《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 工業(yè)數(shù)據(jù)安全能力建設(shè)路徑與思考

工業(yè)數(shù)據(jù)安全能力建設(shè)路徑與思考

2022-11-07
來(lái)源:安全牛
關(guān)鍵詞: 工業(yè)數(shù)據(jù)

  工業(yè)領(lǐng)域數(shù)據(jù)安全管理與防護(hù)能力建設(shè)要以分類分級(jí)為基礎(chǔ),,圍繞重要數(shù)據(jù),、核心數(shù)據(jù),,補(bǔ)短固底強(qiáng)化基礎(chǔ),實(shí)施分級(jí)防護(hù)與精細(xì)化管控,、開(kāi)展數(shù)據(jù)安全能力評(píng)估并持續(xù)運(yùn)營(yíng),。

  工業(yè)數(shù)據(jù)安全建設(shè)路徑:

  1.以數(shù)據(jù)分類分級(jí)為基礎(chǔ),,識(shí)別重要數(shù)據(jù)資產(chǎn),,做到“摸清家底,,識(shí)別關(guān)鍵”

  2.識(shí)別典型業(yè)務(wù)場(chǎng)景,圍繞重要數(shù)據(jù)資產(chǎn),,“補(bǔ)短板”,, 強(qiáng)化基礎(chǔ)安全防護(hù)能力

  3.基于數(shù)據(jù)分類分級(jí)結(jié)果實(shí)施分級(jí)管控與防護(hù)策略,做到“體系化管理,,精細(xì)化管控”

  4.持續(xù)數(shù)據(jù)安全能力評(píng)估,加強(qiáng)數(shù)據(jù)安全事件運(yùn)營(yíng),,做到“查漏補(bǔ)缺,,運(yùn)籌帷幄,持續(xù)運(yùn)營(yíng)”

  一,、背景

  《中華人民共和國(guó)數(shù)據(jù)安全法》(以下簡(jiǎn)稱“數(shù)據(jù)安全法”)是數(shù)據(jù)安全領(lǐng)域的基礎(chǔ)性法律,,明確提出了行業(yè)數(shù)據(jù)安全監(jiān)管的職責(zé),對(duì)于工業(yè)領(lǐng)域來(lái)講,,需對(duì)本行業(yè)制定相關(guān)數(shù)據(jù)安全標(biāo)準(zhǔn),、監(jiān)測(cè)數(shù)據(jù)安全風(fēng)險(xiǎn),、區(qū)分本行業(yè)重要數(shù)據(jù)和核心數(shù)據(jù),保障本行業(yè)的數(shù)據(jù)安全等要求,。為貫徹落實(shí)數(shù)據(jù)安全法等法律法規(guī)對(duì)工業(yè)領(lǐng)域數(shù)據(jù)安全管理工作的要求,,工業(yè)和信息化部擬發(fā)布《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法(試行)》,用于加快和推進(jìn)工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理工作制度化,、規(guī)范化,、并提升工業(yè)和電信行業(yè)數(shù)據(jù)安全保護(hù)能力,防范數(shù)據(jù)安全風(fēng)險(xiǎn),,同時(shí)相繼推出《工業(yè)領(lǐng)域重要數(shù)據(jù)和核心數(shù)據(jù)識(shí)別規(guī)則(草案)》《工業(yè)企業(yè)數(shù)據(jù)安全防護(hù)要求(草案)》《工業(yè)數(shù)據(jù)安全評(píng)估指南(草案)》等,,用來(lái)指導(dǎo)工業(yè)企業(yè)識(shí)別重要數(shù)據(jù)和核心數(shù)據(jù)、評(píng)估工業(yè)企業(yè)數(shù)據(jù)安全防護(hù)能力和建設(shè)參考,。

  工業(yè)領(lǐng)域已成為我國(guó)數(shù)字化轉(zhuǎn)型與數(shù)字經(jīng)濟(jì)發(fā)展的前沿,,隨著工業(yè)領(lǐng)域數(shù)字化轉(zhuǎn)型的推進(jìn),工業(yè)企業(yè)由傳統(tǒng)的生產(chǎn)車間的生產(chǎn)制造逐步轉(zhuǎn)向數(shù)字產(chǎn)業(yè)化和生產(chǎn)數(shù)字化,,而數(shù)據(jù)作為具有生產(chǎn)效益的數(shù)字要素,,已成為數(shù)字化發(fā)展的關(guān)鍵。

  工業(yè)領(lǐng)域的數(shù)據(jù)規(guī)模呈爆發(fā)式增長(zhǎng),,泛在化流動(dòng),,并且向平臺(tái)化集中,同時(shí),,隨著業(yè)務(wù)系統(tǒng)上云,、數(shù)據(jù)交互和流通(甚至存在跨境傳輸)需求的增加,針對(duì)于工業(yè)領(lǐng)域數(shù)據(jù)層面的安全管理,、安全防護(hù)問(wèn)題也逐漸增多,,工業(yè)數(shù)據(jù)安全形式復(fù)雜且變得嚴(yán)峻。

  如何對(duì)海量工業(yè)數(shù)據(jù)進(jìn)行有針對(duì)性的防護(hù),,促進(jìn)工業(yè)領(lǐng)域數(shù)據(jù)安全有序的流動(dòng),、保障業(yè)務(wù)應(yīng)用安全的使用、及時(shí)發(fā)現(xiàn)潛在數(shù)據(jù)風(fēng)險(xiǎn)并及時(shí)處置等,,都是當(dāng)前工業(yè)領(lǐng)域數(shù)據(jù)安全管理與防護(hù)的難題,。

  二、工業(yè)數(shù)據(jù)安全建設(shè)路徑

  對(duì)于工業(yè)領(lǐng)域的數(shù)據(jù)安全管理和能力建設(shè),,應(yīng)聚焦工業(yè)領(lǐng)域數(shù)據(jù)的內(nèi)容,、特征,緊貼業(yè)務(wù)應(yīng)用場(chǎng)景,,構(gòu)建以數(shù)據(jù)為核心,,建立以“以分類分級(jí)為基礎(chǔ),圍繞重要數(shù)據(jù),、核心數(shù)據(jù),,補(bǔ)短固底強(qiáng)化基礎(chǔ),,開(kāi)展分級(jí)防護(hù)與精細(xì)化管控、安全能力評(píng)估并與持續(xù)運(yùn)營(yíng)”的路線作為工業(yè)領(lǐng)域數(shù)據(jù)安全管理與防護(hù)能力建設(shè)的路線開(kāi)展,。

  1,、以數(shù)據(jù)分類分級(jí)為基礎(chǔ),識(shí)別重要數(shù)據(jù)資產(chǎn),,做到“摸清家底,,識(shí)別關(guān)鍵”

  數(shù)據(jù)分類分級(jí)是工業(yè)領(lǐng)域數(shù)據(jù)安全管理與防護(hù)體系建設(shè)的基礎(chǔ)。

  工業(yè)領(lǐng)域相關(guān)企業(yè)提供產(chǎn)品或服務(wù)時(shí),,相關(guān)產(chǎn)品的研發(fā)設(shè)計(jì),、生產(chǎn)制造、經(jīng)營(yíng)管理,、運(yùn)維服務(wù)等環(huán)節(jié)中產(chǎn)生和使用的數(shù)據(jù)類型眾多,。其中,工業(yè)領(lǐng)域數(shù)據(jù)的主要來(lái)源包括:一是來(lái)源于企業(yè)內(nèi)部信息化管理系統(tǒng),,主要涉及到業(yè)務(wù)經(jīng)營(yíng)管理相關(guān)的數(shù)據(jù),,如產(chǎn)品、工藝,、生產(chǎn),、采購(gòu)、營(yíng)銷,、訂單,、服務(wù)、運(yùn)維,、管理等方面的數(shù)據(jù),;二是來(lái)自產(chǎn)線設(shè)備的數(shù)據(jù),主要包含生產(chǎn)過(guò)程中產(chǎn)線,、設(shè)備,、物流等環(huán)節(jié)的相關(guān)工況信息、工作面信息,、運(yùn)行狀況信息,、環(huán)境監(jiān)控信息等,這類數(shù)據(jù)量大,,數(shù)據(jù)來(lái)源繁雜且具有很強(qiáng)的實(shí)時(shí)性,;三是來(lái)自于工業(yè)企業(yè)的外部數(shù)據(jù),一般情況下包括工業(yè)企業(yè)外部相關(guān)的供應(yīng)鏈數(shù)據(jù),、互聯(lián)網(wǎng)數(shù)據(jù)、工業(yè)產(chǎn)品或服務(wù)交付后產(chǎn)生的數(shù)據(jù)(如設(shè)備工況,、工作面等數(shù)據(jù)),,此類數(shù)據(jù)一般情況會(huì)與工業(yè)企業(yè)業(yè)務(wù)相融合,,經(jīng)過(guò)開(kāi)發(fā)分析與匯聚融合后,為工業(yè)企業(yè)提供數(shù)據(jù)支撐,,促進(jìn)業(yè)務(wù)發(fā)展,。

  因此,工業(yè)領(lǐng)域數(shù)據(jù)類型多,、數(shù)據(jù)來(lái)源復(fù)雜,、體量大,若對(duì)所有數(shù)據(jù)無(wú)差別的進(jìn)行安全管理和防護(hù),,對(duì)于數(shù)據(jù)安全管理人員來(lái)說(shuō)就顯得不科學(xué)和不現(xiàn)實(shí),。摸清工業(yè)企業(yè)具有的數(shù)據(jù)類型、識(shí)別要保護(hù)的數(shù)據(jù)類型就顯得很重要,,將數(shù)據(jù)分類分級(jí)管理和開(kāi)展工作賦能到工業(yè)企業(yè)相關(guān)業(yè)務(wù)條線,,識(shí)別重點(diǎn)保護(hù)的數(shù)據(jù)類型,作為常態(tài)化管理工作是一種必然,。

  對(duì)于工業(yè)領(lǐng)域的數(shù)據(jù)分類分級(jí)與重要數(shù)據(jù)識(shí)別,,應(yīng)至少做到以下幾點(diǎn):

  a) 識(shí)別并對(duì)工業(yè)企業(yè)各個(gè)業(yè)務(wù)條線上的數(shù)據(jù)的敏感性進(jìn)行評(píng)價(jià),識(shí)別出具有業(yè)務(wù)成果性,、關(guān)鍵性,、重要性、核心性相關(guān)聯(lián)的業(yè)務(wù)系統(tǒng)的數(shù)據(jù)(含個(gè)人數(shù)據(jù))的敏感性,,區(qū)分敏感數(shù)據(jù)類型,,并進(jìn)行數(shù)據(jù)安全類型和數(shù)據(jù)安全級(jí)別的標(biāo)記;

  b) 按照工業(yè)和信息化領(lǐng)域的相關(guān)要求,,需識(shí)別出對(duì)國(guó)家安全,、行業(yè)發(fā)展(安全管控、經(jīng)濟(jì)運(yùn)行,、行業(yè)競(jìng)爭(zhēng)),、行業(yè)特色、出庫(kù)管制,、供應(yīng)鏈安全等相關(guān)的重要數(shù)據(jù),、核心數(shù)據(jù),并按照要求完成重要數(shù)據(jù),、核心數(shù)據(jù)的備案管理工作,;

  2、識(shí)別典型業(yè)務(wù)場(chǎng)景,,圍繞重要數(shù)據(jù)資產(chǎn),,“補(bǔ)短板”, 強(qiáng)化基礎(chǔ)安全防護(hù)能力

  工業(yè)企業(yè)的數(shù)據(jù)具有海量,、多態(tài)的特點(diǎn),,隨著工業(yè)企業(yè)相關(guān)業(yè)務(wù)的運(yùn)轉(zhuǎn)過(guò)程中,,對(duì)數(shù)據(jù)的訪問(wèn)場(chǎng)景多樣、路徑繁多,,接觸人員角色復(fù)雜,,不同業(yè)務(wù)場(chǎng)景下面對(duì)的數(shù)據(jù)安全風(fēng)險(xiǎn)不同,難以套用傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)能力去保障,,每段業(yè)務(wù)流程中對(duì)數(shù)據(jù)的安全訪問(wèn)與數(shù)據(jù)的級(jí)別,、類別、數(shù)據(jù)全生命周期無(wú)法做到一一對(duì)應(yīng),,因此,,很難在業(yè)務(wù)場(chǎng)景中根據(jù)數(shù)據(jù)全生命周期的邏輯作為數(shù)據(jù)安全能力建設(shè)的依據(jù)而落地技術(shù)保護(hù)措施。針對(duì)于類似于工業(yè)企業(yè)數(shù)據(jù)量大,、數(shù)據(jù)來(lái)源復(fù)雜,、數(shù)據(jù)業(yè)務(wù)場(chǎng)景眾多的情況,從識(shí)別業(yè)務(wù)場(chǎng)景出發(fā),,構(gòu)建數(shù)據(jù)安全能力:

  a) 典型業(yè)務(wù)場(chǎng)景識(shí)別:在工業(yè)企業(yè)的眾多業(yè)務(wù)場(chǎng)景中,,不同產(chǎn)業(yè)類型的工業(yè)企業(yè)的主要經(jīng)濟(jì)業(yè)務(wù)類型存在差異化,一般包含資金籌集業(yè)務(wù),、生產(chǎn)準(zhǔn)備業(yè)務(wù),、產(chǎn)品生產(chǎn)業(yè)務(wù)、產(chǎn)品銷售業(yè)務(wù),、財(cái)務(wù)成果性差分配業(yè)務(wù)等五大類,,工業(yè)企業(yè)不同的業(yè)務(wù)涵蓋可能涉及的經(jīng)濟(jì)業(yè)務(wù)類型不同,所以在不同的工業(yè)業(yè)務(wù)信息系統(tǒng)中,,數(shù)據(jù)的類型,、種類、數(shù)據(jù)敏感性存在差異化,。在進(jìn)行數(shù)據(jù)安全管理活動(dòng)中,,厘清并識(shí)別出工業(yè)企業(yè)關(guān)鍵性、核心性業(yè)務(wù)場(chǎng)景,,是做數(shù)據(jù)安全風(fēng)險(xiǎn)識(shí)別的先決條件,;

  b) 識(shí)別數(shù)據(jù)安全風(fēng)險(xiǎn):針對(duì)于工業(yè)企業(yè)不同的業(yè)務(wù)類型,選擇典型的業(yè)務(wù)應(yīng)用場(chǎng)景,,圍繞敏感數(shù)據(jù)(含重要數(shù)據(jù),、核心數(shù)據(jù)),發(fā)現(xiàn)關(guān)鍵的數(shù)據(jù)訪問(wèn)業(yè)務(wù)系統(tǒng)的場(chǎng)景,,通過(guò)開(kāi)展數(shù)據(jù)安全維度的威脅建模,、風(fēng)險(xiǎn)分析,暴露出典型業(yè)務(wù)場(chǎng)景中的數(shù)據(jù)安全風(fēng)險(xiǎn)問(wèn)題;

  c) 補(bǔ)短固底,,做好基礎(chǔ)防護(hù):圍繞識(shí)別的數(shù)據(jù)安全風(fēng)險(xiǎn),,通過(guò)其暴露的安全問(wèn)題,開(kāi)展選取針對(duì)性的數(shù)據(jù)安全能力,,并落地技術(shù)防護(hù)措施,在支撐工業(yè)企業(yè)業(yè)務(wù)正常開(kāi)展的同時(shí),,確保典型業(yè)務(wù)場(chǎng)景下數(shù)據(jù)安全使用和數(shù)據(jù)安全能力的持續(xù),。

  3、基于數(shù)據(jù)分類分級(jí)結(jié)果實(shí)施分級(jí)管控與防護(hù)策略,,做到“體系化管理,,精細(xì)化管控”

  工業(yè)和信息化領(lǐng)域相關(guān)企業(yè)中的部門包含采購(gòu)部門、人力資源部門,、研發(fā)設(shè)計(jì)部門,、生產(chǎn)制造部門、運(yùn)營(yíng)維護(hù)部門,、銷售營(yíng)銷部門,、法務(wù)部門、審計(jì)部門,、數(shù)字化執(zhí)行部門,、信息化部門等,其中數(shù)據(jù)安全管理的主要職責(zé)需要從工業(yè)企業(yè)全局和實(shí)際現(xiàn)狀考慮,,在構(gòu)筑數(shù)據(jù)安全管理體系時(shí)應(yīng)充分考慮現(xiàn)有企業(yè)的相關(guān)管理體系,、組織結(jié)構(gòu)和人員組成等情況,確定各相關(guān)方的數(shù)據(jù)安全管理職責(zé),。工業(yè)企業(yè)數(shù)據(jù)安全管理體系的構(gòu)建需要做到如下:

  a) 優(yōu)化數(shù)據(jù)安全管理體系,,在企業(yè)原有相關(guān)的安全體系下構(gòu)建數(shù)據(jù)安全管理體系,優(yōu)化數(shù)據(jù)安全管理組織架構(gòu),;

  b) 明確數(shù)據(jù)安全組織職能分工,,確定數(shù)據(jù)安全主管部門(信息化部或數(shù)字化部)職責(zé)各相關(guān)方職責(zé),其中各相關(guān)方包含采購(gòu),、人力,、研發(fā)設(shè)計(jì)、生產(chǎn)制造,、運(yùn)營(yíng)維護(hù),、銷售營(yíng)銷、法務(wù),、審計(jì)等部門,;

  c) 明確數(shù)據(jù)安全崗位職責(zé)與說(shuō)明,針對(duì)于數(shù)據(jù)安全管理、數(shù)據(jù)安全策略與數(shù)據(jù)安全實(shí)施相關(guān)的工作職責(zé)應(yīng)明確相關(guān)負(fù)責(zé)人,、職責(zé)說(shuō)明,。

  除了需要確定各相關(guān)方數(shù)據(jù)安全管理職責(zé)以外,還應(yīng)通過(guò)數(shù)據(jù)安全相關(guān)管理制度,、規(guī)程中明確出數(shù)據(jù)安全管理的具體內(nèi)容,,相關(guān)的數(shù)據(jù)安全管理制度包括但不限于數(shù)據(jù)安全管理辦法、數(shù)據(jù)分類分級(jí)規(guī)范,、數(shù)據(jù)安全審計(jì)規(guī)范,、數(shù)據(jù)安全評(píng)估辦法、數(shù)據(jù)安全應(yīng)急管理制度,、數(shù)據(jù)內(nèi)部登記審批制度等等,。

  工業(yè)領(lǐng)域相關(guān)企業(yè)在開(kāi)展業(yè)務(wù)時(shí),對(duì)數(shù)據(jù)對(duì)訪問(wèn),、使用等環(huán)節(jié)應(yīng)基于業(yè)務(wù)視角,,對(duì)相關(guān)數(shù)據(jù)類型、數(shù)據(jù)的流向,、流轉(zhuǎn)的系統(tǒng)與載體,、流轉(zhuǎn)的數(shù)據(jù)量級(jí)、數(shù)據(jù)的流轉(zhuǎn)目的,、數(shù)據(jù)存儲(chǔ)位置,、數(shù)據(jù)的消費(fèi)方、數(shù)據(jù)使用方式等內(nèi)容進(jìn)行梳理并結(jié)合數(shù)據(jù)分類分級(jí)結(jié)果,,構(gòu)建精細(xì)化的數(shù)據(jù)安全防護(hù)策略,,其中包含但不限于:

  a) 分級(jí)防護(hù)策略:與數(shù)據(jù)分類分級(jí)結(jié)果、數(shù)據(jù)全生命周期維度,、從數(shù)據(jù)安全管理,,數(shù)據(jù)安全技術(shù)防護(hù)視角構(gòu)建數(shù)據(jù)安全防護(hù)策略;

  b) 精細(xì)化訪問(wèn)控制策略:基于數(shù)據(jù)分類分級(jí)結(jié)果,,從業(yè)務(wù)訪問(wèn)數(shù)據(jù)資源的需求出發(fā),,制定可落地的訪問(wèn)控制策略或技術(shù)措施,保護(hù)訪問(wèn)角色,、系統(tǒng)賬戶密碼安全,,做到系統(tǒng)數(shù)據(jù)資產(chǎn)統(tǒng)一訪問(wèn)納管;

  c) 場(chǎng)景化防護(hù)策略:圍繞業(yè)務(wù)場(chǎng)景和數(shù)據(jù)流轉(zhuǎn),,梳理數(shù)據(jù)脈絡(luò),,識(shí)別數(shù)據(jù)的訪問(wèn)關(guān)系,制定貼合業(yè)務(wù)場(chǎng)景的數(shù)據(jù)安全能力和防護(hù)策略,。

  4,、持續(xù)數(shù)據(jù)安全能力評(píng)估,,加強(qiáng)數(shù)據(jù)安全事件運(yùn)營(yíng),做到“查漏補(bǔ)缺,,運(yùn)籌帷幄,,持續(xù)運(yùn)營(yíng)”

  對(duì)于工業(yè)企業(yè)來(lái)說(shuō),如何對(duì)自身的數(shù)據(jù)安全管理和防護(hù)能力進(jìn)行評(píng)價(jià),,需從綜合評(píng)價(jià)的角度,,運(yùn)用科學(xué)的方法和手段,系統(tǒng)地分析和診斷工業(yè)數(shù)據(jù)所面臨的威脅及其存在的脆弱性來(lái)評(píng)估工業(yè)企業(yè)數(shù)據(jù)安全防護(hù)水平,。開(kāi)展數(shù)據(jù)安全能力評(píng)估的目的是通過(guò)數(shù)據(jù)安全防護(hù)評(píng)估,,讓工業(yè)企業(yè)發(fā)現(xiàn)自己的數(shù)據(jù)安全能力的弱項(xiàng)和短板,及時(shí)查漏補(bǔ)缺,,提升工業(yè)企業(yè)自身的數(shù)據(jù)安全能力,通過(guò)不斷且持續(xù)的數(shù)據(jù)安全能力評(píng)估活動(dòng),,使工業(yè)企業(yè)在數(shù)據(jù)安全能力建設(shè)過(guò)程中穩(wěn)扎穩(wěn)打,,勒實(shí)基礎(chǔ)。評(píng)估工業(yè)企業(yè)的數(shù)據(jù)安全能力,,主要參照《工業(yè)數(shù)據(jù)安全評(píng)估指南》規(guī)定的104項(xiàng)數(shù)據(jù)安全能力進(jìn)行評(píng)估,,從評(píng)估結(jié)果得分確定工業(yè)企業(yè)數(shù)據(jù)安全能力的強(qiáng)弱,其中包含:

  a) 通用性數(shù)據(jù)安全管理能力評(píng)估,,包含評(píng)估數(shù)據(jù)安全管理制度,、組織機(jī)構(gòu)、人員保障,、權(quán)限管理,、系統(tǒng)與設(shè)備安全管理、供應(yīng)鏈數(shù)據(jù)安全管理,、安全評(píng)估,、日志留存和審計(jì)、監(jiān)測(cè)預(yù)警,、信息共享和應(yīng)急處置等通用性的數(shù)據(jù)安全能力進(jìn)行評(píng)估,;

  b) 分級(jí)防護(hù)能力評(píng)估,通過(guò)對(duì)一般數(shù)據(jù),、重要數(shù)據(jù),、核心數(shù)據(jù)在數(shù)據(jù)全生命周期中差異化的數(shù)據(jù)安全防護(hù)能力方面進(jìn)行數(shù)據(jù)安全能力評(píng)估。

  采取有效的數(shù)據(jù)安全監(jiān)測(cè)工具,,是維護(hù)數(shù)據(jù)安全風(fēng)險(xiǎn)持續(xù)安全運(yùn)營(yíng)的有效手段,。

  數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)需要關(guān)注對(duì)數(shù)據(jù)風(fēng)險(xiǎn)的發(fā)現(xiàn)和控制能力,數(shù)據(jù)安全管理人員需要考慮如何去發(fā)現(xiàn)和識(shí)別業(yè)務(wù)上的數(shù)據(jù)風(fēng)險(xiǎn),,怎么去對(duì)產(chǎn)生的數(shù)據(jù)風(fēng)險(xiǎn)進(jìn)行治理和糾正,,怎么在以后的運(yùn)營(yíng)環(huán)節(jié)中規(guī)避這種數(shù)據(jù)風(fēng)險(xiǎn),,怎么對(duì)發(fā)現(xiàn)數(shù)據(jù)的風(fēng)險(xiǎn)進(jìn)行評(píng)估,可以對(duì)數(shù)據(jù)風(fēng)險(xiǎn)的發(fā)生概率,、影響對(duì)象以及影響程度進(jìn)行綜合分析,,按照系統(tǒng)化、科學(xué)化管理思想,,及時(shí)掌握工業(yè)企業(yè)數(shù)據(jù)安全風(fēng)險(xiǎn)態(tài)勢(shì),,研判分析可能發(fā)生重大數(shù)據(jù)安全事件風(fēng)險(xiǎn)的情況。

  針對(duì)數(shù)據(jù)安全風(fēng)險(xiǎn)持續(xù)運(yùn)營(yíng),,應(yīng)采取切實(shí)可行,、能力完善的技術(shù)工具及時(shí)發(fā)現(xiàn)數(shù)據(jù)安全風(fēng)險(xiǎn)事件,對(duì)數(shù)據(jù)安全事件持續(xù)監(jiān)測(cè),。圍繞對(duì)數(shù)據(jù)資產(chǎn)的管理,、數(shù)據(jù)流動(dòng)監(jiān)測(cè)、數(shù)據(jù)風(fēng)險(xiǎn)管理,、數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估等能力,,實(shí)現(xiàn)對(duì)數(shù)據(jù)安全風(fēng)險(xiǎn)的態(tài)勢(shì)、數(shù)據(jù)安全事件溯源的感知能力,。對(duì)于數(shù)據(jù)安全風(fēng)險(xiǎn)等態(tài)勢(shì)感知能力,,通過(guò)對(duì)單位時(shí)間段內(nèi)的數(shù)據(jù)資產(chǎn)分布、敏感數(shù)據(jù)量,、敏感數(shù)據(jù)類型等指標(biāo)進(jìn)行統(tǒng)計(jì)分析與趨勢(shì)預(yù)測(cè),;對(duì)數(shù)據(jù)資產(chǎn)流動(dòng)的程序和載體,如數(shù)據(jù)庫(kù),、應(yīng)用,、API等涉敏對(duì)象采取敏感數(shù)據(jù)量、敏感數(shù)據(jù)類型等指標(biāo)進(jìn)行統(tǒng)計(jì)分析與趨勢(shì)預(yù)測(cè),;對(duì)分布在不同位置,、不同時(shí)間、不同類別,、不同級(jí)別的數(shù)據(jù)資產(chǎn)的安全告警,、事件處置等指標(biāo)進(jìn)行統(tǒng)計(jì)分析與趨勢(shì)預(yù)測(cè)。三大安全態(tài)勢(shì)圍繞數(shù)據(jù)從分布,、流動(dòng),、風(fēng)險(xiǎn)三個(gè)維度為運(yùn)營(yíng)人員構(gòu)建了清晰的宏觀視圖。對(duì)于安全事件溯源能力,,應(yīng)通過(guò)對(duì)數(shù)據(jù)資產(chǎn)內(nèi)容和相關(guān)方的溯源能力,,將可疑的“人”、“數(shù)”,、證據(jù)等信息按時(shí)間順序組織成為事件鏈,,為運(yùn)營(yíng)人員構(gòu)建細(xì)致的微觀視圖,。

  三、總結(jié)

  工業(yè)領(lǐng)域相關(guān)企業(yè)開(kāi)展數(shù)據(jù)安全能力建設(shè),,需要把握四個(gè)方面:

  首先要切換視角,,圍繞“保護(hù)重要數(shù)據(jù)資產(chǎn)”為目的,去梳理業(yè)務(wù),、識(shí)別典型業(yè)務(wù)場(chǎng)景,,梳理數(shù)據(jù)資產(chǎn),做好分類分級(jí),,識(shí)別重要的數(shù)據(jù)資產(chǎn),,摸清現(xiàn)有的管理及技術(shù)防護(hù)的現(xiàn)狀,盤清家底,。

  然后,,圍繞重要的數(shù)據(jù)資產(chǎn),重新審視已有的安全措施是否有效并覆蓋到了對(duì)重要數(shù)據(jù)資產(chǎn)的保護(hù),,加強(qiáng)基礎(chǔ)安全能力建設(shè),,補(bǔ)足短板。

  同時(shí),,以數(shù)據(jù)分類分級(jí)為基礎(chǔ),去規(guī)劃設(shè)計(jì)數(shù)據(jù)安全防護(hù)體系,, 結(jié)合業(yè)務(wù)的場(chǎng)景化以及迫切性,,有序建設(shè),逐步補(bǔ)全安全能力,,將數(shù)據(jù)安全能力全面覆蓋數(shù)據(jù)在流轉(zhuǎn)過(guò)程中的各階段,,涉及數(shù)據(jù)采集、傳輸,、存儲(chǔ),、處理、交換和銷毀等各環(huán)節(jié),,使安全能力內(nèi)生于業(yè)務(wù)系統(tǒng)以及數(shù)據(jù)信息化基礎(chǔ)環(huán)境建設(shè)中,,在業(yè)務(wù)流程中按需調(diào)用,靈活配置安全能力,,達(dá)到深度融合,、全面覆蓋。

  最后,,定期開(kāi)展數(shù)據(jù)安全能力評(píng)估,,不斷優(yōu)化和提升數(shù)據(jù)安全能力,持續(xù)運(yùn)營(yíng),,只有不斷完善,、不斷改進(jìn),,數(shù)據(jù)安全道路才能越走越遠(yuǎn)。



更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<

二維碼.png


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章,、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容,、版權(quán)和其它問(wèn)題,請(qǐng)及時(shí)通過(guò)電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118,;郵箱:[email protected],。