統(tǒng)計局?jǐn)?shù)據(jù)顯示，2022年以來，一季度規(guī)模以上中小工業(yè)企業(yè)營業(yè)收入和利潤都分別增長了14.1%和6.5%。這其中數(shù)字化的深入發(fā)展及成果，是支持成長型企業(yè)逆勢增長的重要支持力之一。

與此同時，隨著數(shù)字化建設(shè)的日益深入，業(yè)務(wù)上線、設(shè)備上線、人員上線等創(chuàng)新模式的落地，數(shù)據(jù)已經(jīng)成為企業(yè)的核心資產(chǎn)，同時也是支持企業(yè)日常生產(chǎn)運營、創(chuàng)新轉(zhuǎn)型的重要基石。伴隨而來的針對企業(yè)的網(wǎng)絡(luò)攻擊，也正在由原來的攻擊IT系統(tǒng)、網(wǎng)絡(luò)，轉(zhuǎn)向企業(yè)數(shù)據(jù)，通過加密數(shù)據(jù)等手段，造成企業(yè)的停產(chǎn)、信息泄露等一系列后果。企業(yè)如何才能保護數(shù)據(jù)及系統(tǒng)安全,成為當(dāng)下企業(yè)發(fā)展中的重要關(guān)注點。

2022年5月27日，在ENI經(jīng)濟和信息化網(wǎng)聯(lián)合戴爾科技集團共同舉辦的“應(yīng)對數(shù)據(jù)風(fēng)險最佳策略 ”研討會上，中國信通院西部分院安全業(yè)務(wù)部副主任劉鋒、聯(lián)合汽車電子的信息安全總監(jiān)趙超，戴爾科技集團數(shù)據(jù)保護業(yè)務(wù)部吳福分別從國家地方的政策、行業(yè)的角度、技術(shù)的層面等角度介紹了工業(yè)互聯(lián)網(wǎng)、5G、云計算等創(chuàng)新技術(shù)快速發(fā)展的當(dāng)下企業(yè)面臨的安全問題及一些成功案例。

劉鋒

重慶信通院安全業(yè)務(wù)部副主任

在“工業(yè)互聯(lián)網(wǎng)安全策略探討”的主題演講中，中國信通院西部分院安全業(yè)務(wù)部副主任劉鋒介紹了工業(yè)互聯(lián)網(wǎng)安全的相關(guān)政策及標(biāo)準(zhǔn)，例如：(三法一例)網(wǎng)絡(luò)安全法、數(shù)據(jù)安全法、個人信息保護法以及關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例;《安全指導(dǎo)意見》四個方面筑牢2632安全保障體系;安全防護思想等。

劉鋒介紹道在做工業(yè)互聯(lián)網(wǎng)安全工作時，需要做到明確四個方面筑牢2632安全保障體系。即：明確2個安全責(zé)任體系：監(jiān)督管理、企業(yè)主體;健全6個安全管理體系任務(wù)：安全管理制度、分類分級管理、安全評估管理、安全審計管理、數(shù)據(jù)安全管理;構(gòu)建3個技術(shù)保障體系任務(wù)：安全技術(shù)保障、安全信息資源、安全試驗環(huán)境;培育2個產(chǎn)業(yè)生態(tài)體系：安全評估認(rèn)證、人才機構(gòu)培育。

在提到工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展行動計劃(2021-2023)時，劉鋒提到需要做到4項安全保障強化行動：落實企業(yè)網(wǎng)絡(luò)安全主體責(zé)任、加強網(wǎng)絡(luò)安全供給創(chuàng)新突破、促進網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展壯大、強化網(wǎng)絡(luò)安全技術(shù)保障能力。

吳福

戴爾科技集團數(shù)據(jù)保護業(yè)務(wù)部

每11秒就會發(fā)生一起網(wǎng)絡(luò)攻擊事件，其中48%的入侵涉及到小型企業(yè);60%+的組織由于脆弱性被利用而導(dǎo)致數(shù)據(jù)丟失;當(dāng)攻擊發(fā)生時，62%的組織擔(dān)心他們組織現(xiàn)有的數(shù)據(jù)保護方法可能不足以應(yīng)對惡意軟件和勒索軟件的威脅，......。如何才能更好的保護企業(yè)的數(shù)據(jù)安全?戴爾科技集團數(shù)據(jù)保護業(yè)務(wù)部吳福在“應(yīng)對數(shù)據(jù)風(fēng)險最佳策略”的主題演講中，提出要用現(xiàn)代化的手段加強數(shù)據(jù)安全和網(wǎng)絡(luò)安全，即保護數(shù)據(jù)和系統(tǒng)要并行，同時增強網(wǎng)絡(luò)的彈性，克服安全的復(fù)雜性。

吳福提到，網(wǎng)絡(luò)彈性不僅僅是關(guān)注網(wǎng)絡(luò)安全本身，重點是當(dāng)發(fā)生安全問題時，可以做好成功恢復(fù)的準(zhǔn)備，用三位一體策略保護企業(yè)的所有數(shù)據(jù)，有效恢復(fù)企業(yè)的數(shù)據(jù)和重要的工作負(fù)載，以減少網(wǎng)絡(luò)攻擊的影響。此外，Cyber Resiliency Assessment可以主動監(jiān)測威脅，快速響應(yīng)安全或勒索事件，限制其影響，同時可以為企業(yè)內(nèi)部回復(fù)所有的數(shù)據(jù)和及時恢復(fù)正常運營而制定技術(shù)和流程。戴爾科技的Mini CR Consulting workshop通過workshop可以提升企業(yè)對數(shù)據(jù)攻擊的重視程度，引導(dǎo)企業(yè)在數(shù)據(jù)安全問題解決思路邏輯上達(dá)成統(tǒng)一認(rèn)識。

趙超

上海聯(lián)合汽車電子 信息安全總監(jiān)

以汽車行業(yè)為例，趙超在接下來的演講中談到，在智能網(wǎng)聯(lián)汽車尚未形成行業(yè)標(biāo)準(zhǔn)的今天，產(chǎn)品信息安全問題已受到了行業(yè)內(nèi)外的廣泛關(guān)注。原本封閉環(huán)境下的汽車，長出無數(shù)具備互聯(lián)屬性的組件，除了傳統(tǒng)的診斷端口、智能網(wǎng)關(guān)、藍(lán)牙鑰匙、甚至雨刮器都成為可被攻擊的目標(biāo)。這意味著，企業(yè)信息安全的內(nèi)涵外延都發(fā)生了巨大變化。從原有以知識產(chǎn)權(quán)保護、信息系統(tǒng)可用為目的的企業(yè)信息資產(chǎn)安全，擴展到產(chǎn)品信息安全，并進一步延伸出消費者數(shù)據(jù)安全、人身安全、甚至國家安全這樣的網(wǎng)絡(luò)安全概念。

在談到企業(yè)如何面對這些挑戰(zhàn)時，趙超提出，還是要回到最基本的概念層面，以風(fēng)險管控的閉環(huán)來看待問題。而這也恰恰是各種信息安全體系的共同點。無論是ISO27001體系還是即將推出的ISO/SAE21434，都是以風(fēng)險為導(dǎo)向的管控體系。而重要資產(chǎn)識別以及相關(guān)資產(chǎn)的風(fēng)險識別是安全體系建設(shè)的基礎(chǔ)。如果認(rèn)識不到風(fēng)險，信息安全工作就變得非常盲目。從這個角度來說，盡管各種體系都會給出一些方法論，但經(jīng)驗也尤為重要。所以在意識層面，依靠體系的方法論，在實踐上則要汲取不同業(yè)務(wù)領(lǐng)域曾經(jīng)遇到的各種問題，作為風(fēng)險識別的輸入。兩條腿走路，了解自身的風(fēng)險所在，建立風(fēng)險管控體系和手段。

目前企業(yè)數(shù)字化轉(zhuǎn)型的大背景下，各個行業(yè)都面臨著嚴(yán)峻的挑戰(zhàn)，特別是產(chǎn)品信息安全領(lǐng)域，更是道高一尺魔高一丈。企業(yè)的信息安全工作一定要與數(shù)字化轉(zhuǎn)型同步規(guī)劃、同步建設(shè)，才能保障轉(zhuǎn)型的持續(xù)深化。

在問答環(huán)節(jié)，與會嘉賓就“如何確保信息安全策略的有效落地?”做了討論，重慶信通院安全業(yè)務(wù)部副主任劉峰談到：首先，企業(yè)應(yīng)加強與當(dāng)?shù)刂鞴懿块T的交流，積極參與相關(guān)活動，跟進政策面的要求;第二，挖掘自身信息安全策略實施動力，確保預(yù)算投入，明確目標(biāo);第三，尋求政府技術(shù)支撐機構(gòu)或者安全廠商的支持，制定可行的實施方案;第四，確保實施過程的自身的可控、可知，并建議通過公正的第三方的安全性評估;第五，完善管理制度、機構(gòu)，培訓(xùn)相關(guān)人員，良好開展信息安全的運營和管理;最后，企業(yè)應(yīng)持續(xù)改進提升。