守護工業領域數據安全,護航企業數字化高質量發展
數據安全是數據發揮生產要素價值的前提條件,在《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《工業和信息化領域數據安全管理辦法(試行)》《工業數據分類分級指南(試行)》等一系列法律和政策文件中都明確提出了加強數據安全的要求。
工業和信息化領域數據安全頂層設計
工業和信息化領域數據安全保護的總體設計框架圍繞工業數字化改革總目標,基于“創新引領、數據驅動、開放合作”原則,提升數據安全主動防御能力、監測預警能力、應急處置能力、協同治理能力,打造工業企業數字化改革數據安全屏障。總體設計以全面構建工業數據安全防護體系為重點,從安全角度出發,在數據安全運行能力為支撐基礎上,建設完善數據安全政策制度、標準規范、組織保障、人才體系,從而實現高效安全監測,達到綜合有效安全治理目標。
面向工業企業數據安全需求,綠盟科技提出了“1+2+3+4+5+N”的架構設計,實現工業數據安全的重點防護。“1”是1個中心-以敏感數據保護為中心,“2”是2類數據-重要數據和核心數據,“3”是3個體系-數據安全治理體系、個人信息保護體系、數據出境合規體系,“4”是4個工作建設-組織建設、制度流程、技術工具、人員能力領域,“5”是5個落地步驟-知、識、控、察、行,“N”是N種安全技術能力。
以敏感數據保護為中心
在開展數據安全保護的過程中,要堅持以敏感數據保護為核心,建設完善的數據安全體系,有效保護數據在全生命周期過程中各階段的安全,達到合法采集、合理利用、靜態可知、動態可控的防護目標。
重點保護重要和核心數據
根據《工業和信息化領域數據安全管理辦法(試行)》的規定,對重要數據進行重點保護,對核心數據在重要數據保護基礎上實施更嚴格的管理和保護。此外,將重要數據和核心數據目錄報送地方工業和信息化主管部門或通信管理局,并采取措施開展數據分級防護。
多體系共建數據安全機制
根據工業行業數據風險分析以及業務需求,通過數據安全治理體系、個人信息保護體系、數據出境合規體系等多個維度進行體系化建設,完善和提升工業數據安全制度、技術、運營服務保障能力。確定數據處理活動主體責任方,根據數據的類型、數量、安全級別、處理方式以及對國家安全、公共利益或者個人、組織合法權益帶來的影響和安全風險等,采取必要措施確保數據持續處于有效保護和合法利用的狀態。
同步開展多層次數據安全建設
在數據安全建設體系中,從組織建設、制度流程,技術工具,人員能力四個領域同步開展建設工作,管理是技術的運營依據,技術是管理的落地保障。
組織層面,決策層、管理層、執行層必須在數據安全建設領域達成一致,數據安全建設工作必須得到組織高層的支持。組織高層在數據安全領域的戰略目標應能夠被管理層和執行層實現。
人員方面,要有相應的各級人員團隊去進行相應的工作,數據安全相關工作人員應該依據崗位不同,具備管理能力、運營能力、技術建設能力。
流程制度方面,從宏觀的組織發展方針、組織戰略,到中觀的管理制度規范,一直到微觀的計劃報告表格日志等同步建設。通過流程制度指導“人”利用“工具”實現組織的數據安全戰略目標。
在技術層面,如分級分類,數據防泄漏,數據脫敏,流程審批,權限管理,數據標準等等,在各個領域都應該由技術工具予以支持。
五步法打造工業數據安全堡壘
綠盟科技經過多年網絡安全及數據安全的探索與實踐,并結合工業企業的現狀需求,借鑒Gartner的數據安全治理框架,總結出了一套完整科學的數據安全治理方法,即“知”、“識”、“控”、“察”、“行”的數據治理設計框架,實現數據安全的整體性防御與前瞻性技術防御保障,是大數據架構下數據安全性防護理論與實踐相結合的一整套治理手段。
知:分析政策法規、梳理業務及人員對數據的使用規范,定義敏感數據;
識:根據定義好的敏感數據,利用工具對全網進行敏感數據掃描發現,對發現的數據進行數據定位、數據分類、數據分級。根據風險評估,讓企業認識到安全的現狀與差距,并且形成風險評估整改報告。
控:根據敏感數據的級別,設定數據在全生命周期中的可用范圍,利用規范和工具對數據進行細粒度的權限管控。
察:對數據進行監督監察,保障數據在可控范圍內正常使用的同時,也對非法的數據行為進行了記錄,為事后取證留下了清晰準確的日志信息。
行:對不斷變化的數據做持續性的跟蹤,提供策略優化與持續運營的服務。
安全基礎能力的提升
安全基礎能力,指提供數據安全能力的各類安全產品,是數據安全立體化的縱深防御體系的基礎。形態上可以是硬件,也可以是虛擬化形態。安全基礎能力,包含身份基于零信任的統一身份認證、管理能力,數據智能防泄漏能力,數據脫敏能力,文件級智能動態加解密能力,智能聯動防護能力以及密碼管理、安全審計和隱私計算等。
助力工業企業數據安全落地
通過綠盟科技數據安全治理頂層設計與最佳實踐,幫助國內某上市制造企業全面構建“1+2+3+4+5+N”體系化防御能力。結合企業實際的數據安全防護需求,精準識別出企業在研發設計、生產制造、經營管理、日常運維、應用服務等過程中收集和產生的數據資產,形成重要數據和核心數據目錄清單,同時結合研發設計、生產運行、裝置遠程診斷、內部運維、供應鏈等應用場景,實施分類定策、分級定措的防護策略,覆蓋工業數據全生命周期各階段,實現企業縱深防御能力。
該制造企業以綠盟數據安全運營平臺為抓手,通過數據資產稽核管理、自動化分類分級、數據安全風險監測、API接口安全管理、數據安全流轉監控、數據安全合規管理和數據安全策略統一管控等多種先進技術與AI算法,讓數據所有者看得見風險、讓數據使用者看得到約束、讓服務運營者看得到策略,高效應對數據安全風險與挑戰,促進工業企業數字化轉型高質量發展。
不忘初心,踐行安全使命
隨著工業企業數字化轉型加速,以及國家對高質量發展新要求,安全扮演越來越重要的角色,綠盟科技將繼續秉承“巨人背后的專家,保障客戶業務順暢運行”之使命,以自身豐富的技術經驗為依托,持續助力工業企業數據安全發展。
