文│国家工业信息安全发展研究中心 杨帅锋 李俊

工业领域数据涉及主体多、种类多、格式多,既有工业企业产生和收集的研发设计、生产制造、运行维护等数据,也有工业互联网平台企业产生和收集的平台运营数据、知识库模型库数据,还有工控厂商产生和收集的设备生产运维数据、产品测试数据等。

随着数字产业化和产业数字化加速推进,工业领域数据规模化增长、泛在化流动、平台化集聚,新风险新挑战不断加剧。如何有重点的保护海量工业数据、如何筑牢安全底座促进数据安全有序流动、如何及时发现并有效处置风险等,都是当前在工业领域数据安全管理工作中急需啃掉的“硬骨头”。

对此,应聚焦工业领域数据实时性、稳定性、级联性等特征,紧贴数据应用业务场景,加快构建覆盖“数据分类分级识别、分级防护、安全评估、风险处置”等全流程工业领域数据安全管理闭环工作体系。

一、以数据分类分级识别数据保护重点,做到“摸清家底、心中有数”

工业领域涉及的行业众多、应用场景丰富、业务环节复杂,相应的数据种类、形态也十分多样,特别是大量工业系统设备都在实时产生或收集数据,数据规模呈指数级增长。面对如此多样复杂、体量庞大的工业数据,若都无差别的投入人力物力去加强保护,既不现实也不科学。对于到底拥有哪些数据类型、哪些数据需要重点保护等,目前大多数企业还处于“混沌”状态,数据分类分级尚未成为常规动作,对数据进行精细化安全管理和防护也就无从谈起。

因此,应充分认识到,数据分类分级是做好数据安全工作最基础也是最重要的一项工作,更是一项工作量和实施难度都较大的工作,需要熟悉具体业务流程和数据使用的相关人员,按照标准规范进行科学分类、准确定级。

一是数据分类的目的是便于明确安全责任、确定防护边界,例如,研发、生产、管理等各业务部门,应切实承担各自产生和收集的数据安全保护责任,同时研发域、生产域、管理域等数据各自归类,也能更好地实施分区分域和边界防护。

二是数据分类往往与数据所支撑的业务息息相关,数据的类别可从数据在业务运营中实现的用途和价值进行划分,如在研发业务中会产生研发设计图纸、产品模型等数据,在生产业务中会产生控制信息、工况状态等数据,在管理业务中会产生客户信息、业务统计指标等数据,这些数据类型与业务属性相伴相生。

三是数据分级的目的主要是便于明确防护措施的力度和粒度,实施差异化分级防护,避免“一刀切”粗放型防护。数据分级的方法与国内网络安全等级保护定级、关键信息基础设施识别认定等相关思路一脉相承,都是从遭破坏后造成的最大后果影响来界定。对于工业数据分级,尤其还要关注数据对各类生产业务、工业经济、工业生产等方面造成的影响。

四是数据分类分级的最终目标是科学直观地梳理清楚数据资产底数,识别出重要数据和核心数据,形成数据目录清单,真正掌握数据保护的重点对象有哪些、在哪儿、谁在用等情况。

二、加强数据全生命周期安全防护,实现“知己知彼,安全发展”

当前,随着新一代信息技术与制造业融合发展,以及数字经济发展的驱动下,工业领域数据逐步从以往局限于企业内网中使用向企业外网、云平台等处流通应用,数据的流向、流动路径、存储位置、使用方式等都在发生新的变化,伴随而来的数据违规传输、非授权访问、云端数据大规模泄露等风险愈发严重。与此同时,勒索攻击、撞库攻击等专门针对数据层面的攻击威胁愈演愈烈,数据非法收集、明文传输、恶意挖掘、滥采滥用、黑产交易、数据资产暴露等风险事件时有发生,因弱口令、漏洞、SQL 注入等网络安全问题导致的数据安全风险广泛存在。一旦这些风险演变为重大事故,将导致停工停产甚至严重影响国计民生。因此,强化工业领域数据安全防护刻不容缓。

一是关口前移,加强事前防护,积极建立完善数据安全风险监测、技术检测等技术手段,开展针对性的工业领域数据安全监测预警、风险信息报送等工作。其中,工业领域数据安全风险监测,不仅要通过协议解析、流量分析等手段深度识别监测的数据内容,还需利用关联分析、人工智能等技术分析数据处理安全措施是否到位(如重要数据未加密导致明文传输风险)、数据处理活动是否合法合规(如重要数据违规出境风险)等,更深层次的还应结合业务场景,通过深度学习等手段分析数据流量和操作行为是否正常、数据内容是否遭篡改等。

二是既要关注自身内部存在的数据安全风险,摸排知悉风险点和防护薄弱环节,也要重视提防外部窃取、攻击等风险,避免被黑客入侵攻击造成数据泄露等风险,切实做到“知己知彼”,打牢防护基石。

三是针对数据收集、存储、传输、提供等全生命周期各环节面临的风险隐患进行“对症下药”,秉持“技管结合、动静相宜、分级防护”的原则综合施策,建立数据安全管理体系和防护策略。对于工业领域数据,还应重点注意防护措施与其实时性、稳定性等需求相匹配,与业务安全进行紧耦合,并充分平衡数据安全、网络安全、功能安全、生产安全等关系。

四是坚持统筹发展和安全,牢固树立“保安全、促发展”的理念。工业数据是数字经济和制造业高质量融合发展的重要动力引擎,生产要素作用更强,保护数据安全、更好地促进数据安全有序流通应用,让数据的价值充分发挥起来,才是做好数据安全工作的本质内涵和意义所在。

三、同步推进监管驱动与行业自律数据安全评估,常态化开展“自查自纠,固本强基”

从管理层面来看,数据安全评估可分为监管驱动类评估和行业自律类评估。其中,监管驱动类评估主要有数据安全风险评估、出境评估、合规评估等,这一类评估工作往往会由主管部门组织制定评估制度和标准规范,明确评估要点。特别是风险评估和出境评估,属于《数据安全法》等法律法规要求,是行业监管的重要抓手。行业自律类评估主要有数据安全治理能力评估、数据安全能力成熟度评估等,这一类评估工作主要是依据联盟团体或标委会等制定的标准规范,引导相关单位自愿开展的活动。

不管是监管驱动还是行业自律,开展数据安全评估工作对于提前摸排发现风险、及时消除隐患、提升安全保护水平等都具有重要意义,应将数据安全评估作为日常工作抓好抓实。

一是按照行业监管要求,定期开展数据安全风险评估,做好风险隐患排查,加强整改和安全加固。如有工业领域重要数据和核心数据出境,应严格依法依规履行数据出境安全评估等责任和义务。

二是敢于“刀刃向内”,强化自我革新。工业企业等工业数据处理者应积极主动开展数据安全治理能力评估、数据安全能力成熟度评估等工作,准确认识自身能力的短板弱项,及时查漏补缺,不断提升数据安全能力水平。

三是突出评估实效,建立完善“以评促防、以评促建”的长效工作机制,只有通过评估进行科学把脉问诊,才能给出准确的“体检报告”,才能更好地提醒推动构建以数据为中心的安全防护体系,才能持续促进数据安全保护水平螺旋式上升。

四、构建多方联动的数据安全应急处置机制,保证 “兵来将挡,水来土掩”

数据安全事件应急处置是应急工作的重中之重,做好工业领域数据安全应急处置对于维护国家安全、社会秩序、经济建设和公众利益等都具有举足轻重的意义。

工业领域数据安全事件的应急处置,涉及主管部门、工业数据处理者、科研机构、安全企业等多个相关方,既需要构建主管部门与工业数据处理者的纵向应急管理机制,也需要建立各相关方横向协同处置的工作机制,还需要形成从风险发现到研判分析再到响应处置的闭环流程体系。

一是由主管部门指导工业数据处理者树立数据安全主体责任意识,督促数据处理者将工业数据安全作为抓生产安全的重要工作,高度重视工业数据安全应急处置,加强事件处置的上下联动。在实际工作中,工业数据处理者对于可能或已经发生的数据安全事件,应及时采取补救措施,尽快恢复业务或系统运行,同时需要重点做好应急处置中的事态变化、处置进展、分析总结等信息报送。

二是坚持预防为主、平战结合。按照系统化、科学化管理思想,及时对接掌握工业领域数据安全风险态势,研判分析可能发生数据安全事件的重大风险,充分发挥各方资源和力量,将预防、消减、处置等工作有机结合,积极做好风险防范、事件响应与应急处置工作。

三是通过应急演练等方式,不断提升工业领域数据安全事件应急处置能力,建立完善感知快、研判快、处置快、消减快的工业领域数据安全事件快速反应体系,不断强化数据安全事件应急队伍的整体工作水平。

五、结语

综上,工业领域数据安全管理亟需体系化、规范化开展,应加快推进数据分类分级、分级防护、安全评估、应急处置等工作的有机融合。其中,每一项工作的背后都需要更细化的制度标准作为“催化剂”,并在实践中推动各项工作机制协调、统一、灵活地运转起来,为保障工业数据安全、促进数字经济和制造业高质量发展、护航制造强国和网络强国建设筑牢坚实根基。

(本文刊登于《中国信息安全》杂志2022年第4期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。