导读
由江苏省人力资源和社会保障厅、江苏省财政厅主办,江苏省盐城技师学院承办,江苏省数字经济联合会支持的第二期“江苏省数字技能高级技师岗位技能提升培训班”,近期在盐城开班。作为全国首创为一线技能人才数字化赋能项目,省江苏工匠、高级技师等近50名一线高级技能人才参加本次培训。
本次培训,美创科技CTO周杰受邀并以《数字化时代的企业数据安全建设》为主题,分享“智改数转”背景下,制造企业如何优化数据安全防御理念、构建坚实的数据安全防御体系。
周杰表示,数据作为数字经济的核心生产要素,发挥着对传统经济要素价值倍增、资源优化、投入替代的作用,是加快数字经济发展,推动数字产业化、产业数字化的重要“燃料”。
作为制造业大省,2021年底,江苏出台制造业“智改数转“三年行动计划,率先建成全国制造业高质量发展示范区。以数字技术为支撑,以数据要素为核心,对制造企业而言,关乎生存和长远发展的必然选择。但制造企业在加速释放数据价值的同时,也面临着更多的内外部风险与合规压力。
● 从外部来看
显著黑产利益驱动下,外部攻击向大规模数据窃取转变,新时期外部攻击呈现:专业犯罪集团介入、定向化程度更高、勒索金额更高、发生频次更高、攻防级别更高、影响更恶劣等特点。同时,我国数据安全监管日益趋严,企业合规压力增大,2021年以来《数据安全法》、《个人信息保护法》等法律法规相继出台,数据表明:关系到个人信息的法律有52部,行政法规42部,司法解释50部,部门规章870部,团体规定43部,行业规定171部。
● 从内部来看
企业数据安全保护工作开展得并不理想,数字化安全战略与架构缺失、数据资产不明、身份的识别与访问管理缺失、数字化应用产生的个人隐私保护以及跨境风险、数据安全的常态化运营与相应机制缺失等,导致企业数据资产隐患不断增大。
数字化安全战略与架构缺失
“数字化转型成为众多企业求生存、求发展的必然选择,然而数字化转型应建立在坚固的基石:数据安全之上,反之,就如建立在沙滩上的大楼,越高坍塌的可能性越高。”
周杰认为,“应对数字化转型下的数据风险,企业需以政策为指导,以法律法规为标尺,以相关标准和指南为依据,以数据为中心,以组织为单位,自上而下统筹建设。”
在数据安全领域的长期探索和实践,美创科技形成了一套数据安全体系建设思路,具体而言包括:以零信任为基础构建数据安全防护基座,以数据安全治理构建企业数据安全体系,以数据安全运营实现企业安全状态持续优化。
01 以零信任为基础构建数据安全防护基座
随着企业数字化转型, IT设施上云、办公设备移动化的过程中原本静态的安全边界模式被打破,数据流动属性快速释放,与数据相关的应用、人员等更为复杂且快速变化,传统封闭式安全理念措施难有效应对。对此,企业应基于零信任安全机制和技术框架,从资产、身份、合规、行为、访问上下文、入侵生命周期六个维度进行数据安全防护基座的建设。
美创零信任2.0理念
周杰表示,零信任假定所有的人(身份)、设备、行为都是不安全的,其核心是在非安全网络中寻找可靠支撑点,而在数据安全中,“资产”、“身份”是安全体系中的最核心的两大支撑,即:以数据资产保护为核心规划防护体系,通过重新定义资产的边界来实现进一步的治理与管控。以身份为中心,通过采用智能化识别模式来判断每一个行为的上下文变化和匹配情况,并在过程中不断评估信任和风险,实现基于上下文风险的动态访问。
02 以数据安全治理构建数据安全体系
构建数据安全治理体系,以评估规划、建设指导、成效评估、持续改进为主线,围绕数据安全治理框架,从组织架构、制度流程、人员能力和技术工具建设四个方面构建。
数据安全评估规划阶段:即结合组织实际情况进行现状分析,包括数据资产梳理、使用权限情况、内外部数据安全风险梳理,根据数据安全风险状况建立组织整体安全规划,形成规划清单。
建设指导阶段:承接上一个阶段规划进行落地实施,完成数据安全防护措施加固,包括明确组织负责数据安全管理、数据安全执行、数据安全监督等工作的团队及职责分工,结合数据特点和业务需求,明确数据分类分级原则、方法以及安全管控措施。
成效评估阶段:通过内部自评估、第三方安全评估的方式对组织整体的数据安全建设进行检查验证和效果评估,检验数据安全治理体系的适宜性、充分性和有效性,提出问题和分析改进措施,应覆盖组织建设、制度流程、技术工具和人员能力各个维度,涵盖数据资产分布、数据安全风险分析、业务数据流向以及安全能力赋能等。
持续改进阶段:在数据安全运行阶段,通过运维保障、应急响应、定期评估及整改加固等安全能力支撑,实现数据安全风险的有效防范,组织数据安全能力长期保持,并结合最佳实践持续改进优化。
美创数据安全治理服务内容
03 以数据安全运营实现状态优化提升
数据安全不是简单的工具堆叠,也无法一蹴而就。在数据风险防护与合规监管的推动下,企业应根据具体的业务处理场景和生命周期各个环节,建设一体化的数据安全管理、安全监控和安全运营体系,实现预测—防御—检测—响应的良性循环,达成数据安全能力的持续优化与提升。
数据安全运营理念框架:自适应风险和信任评估
建设数据安全运营保障机制,通过数据资产监管制度、身份监管制度、业务流程规范等制度建设,构建自上而下,可量化考核、可落地执行的制度保障。
建设数据安全运营平台,以数据发现和分类分级为基础,以数据流转监控及数据风险评估为目标,对多种数据安全能力集中监测、管理和调度,实时识别敏感数据流动状态和内外部访问异常行为,分析敏感网络与数据流动风险,感知最新安全威胁,预测可能的网络攻击或异常操作行为,联动网络与数据安全设备进行联动处置,防范发生重大网络与数据安全事件。
建立数据安全应急处置机制,发生数据安全事件,依法启动应急预案;开展数据安全教育培训,提升组织数据安全保护意识;通过内部自评估、第三方安全评估的方式进行周期性的检查验证和效果评估,迭代优化数据安全治理体系,持续提高数据安全保障能力。
美创数据安全运营保障机制
最后,周杰指出,数据安全建设应与整个企业的数字化架构实现同步规划、同步建设、同步运营。在实践中,组织可匹配自身的数据安全愿景和资源基础,在“智改数转”过程中建立起牢靠的安全保障体系,夯实数字化创新应用的底座。