統計局數據顯示，2022年以來，一季度規模以上中小工業企業營業收入和利潤都分別增長了14.1%和6.5%。這其中數字化的深入發展及成果，是支持成長型企業逆勢增長的重要支持力之一。

與此同時，隨著數字化建設的日益深入，業務上線、設備上線、人員上線等創新模式的落地，數據已經成為企業的核心資產，同時也是支持企業日常生產運營、創新轉型的重要基石。伴隨而來的針對企業的網絡攻擊，也正在由原來的攻擊IT系統、網絡，轉向企業數據，通過加密數據等手段，造成企業的停產、信息泄露等一系列后果。企業如何才能保護數據及系統安全,成為當下企業發展中的重要關注點。

2022年5月27日，在ENI經濟和信息化網聯合戴爾科技集團共同舉辦的“應對數據風險最佳策略 ”研討會上，中國信通院西部分院安全業務部副主任劉鋒、聯合汽車電子的信息安全總監趙超，戴爾科技集團數據保護業務部吳福分別從國家地方的政策、行業的角度、技術的層面等角度介紹了工業互聯網、5G、云計算等創新技術快速發展的當下企業面臨的安全問題及一些成功案例。

劉鋒

重慶信通院安全業務部副主任

在“工業互聯網安全策略探討”的主題演講中，中國信通院西部分院安全業務部副主任劉鋒介紹了工業互聯網安全的相關政策及標準，例如：(三法一例)網絡安全法、數據安全法、個人信息保護法以及關鍵信息基礎設施安全保護條例;《安全指導意見》四個方面筑牢2632安全保障體系;安全防護思想等。

劉鋒介紹道在做工業互聯網安全工作時，需要做到明確四個方面筑牢2632安全保障體系。即：明確2個安全責任體系：監督管理、企業主體;健全6個安全管理體系任務：安全管理制度、分類分級管理、安全評估管理、安全審計管理、數據安全管理;構建3個技術保障體系任務：安全技術保障、安全信息資源、安全試驗環境;培育2個產業生態體系：安全評估認證、人才機構培育。

在提到工業互聯網創新發展行動計劃(2021-2023)時，劉鋒提到需要做到4項安全保障強化行動：落實企業網絡安全主體責任、加強網絡安全供給創新突破、促進網絡安全產業發展壯大、強化網絡安全技術保障能力。

吳福

戴爾科技集團數據保護業務部

每11秒就會發生一起網絡攻擊事件，其中48%的入侵涉及到小型企業;60%+的組織由于脆弱性被利用而導致數據丟失;當攻擊發生時，62%的組織擔心他們組織現有的數據保護方法可能不足以應對惡意軟件和勒索軟件的威脅，......。如何才能更好的保護企業的數據安全?戴爾科技集團數據保護業務部吳福在“應對數據風險最佳策略”的主題演講中，提出要用現代化的手段加強數據安全和網絡安全，即保護數據和系統要并行，同時增強網絡的彈性，克服安全的復雜性。

吳福提到，網絡彈性不僅僅是關注網絡安全本身，重點是當發生安全問題時，可以做好成功恢復的準備，用三位一體策略保護企業的所有數據，有效恢復企業的數據和重要的工作負載，以減少網絡攻擊的影響。此外，Cyber Resiliency Assessment可以主動監測威脅，快速響應安全或勒索事件，限制其影響，同時可以為企業內部回復所有的數據和及時恢復正常運營而制定技術和流程。戴爾科技的Mini CR Consulting workshop通過workshop可以提升企業對數據攻擊的重視程度，引導企業在數據安全問題解決思路邏輯上達成統一認識。

趙超

上海聯合汽車電子 信息安全總監

以汽車行業為例，趙超在接下來的演講中談到，在智能網聯汽車尚未形成行業標準的今天，產品信息安全問題已受到了行業內外的廣泛關注。原本封閉環境下的汽車，長出無數具備互聯屬性的組件，除了傳統的診斷端口、智能網關、藍牙鑰匙、甚至雨刮器都成為可被攻擊的目標。這意味著，企業信息安全的內涵外延都發生了巨大變化。從原有以知識產權保護、信息系統可用為目的的企業信息資產安全，擴展到產品信息安全，并進一步延伸出消費者數據安全、人身安全、甚至國家安全這樣的網絡安全概念。

在談到企業如何面對這些挑戰時，趙超提出，還是要回到最基本的概念層面，以風險管控的閉環來看待問題。而這也恰恰是各種信息安全體系的共同點。無論是ISO27001體系還是即將推出的ISO/SAE21434，都是以風險為導向的管控體系。而重要資產識別以及相關資產的風險識別是安全體系建設的基礎。如果認識不到風險，信息安全工作就變得非常盲目。從這個角度來說，盡管各種體系都會給出一些方法論，但經驗也尤為重要。所以在意識層面，依靠體系的方法論，在實踐上則要汲取不同業務領域曾經遇到的各種問題，作為風險識別的輸入。兩條腿走路，了解自身的風險所在，建立風險管控體系和手段。

目前企業數字化轉型的大背景下，各個行業都面臨著嚴峻的挑戰，特別是產品信息安全領域，更是道高一尺魔高一丈。企業的信息安全工作一定要與數字化轉型同步規劃、同步建設，才能保障轉型的持續深化。

在問答環節，與會嘉賓就“如何確保信息安全策略的有效落地?”做了討論，重慶信通院安全業務部副主任劉峰談到：首先，企業應加強與當地主管部門的交流，積極參與相關活動，跟進政策面的要求;第二，挖掘自身信息安全策略實施動力，確保預算投入，明確目標;第三，尋求政府技術支撐機構或者安全廠商的支持，制定可行的實施方案;第四，確保實施過程的自身的可控、可知，并建議通過公正的第三方的安全性評估;第五，完善管理制度、機構，培訓相關人員，良好開展信息安全的運營和管理;最后，企業應持續改進提升。