聚焦“智改數轉” ，三路並進推動企業資料安全建設

導讀

由江蘇省人力資源和社會保障廳、江蘇省財政廳主辦，江蘇省鹽城技師學院承辦，江蘇省數字經濟聯合會支援的第二期“江蘇省數字技能高階技師崗位技能提升培訓班”，近期在鹽城開班。作為全國首創為一線技能人才數字化賦能專案，省江蘇工匠、高階技師等近50名一線高階技能人才參加本次培訓。

本次培訓，美創科技CTO周杰受邀並以 《數字化時代的企業資料安全建設》 為主題，分享“智改數轉”背景下，製造企業如何最佳化資料安全防禦理念、構建堅實的資料安全防禦體系。

周杰表示，資料作為數字經濟的核心生產要素，發揮著對傳統經濟要素價值倍增、資源最佳化、投入替代的作用，是加快數字經濟發展，推動數字產業化、產業數字化的重要“燃料”。

作為製造業大省，2021年底，江蘇 釋出 製造業“智改數轉“三年行動計劃，率先建成全國製造業高質量發展示範區。以數字技術為支撐，以資料要素為核心，對製造企業而言，關乎生存和長遠發展的必然選擇。 但製造企業在加速釋放資料價值的同時，也面臨著更多的內外部風險與合規壓力。

●  從外部來看

顯著黑產利益驅動下，外部攻擊向大規模資料竊取轉變， 新時期外部攻擊呈現：專業犯罪集團介入、定向化程度更高、勒索金額更高、發生頻次更高、攻防級別更高、影響更惡劣等特點。同時， 我國資料安全監管日益趨嚴，企業合規壓力增大，2021年以來《資料安全法》、《個人資訊保護法》等法律法規相繼頒佈，資料表明：關係到個人資訊的法律有52 部，行政法規42 部，司法解釋50 部，部門規章870 部，團體規定43 部，行業規定171 部。

●  從內部來看

企業 資料安全保護工作開展得並不理想， 數字化安全戰略與架構缺失、資料資產不明、身份的識別與訪問管理缺失、數字化應用產生的個人隱私保護以及跨境風險、資料安全的常態化運營與相應機制缺失等，導致企業資料資產隱患不斷增大。

  數字化安全戰略與架構缺失

“ 數字化轉型成為眾多企業求生存、求發展的必然選擇 ， 然而數字化轉型應建立在堅固的基石：資料安全之上，反之，就如建立在沙灘上的大樓，越高坍塌的可能性越高。”

周杰認為，“應對數字化轉型下的資料風險，企業需以政策為指導，以法律法規為標尺，以相關標準和指南為依據，以資料為中心，以組織為單位，自上而下統籌建設。”

在資料安全領域的長期探索和實踐，美創科技形成了一套資料安全體系建設思路，具體而言包括： 以零信任為基礎構建資料安全防護基座，以資料安全治理構建企業資料安全體系，以資料安全運營實現企業安全狀態持續最佳化。

0 1   以零信任為基礎構建資料安全防護基座

隨著企業數字化轉型， IT設施上雲、辦公裝置移動化的過程中原本靜態的安全邊界模式被打破，資料流動屬性快速釋放，與資料相關的應用、人員等更為複雜且快速變化，傳統封閉式安全理念措施難有效應對。對此， 企業應基於零信任安全機制和技術框架，從資產、身份、合規、行為、訪問上下文、入侵生命週期六個維度進行資料安全防護基座的建設。

 美創零信任2.0理念

周杰表示，零信任假定所有的人（身份）、裝置、行為都是不安全的，其核心是在非安全網路中尋找可靠支撐點，而在資料安全中， “資產”、“身份”是安全體系中的最核心的兩大支撐，即 ：以資料資產保護為核心規劃防護體系，透過重新定義資產的邊界來實現進一步的治理與管控。以身份為中心，透過採用智慧化識別模式來判斷每一個行為的上下文變化和匹配情況，並在過程中不斷評估信任和風險，實現基於上下文風險的動態訪問。

02   以資料安全治理構建資料安全體系

構建資料安全治理體系， 以評估規劃、建設指導、成效評估、持續改進為主線， 圍繞資料安全治理框架，從組織架構、制度流程、人員能力和技術工具建設四個方面構建 。

 

資料安全評估規劃階段 ： 即結合組織實際情況進行現狀分析，包括資料資產梳理、使用許可權情況、內外部資料安全風險梳理，根據資料安全風險狀況建立組織整體安全規劃，形成規劃清單。

建設指導階段： 承接上一個階段規劃進行落地實施，完成資料安全防護措施加固，包括明確組織負責資料安全管理、資料安全執行、資料安全監督等工作的團隊及職責分工，結合資料特點和業務需求，明確資料分類分級原則、方法以及安全管控措施。

成效評估階段： 透過內部自評估、第三方安全評估的方式對組織整體的資料安全建設進行檢查驗證和效果評估，檢驗資料安全治理體系的適宜性、充分性和有效性，提出問題和分析改進措施，應覆蓋組織建設、制度流程、技術工具和人員能力各個維度，涵蓋資料資產分佈、資料安全風險分析、業務資料流向以及安全能力賦能等。

持續改進階段： 在資料安全執行階段，透過運維保障、應急響應、定期評估及整改加固等安全能力支撐，實現資料安全風險的有效防範，組織資料安全能力長期保持，並結合最佳實踐持續改進最佳化。

 

美創資料安全治理服務內容

03  以資料安全運營實現狀態最佳化提升

資料安全不是簡單的工具堆疊，也無法一蹴而就。在資料風險防護與合規監管的推動下，企業應根據具體的業務處理場景和生命週期各個環節， 建設一體化的資料安全管理、安全監控和安全運營體系，實現預測—防禦—檢測—響應的良性迴圈 ，達成資料安全能力的持續最佳化與提升。

 

資料安全運營理念框架：自適應風險和信任評估

建設 資料安全運營保障機制，透過資料資產監管制度、身份監管制度、業務流程規範等制度建設，構建自上而下，可量化考核、可落地執行的制度保障。

建設 資料安全運營平臺 ， 以資料發現和分類分級為基礎，以資料流轉監控及資料風險評估為目標， 對多種資料安全能力集中監測、管理和排程，實時識別敏感資料流動狀態和內外部訪問異常行為，分析敏感網路與資料流動風險，感知最新安全威脅，預測可能的網路攻擊或異常操作行為，聯動網路與資料安全裝置進行聯動處置，防範發生重大網路與資料安全事件。

建立 資料安全應急處置機制， 發生資料安全事件，依法啟動應急預案；開展 資料安全教育培訓， 提升組織資料安全保護意識；透過內部自評估、第三方安全評估的方式進行 週期性的檢查驗證和效果評估， 迭代最佳化資料安全治理體系，持續提高資料安全保障能力。

   美創資料安全運營保障機制

最後，周杰指出，資料安全建設應與整個企業的數字化架構實現同步規劃、同步建設、同步運營。在實踐中，組織可匹配自身的資料安全願景和資源基礎，在“智改數轉”過程中建立起牢靠的安全保障體系，夯實數字化創新應用的底座。