信息技术发展日新月异,数据已成为数字经济发展的核心生产要素,与此同时,数据安全也是事关国家安全和经济社会发展的重要课题。
互联网在促进工业和信息产业转型升级的同时,工业和信息化领域数据安全问题也备受关注。数据泄露、数据篡改、数据滥用、违规传输、非法访问、流量异常……信息技术的应用在数据全生命周期管理中可能引发诸多数据安全隐患,针对数据层面的攻击方式日渐多样,攻击窃取数据的路径增多,工业数据上云、出境等风险加剧,工业数据安全形势较为严峻。专家认为,工业和信息化领域的数据一般与基础设施或国家安全高度绑定,一旦发生安全攻击或数据泄露等问题,势必影响公众生活和企业运营。
国家工业信息安全发展研究中心保障技术所所长李俊认为,目前数据管理与分类分级防护能力不足,针对性数据安全防护技术手段有待优化,数据安全可信交互共享生态尚未建立……这些是目前工业数据安全工作亟须解决的重点问题。
【资料图】
如何避免数据处理者侵犯个人信息?如何减轻日益频繁的工业数据跨境流动带来的安全隐患?如何防止木马病毒、黑客攻击造成的工业和信息化领域数据泄露?工信部日前印发的《工业和信息化领域数据安全管理办法(试行)》(以下简称《管理办法》)为解决该领域的数据安全问题提供了明确方向。
《管理办法》明确了工业和信息化领域数据安全“谁来管、管什么、怎么管”的问题。业内人士指出,《管理办法》围绕数据收集、存储、使用、加工、传输、提供、公开等全生命周期关键环节,分别针对一般数据、重要数据、核心数据细化明确了安全保护要求,为工业和信息化领域数字经济发展提供了规范指引。
针对工业和信息化领域的数据安全管理,《管理办法》具体从处理对象、处理主体、处理活动三方面作出规定:从处理主体看,工业和信息化领域数据处理者是指能够在工业和信息化领域数据处理活动中自主决定处理目的、处理方式的各类主体,主要包括工业数据处理者、电信数据处理者以及无线电数据处理者。从处理对象看,工业和信息化领域数据主要包括工业数据、电信数据和无线电数据等。从处理活动看,数据收集、存储、使用、加工、传输、提供、公开等活动都属于监管范围。
专家认为,在工业和信息化数据的安全管理与保护上,数据处理者需要采用高严格的内部安全管理制度、更高安全标准的技术保障措施确保这些数据的安全。企业应尽快理解《管理办法》中对于数据划分的判断标准,并关注国家有关重要数据目录的制定情况,结合具体的行业部门重要数据目录指引来丰富和完善自身的识别标准,以充分满足数据的合规与安全要求。
持续为数字经济赋能
360集团创始人周鸿祎认为,随着数字中国建设的推进,城市的公共服务、经济产业、社会民生不断加速数字化转型,同时也出现应用场景复杂多样、网络和数据资产规模庞大、网络边界难以定义、安全运营人才缺乏等问题,亟待构建城市的数字安全保障体系。
中国在规范数据活动的同时,也充分发挥和保障数据在公共机构中的基础资源作用,促进公共服务水平提升。华中师范大学信息管理学院和湖北省数据治理与智能决策研究中心联合发布的《中国政府开放数据利用研究报告(2022)》显示,中国多地建立了地方性政府数据开放平台,数据开放平台逐渐成为地方数字政府建设和公共数据治理的标配。
针对城市面临的数字安全问题,360集团近几年在多个城市尝试建设城市数字安全大脑,为城市管理者和监管部门提供数字安全态势感知平台,实时监测数字资产、感知安全风险、发现网络攻击和数据安全事件,并进行统一调度指挥、事件通报、应急响应及演练培训。据悉,360探索建立了城市数字安全服务中心的新模式,帮助企事业单位和政府部门在“城市云”上面建立了各自的“安全运营中心”,由“云”上的专业安全服务团队提供持续的安全运营服务。目前,这一模式已落地重庆、天津、上海、北京、青岛、郑州和鹤壁等20多个城市。“既能为大型企业提供数据、情报和专家服务等数字安全解决方案,帮助企业建设安全运营中心,也为中小微企业提供安全服务和安全托管。”周鸿祎说。
发展数据安全产业对于提高各行业各领域数据安全保障能力,加速数据要素市场培育和价值释放,夯实数字中国建设和数字经济发展基础有着重要意义。工信部、国家网信办、国家发改委等十六部门日前印发《关于促进数据安全产业发展的指导意见》(以下简称《指导意见》),提出加强核心技术攻关,构建数据安全产品体系,发展面向重点行业领域特色需求的精细化、专业型数据安全产品,开发适合中小企业的解决方案和工具包。同时,布局新兴领域融合创新,加强第五代和第六代移动通信、工业互联网、物联网、车联网等领域的数据安全需求分析,推动专用数据安全技术产品创新研发、融合应用。《指导意见》提出,到2025年,数据安全产业基础能力和综合实力明显增强,数据安全产业规模超过1500亿元,建成5个省部级及以上数据安全重点实验室,攻关一批数据安全重点技术和产品。
专家认为,聚焦数据安全是为了更好地促进数字利用发展,只有达成平衡发展与安全的最优解,数字红利才能充分释放。发展数字经济应坚持促进数据开发利用与保障数据安全并重,既要加强数据安全防护能力建设,保障数据依法有序自由流动,也要释放和发挥数据的价值,让数据持续为数字经济发展赋能。