长扬科技:建立面向数据全生命周期的安全管理平台

2022-07-19 来源:长扬科技

近日,在内蒙古自治区工业和信息化厅指导下,由呼和浩特市工业和信息化局主办,内蒙古信息技术协会承办的呼和浩特市2022年企业“上云上平台”暨“万企登云”系列宣贯会在呼和浩特市举行。内蒙古工业和信息化厅信软处副处长索全宏、照日格图,呼和浩特市工信局副局长张宏出席到会。长扬科技受邀与华为云共同协办了第五场会议,长扬科技副总裁汪义舟作为工业互联网安全专家,为会议致辞,并发表主题演讲。


1658196318476023.jpg


会上,内蒙古信息技术协会会长杨国栋先生向参会企业代表详解国家、自治区、呼和浩特市三级政府企业“上云上平台”相关产业政策、企业“上云上平台”的意义和价值、“万企登云公共服务系统”服务平台架构、上云服务内容,以及自治区、呼和浩特市相关资金补贴配套政策。本着“政府补一点,云服务商让一点,企业出一点”的原则,为呼和浩特市工业企业及上下游产业链企业让利,共同提升内蒙古自治区工业信息化水平。


1658196371113439.jpg

内蒙古信息技术协会会长杨国栋


一、数据为王,安全护航

在互联网经济时代,数据是新的生产要素,是基础性资源和战略性资源,也是重要生产力。党的十九届四中全会首次将数据增列为生产要素,中共中央、国务院印发的《关于构建更加完善的要素市场化配置体制机制的意见》将数据列为五大核心要素之一。随着数字经济和信息产业蓬勃发展,数字技术加快落地应用。在推动经济转型升级的同时,海量数据不断产生,数据作为关键生产要素,为我国数字经济发展注入新动能。如今,越来越多的工业企业将“上云”作为企业数字化、智能化转型的重要举措,通过“上云”驱动流程创新和业务创新,以实现降本增效,绿色发展的需求。但与此同时,开放互联、新一代信息技术的应用在数据全生命周期管理中引发了更多数据安全隐患,针对数据层面的攻击方式日渐新型多样,攻击窃取数据的路径增多,工业数据安全形势日益复杂严峻。


随着《国家安全法》《网络安全法》《密码法》《民法典》《数据安全法》《个人信息保护法》“五法一典”出台,我国数据安全法制化建设不断推进,监管体系日趋完善,国家对数据安全建设工作的重视程度日益提高,数据安全已由“或有”变“刚需”。会上,汪义舟在题为《工业企业上云数据安全管理之道》的主题演讲中,详细解读了《数据安全法》,并结合《信息安全技术—数据安全能力成熟度模型》、《工业数据分类分级指南》《工业互联网企业数据安全防护规范(试行)》等多项数据安全国标、行标,阐述了国家对数据安全工作的总体要求。


1658196532109730.png

长扬科技副总裁汪义舟


二、数据全生命周期安全管理

结合各项法规、标准的要求,汪义舟建议建立面向数据全生命周期的安全管理平台。他表示,对于数据资产的安全防护,不仅仅是大量安全设备的堆砌,还需要梳理企业具有哪些数据资产、哪里产生数据、哪些数据资产需要保护、谁能使用这些数据、数据又被谁使用过、数据流向何处等等,需要全方位监管数据资产;对数据包括采集、传输、存储、使用、销毁的全生命周期实施有效安全管控,以防止数据泄露、丢失、非授权访问等问题,满足企业对数据资产的安全防护要求。


1658197010259315.png

覆盖数据全生命周期技术手段


汪义舟表示,企业上云数据安全管理实施过程存在数据资产不清、数据分类不明、数据定级不准、数据防护不力的薄弱点,因此在数据安全防护工作中,应首先进行数据资产梳理,对业务系统、数据资产、业务系统与数据资产关联的运维权限进行全面梳理,生成业务系统清单、数据资产清单及运维权限清单;第二,进行数据风险评估,对生成的数据资产清单安全建设现状与数据安全风险与应对措施矩阵进行差距分析,罗列出需要增补的安全措施;第三,安全建设增补,在技术层面,通过部署数据资产安全管理平台,实现对数据安全各环节的有效管控,在安全服务层面,通过安全服务对业务系统、主机服务器、终端、网络设备等存在的安全隐患进行全面排查并加固,在安全管理层面,通过安全管理,建立数据安全管理的组织架构、职责分配和沟通协作机制。最后,通过委托第三方或专业服务机构对安全整改建设的效果进行验证。


微信图片_20220719101802.png


数据安全防护工作流程


长扬科技为更好地发挥数据的基础资源作用和创新引擎作用,做好数据资源的开发、利用和保护,结合本公司长期业内工程项目成功实践,遵循新颁布的《数据安全法》,参考《信息安全技术 数据安全能力成熟度模型》 (GB/T 37988-2019)(简称 DSMM),设计面向数据全生命周期的安全管理平台。通过数据分类分级、数据全生命周期安全监控、数据安全防护能力评估、安全策略配置、数据安全审计、数据资产安全态势展示六项核心功能,为加快数据资源应用创新能力形成提供安全技术解决方案。在体系方面,设计实现了一整套基于“基础设施安全+网络安全防护、数据安全管理、态势与监测安全+安全运维”的纵深安全防御体系,从体系化建设的视角为企业用户提供全方位的安全服务支持,有力保障了用户单位安全生产的安全与稳定运转。其中针对数据标识部分实现了基于“长扬安全操作系统”的磁盘级数据标识能力;在数据分类分级管理部分,为企业用户提供了一套“长扬数据资产安全管理平台”,实现了数据资产可清、数据风险可控、数据安全事件可追、数据安全态势可视、以及数据防护能力可测等五个方面的核心能力保障。


1658197181426634.png


数据资产安全管理平台实现目标


1658197265436291.jpg

长扬科技数据安全组织管理架构图


作为工业互联网企业第一批践行者,长扬科技基于护航国家关键信息基础设施的初心使命,为国家安全提供强有力的国产化力量和安全保障。以信创安全生态为底座安全,以工业安全靶场为能力提升手段,长扬科技面向工业网络安全监测、工业网络安全防护、工业视觉安全分析、零信任安全和数据安全,自主研发了50余款产品,覆盖工业互联网安全产业完整生命周期。其中,长扬安全操作系统是工控安全行业厂商首个自研安全操作系统产品,通过了最高级别的公安部安全操作系统第四级评测,为国家关键信息基础设施提供底座安全。在行业引领方面,长扬科技积极参与国标、行标和团标百余项技术、服务类标准建设,有力推动行业健康有序发展。


1658197413986083.png

长扬科技智能工业安全大脑


保障核心数据安全是工业企业上云的前提和基础,也是国家关键信息基础设施安全工作中的重要一环。未来,长扬科技将结合在工业互联网安全、工控网络安全、“工业互联网+安全生产”的具体实践,持续打造体系化的纵深安全防御体系,针对应用场景的现实需求,为数据安全工作提供更优质的整体服务,帮助企业建立全面的数据安全管理体系,让数据发挥最大价值,助力企业高速、高质发展。

往期推荐


ISO9001

质量管理体系认证

ISO14001

环境管理体系认证

ISO27001

信息安全管理体系认证

ISO20000

信息技术服务管理体系认证

信息系统

安全运维服务资质