北京天融信科技有限公司
近日,第五屆中國數據安全治理高峰論壇-工業數據安全分論壇成功召開,論壇以“數安新征程 共探治理路"為主題,邀請業內專家解讀數據安全法律法規、政策文件及標準,交流數據安全關鍵技術創新成果,分享數據安全治理方案及實踐。天融信科技集團助理總裁李建彬出席論壇并發表《工業領域數據安全實踐》主題演講。
本次論壇由中國計算機學會計算機安全專委會、工業信息安全產業發展聯盟、北京工業互聯網技術創新與產業發展聯盟、中關村網絡安全與信息化產業聯盟聯合主辦,致力于推動數據安全治理領域內的經驗分享、技術交流、協調合作以及國內相關行業的交流。
近年來,工業領域已成為我國數字化轉型發展的主陣地,也是數字經濟發展的前沿區,工業數據安全越來越成為工業轉型升級的重中之重。當前,針對數據層面的攻擊方式日漸新型多樣,攻擊竊取數據的攻擊路徑增多,工業數據上云、出境等風險加劇,工業數據安全風險形勢復雜嚴峻。工業領域數據安全建設存在全局性戰略性數據安全意識薄弱、數據管理與分類分級防護能力不足、針對性數據安全防護技術手段欠缺、數據安全可信交互共享生態尚未建立等問題。
李建彬認為,工業領域安全建設處于初期階段,工業企業用戶數據安全意識不足,工業數據面臨著分類易、分級難的問題。
保障工業數據安全應當協助工業企業建立完整的數據安全管理體系、管理制度、分類分級清單;建立完整的數據安全管理體系、數據全生命周期安全保護體系;設立工業領域數據安全試點,開展企業自評估工作過程,在整體提升企業網絡的數據安全綜合能力的同時,不斷完善工業互聯網數據安全監管及運營實踐過程,將數據安全措施因地制宜的應用,進一步實現數據安全治理的可持續發展。
應貼合工業領域的數據安全特征推進數據安全建設
當前工業企業面臨“內"“外"數據安全特征。對于企業內部,存在企業用戶數據安全意識不足,對數據的概念比較弱,缺乏數據分級、數據安全措施的建設思路,造成數據安全事件層出不窮;另外,工業數據分類容易分級難,同一類數據因為行業、業務、范圍的差異都有可能存在級別差異,當前缺少面向企業的定級依據。對于企業外部,數字化進程中,數據安全建設處于初級階段,更多的還是在做傳統安全的基礎建設階段,工業企業的數據安全建設應參照“內"“外"特征,建設符合當前工業企業的數據安全防護。
管理+技術并重,提升工業領域數據安全防護能力
在工業領域數據安全實踐試點工作中,應建立全面的安全防護設計,不僅要具備數據安全管理建設,還需要從數據全生命周期的防護視角進行建設,從而確保數據被處理過程中有相應的保護措施。工業領域數據安全不僅從技術上進行保護,還從安全管理制度、人員保障、權限管理、評估安全等管理手段上進行防護,建立可閉環的數據安全防護建設過程,從而提升工業領域數據安全防護能力。
以政策為指引,建立全面的工業數據安全運營機制
未來工業領域數據安全發展將會以政策、要求作為推進依據,建立與企業工業場景契合的數據安全措施,通過逐步持續優化的常態性數據安全治理,形成安全治理和安全運營的數據交互、改進的閉環。例如,安全治理環節的風險清單和策略應運用到安全運營環節,同時安全運營環節的成果也可以為安全治理環節提供依據;共建工業領域的數據安全運營機制。
作為一批開展工業信息安全領域研究和研發的企業之一,天融信將成熟的網絡安全技術與工業互聯網業務場景深度融合,形成完善的工業互聯網安全技術體系與解決方案,推出10余款核心產品,在電力、石油、鋼鐵等30多個行業廣泛應用。
TOPSEC
未來,天融信將持續以“雙安融合"的理念,堅持功能安全與信息安全的有機融合、協同發展,擴大安全作用范圍,并從低位(控制設備安全)、中位(通信傳輸安全)、高位(高級運營管理)三方面的融合進行探索與應用,為工業互聯網產業高質量發展保駕護航。