安全資訊

隨著(zhù)新一代信息技術(shù)的快速發(fā)展，經(jīng)濟社會(huì )各領(lǐng)域的數字化、網(wǎng)絡(luò )化、智能化趨勢加快，新模式新業(yè)態(tài)持續涌現，數字經(jīng)濟方興未艾。數據正成為我國實(shí)施供給側結構性改革、推動(dòng)經(jīng)濟發(fā)展的生產(chǎn)力，也是促進(jìn)全球經(jīng)濟發(fā)展的新生產(chǎn)要素。

與此同時(shí)，工業(yè)互聯(lián)網(wǎng)數據規?；鲩L(cháng)速度越來(lái)越快，內外網(wǎng)數據交互流通、海量數據集中匯聚分析等提供了更多竊取、篡改數據的路徑，擴大了攻擊面，數據安全面臨愈發(fā)嚴峻的風(fēng)險隱患，實(shí)施數據安全分類(lèi)分級和差異化分級防護、加強工業(yè)互聯(lián)網(wǎng)數據安全保障、網(wǎng)絡(luò )安全等級保護測評刻不容緩。

當前，我國工業(yè)企業(yè)、工業(yè)互聯(lián)網(wǎng)平臺企業(yè)等仍然存在重發(fā)展輕安全的問(wèn)題，對于開(kāi)展工業(yè)互聯(lián)網(wǎng)數據安全防護建設等相關(guān)工作，很多企業(yè)感到無(wú)從下手或者力不從心，特別是在面對海量多樣的工業(yè)互聯(lián)網(wǎng)數據時(shí)，對如何開(kāi)展數據安全分類(lèi)分級和安全防護毫無(wú)思路。

因此，加快推動(dòng)工業(yè)互聯(lián)網(wǎng)數據安全分類(lèi)分級、實(shí)行差異化數據安全防護是當前工業(yè)互聯(lián)網(wǎng)數據安全保障的重點(diǎn)工作，也是落實(shí)企業(yè)主體責任的重要舉措，亦是強化數據安全監管的重要抓手，更是促進(jìn)數字經(jīng)濟健康發(fā)展、維護國家數據主權的重要保障。

（一）國內外數據分類(lèi)分級相關(guān)標準情況

相比傳統網(wǎng)絡(luò )數據，工業(yè)互聯(lián)網(wǎng)數據種類(lèi)和形態(tài)更為豐富多樣，且具有適應工業(yè)生產(chǎn)運營(yíng)場(chǎng)景下的實(shí)時(shí)性、穩定性等特征，對其進(jìn)行有效的分類(lèi)分級和安全防護存在困難。

目前，國內外在信息、數據等對象的分類(lèi)分級方面已有所嘗試，在一些標準中提出了一些方法和參考。例如，美國《聯(lián)邦信息和信息系統安全分類(lèi)標準》（FIPS 199），我國《GB/T 35273-2017信息安全技術(shù) 個(gè)人信息安全規范》、貴州省《DB52/T 1123-2016政府數據 數據分類(lèi)分級指南》等，從數據主體、用途、業(yè)務(wù)屬性等角度出發(fā)對數據進(jìn)行分類(lèi)，根據數據遭泄露、篡改等造成的后果進(jìn)行定性分級。

（二）數據分類(lèi)分級的目的

一是分類(lèi)的目的是明確安全責任、確定防護邊界。分類(lèi)旨在劃定工業(yè)互聯(lián)網(wǎng)數據范圍，從行業(yè)的角度明確行業(yè)主管部門(mén)監管范疇，從企業(yè)的角度落實(shí)數據安全主體責任，從防護的角度確定數據安全防護邊界。例如，行業(yè)層面，電力、石油石化等行業(yè)數據由能源主管部門(mén)進(jìn)行監管，工業(yè)、通信業(yè)等行業(yè)數據由工信主管部門(mén)進(jìn)行監管。企業(yè)層面，各企業(yè)應對其產(chǎn)生或使用的工業(yè)互聯(lián)網(wǎng)數據承擔安全主體責任，如工業(yè)互聯(lián)網(wǎng)平臺上的數據應由平臺企業(yè)切實(shí)做好安全防護，根據數據來(lái)源、用途等細分研發(fā)域與生產(chǎn)域、IaaS層與PaaS層等，分別確定域之間、層之間的防護邊界。

二是分級的目的是確定責任主體的防護措施力度和粒度、實(shí)施差異化分級安全防護。數據的分級主要從保密性、完整性、可用性三個(gè)屬性遭破壞后造成的后果影響來(lái)進(jìn)行定級，這與國內網(wǎng)絡(luò )安全等級保護定級、關(guān)鍵信息基礎設施識別等相關(guān)標準及文件的思路是一致的。同時(shí)，與對網(wǎng)絡(luò )與信息系統進(jìn)行等級保護一樣，數據也應分等級進(jìn)行保護，從管理和技術(shù)等維度提出細粒度、有層次的數據分級保護措施，對應落實(shí)分級監管職責。

（三）數據分類(lèi)分級方法

借鑒國內外數據分類(lèi)分級相關(guān)經(jīng)驗，緊扣數據分類(lèi)分級的目的，根據工業(yè)互聯(lián)網(wǎng)數據的特征和安全防護需求，研究提出工業(yè)互聯(lián)網(wǎng)數據分類(lèi)分級方法。首先，從數據來(lái)源、特征、用途、關(guān)聯(lián)性、安全防護需求等多個(gè)方面進(jìn)行綜合分析，提出數據分類(lèi)方法，確保數據類(lèi)別之間緊耦合、安全防護需求基本一致，同時(shí)，為了方便管理，數據類(lèi)別劃分不宜過(guò)多。然后，采用“就高不就低”原則，根據數據的三個(gè)安全屬性任意一個(gè)屬性遭破壞后，用定性和定量結合的方法判斷對工業(yè)生產(chǎn)經(jīng)營(yíng)、公共利益、經(jīng)濟社會(huì )穩定、生態(tài)環(huán)境、人民生命健康、國家安全等造成的最大后果影響來(lái)進(jìn)行定級。

（四）數據級別與網(wǎng)絡(luò )信息系統級別之間的關(guān)系

數據具有流動(dòng)性、可復制等特有屬性，三級的系統也有可能流入或存儲一級、二級、四級的數據，所以數據的級別與承載其的系統的級別沒(méi)有必然聯(lián)系，數據流動(dòng)過(guò)程中的級別以源數據判定時(shí)的級別為準。但如果低級別的數據流入高級別的系統中時(shí)，該級別數據對系統的運行或服務(wù)產(chǎn)生了作用和影響，則該數據應該重新定級，級別應相應提高。從安全防護的角度考慮，系統中的所有數據應按照該級別系統的數據安全要求實(shí)施，高級別的數據一般不允許在無(wú)附加安全保護措施的情況下流入低級別的系統。

盡管我國有些政策文件在工業(yè)互聯(lián)網(wǎng)數據安全分類(lèi)分級方面有所涉及，但還未形成體系化管理。筆者認為在分類(lèi)分級的基礎上，工業(yè)互聯(lián)網(wǎng)數據安全防護應堅持總體國家安全觀(guān)，以落實(shí)企業(yè)主體責任為關(guān)鍵，從體制機制、法規政策、標準規范、技術(shù)手段等多方面入手，加快提升工業(yè)互聯(lián)網(wǎng)數據安全保障水平?？梢灾攸c(diǎn)做好以下工作：

一是加強監管、落實(shí)責任。加強工業(yè)互聯(lián)網(wǎng)數據安全分類(lèi)分級研究，通過(guò)數據分類(lèi)明確各類(lèi)數據的主管部門(mén)，確定工業(yè)互聯(lián)網(wǎng)數據安全監管邊界，建立健全跨部門(mén)的數據安全監管機制。通過(guò)分級明確各級數據的安全防護要求，落實(shí)各級數據的安全主體責任和監管層級，實(shí)行差異化分級防護。

二是政策指導、標準引導。研究制定工業(yè)互聯(lián)網(wǎng)數據安全相關(guān)法規政策，明確發(fā)展目標和實(shí)施路徑，部署重大任務(wù)和發(fā)展路線(xiàn)，指導促進(jìn)我國工業(yè)互聯(lián)網(wǎng)數據安全發(fā)展。圍繞工業(yè)互聯(lián)網(wǎng)數據的特征和全生命周期安全需求，加快研制工業(yè)互聯(lián)網(wǎng)數據安全分類(lèi)分級、安全防護、重要數據識別等標準。加強法規政策和標準的宣貫培訓，提升工業(yè)互聯(lián)網(wǎng)數據安全意識。

三是技管結合、提升能力。推動(dòng)工業(yè)互聯(lián)網(wǎng)數據安全管理機制創(chuàng )新，重視數據安全管理能力。建設工業(yè)互聯(lián)網(wǎng)敏感數據監測平臺，在企業(yè)內部、流量出口等地部署探針和數據檢測引擎，實(shí)時(shí)監測企業(yè)IT、OT網(wǎng)絡(luò )及工業(yè)APP等中的數據安全風(fēng)險。建設工業(yè)互聯(lián)網(wǎng)數據跨境監測平臺，在重要網(wǎng)絡(luò )出口等地部署數采探針，實(shí)現對各類(lèi)數據的識別、分析、研判與預警，避免重要數據流出境外。構建工業(yè)互聯(lián)網(wǎng)數據安全評估認證體系，依托第三方專(zhuān)業(yè)機構，開(kāi)展數據安全能力的評估和認證。

四是研發(fā)技術(shù)、發(fā)展產(chǎn)業(yè)。推動(dòng)工業(yè)互聯(lián)網(wǎng)數據安全技術(shù)研發(fā)，促進(jìn)數據安全產(chǎn)業(yè)發(fā)展，強化產(chǎn)業(yè)支撐。加快工業(yè)互聯(lián)網(wǎng)數據安全態(tài)勢感知、數據加密、數據脫敏等技術(shù)研發(fā)，形成核心技術(shù)創(chuàng )新發(fā)展優(yōu)勢。培育一批以工業(yè)互聯(lián)網(wǎng)數據安全為核心業(yè)務(wù)的工業(yè)信息安全骨干企業(yè)，打造特色優(yōu)勢產(chǎn)業(yè)集群。發(fā)揮工業(yè)信息安全產(chǎn)業(yè)發(fā)展聯(lián)盟的作用，促進(jìn)科研成果轉化和產(chǎn)業(yè)化應用，構建協(xié)調發(fā)展的工業(yè)互聯(lián)網(wǎng)數據安全產(chǎn)業(yè)生態(tài)。

工業(yè)互聯(lián)網(wǎng)實(shí)現了數據在工業(yè)設備、生產(chǎn)線(xiàn)、工廠(chǎng)、平臺、供應商、產(chǎn)品和客戶(hù)全產(chǎn)業(yè)鏈的閉環(huán)流動(dòng)。數據是工業(yè)互聯(lián)網(wǎng)的“血液”，是我國實(shí)施供給側結構性改革、推動(dòng)經(jīng)濟發(fā)展的生產(chǎn)力，也是促進(jìn)全球經(jīng)濟發(fā)展的新生產(chǎn)要素，數據安全對于發(fā)展工業(yè)互聯(lián)網(wǎng)至關(guān)重要、事在必行。開(kāi)展工業(yè)互聯(lián)網(wǎng)數據分類(lèi)分級，是保障工業(yè)互聯(lián)網(wǎng)數據安全的基礎。