本报记者 樊三彩
6月25日,《中华人民共和国数据安全法》(下称《数据安全法》)全文公布。该法所称数据,是指任何以电子或者其他方式对信息的记录,并对“数据安全”做出如下定义——是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。
那么,冶金企业面临哪些数据安全问题?我们应采取何种方法来规避风险?针对这些问题,7月10日,《中国冶金报》记者采访了北京首钢自动化信息技术有限公司网络安全中心经理丁建林,围绕《数据安全法》和冶金企业数据安全有关内容进行了交流。
冶金企业面临哪些数据安全问题?
业内专家认为,冶金企业也面临数据安全的问题,主要是工艺参数、需求、营销、价格等数据。
丁建林表示,现在我国网络安全保护已经从等保(网络安全等级保护制度)1.0迈向等保2.0阶段。随着两化融合、工业互联网的推进,冶金行业面临着更严峻的数据处理挑战,比如数据源更多样,传输通道更多,数据类型更丰富(结构化、半结构化、非结构化),数据量也更大。“为了应对这种情况,很多冶金企业都构建了数据中台和业务中台,将生产、经营、管理、供应商数据等通过这个平台进行采集、建模、分析等,从而发掘数据价值,实现帮助决策、提质增效等目标。”他说。
与此同时,随着互联网技术的发展,企业IT(互联网技术)与OT(操作技术)的网络安全边界也越来越模糊,加之数据量的增大,冶金企业面临的安全风险越来越大,比如来自互联网上的黑客等外来的恶意攻击比较多,时刻考验着系统的防御能力。“如果有些系统防护能力不足,存在容易被利用的高危漏洞,就很容易被入侵。”丁建林接着举例道,比如,有些攻击者如果出于政治目的,可能会篡改页面、发动反动言论;出于经济利益目的,可能就会窃取数据,造成企业数据泄露、商业秘密泄露等。丁建林表示,以企业人力资源系统为例,如果发生数据安全问题,那么企业职工的家庭住址、身份证号、手机信息等将被泄露,后果不堪设想。
“当然,除了来自互联网的攻击,企业内网本身也面临操作不当、越权访问、恶意攻击等带来的数据安全风险,同样不容忽视。”丁建林补充道。
如何做好数据安全管理?
《数据安全法》提出,数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。丁建林认为,这涵盖了数据的全生命周期,企业要防止数据安全问题的发生,就必须加强数据安全治理,做好数据的全生命周期安全管理。
数据目前已经被列为第五类生产要素,加之《数据安全法》的推出,数据安全的重要性已经愈加凸显。《数据安全法》提出,要建立健全全流程数据安全管理制度。丁建林表示:“全生命周期管理,实际上就是数据安全保护工作的最佳实践和方法论。企业在哪一环节出问题,都可能导致数据安全风险,每一环节都需要技术的支撑。”
丁建林透露,目前,首钢集团正在制订“十四五”规划,将依据业内数据安全标准规范加强数据安全治理。重点聚焦安全组织、技术平台和安全管理。第一是为保障数据安全治理有效开展,将在集团网信委领导下,加强架构与智能、部门与角色、业务与权责、人员与能力、协作与监督等方面能力。第二,数据的分类分级非常重要,这是一项基础性工作,但实施挑战巨大,因为需要协调投入的人力、物力比较多,需要上述组织架构充分发挥作用。第三是数据存储方面,对企业核心数据将通过国产密码算法进行加密。“将数据进行加密传输和加密存储,即使数据被窃取,也解不开核心数据。”他举例道。第四是加强数据的合规审计。第四是做好数据备份和容灾。“退一万步讲,万一出事,不能影响生产经营。”他解释道。第五是强化对数据开放共享过程中的安全风险管控。
在人才方面,数据领域的人才一直存在供不应求的问题。丁建林告诉《中国冶金报》记者,“市场缺口很大,尤其是高水平的安全人员”。要解决这一问题,他认为,一是加强企业内部培训和教育,提高从业人员安全能力;二是企业跟院校等其他社会组织联合进行人才培养,充分利用好国家对安全产业、人才的好政策。
丁建林表示,长期以来,首钢集团都非常重视数据安全保护,目前数据安全治理体系已初见成效,随着《数据安全法》的出台,国家监管力度加强和数字化转型的迫切需要,企业数据已成为核心资产,数据价值释放和数据安全保护为一体之两翼、驱动之双轮。“《数据安全法》对产业、企业是机遇、也是挑战,数据安全关乎企业生产经营甚至生死存亡,也关系到国家安全,所以我们必须重视。”他说。
《中国冶金报》(2021年7月13日 04版四版)
