工业互联网企业网络安全分类分级防护系列规范 (三)：《工业互联网企业数据安全防护规范》

近期，工业和信息化部印发《工业互联网企业网络安全分类分级管理指南（试行）》（以下简称《管理指南》）及《关于开展工业互联网企业网络安全分类分级管理试点工作的通知》等系列文件，落实工信部等十部门《加强工业互联网安全工作的指导意见》等相关政策要求。《管理指南》将工业互联网企业主要分为应用工业互联网的工业企业（简称联网工业企业）、工业互联网平台企业（简称平台企业）、标识解析企业三类，每一类企业参照行业重要性、企业规模、安全风险程度等因素，将企业网络安全等级由高到低划分为三级、二级、一级。

《管理指南》第十五条规定，工业互联网企业应当依据工业互联网安全相关标准，落实与自身安全级别相适应的防护措施，自行或委托第三方评测机构开展标准符合性评测和风险评估。为有效推进工业互联网企业落实安全防护措施，国家工业信息安全发展研究中心牵头支撑编写了《工业互联网企业数据安全防护规范》等《管理指南》的配套规范。在分类分级管理试点工作中，联网工业企业、平台企业、标识解析企业都应统一参考《工业互联网企业数据安全防护规范》来落实数据安全防护相关措施，这对加强数据分类分级安全防护意识与技能、提升数据安全防护水平、护航企业数字化转型发展等具有重大意义。

一、工业互联网数据发展蓬勃兴起，对于企业数字化转型升级的重要性日益突出

当前，以数字化、网络化、智能化为主要特征的新工业革命蓬勃发展，推动全球经济结构、产业结构、国际分工发生深刻变革。工业互联网融合几次工业革命的成果，通过人、机、物全面互联，全要素、全产业链、全价值链的全面连接，以数据作为创新发展的使能要素，构建基于“数据+算力+算法”的新型能力图谱，推动建立数据驱动的新型生产制造和服务体系。工业互联网数据日益成为提升制造业生产力、竞争力、创新力的关键要素，是工业互联网创新发展的“血液”。近年来，我国工业互联网数据发展方兴未艾，研发设计网络协同、生产过程改进优化、用户需求精准分析、营销管理智能决策、订单物流跟踪处置、供应链产业链数据共享等工业互联网数据应用场景层出不穷，各类工业互联网企业结合自身业务特点和数据资源，加快推进数据的开发利用。

党的十九届四中全会首次提出将“数据”作为生产要素参与收益分配，十九届五中全会提出推进数字产业化和产业数字化，推动数据资源开发利用和安全保障。着眼未来，找准数据安全和发展的“平衡点”、推动数据有序流通与安全共享、实现数据要素价值，将是十四五时期工业互联网企业数字化转型发展的关键，也是我国数字经济和实体经济高质量融合发展的重要基础。

二、工业互联网数据安全形势复杂严峻，面临的安全风险日渐凸显

随着工业互联网数据的快速发展应用，伴随而来的数据安全风险日益突出。

一是在严峻的全球数据安全形势下，制造业等领域的工业互联网数据已成为重点攻击目标。据Verizon发布的《2020年数据泄露调查报告》统计，全球数据泄露事件多达3950起，同比增长96%，制造业在受影响行业中排名第三（前两名为医疗保障、金融保险业）。随着企业上云、工业APP培育等持续推进，工况状态、产能信息等数据向云平台加速汇聚，存储状态由离散变为集中，将日益成为不法分子牟取利益的攻击窃密对象。

二是互联开放环境下风险点增多，工业互联网数据安全风险加剧。随着越来越多的工业控制系统与互联网连接，传统相对封闭的工业生产环境被打破，黑客可从网络端攻击窃取内网甚至生产网中的数据。工业主机、数据库、APP等存在的端口开放、漏洞未修复、接口未认证等问题，降低了黑客入侵窃密难度，面临数据泄露等后果。此外，工业互联网数据跨境流动安全风险也十分突出，国家工业信息安全发展研究中心建设的工业互联网数据安全监测与防护平台在地方、企业试点期间，就监测发现多起数据跨境、数据泄露等事件，涉及钢铁、石油天然气、装备制造等行业，其中不乏研发设计、生产制造等工业互联网数据，这些数据可能含有敏感信息，一旦被违规跨境传输将可能影响企业生产经营、产业核心竞争力、经济发展甚至国家安全。

三是工业互联网数据多点跨域流动带来安全隐患，数据全生命周期各环节安全风险无处不在。从数据采集看，不同行业、企业间的数据类型、接口规范、通信协议不全统一，数据采集过程难以实施有效的整体防护，采集的数据可被黑客注入脏数据，破坏数据质量，存在不可靠风险；从数据传输看，工业数据实时性强，传统加密传输等安全技术难适用，数据传输面临泄露、监听等风险。数据多路径、跨组织的复杂流动模式，导致数据传输过程追踪溯源难；从数据存储看，缺乏完善的数据安全分类分级隔离措施和授权访问机制，存储数据存在被非法访问窃取、篡改等风险；从数据使用看，工业互联网源数据多维异构、碎片化，传统数据清洗与解析、数据包深度分析等措施的实施效果不佳。

四是新一代信息技术促进数据开发利用，但数据安全新风险新问题日益凸显。云环境下越来越多的工业控制系统、设备直接或间接与云平台连接，网络攻击面显著扩大，单点数据一旦被感染，就可能从局部性风险演变成系统性风险；工业大数据的海量集中存储，产生“数据蜜罐”效应，成为网络攻击的靶子，大规模数据泄露风险剧增；通过知识挖掘、机器学习等技术，可将过去分离的信息进行关联、碰撞和整合，使原始数据中被隐藏的信息再次显现出来，甚至分析挖掘后得到的信息远大于原始数据所拥有的信息；人工智能等技术的应用带来深度伪造、数据污染等风险。

此外，工业互联网企业还面临数据分类分级落地应用不足、数据底数不清，针对性的工业互联网数据安全防护能力薄弱，工业互联网数据的可信交换共享与交易等技术与服务模式缺乏等问题，亟需“对症下药”，破解工业互联网数据“识别难、防护难、共享难、变现难”等困境，蹚出一条符合国情的工业互联网企业数字化安全转型之路。

三、以企业分类分级管理为引领，积极推动工业互联网企业建设数据安全分级防护体系

《管理指南》及配套规范等文件的发布，为政府层面和企业层面开展网络安全差异化管理、数据安全分级防护、推动工业互联网企业的安全发展等提供了政策引领与标准指导。工业互联网企业普遍存在数据类型多、格式多等特点，不同安全级别的数据面临的安全风险和防护需求也各有差异，传统的从系统防护角度保护数据、以防外部攻击为主等数据安全防护思路与体系，已难以满足工业互联网数据安全的全生命周期分级防护需求。因此，需要政府、企业等共同努力，推进数据安全规范的落地应用。

从政府层面来看，《工业互联网企业数据安全防护规范》是地方指导企业对工业互联网数据进行精细化、差异化分级防护的重要抓手。地方主管部门可依据规范，督促企业落实主体责任，组织本地区工业互联网企业开展数据分类分级摸底及防护工作，制定本地区重要数据清单，开展企业数据安全评估，指导企业加强数据安全管理与防护，建立健全数据分类分级核查、数据安全监测预警、数据安全检查评估、数据安全事件应急处置、数据安全共享等机制。

从企业层面来看，《工业互联网企业数据安全防护规范》是企业提升数据安全防护能力的重要参考。工业互联网企业应落实规范要求，承担安全主体责任，主动开展数据分类分级、安全建设、风险评估、安全整改和应急保障等工作，强化数据安全防护能力建设，建立符合实际的工业互联网数据安全防护体系，有力促进数据有序安全流通共享和高效利用。

四、以保安全、增效益、促发展为目标，加快落实工业互联网企业数据安全防护规范

目前我国工业互联网数据安全工作正在逐步推进，面临的数据安全风险与挑战较为突出，且尚未形成权威统一的针对工业互联网企业的数据安全防护标准。《工业互联网企业数据安全防护规范》作为企业分类分级工作的配套文件，规定了数据安全防护范围及内容，明确了数据分类分级方法、通用防护要求以及一级、二级、三级数据分别对应的安全防护要求，为工业互联网企业落实数据安全防护措施、提升数据安全防护能力指明了方向，重点包括以下几个方面：

一是提出数据分类分级方法，明确通用防护要求。分类分级方面，联网工业企业结合研发设计、生产制造、运维、管理等环节，平台企业与标识解析企业结合服务运营模式，分析梳理各类企业的工业互联网相关业务流程和系统设备，考虑行业要求、业务规模、数据来源和用途等情况，对工业互联网数据进行分类；企业应根据不同类别工业互联网数据遭篡改、破坏、泄露或非法利用后，可能对工业生产、经济效益、国家安全等带来的最大后果影响，将工业互联网数据分为一级、二级、三级共3个级别，三级数据的安全防护要求最高；企业应在数据产生阶段确定数据的类别和级别，形成数据分类分级清单，并定期复查数据分类分级情况。通用防护方面，主要包括数据安全管理与系统防护等，从机构与人员管理、系统设备安全、供应链安全、安全评估、日志留存、安全审计、应急处置等维度提出安全要求。

二是紧扣数据安全特性，聚焦数据全生命周期各环节提出差异化数据安全分级防护要求。针对工业互联网数据的实时性、流动性等特点，兼顾存储态、流动态数据的安全防护。根据数据安全级别的不同，深入数据层从数据采集、传输、存储、处理、交换共享与公开披露、归档与销毁等环节，提出针对性的分级防护措施，避免“一刀切”的粗放型低效防护。例如，数据采集阶段要做好采集协商、安全控制与源数据安全检测，数据传输阶段要做好加密、监测及通信协议、链路的安全，数据存储阶段要做好分类分级存储、访问控制与灾备恢复，数据处理阶段要做好导入导出安全、加工与分析的安全，数据交换共享与公开披露阶段要做好数据脱敏、溯源，数据归档与销毁阶段要做好内容及介质的销存等，各项安全要求都依据数据安全的级别逐级增强。

三是建立数据安全防护基线，促进数据有序安全共享生态体系建设。《工业互联网企业数据安全防护规范》落地应用的目标是“保发展、增效益、促安全”，通过明确数据分类分级方法和安全防护要求，让企业清晰的了解自身数据资产清单，实施差异化的数据安全分级防护措施，明晰哪些数据需要重点保护、哪些数据可以共享以及如何保障共享安全，从而促使数据安全、有序、灵活、高效地流动起来、运营起来，让数据的生产要素作用切实发挥起来。同时，依托规范的试点应用，带动产学研用各方联合打造安全可信的工业互联网数据空间，共建良好的数据安全防护、共享、交易等生态体系，加速企业数字化转型，促进数字经济和实体经济的融合发展。

作 者：郝志强 杨帅锋 李俊

作者单位：国家工业信息安全发展研究中心

声明：本文来自工业信息安全产业发展联盟，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。