freebuf近日,第五届中国数据安全治理高峰论坛-工业数据安全分论坛成功召开,论坛以“数安新征程 共探治理路”为主题,邀请业内知名专家解读数据安全最新法律法规、政策文件及标准,交流数据安全关键技术创新成果,分享数据安全治理方案及实践。天融信科技集团助理总裁李建彬出席论坛并发表《工业领域数据安全实践》主题演讲。
本次论坛由中国计算机学会计算机安全专委会、工业信息安全产业发展联盟、北京工业互联网技术创新与产业发展联盟、中关村网络安全与信息化产业联盟联合主办,致力于推动数据安全治理领域内的经验分享、技术交流、协调合作以及国内相关行业的交流。
近年来,工业领域已成为我国数字化转型发展的主阵地,也是数字经济发展的前沿区,工业数据安全越来越成为工业转型升级的重中之重。当前,针对数据层面的攻击方式日渐新型多样,攻击窃取数据的攻击路径增多,工业数据上云、出境等风险加剧,工业数据安全风险形势复杂严峻。工业领域数据安全建设存在全局性战略性数据安全意识薄弱、数据管理与分类分级防护能力不足、针对性数据安全防护技术手段欠缺、数据安全可信交互共享生态尚未建立等问题。
李建彬认为,工业领域安全建设处于初期阶段,工业企业用户数据安全意识不足,工业数据面临着分类易、分级难的问题。
保障工业数据安全应当协助工业企业建立完整的数据安全管理体系、管理制度、分类分级清单;建立完整的数据安全管理体系、数据全生命周期安全保护体系;设立工业领域数据安全试点,开展企业自评估工作过程,在整体提升企业网络的数据安全综合能力的同时,不断完善工业互联网数据安全监管及运营实践过程,将数据安全措施因地制宜的应用,进一步实现数据安全治理的可持续发展。
应贴合工业领域的数据安全特征推进数据安全建设
当前工业企业面临“内”“外”数据安全特征。对于企业内部,存在企业用户数据安全意识不足,对数据的概念比较弱,缺乏数据分级、数据安全措施的建设思路,造成数据安全事件层出不穷;另外,工业数据分类容易分级难,同一类数据因为行业、业务、范围的差异都有可能存在级别差异,当前缺少面向企业的定级依据。对于企业外部,数字化进程中,数据安全建设处于初级阶段,更多的还是在做传统安全的基础建设阶段,工业企业的数据安全建设应参照“内”“外”特征,建设符合当前工业企业的数据安全防护。
管理+技术并重,提升工业领域数据安全防护能力
在工业领域数据安全实践试点工作中,应建立全面的安全防护设计,不仅要具备数据安全管理建设,还需要从数据全生命周期的防护视角进行建设,从而确保数据被处理过程中有相应的保护措施。工业领域数据安全不仅从技术上进行保护,还从安全管理制度、人员保障、权限管理、评估安全等管理手段上进行防护,建立可闭环的数据安全防护建设过程,从而提升工业领域数据安全防护能力。
以政策为指引,建立全面的工业数据安全运营机制
未来工业领域数据安全发展将会以政策、要求作为推进依据,建立与企业工业场景契合的数据安全措施,通过逐步持续优化的常态性数据安全治理,形成安全治理和安全运营的数据交互、改进的闭环。例如,安全治理环节的风险清单和策略应运用到安全运营环节,同时安全运营环节的成果也可以为安全治理环节提供依据;共建工业领域的数据安全运营机制。
作为最早一批开展工业信息安全领域研究和研发的企业之一,天融信将成熟的网络安全技术与工业互联网业务场景深度融合,形成完善的工业互联网安全技术体系与解决方案,推出10余款核心产品,在电力、石油、钢铁等30多个行业广泛应用。
TOPSEC
未来,天融信将持续以“双安融合”的理念,坚持功能安全与信息安全的有机融合、协同发展,扩大安全作用范围,并从低位(控制设备安全)、中位(通信传输安全)、高位(高级运营管理)三方面的融合进行探索与应用,为工业互联网产业高质量发展保驾护航。
转载请注明来自网盾网络安全培训,本文标题:《天融信:工业企业应建立全面的数据安全管理体系》
