(网经社讯)随着新一代信息技术的快速发展,经济社会各领域的数字化、网络化、智能化趋势加快,新模式新业态持续涌现,数字经济方兴未艾。数据正成为我国实施供给侧结构性改革、推动经济发展的生产力,也是促进全球经济发展的新生产要素。
与此同时,工业互联网数据规模化增长速度越来越快,内外网数据交互流通、海量数据集中汇聚分析等提供了更多窃取、篡改数据的路径,扩大了攻击面,数据安全面临愈发严峻的风险隐患,实施数据安全分类分级和差异化分级防护、加强工业互联网数据安全保障刻不容缓。
当前,我国工业企业、工业互联网平台企业等仍然存在重发展轻安全的问题,对于开展工业互联网数据安全防护建设等相关工作,很多企业感到无从下手或者力不从心,特别是在面对海量多样的工业互联网数据时,对如何开展数据安全分类分级和安全防护毫无思路。
因此,加快推动工业互联网数据安全分类分级、实行差异化数据安全防护是当前工业互联网数据安全保障的重点工作,也是落实企业主体责任的重要举措,亦是强化数据安全监管的重要抓手,更是促进数字经济健康发展、维护国家数据主权的重要保障。
工业互联网数据安全分类分级思路和方法
(一)国内外数据分类分级相关标准情况
相比传统网络数据,工业互联网数据种类和形态更为丰富多样,且具有适应工业生产运营场景下的实时性、稳定性等特征,对其进行有效的分类分级和安全防护存在困难。
目前,国内外在信息、数据等对象的分类分级方面已有所尝试,在一些标准中提出了一些方法和参考。例如,美国《联邦信息和信息系统安全分类标准》(FIPS 199),我国《GB/T 35273-2017信息安全技术 个人信息安全规范》、贵州省《DB52/T 1123-2016政府数据 数据分类分级指南》等,从数据主体、用途、业务属性等角度出发对数据进行分类,根据数据遭泄露、篡改等造成的后果进行定性分级。
(二)数据分类分级的目的
一是分类的目的是明确安全责任、确定防护边界。分类旨在划定工业互联网数据范围,从行业的角度明确行业主管部门监管范畴,从企业的角度落实数据安全主体责任,从防护的角度确定数据安全防护边界。例如,行业层面,电力、石油石化等行业数据由能源主管部门进行监管,工业、通信业等行业数据由工信主管部门进行监管。企业层面,各企业应对其产生或使用的工业互联网数据承担安全主体责任,如工业互联网平台上的数据应由平台企业切实做好安全防护,根据数据来源、用途等细分研发域与生产域、IaaS层与PaaS层等,分别确定域之间、层之间的防护边界。
二是分级的目的是确定责任主体的防护措施力度和粒度、实施差异化分级安全防护。数据的分级主要从保密性、完整性、可用性三个属性遭破坏后造成的后果影响来进行定级,这与国内网络安全等级保护定级、关键信息基础设施识别等相关标准及文件的思路是一致的。同时,与对网络与信息系统进行等级保护一样,数据也应分等级进行保护,从管理和技术等维度提出细粒度、有层次的数据分级保护措施,对应落实分级监管职责。
(三)数据分类分级方法
借鉴国内外数据分类分级相关经验,紧扣数据分类分级的目的,根据工业互联网数据的特征和安全防护需求,研究提出工业互联网数据分类分级方法。首先,从数据来源、特征、用途、关联性、安全防护需求等多个方面进行综合分析,提出数据分类方法,确保数据类别之间紧耦合、安全防护需求基本一致,同时,为了方便管理,数据类别划分不宜过多。然后,采用“就高不就低”原则,根据数据的三个安全属性任意一个属性遭破坏后,用定性和定量结合的方法判断对工业生产经营、公共利益、经济社会稳定、生态环境、人民生命健康、国家安全等造成的最大后果影响来进行定级。
(四)数据级别与网络信息系统级别之间的关系
数据具有流动性、可复制等特有属性,三级的系统也有可能流入或存储一级、二级、四级的数据,所以数据的级别与承载其的系统的级别没有必然联系,数据流动过程中的级别以源数据判定时的级别为准。但如果低级别的数据流入高级别的系统中时,该级别数据对系统的运行或服务产生了作用和影响,则该数据应该重新定级,级别应相应提高。从安全防护的角度考虑,系统中的所有数据应按照该级别系统的数据安全要求实施,高级别的数据一般不允许在无附加安全保护措施的情况下流入低级别的系统。
基于工业互联网数据分类分级的数据安全防护思考
尽管我国有些政策文件在工业互联网数据安全分类分级方面有所涉及,但还未形成体系化管理。笔者认为在分类分级的基础上,工业互联网数据安全防护应坚持总体国家安全观,以落实企业主体责任为关键,从体制机制、法规政策、标准规范、技术手段等多方面入手,加快提升工业互联网数据安全保障水平。可以重点做好以下工作:
一是加强监管、落实责任。加强工业互联网数据安全分类分级研究,通过数据分类明确各类数据的主管部门,确定工业互联网数据安全监管边界,建立健全跨部门的数据安全监管机制。通过分级明确各级数据的安全防护要求,落实各级数据的安全主体责任和监管层级,实行差异化分级防护。
二是政策指导、标准引导。研究制定工业互联网数据安全相关法规政策,明确发展目标和实施路径,部署重大任务和发展路线,指导促进我国工业互联网数据安全发展。围绕工业互联网数据的特征和全生命周期安全需求,加快研制工业互联网数据安全分类分级、安全防护、重要数据识别等标准。加强法规政策和标准的宣贯培训,提升工业互联网数据安全意识。
三是技管结合、提升能力。推动工业互联网数据安全管理机制创新,重视数据安全管理能力。建设工业互联网敏感数据监测平台,在企业内部、流量出口等地部署探针和数据检测引擎,实时监测企业IT、OT网络及工业APP等中的数据安全风险。建设工业互联网数据跨境监测平台,在重要网络出口等地部署数采探针,实现对各类数据的识别、分析、研判与预警,避免重要数据流出境外。构建工业互联网数据安全评估认证体系,依托第三方专业机构,开展数据安全能力的评估和认证。
四是研发技术、发展产业。推动工业互联网数据安全技术研发,促进数据安全产业发展,强化产业支撑。加快工业互联网数据安全态势感知、数据加密、数据脱敏等技术研发,形成核心技术创新发展优势。培育一批以工业互联网数据安全为核心业务的工业信息安全骨干企业,打造特色优势产业集群。发挥工业信息安全产业发展联盟的作用,促进科研成果转化和产业化应用,构建协调发展的工业互联网数据安全产业生态。
结束语
工业互联网实现了数据在工业设备、生产线、工厂、平台、供应商、产品和客户全产业链的闭环流动。数据是工业互联网的“血液”,是我国实施供给侧结构性改革、推动经济发展的生产力,也是促进全球经济发展的新生产要素,数据安全对于发展工业互联网至关重要、事在必行。开展工业互联网数据分类分级,是保障工业互联网数据安全的基础。(来源:网络安全和信息化 编选:网经社)