為基礎構建數據安全防護基座,以數據安全治理構建企業數據安全體系,以數據安全運營實現企業安全狀態持續優化。
隨著企業數字化轉型, IT設施上云、辦公設備移動化的過程中原本靜態的安全邊界模式被打破,數據流動屬性快速釋放,與數據相關的應用、人員等更為復雜且快速變化,傳統封閉式安全理念措施難有效應對。對此,企業應基于零信任安全機制和技術框架,從資產、身份、合規、行為、訪問上下文、入侵生命周期六個維度進行數據安全防護基座的建設。
美創零信任2.0理念
周杰表示,零信任假定所有的人(身份)、設備、行為都是不安全的,其核心是在非安全網絡中尋找可靠支撐點,而在數據安全中,“資產”、“身份”是安全體系中的最核心的兩大支撐,即:以數據資產保護為核心規劃防護體系,通過重新定義資產的邊界來實現進一步的治理與管控。以身份為中心,通過采用智能化識別模式來判斷每一個行為的上下文變化和匹配情況,并在過程中不斷評估信任和風險,實現基于上下文風險的動態訪問。
構建數據安全治理體系,以評估規劃、建設指導、成效評估、持續改進為主線,圍繞數據安全治理框架,從組織架構、制度流程、人員能力和技術工具建設四個方面構建。
數據安全評估規劃階段:即結合組織實際情況進行現狀分析,包括數據資產梳理、使用權限情況、內外部數據安全風險梳理,根據數據安全風險狀況建立組織整體安全規劃,形成規劃清單。
建設指導階段:承接上一個階段規劃進行落地實施,完成數據安全防護措施加固,包括明確組織負責數據安全管理、數據安全執行、數據安全監督等工作的團隊及職責分工,結合數據特點和業務需求,明確數據分類分級原則、方法以及安全管控措施。
成效評估階段:通過內部自評估、第三方安全評估的方式對組織整體的數據安全建設進行檢查驗證和效果評估,檢驗數據安全治理體系的適宜性、充分性和有效性,提出問題和分析改進措施,應覆蓋組織建設、制度流程、技術工具和人員能力各個維度,涵蓋數據資產分布、數據安全風險分析、業務數據流向以及安全能力賦能等。
持續改進階段:在數據安全運行階段,通過運維保障、應急響應、定期評估及整改加固等安全能力支撐,實現數據安全風險的有效防范,組織數據安全能力長期保持,并結合最佳實踐持續改進優化。
美創數據安全治理服務內容
數據安全不是簡單的工具堆疊,也無法一蹴而就。在數據風險防護與合規監管的推動下,企業應根據具體的業務處理場景和生命周期各個環節,建設一體化的數據安全管理、安全監控和安全運營體系,實現預測—防御—檢測—響應的良性循環,達成數據安全能力的持續優化與提升。
數據安全運營理念框架:自適應風險和信任評估
建設數據安全運營保障機制,通過數據資產監管制度、身份監管制度、業務流程規范等制度建設,構建自上而下,可量化考核、可落地執行的制度保障。
建設數據安全運營平臺,以數據發現和分類分級為基礎,以數據流轉監控及數據風險評估為目標,對多種數據安全能力集中監測、管理和調度,實時識別敏感數據流動狀態和內外部訪問異常行為,分析敏感網絡與數據流動風險,感知最新安全威脅,預測可能的網絡攻擊或異常操作行為,聯動網絡與數據安全設備進行聯動處置,防范發生重大網絡與數據安全事件。
建立數據安全應急處置機制,發生數據安全事件,依法啟動應急預案;開展數據安全教育培訓,提升組織數據安全保護意識;通過內部自評估、第三方安全評估的方式進行周期性的檢查驗證和效果評估,迭代優化數據安全治理體系,持續提高數據安全保障能力。
美創數據安全運營保障機制
最后,周杰指出,數據安全建設應與整個企業的數字化架構實現同步規劃、同步建設、同步運營。在實踐中,組織應依據自身的數據安全愿景和資源基礎,在“智改數轉”過程中建立匹配的安全保障體系,夯實數字化創新應用底座。
浙公網安備 33010502006954號 
