统计局数据显示，2022年以来，一季度规模以上中小工业企业营业收入和利润都分别增长了14.1%和6.5%。这其中数字化的深入发展及成果，是支持成长型企业逆势增长的重要支持力之一。

与此同时，随着数字化建设的日益深入，业务上线、设备上线、人员上线等创新模式的落地，数据已经成为企业的核心资产，同时也是支持企业日常生产运营、创新转型的重要基石。伴随而来的针对企业的网络攻击，也正在由原来的攻击IT系统、网络，转向企业数据，通过加密数据等手段，造成企业的停产、信息泄露等一系列后果。企业如何才能保护数据及系统安全,成为当下企业发展中的重要关注点。

2022年5月27日，在ENI经济和信息化网联合戴尔科技集团共同举办的“应对数据风险最佳策略 ”研讨会上，中国信通院西部分院安全业务部副主任刘锋、联合汽车电子的信息安全总监赵超，戴尔科技集团数据保护业务部吴福分别从国家地方的政策、行业的角度、技术的层面等角度介绍了工业互联网、5G、云计算等创新技术快速发展的当下企业面临的安全问题及一些成功案例。

刘锋

重庆信通院安全业务部副主任

在“工业互联网安全策略探讨”的主题演讲中，中国信通院西部分院安全业务部副主任刘锋介绍了工业互联网安全的相关政策及标准，例如：(三法一例)网络安全法、数据安全法、个人信息保护法以及关键信息基础设施安全保护条例;《安全指导意见》四个方面筑牢2632安全保障体系;安全防护思想等。

刘锋介绍道在做工业互联网安全工作时，需要做到明确四个方面筑牢2632安全保障体系。即：明确2个安全责任体系：监督管理、企业主体;健全6个安全管理体系任务：安全管理制度、分类分级管理、安全评估管理、安全审计管理、数据安全管理;构建3个技术保障体系任务：安全技术保障、安全信息资源、安全试验环境;培育2个产业生态体系：安全评估认证、人才机构培育。

在提到工业互联网创新发展行动计划(2021-2023)时，刘锋提到需要做到4项安全保障强化行动：落实企业网络安全主体责任、加强网络安全供给创新突破、促进网络安全产业发展壮大、强化网络安全技术保障能力。

吴福

戴尔科技集团数据保护业务部

每11秒就会发生一起网络攻击事件，其中48%的入侵涉及到小型企业;60%+的组织由于脆弱性被利用而导致数据丢失;当攻击发生时，62%的组织担心他们组织现有的数据保护方法可能不足以应对恶意软件和勒索软件的威胁，......。如何才能更好的保护企业的数据安全?戴尔科技集团数据保护业务部吴福在“应对数据风险最佳策略”的主题演讲中，提出要用现代化的手段加强数据安全和网络安全，即保护数据和系统要并行，同时增强网络的弹性，克服安全的复杂性。

吴福提到，网络弹性不仅仅是关注网络安全本身，重点是当发生安全问题时，可以做好成功恢复的准备，用三位一体策略保护企业的所有数据，有效恢复企业的数据和重要的工作负载，以减少网络攻击的影响。此外，Cyber Resiliency Assessment可以主动监测威胁，快速响应安全或勒索事件，限制其影响，同时可以为企业内部回复所有的数据和及时恢复正常运营而制定技术和流程。戴尔科技的Mini CR Consulting workshop通过workshop可以提升企业对数据攻击的重视程度，引导企业在数据安全问题解决思路逻辑上达成统一认识。

赵超

上海联合汽车电子 信息安全总监

以汽车行业为例，赵超在接下来的演讲中谈到，在智能网联汽车尚未形成行业标准的今天，产品信息安全问题已受到了行业内外的广泛关注。原本封闭环境下的汽车，长出无数具备互联属性的组件，除了传统的诊断端口、智能网关、蓝牙钥匙、甚至雨刮器都成为可被攻击的目标。这意味着，企业信息安全的内涵外延都发生了巨大变化。从原有以知识产权保护、信息系统可用为目的的企业信息资产安全，扩展到产品信息安全，并进一步延伸出消费者数据安全、人身安全、甚至国家安全这样的网络安全概念。

在谈到企业如何面对这些挑战时，赵超提出，还是要回到最基本的概念层面，以风险管控的闭环来看待问题。而这也恰恰是各种信息安全体系的共同点。无论是ISO27001体系还是即将推出的ISO/SAE21434，都是以风险为导向的管控体系。而重要资产识别以及相关资产的风险识别是安全体系建设的基础。如果认识不到风险，信息安全工作就变得非常盲目。从这个角度来说，尽管各种体系都会给出一些方法论，但经验也尤为重要。所以在意识层面，依靠体系的方法论，在实践上则要汲取不同业务领域曾经遇到的各种问题，作为风险识别的输入。两条腿走路，了解自身的风险所在，建立风险管控体系和手段。

目前企业数字化转型的大背景下，各个行业都面临着严峻的挑战，特别是产品信息安全领域，更是道高一尺魔高一丈。企业的信息安全工作一定要与数字化转型同步规划、同步建设，才能保障转型的持续深化。

在问答环节，与会嘉宾就“如何确保信息安全策略的有效落地?”做了讨论，重庆信通院安全业务部副主任刘峰谈到：首先，企业应加强与当地主管部门的交流，积极参与相关活动，跟进政策面的要求;第二，挖掘自身信息安全策略实施动力，确保预算投入，明确目标;第三，寻求政府技术支撑机构或者安全厂商的支持，制定可行的实施方案;第四，确保实施过程的自身的可控、可知，并建议通过公正的第三方的安全性评估;第五，完善管理制度、机构，培训相关人员，良好开展信息安全的运营和管理;最后，企业应持续改进提升。