李舟军:数据安全与数字化转型丨CXO主笔团
李舟军:数据安全与数字化转型丨CXO主笔团
2024-01-23 18:25:42 来源:
抢沙发
2024-01-23 18:25:42 来源:
摘要:数字化转型对于传统企业建设而言,不仅仅是企业自身的状况、数字化转型实施环境和成熟度,更是一种思维方式的转型,甚至是对之前认知的一种颠覆。
关键词:
数字化转型
数据安全
网络安全
CXO主笔团
李舟军
北京航空航天大学计算机学院信息安全系主任
北京航空航天大学计算机学院长聘教授,博士生导师,智能信息处理研究所副所长。国务院学位委员会首届网络空间安全学科评议组成员,中国网络空间安全协会常务理事,竞评演练工作委员会副主任委员、中国人工智能学会语言智能专委会副主任委员。
主笔强调
数字化转型对于传统企业建设而言,不仅仅是企业自身的状况、数字化转型实施环境和成熟度,更是一种思维方式的转型,甚至是对之前认知的一种颠覆。
2023年12月1日至3日,由工业和信息化部人才交流中心指导,CIO 时代与新基建创新研究院主办,深信服协办的“第四期 CSO(首席安全官)高级研修班”正式开启。12月3日上午,北京航空航天大学计算机学院信息安全系主任李舟军带来了名为《数据安全与数字化转型》的专题演讲。
以下为演讲内容精华的摘录:
数字化转型
企业数字化转型是全面数据驱动的业务和管理。特点是云、大、物、智、移等技术结合,是运用新技术为业务提供创新的价值,业务和管理,以数字化为核心的全过程。包括:客户体验数字化,即以客户为中心,更接近、满足、赢得和持续赢得客户;运营管理数字化,即定制产出、缩短渠道、柔性供应、敏捷服务、集成布局。
数字化企业包括了四个趋势即智能化业务决策,精准实时把握客户需求、合理化资源配置;一体化运营管理,部门横纵端到端协同,及时高效解决运营问题;生态化价值合作,连接和整合价值链,共享共赢发展;敏捷化变革创新,技术契合业务能力和水平,动态引领市场。
截至2018年,已经有超过84.9%的中国制造型企业开始了数字化转型,制造型企业在数字化转型中,关注的主要是数字化为企业带来的利益,并且能够连接更多的消费者,并建立以消费者为中心的组织及文化。与此同时,专业人员的资源,团队部门之间的协作水平,以及企业文化是否能够适应数字化时代,成为了制约企业数字化转型的3个主要挑战。
数字化转型对于传统企业建设而言,不仅仅是企业自身的状况、数字化转型实施环境和成熟度,更是一种思维方式的转型,甚至是对之前的认知的一种颠覆。
数字化转型的精髓是以客户需求为主导者,从外部需求倒逼内部变革,深入贯彻“互联网+”战略实施;相应,企业发展的价值观和战略导向要从过去产能驱动型转变为数据驱动。
企业决策者要成为数字化转型的“引领者”,决策观念要从经验判断向“数据说话”、“智慧决策”转变。
要尽快破除传统上业务与信息技术之间存在的界限和鸿沟,成立新型的数字化组织。作为企业数字化转型的推动者,要实现融合创新,重构企业的业务组合、协同方式和管理层级。
还要比照工业4.0的理念,以推动核心业务的数字化转型为目标,打通横向、纵向和端到端三大数据流,实现从设计到服务,从客户到生产、从前端到后端的数据互联互通能力。
要加快推进新一代数字化技术的应用,实现“ABCD(A,人工智能AI+B,区块链Blockchain+C,云计算Cloud+D,大数据Data)+5G”作为未来数字化的核心能力,为数字化转型提供强有力的支撑与保障。
更要从控制和占有物质资源(股权、资金、技术和市场)转变到共享“数字”、共创“数字生态”。
实施数字化转型,CIO不仅是技术使能者,更应向价值赋能者转变,这就需要CIO具备全新的思维。
包括:用战略思维适应企业战略性的数字化转型需要,拓展变革思维的视野,从单纯的技术思维向全局性复合型思维转变。
用产业思维适应企业核心业务数字化转型的需要,助力融合发展,从技术专家向跨界专家转变。
用商业思维适应企业营销方式和客户服务平台化转型的需要,信息技术服务从面向企业内部向面向社会转变。
用管理思维适应企业组织、流程和管控模式数字化转型的需要,助力企业向扁平化、去中心、平台化等互联网模式转变。
用数字思维适应数字化企业的转型需要,让技术服务更敏捷、更简化,从功能构建的适能者向价值实现的赋能者转变。
在数字化时代,企业所有的商业活动都需要依托于数字化的平台模式,也就是所有业务活动都是平台对平台的关系。企业要通过自己的数字化平台,打通与全交易链路的链接,通过自己的数字化平台实现与所有2B、2C平台的对接。企业需要借助自己的数字化平台,实现与所有资源平台的链接,打通企业各个环节、各个要素之间的连接。通过这种打通与连接提升企业的运行效率以及有效降低企业的运行成本。
数据安全
根据2023年发布的《中国互联网发展报告》显示,我国网络基础设施建设全球领先,数字技术创新能力持续提升,数据要素价值备受重视,网络法制建设逐步完善,数据安全保护体系更趋完善,数字中国建设取得显著成效。
数据被偷听,窃听,窃取而造成数据泄露,通过通信流量分析也可能导致信息泄露,也可能从公开数据推理出敏感数据而造成数据泄露。
数据被篡改(更改,插入,删除, 重放等)或假冒而造成数据破坏,系统或设备感染病毒等恶意代码导致数据破坏。
数据被非法使用,或者被非授权使用或越权使用。通过数据分析、处理或推理等手段都有可能导致个人隐私(如用户身份、社交关系、属性)泄露。
存储设备或硬盘驱动器损坏而造成数据损坏或丢失,操作失误而删除系统的重要文件导致数据丢失。
面对这些问题和挑战,需要面向数据生命周期,构建数据安全防护、数据安全治理和数据安全威慑三大技术体系。
数据安全防护包括了:数据安全防护,零信任网络访问控制,密文与安全多方计算,安全可信计算环境构建。
数据安全治理包括了:隐私泄露分析与匿名化评估,个人隐私保护监测,软件隐私泄露或窃取评测。
数据安全威慑包括了:安全数据追踪溯源,网络空间数据测绘,智能数据诱导与反制。
除了建立技术体系,应对数据安全问题可以运用到的技术还包括了访问控制,这是通过访问控制列表和身份验证机制,限制对数据的访问权限。只有经过授权的用户或系统能够访问受保护的数据。
对系统的运行状态进行监视,发现各种攻击企图、攻击行为或者攻击结果,以保证系统资源的机密性、完整性和可用性。使用防火墙用于监控和控制进出网络的流量,以防止未经授权的访问、攻击和数据泄露。使用加密算法对数据进行加密,以确保即使在未经授权的访问情况下,数据也不容易被理解。
加密技术包括了CASP代理网关加密和应用内加密。
CASB代理网关(Cloud Access Security Broker),这是一种委托式安全代理技术,将网关部署在目标应用的客户端和服务端之间,无需改造目标应用,只需通过适配目标应用,对客户端请求进行解析,并分析出其包含的敏感数据,结合用户身份,并根据设置的安全策略对请求进行脱敏等访问控制,可针对结构化数据和非结构化数据同时进行安全管控。
应用内加密(集成密码SDK)是指应用系统通过开发改造的方式,与封装了加密业务逻辑的密码SDK进行集成,并调用其加解密接口,使目标应用系统具备数据加密防护能力。
使用认证机制(如多因素认证)确保用户的身份,然后根据其身份授予相应的权限,以限制其对敏感数据的访问。
内容来源:“第四期 CSO(首席安全官)高级研修班”研修课程整理
·END·
第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:zhanghy
免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。
