本报记者 王晶晶
当前,数据安全上升至国家战略高度。《中华人民共和国数据安全法》(下称“数据安全法”)9月1日起已经开始实施。该法的实施说明数据作为一种新型的、独立的保护对象已经获得立法上的认可。作为我国数据安全领域的基础性法律,该法受到业内人士广泛关注。
蒲惠智造CEO王克飞对中国经济时报记者表示,数据安全法的实施,无疑会促进我国数据安全治理体系的进一步完善,这既离不开党和政府的政策引导,也需要相关企业积极主动参与到数字经济各行业的标准体系建设中来。在此方面,蒲惠智造积极参与《离散型企业制造执行过程云化规范》行业标准的制订工作,助力中小企业走上数字化转型之路。
蒲惠智造运营总监应春红以工业数据为例对中国经济时报记者表示,正所谓“技术无国界、数据有边界”,从微观层面分析,工业数据安全关系到企业财产能否得到保障;从宏观层面分析,工业数据安全直接关系到国家经济安全,而且工业互联网为产业数字化提供了关键基础设施支撑和产业生态基础。所以鼓励发展自主可控的“国潮”工业互联网产业具有非常重要的现实意义,同时,还需要一批自主可控的第三方平台企业来制定相关的行业标准,引领行业健康发展。
门嘉平是北京国联天成信息技术有限公司总经理,长期从事于信息安全领域的他把数据看做企业生存的命根子。在接受中国经济时报记者采访时,门嘉平表示,数据是应用业务系统的核心,承载着企业客户资源、人事、财务、物料、生产等各种信息,尤其是在数字时代,数据的重要性不言而喻。数据安全法提出对数据全生命周期各环节的安全保护义务和责任,不但让数据安全做到了有法可依,还促进了以数据为关键要素的数字经济发展和数据安全市场发展。
其中,数据安全法第22条明确国家建立数据安全风险评估、报告、信息共享、监测预警机制,实现事前风险评估、报告和信息共享以及事中监测预警。
门嘉平对此表示,以上举措从简单的安全产品堆砌到数据安全治理,是从安全产品向安全服务的重大转变。他介绍,安全服务中大部分业务是为数据安全能力服务的,包括数据安全咨询服务、数据安全检测评估服务、数据安全能力认证服务、数据安全技术标准规范建设服务、数据安全人才培训服务等方面的服务供应。只有让数据安全服务与数据安全技术能力建设相结合,才能更好地建设企业数据安全防护能力。
“这不但需要专业化的数据安全风险评估人才和队伍,还需要专业化的技术手段相配合,给国内专业安全服务市场带来巨大的发展机会。”门嘉平说。在他看来,参与数据安全市场活动的组织应该加强数据安全意识,结合业务应用需求,从数据分级分类到风险评估与管控、身份鉴权到访问控制、行为监控与预测到追踪溯源、应急响应到事件处置,从管理层面和技术层面建设数据安全的有效防护机制,保障数字产业蓬勃健康发展,为数据安全市场创造千亿级发展空间。
如何对数据做好有效的安全保护措施?门嘉平表示,一方面,从技术层面而言,数据安全离不开数据库的安全,对数据库的脆弱性管理、安全威胁管控、访问控制、加解密管理、脱敏处理、数据库操作与访问审计等都是关系数据安全的技术措施。
另一方面,在数据安全保护层面,要实施从以网络为中心转向以数据为中心的全生命周期保护策略。即实施数据分类分级,对数据全生命周期状态进行梳理,根据不同的数据敏感等级以及数据使用状态,统筹规划相应数据保护策略,确保数据安全全程可控。