統(tǒng)計(jì)局?jǐn)?shù)據(jù)顯示，2022年以來(lái)，一季度規(guī)模以上中小工業(yè)企業(yè)營(yíng)業(yè)收入和利潤(rùn)都分別增長(zhǎng)了14.1%和6.5%。這其中數(shù)字化的深入發(fā)展及成果，是支持成長(zhǎng)型企業(yè)逆勢(shì)增長(zhǎng)的重要支持力之一。

與此同時(shí)，隨著數(shù)字化建設(shè)的日益深入，業(yè)務(wù)上線、設(shè)備上線、人員上線等創(chuàng)新模式的落地，數(shù)據(jù)已經(jīng)成為企業(yè)的核心資產(chǎn)，同時(shí)也是支持企業(yè)日常生產(chǎn)運(yùn)營(yíng)、創(chuàng)新轉(zhuǎn)型的重要基石。伴隨而來(lái)的針對(duì)企業(yè)的網(wǎng)絡(luò)攻擊，也正在由原來(lái)的攻擊IT系統(tǒng)、網(wǎng)絡(luò)，轉(zhuǎn)向企業(yè)數(shù)據(jù)，通過(guò)加密數(shù)據(jù)等手段，造成企業(yè)的停產(chǎn)、信息泄露等一系列后果。企業(yè)如何才能保護(hù)數(shù)據(jù)及系統(tǒng)安全,成為當(dāng)下企業(yè)發(fā)展中的重要關(guān)注點(diǎn)。

2022年5月27日，在ENI經(jīng)濟(jì)和信息化網(wǎng)聯(lián)合戴爾科技集團(tuán)共同舉辦的“應(yīng)對(duì)數(shù)據(jù)風(fēng)險(xiǎn)最佳策略 ”研討會(huì)上，中國(guó)信通院西部分院安全業(yè)務(wù)部副主任劉鋒、聯(lián)合汽車電子的信息安全總監(jiān)趙超，戴爾科技集團(tuán)數(shù)據(jù)保護(hù)業(yè)務(wù)部吳福分別從國(guó)家地方的政策、行業(yè)的角度、技術(shù)的層面等角度介紹了工業(yè)互聯(lián)網(wǎng)、5G、云計(jì)算等創(chuàng)新技術(shù)快速發(fā)展的當(dāng)下企業(yè)面臨的安全問(wèn)題及一些成功案例。

劉鋒

重慶信通院安全業(yè)務(wù)部副主任

在“工業(yè)互聯(lián)網(wǎng)安全策略探討”的主題演講中，中國(guó)信通院西部分院安全業(yè)務(wù)部副主任劉鋒介紹了工業(yè)互聯(lián)網(wǎng)安全的相關(guān)政策及標(biāo)準(zhǔn)，例如：(三法一例)網(wǎng)絡(luò)安全法、數(shù)據(jù)安全法、個(gè)人信息保護(hù)法以及關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例;《安全指導(dǎo)意見(jiàn)》四個(gè)方面筑牢2632安全保障體系;安全防護(hù)思想等。

劉鋒介紹道在做工業(yè)互聯(lián)網(wǎng)安全工作時(shí)，需要做到明確四個(gè)方面筑牢2632安全保障體系。即：明確2個(gè)安全責(zé)任體系：監(jiān)督管理、企業(yè)主體;健全6個(gè)安全管理體系任務(wù)：安全管理制度、分類分級(jí)管理、安全評(píng)估管理、安全審計(jì)管理、數(shù)據(jù)安全管理;構(gòu)建3個(gè)技術(shù)保障體系任務(wù)：安全技術(shù)保障、安全信息資源、安全試驗(yàn)環(huán)境;培育2個(gè)產(chǎn)業(yè)生態(tài)體系：安全評(píng)估認(rèn)證、人才機(jī)構(gòu)培育。

在提到工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展行動(dòng)計(jì)劃(2021-2023)時(shí)，劉鋒提到需要做到4項(xiàng)安全保障強(qiáng)化行動(dòng)：落實(shí)企業(yè)網(wǎng)絡(luò)安全主體責(zé)任、加強(qiáng)網(wǎng)絡(luò)安全供給創(chuàng)新突破、促進(jìn)網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展壯大、強(qiáng)化網(wǎng)絡(luò)安全技術(shù)保障能力。

吳福

戴爾科技集團(tuán)數(shù)據(jù)保護(hù)業(yè)務(wù)部

每11秒就會(huì)發(fā)生一起網(wǎng)絡(luò)攻擊事件，其中48%的入侵涉及到小型企業(yè);60%+的組織由于脆弱性被利用而導(dǎo)致數(shù)據(jù)丟失;當(dāng)攻擊發(fā)生時(shí)，62%的組織擔(dān)心他們組織現(xiàn)有的數(shù)據(jù)保護(hù)方法可能不足以應(yīng)對(duì)惡意軟件和勒索軟件的威脅，......。如何才能更好的保護(hù)企業(yè)的數(shù)據(jù)安全?戴爾科技集團(tuán)數(shù)據(jù)保護(hù)業(yè)務(wù)部吳福在“應(yīng)對(duì)數(shù)據(jù)風(fēng)險(xiǎn)最佳策略”的主題演講中，提出要用現(xiàn)代化的手段加強(qiáng)數(shù)據(jù)安全和網(wǎng)絡(luò)安全，即保護(hù)數(shù)據(jù)和系統(tǒng)要并行，同時(shí)增強(qiáng)網(wǎng)絡(luò)的彈性，克服安全的復(fù)雜性。

吳福提到，網(wǎng)絡(luò)彈性不僅僅是關(guān)注網(wǎng)絡(luò)安全本身，重點(diǎn)是當(dāng)發(fā)生安全問(wèn)題時(shí)，可以做好成功恢復(fù)的準(zhǔn)備，用三位一體策略保護(hù)企業(yè)的所有數(shù)據(jù)，有效恢復(fù)企業(yè)的數(shù)據(jù)和重要的工作負(fù)載，以減少網(wǎng)絡(luò)攻擊的影響。此外，Cyber Resiliency Assessment可以主動(dòng)監(jiān)測(cè)威脅，快速響應(yīng)安全或勒索事件，限制其影響，同時(shí)可以為企業(yè)內(nèi)部回復(fù)所有的數(shù)據(jù)和及時(shí)恢復(fù)正常運(yùn)營(yíng)而制定技術(shù)和流程。戴爾科技的Mini CR Consulting workshop通過(guò)workshop可以提升企業(yè)對(duì)數(shù)據(jù)攻擊的重視程度，引導(dǎo)企業(yè)在數(shù)據(jù)安全問(wèn)題解決思路邏輯上達(dá)成統(tǒng)一認(rèn)識(shí)。

趙超

上海聯(lián)合汽車電子 信息安全總監(jiān)

以汽車行業(yè)為例，趙超在接下來(lái)的演講中談到，在智能網(wǎng)聯(lián)汽車尚未形成行業(yè)標(biāo)準(zhǔn)的今天，產(chǎn)品信息安全問(wèn)題已受到了行業(yè)內(nèi)外的廣泛關(guān)注。原本封閉環(huán)境下的汽車，長(zhǎng)出無(wú)數(shù)具備互聯(lián)屬性的組件，除了傳統(tǒng)的診斷端口、智能網(wǎng)關(guān)、藍(lán)牙鑰匙、甚至雨刮器都成為可被攻擊的目標(biāo)。這意味著，企業(yè)信息安全的內(nèi)涵外延都發(fā)生了巨大變化。從原有以知識(shí)產(chǎn)權(quán)保護(hù)、信息系統(tǒng)可用為目的的企業(yè)信息資產(chǎn)安全，擴(kuò)展到產(chǎn)品信息安全，并進(jìn)一步延伸出消費(fèi)者數(shù)據(jù)安全、人身安全、甚至國(guó)家安全這樣的網(wǎng)絡(luò)安全概念。

在談到企業(yè)如何面對(duì)這些挑戰(zhàn)時(shí)，趙超提出，還是要回到最基本的概念層面，以風(fēng)險(xiǎn)管控的閉環(huán)來(lái)看待問(wèn)題。而這也恰恰是各種信息安全體系的共同點(diǎn)。無(wú)論是ISO27001體系還是即將推出的ISO/SAE21434，都是以風(fēng)險(xiǎn)為導(dǎo)向的管控體系。而重要資產(chǎn)識(shí)別以及相關(guān)資產(chǎn)的風(fēng)險(xiǎn)識(shí)別是安全體系建設(shè)的基礎(chǔ)。如果認(rèn)識(shí)不到風(fēng)險(xiǎn)，信息安全工作就變得非常盲目。從這個(gè)角度來(lái)說(shuō)，盡管各種體系都會(huì)給出一些方法論，但經(jīng)驗(yàn)也尤為重要。所以在意識(shí)層面，依靠體系的方法論，在實(shí)踐上則要汲取不同業(yè)務(wù)領(lǐng)域曾經(jīng)遇到的各種問(wèn)題，作為風(fēng)險(xiǎn)識(shí)別的輸入。兩條腿走路，了解自身的風(fēng)險(xiǎn)所在，建立風(fēng)險(xiǎn)管控體系和手段。

目前企業(yè)數(shù)字化轉(zhuǎn)型的大背景下，各個(gè)行業(yè)都面臨著嚴(yán)峻的挑戰(zhàn)，特別是產(chǎn)品信息安全領(lǐng)域，更是道高一尺魔高一丈。企業(yè)的信息安全工作一定要與數(shù)字化轉(zhuǎn)型同步規(guī)劃、同步建設(shè)，才能保障轉(zhuǎn)型的持續(xù)深化。

在問(wèn)答環(huán)節(jié)，與會(huì)嘉賓就“如何確保信息安全策略的有效落地?”做了討論，重慶信通院安全業(yè)務(wù)部副主任劉峰談到：首先，企業(yè)應(yīng)加強(qiáng)與當(dāng)?shù)刂鞴懿块T的交流，積極參與相關(guān)活動(dòng)，跟進(jìn)政策面的要求;第二，挖掘自身信息安全策略實(shí)施動(dòng)力，確保預(yù)算投入，明確目標(biāo);第三，尋求政府技術(shù)支撐機(jī)構(gòu)或者安全廠商的支持，制定可行的實(shí)施方案;第四，確保實(shí)施過(guò)程的自身的可控、可知，并建議通過(guò)公正的第三方的安全性評(píng)估;第五，完善管理制度、機(jī)構(gòu)，培訓(xùn)相關(guān)人員，良好開(kāi)展信息安全的運(yùn)營(yíng)和管理;最后，企業(yè)應(yīng)持續(xù)改進(jìn)提升。