作者简介:关昕健,某运营商安全专家,2015年获CISSP认证,长期负责企业安全运营工作,关注国内外数据安全动态与解决方案,持续开展数据安全运营实践。
近年来,随着《数据安全法》的出台和国家数据局的成立,数据要素的重要性日益凸显。为了更好发挥数据要素作用,企业需要持续贯彻数据安全管理和技术要求,并根据企业内部业务系统、业务流程特点以及安全趋势,选择适用且易用的技术工具,不断调整和优化,从而建立长效的数据安全运营机制。
本篇将分享企业安全运营态势、数据安全运营体系和数据安全运营实践,系统介绍企业安全运营及数据安全运营的实际应用。
一、数据安全运营态势
1. 数据安全运营的三阶段
从国家层面审视,自2014年起,数据战略已正式启动,历经近十年的发展,逐步从起步阶段过渡到深化实施阶段:
·1.0阶段:国家层面开始关注数据安全,顶层设计启动,《网络安全法颁布》。
·2.0阶段:国家数据战略实施,《数据安全法》发布。
·3.0阶段:数据交易、数据智能、数据汇聚和数据流通的完善与上升,从"数据大国"向"数据强国"转变,《个人信息保护法》《数据出境安全评估》《反电信网络诈骗》法律、条例等颁布。
对于企业而言,大数据的建设与运营同样经历了多个关键阶段,随着企业数据的演变,数据安全运营策略也相应发生转变。
初期,大多数企业聚焦于构建数据中心,集中管理生产数据和业务数据,开启大数据分析的新纪元。这一阶段被视为数据安全运营的1.0时代,此时企业对于数据安全的认知尚浅,主要侧重于边界防护,确保数据如保险箱般安全无虞。
随着大数据技术的深入应用,数据在企业内部流通变得更为频繁,不同系统间的数据交互也日趋复杂。这一阶段,数据不仅助力业务系统的发展,更逐渐展现出作为生产要素的潜力。特别是2022年底数据政策出台后,数据被视为可流通、可交易的资产,其价值在共享与交易中得以体现。
进入2023年,随着AI技术的崛起,数据智能时代正式开启。企业开始探索如何利用AI技术实现数据的智能化应用,从而推动业务创新与发展。与此同时,随着相关法律法规的不断完善,数据安全监管日益严格,企业安全运营策略也需相应调整。
回顾数据安全运营的三个阶段,从初期的物理环境安全、边界防护,到如今的数据流通安全、资产保护,整个策略实现了从内到外、从静到动的转变。企业不仅要确保数据存储环境的安全,更要关注数据在流通、共享、交易等过程中的安全,以保护核心数据资产,实现数字化增值。
在此过程中,企业需不断探索与实践,完善数据安全运营策略,以适应快速变化的市场环境和技术发展。
2. 数据泄露成本报告
IBM Security发布的2023年数据泄露成本报告再次强调了数据安全的严峻性和高昂的代价。这份具有18年历史的权威报告为我们提供了深刻的见解,促使我们重新评估并优化数据安全的运营策略。
报告中的一个显著数字是数据泄露的平均成本已达到445万美元,这一数字在过去18年中持续上升,凸显了数据泄露对企业和社会的巨大影响。尽管近年来增幅有所放缓,但从2020年的386万美元到如今的445万美元,依然增长了15.3%,表明数据泄露问题在全球范围内依然严峻。
安全团队在应对数据泄露方面发挥的作用至关重要。然而,令人担忧的是,数据泄露事件被内部安全团队主动发现的概率仅为三分之一。这意味着大部分的数据泄露事件是由外部力量发现的,如公安局或攻击者直接与企业联系。这突显了企业内部监测和威胁应对能力的不足,亟待加强。
数据泄露的成本不仅仅体现在直接的经济损失上,还包括了监测和上报、业务成本损失、响应和通知、第三方责任和可能的诉讼等间接成本。这些成本不仅影响企业的财务状况,还可能损害企业的声誉和客户信任。其中,监测和上报的成本尤为昂贵,因为它需要企业投入大量资源来发现、报告和应对数据泄露事件。
为了降低数据泄露的成本和风险,企业需要采取一系列措施。首先,加强内部安全团队的建设和培训,提高他们监测和应对威胁的能力。其次,建立完善的数据泄露应急响应机制,确保在发现数据泄露后能够迅速、有效地采取行动。此外,企业还应加强对供应链伙伴的管理和风险评估,确保合作伙伴也具备相应的数据安全保障能力。
根据IBM Security的2023年报告,网络钓鱼无疑是最大的诱因。尽管数据泄露事件可能看似复杂,但往往其根源在于这种传统的攻击方式——网络钓鱼。这再次强调了数据安全人人有责的重要性,因为任何能够接触到企业数据和内部网络的人,都可能成为潜在的攻击目标。网络钓鱼者通过诱骗用户点击恶意链接或下载恶意附件,轻松获取用户终端的权限,进而窃取身份凭证,从而非法访问系统并窃取数据。更恶劣的是,他们还可能利用这些权限安装远程控制工具,进一步获取敏感信息。
另一个常见的原因是身份凭证的失窃和泄露,这通常源于弱密码或密码管理不当。这种基本的安全疏忽,往往给企业带来意想不到的损失。
此外,商业合作伙伴被入侵也是导致数据泄露的重要原因之一。近年来,这一因素迅速上升为第三大原因。当企业与合作伙伴之间存在专线或专网连接时,攻击者有可能通过供应链渗透进企业网络。这提醒我们,在防范外部攻击的同时,也不能忽视对供应链安全的管理。
这表明,人为因素在数据泄露中仍然占据主导地位,数据安全的挑战更多在于管理和人为因素。
3. 企业数据安全运营目标
对于现代企业而言,我们的核心目标有二:首要的是确保数据资产的安全无虞;其次,保障数据在增值过程中的合规使用。
从安全驱动力的角度看,首要的是提升安全价值,增强业务系统和企业产品的安全属性。安全如今已成为企业品牌的重要组成部分,如同食品安全之于消费者信任。一旦产品被曝出存在严重漏洞或发生安全事件,品牌声誉将遭受严重损害。因此,强化安全不仅是保护企业资产,更是促进业务和产品持续发展的关键因素。
其次,降低安全风险同样至关重要。这包括技术层面的措施,如修复环境中的主机、中间件、数据库等漏洞,同时也需要关注供应链风险,如开源软件的修复。近期开源软件领域发生未遂的“核弹级”事件警示我们,必须对潜在的安全威胁保持高度警惕,以降低系统、环境及人员的安全风险。
最后,安全合规不容忽视。这主要体现在教育和培训上,目的是提升员工的安全意识,减少因钓鱼攻击、凭证泄露等社会工程学攻击而引发的安全事件。这三个方面构成了我们当前工作的主要出发点,共同确保企业数据的安全与合规使用。
二、企业数据安全运营体系
1. 数据安全运营难点
随着企业系统架构升级,尤其是云技术的广泛应用,大多选择私有云或公有云部署,导致数据进一步集中化,数据安全风险迅速增加。
当前,企业数据安全面临的主要挑战源于三个方面。首先,数据资产中敏感数据分布广泛,跨越多个系统。由于数据安全是一个较新的概念,许多业务系统的建设都早于数据安全的提出。因此,对历史数据的摸查和梳理成为首要任务,但纯人工操作难度极大。为应对这一挑战,企业开始结合技术手段进行数据资产管理,识别敏感数据,进行分类分级,并构建数据地图。准确识别数据资产的价值和位置是建立有效安全防护手段的前提。
数据分级是这一过程中的难点。虽然数据分类有行业指引,但敏感级别的确定需要结合业务熟悉程度。特别是在大数据时代和AI技术的支持下,数据的敏感性可能因不同系统的结合而发生变化。因此,数据分级必须与业务紧密结合,业务和安全团队需通力合作以确保准确性和有效性。
其次,业务需求频繁且多变,给数据安全带来挑战。业务系统上线时,配套的安全防护措施可能尚未完善,导致数据安全防护失效。因此,做好开发安全管理至关重要。安全左移策略有助于在业务上线前以较低成本完成安全措施的实施和漏洞加固,降低后续治理成本。同时,上线前的严格安全评估也是必不可少的,以避免外部监管带来的严重后果。
最后,人的因素也是数据安全的重要挑战。人员可能因缺乏意识或故意行为而带来风险。为应对这一挑战,企业可采用技术防控手段,如数据安全访问代理、终端屏幕水印等,防止数据泄露。此外,数据脱敏平台也是有效手段之一,通过对敏感数据进行分类分级和脱敏处理,降低数据泄露风险。
2. 多层次立体的数据安全运营体系
在构建数据安全运营体系时,我们需要从多层次、立体化的角度进行全面考虑。确保数据安全不仅仅是一个简单的任务,而是需要从物理安全、网络安全、基础安全、应用安全到数据安全,每一个层面都做好相应的防范。
首先,物理安全是数据安全的基础。我们的机房、服务器等物理设施需要得到充分的保护,防止不明人士通过伪造身份等手段进入机房,从而直接获取数据或搬走设备。
其次,网络安全是数据安全的重要组成部分。我们需要建立完善的网络安全防护体系,包括防火墙、入侵检测系统等,以防止网络攻击和数据泄露。
接下来是基础安全和应用安全。基础安全涉及到操作系统、数据库等基础组件的安全配置和漏洞管理;而应用安全则关注于应用程序的安全开发、测试和部署,确保应用程序本身不存在安全隐患。
在数据安全层面,我们需要对敏感数据进行加密、脱敏等处理,确保数据在存储、传输和使用过程中的安全性。同时,还需要建立完善的数据访问控制和审计机制,防止数据被非法访问和篡改。
整个数据安全运营体系由四个部分组成:
(1)管理组织:建立专业的数据安全管理组织,明确职责和分工,确保安全工作的有序进行。
(2)安全管理制度流程:制定和完善安全管理制度和流程,确保每一项安全工作都有明确的指导和规范。
(3)数据安全技术体系:构建完善的技术体系,包括数据加密、防火墙、入侵检测等技术手段,确保技术层面的安全性。
(4)数据安全人员能力:提升数据安全人员的专业技能和意识,通过培训、认证等方式确保团队具备应对各种安全挑战的能力。
在构建数据安全运营体系时,我们需要实现“三聚合”:人的聚合、系统的聚合以及业务和安全的聚合。这意味着我们需要打破部门壁垒,实现跨部门的协同合作;同时,确保各个系统之间的无缝对接,实现数据的安全共享和高效利用;最后,将业务和安全紧密结合,确保业务发展的同时安全也得到充分的保障。
数据安全与业务是紧密相连的。我们需要基于企业内部业务系统和业务流程的特点,结合具体场景进行不断的调整和优化。同时,我们还需要关注行业内外的新技术、新工具,及时引入并应用到我们的体系中,提升整体的安全防护能力。
在构建数据安全运营体系时,组织人员的保障是至关重要的。我们需要明确安全的责任,确保业务团队和安全团队之间形成利益的共同体。同时,建立一套规范的话语体系,将安全工作规范化、标准化,确保每一项工作都有据可依、有章可循。
最后,数据安全的技术体系也是非常重要的。它确保我们整体的安全策略是可落地、可实践的。我们需要将管理、技术和人紧密结合起来,形成一个多层次、立体化的数据安全运营体系。
3. 全生命周期收据防护技术
在数据的全生命周期中,我们采取了一系列的技术措施来确保数据的安全性。
以下是在数据采集、传输和存储阶段所采用的关键技术:
(1)数据采集阶段
·数据源合规性管理:为防范非法数据源导致的数据差错或数据投毒(故意输入错误数据以扰乱数据治理),我们实施严格的数据源合规性管理。这包括验证数据源的真实性和合法性,确保采集的数据来源可靠。
·数据分类分级:在数据采集的源头,我们进行数据的分类分级,以识别哪些数据需要加密,哪些数据需要特殊管理(如金库管理)。金库管理通常涉及更严格的管理审批流程,确保数据的安全性。
·网络策略审计:对于数据采集的网络策略,我们实施合理的审计措施,确保网络策略是透明的、可监控的。在出现异常情况时,我们能够迅速采取阻断措施,保护数据安全。
(2)数据传输阶段
加密安全传输:在数据传输过程中,我们采用加密技术确保数据的安全性。这包括使用HTTPS、TLS等安全协议加密传输链路,或使用密钥对数据进行加密后再传输。在加密传输过程中,我们特别注意密钥的管理,确保密钥与密文分开传输,避免密钥泄露导致数据被解密。
(3)数据存储阶段
差异化加密存储:在数据存储阶段,我们根据数据的敏感性和重要性实施差异化的加密存储。通过自动化扫描工具识别需要加密的数据(如身份证、电话号码等),并使用相应的加密工具进行加密存储。这可以确保即使数据被非法获取,也无法轻易解密和使用。
(4)数据使用阶段
·4A唯一入口(登录与绕行审计)
首先,我们确保所有数据访问都通过唯一的入口进行,从而将所有操作记录纳入监控和审计环节。通过实施登录和绕行审计,我们能够对比业务系统和统一入口的日志信息,检测是否存在绕行行为,确保数据访问的合规性。
·身份与鉴权(账号权限审计)
在身份认证方面,我们重视账号的权限管理。对于离职人员,我们及时删除其账号,防止数据泄露。对于拥有高权限的账号,我们进行定期审查,确保权限的授予是合理且必要的。一旦授权结束,我们及时回收权限,以加强细粒度的账号权限管理。
·金库管控(敏感数据访问审计)
(5)数据共享阶段
随着数据共享需求的增加,我们特别关注跨主体数据传输的场景。在数据从数据库提取或跨主体传输之前,我们实施严格的场景审批流程,做好出口管理。在满足管理要求并允许数据传输时,我们确保数据经过加密处理,以防止数据泄露。
·分场景审批
·出口管理(数据共享合规审计)
·数据加密
·链路加密
(6)数据销毁阶段
数据备份是数据安全的重要一环。我们认识到,即使采取了严格的安全措施,数据丢失的风险仍然存在。因此,我们重视数据备份与恢复策略的制定和实施。通过定期备份和及时恢复,我们能够在数据丢失或损坏时迅速恢复业务运行。
·数据备份
·数据删除(违规删数审计)
4. 持续治理与监控
在数据安全性领域,持续治理和监控确实是最具挑战性的部分。安全并非一蹴而就的状态,而是一个持续不断的过程,有效性具有时效性。为了确保长期的数据安全,我们必须进行持续性的评估。
从实践经验来看,我们需要不断提升对数据安全的认识水平。这包括关注行业内外发生的安全事件,识别潜在风险,并据此制定检查方案。通过自我检查,我们可以列出风险清单,并持续跟踪闭环,确保问题得到及时解决。这个过程应该作为定期或不定期的专项工作进行,以培养团队对潜在威胁的警觉性。
同时,构建一套数据安全运营水平的指标体系至关重要。这一体系旨在通过量化数据,为管理层提供直观、可衡量的数据安全状况报告。指标体系可根据企业实际情况进行调整,但通常应涵盖以下几个方面:
(1)数据资产管理:数据资产全面性和准确性,确保无遗漏和误报;数据分类分级,检查业务对数据分类分级的认知是否清晰明确,确保敏感数据得到适当保护;敏感数据识别,全面识别敏感数据,包括那些可能未被管理办法完全涵盖的数据,确保所有敏感数据均得到妥善管理。
(2)数据环境安全:监控漏洞发现和修复情况,评估人员在此方面的投入和效果。
(3)数据处理合规:通过定期审计确保数据处理过程合规,并重点关注问题重复出现的频率,以识别并解决深层次问题。
(4)数据安全管控:评估定期或不定期专项检查的效果,确保问题得到及时发现和处理。
(5)数据安全事件处理:分析异常事件的处理闭环和响应时长,评估事件应对能力和效率。
这一体系能够全面反映数据安全运营水平,为提升数据安全工作提供有力支持。
5. 大数据上云方案
当谈及大数据上云方案时,确实可以降低建设成本,但同时也带来了一系列挑战和问题。首先,我们需要认识到数据在处理过程中有一个明确的流程:数据输入、计算和输出。在这个过程中,区分不同数据等级至关重要。对于敏感程度较高的数据,建议在本地私有云中进行保存和计算,以确保数据的安全性。
然而,当数据敏感等级相对较低时,可以考虑将其存放在公有云上以降低成本。但这种数据分开存放的策略可能导致通信开销增加。此外,在输入和输出阶段,如果云服务提供商不可信或存在安全风险,明文数据的传输和存储可能面临被攻击和泄露的风险。
为了应对这些挑战,我们可以采取一系列措施。在数据发布之前,进行隐私保护处理是关键步骤,包括数据匿名化和差分隐私等混淆技术。但需要注意的是,这些技术可能会导致数据失真,从而在一定程度上影响数据处理的准确性。
在计算阶段,加密传输和密文计算技术可以确保数据在处理过程中的安全性。特别是同态加密技术,它允许在不解密的情况下对数据进行计算,达到与明文计算相同的效果。然而,同态加密的开销较大,因此在实际应用中需要权衡其性能和成本。
除了同态加密外,还有基于混淆电路的计算方式等更专业和精细的技术。这些技术可以根据具体场景和需求进行选择和应用。在此,只是简要介绍了这些技术。
三、数据安全合规实践
1. APP个人隐私保护监管体系
关于个人隐私保护的要求确实在不断更新和变得更为严格。目前,已经形成了一个五层的监管体系来确保个人隐私得到充分保护:
个人信息保护除了常规的个人信息外,还涉及敏感个人信息和私密信息。这些信息的泄露可能对个人造成更大的伤害。
以苹果的一个案例为例,iOS 17.5版本的一个bug导致用户多年前删除的照片重新出现在照片应用中。这不仅暴露了苹果在数据销毁方面的不足,也引发了用户对iCloud服务安全性的担忧。这个事件对苹果的品牌形象和安全性都造成了负面影响。
因此,对于APP开发者来说,保护个人隐私不仅是法律义务,也是业务发展的必要条件。在处理个人信息时,应充分尊重个人的权利,包括知情权和决定权。用户有权知道他们的信息是如何被收集、使用和分享的,并有权决定是否同意这些操作。
此外,用户还应有权更正、补充、查阅、复制、转移和删除他们的个人信息。这些权利都应在APP的隐私政策或相关管理制度中得到体现。
2. APP开发者关注点
(1)违规收集个人信息:
·私自收集:未经用户同意或超出声明的范围收集个人信息。
·超范围收集:声明的收集范围与实际收集的不符,如只声明收集姓名但实际上还收集了电话号码等。
(2)违规使用个人信息:
·私下共享给第三方:未经用户同意将用户信息共享给合作伙伴或其他第三方。
·强制用户定向推送:强制用户接收定向广告或推送信息。
(3)不合理索取用户权限:
·频繁申请权限:多次申请用户已经授权过的权限,如硬件信息、位置信息等。
·过度索取:申请的权限超出APP功能所需,如不需要麦克风功能的APP申请麦克风权限。
(4)为用户账号注销设置障碍:
·注销难:故意设置复杂的注销流程或条件,使用户难以注销账号。
·注销后信息未清除:即使用户注销账号,相关信息仍被保留或未彻底删除。
(5)欺骗和误导用户:
·强制跳转:通过设计过于灵敏的“摇一摇”等功能,误导用户跳转至广告页面或购物APP。
·误导性设计:功能设计与用户意图不符,使用户在尝试关闭时意外触发其他操作。
作为APP开发者,应当严格遵守相关法律法规,确保用户个人隐私得到充分保护。同时,也应注意SDK的使用和管理,避免因SDK的不当使用而给用户隐私带来风险。通过加强技术和管理措施,为用户提供更安全、更可信赖的服务。
3. AI个人信息安全风险
(1)训练环节
·需要关注爬取数据中包含的个人信息、特别是敏感个人信息。即便是已经公开的个人信息,也需要在合理范围内处理;
·审慎评估是否需要个人信息参与模型训练。对爬取的训练数据集进行清洗,尽量减少可能包含的个人信息服务环节。
(2)服务环节:
·保障用户的知情权,为用户提供查询、复制、更正、补充、删除的渠道
·提供收集个人信息清单
·明确大模型收集信息不涉及自动化决策
·不提供更多个人信息仍可使用服务
·提示审慎输入敏感个人信息
4. AI内容安全
随着AI技术的飞速发展,内容安全问题已经成为当前监管的重要焦点。AI生成的内容和伪造的内容在各类媒体中层出不穷,给内容安全带来了前所未有的挑战。传统的不良信息整治手段已难以满足当前的需求,因为AI技术提供了多样化的场景和形式。
在应对AI内容安全挑战时,我们需要支持多种异构数据的处理,这包括文本、图片、音频和视频等多种媒体形式。技术要求也相应提高,不仅需要实现高精度的识别,还需要进行深度学习可解释性、自然语言处理、知识挖掘和推理等多方面的技术研究。
当前,内容安全可以分为四种主要场景:
(1)多媒体内容分析过滤:这包括识别虚假信息、非法信息、广告检测以及垃圾邮件过滤等。
(2)信息伪造检测:随着AI技术的发展,深度伪造的内容越来越难以辨识。我们需要借助先进的算法和技术手段,对这类内容进行精准识别和过滤。
(3)舆情态势感知:对于具有社会煽动性的AI应用,监管力度正在加强。通过分析社交媒体上的热点话题和公众情感,我们可以更好地了解社会动态,并采取相应的措施来维护社会稳定。
(4)原始数据保护:虽然这是一个相对传统的领域,但随着应用场景的增多,其重要性也日益凸显。我们需要确保用户数据的隐私和安全,防止数据泄露和滥用。
面对这些挑战,我们需要不断加强技术研发和监管力度,同时提高公众对AI内容安全的认识和重视程度。只有这样,我们才能构建一个安全、健康、和谐的数字环境。
5. 数据出境初探
数据出境作为当前数据监管的重要方向,涉及多个关键概念和定义。首先,我们明确几个基本概念:
(1)数据主体:指的是数据的所有者,即数据的原始来源或归属者。这通常包括自然人、消费者、个人、居民等,他们拥有数据的所有权和隐私权。
(2)数据控制者:指的是有权决定数据处理目的和方式的自然人、法人或其他组织。他们负责处理、使用和管理数据,并对数据的处理活动承担相应责任。
(3)数据处理者:指的是受数据控制者委托,对数据进行处理活动的自然人、法人或其他组织。他们虽然不拥有数据的所有权,但在处理过程中也有权接触和使用数据。
(4)个人信息:指能够单独或与其他信息结合识别特定自然人身份的各种信息,包括但不限于姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。这与个人信息保护法律法规中的定义保持一致。
关于数据出境的定义,不同地区可能有不同的法律约定。在我国,数据出境的认定标准包括跨越地理边界和接收方国籍两个维度。具体来说,数据出境包含以下三种场景:
(1)主动出境:指数据控制者或处理者主动将境内收集和产生的数据向境外提供,如通过电子邮件发送、VPN传输等方式。
(2)被动出境:指虽然数据存储在境内,但境外组织或个人能够通过特定系统访问或导出这些数据。这种情况下,数据也被视为出境。
(3)数据中转:涉及境外数据在境内加工后再出境的情况。如果加工过程中涉及境内数据的参与,则会被认定为数据出境。
在法律层面,数据控制者和处理者需明确自身在数据出境过程中的义务和要求,确保数据出境活动符合相关法律法规的规定,保障数据主体的合法权益。同时,也需要加强国际合作,共同应对数据跨境流动带来的挑战和风险。
四、展望
在数据安全的整体运营过程中,坚持价值导向的运营策略至关重要。正如我们所知,数据资产已成为当今企业的核心命脉,通过共享和流通产生巨大价值。然而,数据资产的价值也可能受到多种因素的影响而贬值。
首先,法律限制是其中一大因素。随着法律法规的不断更新和完善,一些以往可以收集、使用或传输的数据现在可能受到限制。这种变化可能导致数据资产的价值大幅贬损,因此,企业需密切关注法律动态,确保数据运营活动符合法律要求。
其次,宏观环境的变化也对数据资产价值产生重要影响。这包括市场供求关系的变化、商业模式的演变等。企业需根据市场环境和商业模式的变化,评估数据资产的收益来源和风险承受能力,从而制定合理的数据运营策略。
此外,数据安全措施也是保障数据资产价值的关键。如果数据管理、技术或流通环节存在缺陷,可能导致数据被非法窃取或泄露,进而损害企业的商业优势。因此,企业需加强数据安全运营,确保数据资产的安全合规和风险控制。
在数据安全运营中,我们不仅要满足法律要求,还要主动对标全球和行业的最佳实践,敏锐地发现宏观环境的变化,切实做好数据安全运营工作。同时,我们的安全措施必须有效,能够真正防范数据泄露的风险,为企业数据安全运营提供有力保障。
总之,数据安全运营需坚持价值导向,确保数据资产的安全合规和风险控制,以支持企业的持续发展和竞争优势。