一、序言
自2002年党的十六大报告第一次提出走新型工业化道路的战略部署,至党的二十大报告提出到2035年基本实现新型工业化,我国要用33年的时间构建数字经济与实体经济深度融合的工业化。新型工业化将为全面建成社会主义现代化强国提供强大的战略支撑。新型工业化实现工业化与信息化在更广范围、更深程度、更高水平上融合发展。数据安全体系建设是新型工业化建设的重要保障,为大力推进新型工业化提供坚实的安全支撑。
二、工业领域数据安全政策体系建设历程
工业数字化转型随着《网络安全法》《数据安全法》的颁发施行,保障数据资产安全成为国家网络安全的重要议题,我国的数据安全保护工作已经上升到国家法律层面。
图1 工业领域数据安全政策
工业和信息化部发布的《工业和信息化领域数据安全管理办法(试行)》(工信部网安〔2022〕166号),将更好地指导构建工业领域数据安全管理体系,督促工业企业落实数据安全主体责任,加强数据分类分级管理、安全防护和安全监测等工作。《工业数据分级分类指南(试行)》(工信厅信发〔2020〕6号)、《关于工业大数据发展的指导意见》(工信部信发〔2020〕67号)、《关于组织开展工业领域数据安全管理试点工作的通知》(工信厅网安函〔2021〕295号)等政策文件,为开展工业领域数据安全保护工作提供了具有指导性和可操作性的具体措施。
随着新型工业化建设和应用的深入,与个人、金融、生产经营等相关的数据也逐渐由分散存储的模式向集中汇聚存储的模式转变。2022年2月,为落实工业领域数据分类分级相关政策,指导企业开展数据安全管理工作,工信部密集发布《工业领域重要数据和核心数据识别规则(草案)》《工业数据安全评估指南(草案)》《工业企业数据安全防护要求(草案)》。
2024年2月23日,工业和信息化部印发《工业领域数据安全能力提升实施方案(2024-2026年)》(工信部网安〔2024〕34号,以下简称《实施方案》),进一步将法律政策要求在工业领域再细化、再落实,有效提出符合行业特色、针对突出问题的应对举措,实现分步骤、有重点地指导各方扎实推进工业领域数据安全工作,有效促进工业领域数据安全保护水平跃升。
三、强化工业企业安全主体责任构建坚实工业数据安全防护体系
《实施方案》的第一项重点工作是提升工业企业数据保护能力,明确了四项关键举措,一是增强数据安全意识,二是开展重要数据保护,三是强化重点企业数据安全管理,四是深化重点场景数据安全保护。本节对企业主体责任、数据分类分级、数据风险评估、数据分类分级保护、数据流转监测五个工作内容进行重点介绍。
夯实主体责任。《实施方案》进一步明确工业企业承担数据安全主体责任,企业的法定代表人或主要负责人成为本企业数据安全第一责任人,应当承担起建立数据安全管理体系和技术体系、落实相关标准规范要求、确保数据全生命周期持续安全的责任。
落实数据分类分级。企业开展工业数据分类分级、识别报备重要数据,是进行数据安全建设的第一步。首先,依据《工业数据分类分级指南(试行)》制定数据分类分级模板,依据《工业领域重要数据和核心数据识别(草案)》明确保护对象。通过“自动化工具+专家服务”的模式,对数据所属类别与级别进行标记,对已经标记的数据做人工校验审核,形成分类分级数据目录,识别重要数据和核心数据。同时,根据数据分级管控原则,将分类分级结果与数据标签相结合,在工业数据流转及使用环节全面依托数据标签所定义的数据安全级别,为数据安全防护手段的建立奠定基础。工业数据分类分级原则与实施流程如下图所示。
图2 工业数据分类分级原则
图3 工业数据分类分级实施流程
开展常态化风险评估。落实数据分级保护的要求,需要定期实施工业数据安全风险评估工作。依据数据安全技术与管理标准,定期评估工业数据资产保密性、完整性和可用性等安全属性和面临的威胁,以及威胁利用脆弱性导致工业数据安全事件的可能性。同时,结合安全事件所涉及的工业数据资产价值来判断安全事件一旦发生对工业生产造成的影响。通过识别工业企业内部存在的数据安全风险与外部存在的潜在威胁,降低由于内部管理或外部非受控风险而造成的敏感数据泄露。工业数据安全风险评估流程及指南如下图所示。
图4 工业数据安全风险评估流程
图5 工业数据安全风险评估指南
加强工业数据分级保护。根据工业生产各环节不同的安全需求,与数据的分类分级结果进行有效关联,针对工业数据在采集、传输、存储、处理、删除、销毁各生命周期阶段不同的安全风险进行差异性防护,采取数据加密、访问控制、数据审计、数据防泄漏、数据脱敏等多种保护措施,有效应对数据安全风险。面对未授权数据处理,实现数据拿不到、看不懂、改不了、赖不掉。工业数据分级保护框架、部署示意如下图所示。
图6 工业数据分级保护框架
图7 工业数据分级防护部署示意图
推进工业数据流转监测能力建设。以工业数据流转监测平台为中心,采用数据流转探针旁路镜像模式部署,接入工业云平台,工业企业互联网、管理信息网、工业控制网的安全日志和流量日志,进行实时数据分析,对工业数据资产的交换、共享、操作等数据流转情况进行安全监测,对工业数据流转异常行为及漏洞等安全风险及时通报给企业相关人员,并具备向上级平台报送的能力,协助构建国家工业数据流转安全综合监测体系。工业数据流转监测技术架构如下图所示。
图8 工业数据流转监测技术架构示意图
四、系统布局工业领域数据安全三级监测技术体系
《实施方案》的第二项重点工作从当前数据安全监管急需出发,明确了提升监管能力的四项关键举措,一是完善数据安全政策标准,二是加强数据安全风险防控,三是推进数据安全技术手段建设,四是锻造数据安全监管执法能力。本节对建设工业数据安全监测平台,加快推进“部-省-企业”三级监测应急等技术能力建设和协同联动工作内容进行重点介绍。
《实施方案》明确要求强化“部-省-企业”工业数据安全监测技术三级联动, 不断提升保障工业领域数据安全的能力,旨在通过分层级的监测策略,打造工业领域数据安全态势全局化汇聚能力,实现对工业数据安全的多维度、全周期保障。
通过安全工具流量采集、云端监测、主动上报等模式,实现对数据资产识别、数据流转监测、数据违规泄露发现和数据安全态势的有效掌握。工业数据安全监测平台技术架构如下图所示。
图9 工业数据安全监测平台技术架构
工业数据安全监测平台通过大数据处理与分析实现多元化异构数据的接入、管理、存储、运算和智能整合,提供丰富的安全数据分析算法模型,全面提升工业数据安全监测能力。通过构建工业数据安全监测平台,以工业企业为核心、行业主管部门遵循体系化和系统化思维,加强安全资源储备,帮助工业企业及时发现数据安全短板,提升工业数据安全保障能力。
工业数据风险通报基于汇集到的各类数据安全事件、威胁情报信息,安全监测信息、人工录入信息进行综合分析,建立风险通报模版,完成对工业企业数据安全情况的综合分析,生成通报文件。对上可为国家级平台提供数据风险情况,对下可服务于工业企业有效应对风险、加强数据防护支撑。
五、协同产业力量提升数据安全支撑能力
《实施方案》的第三项重点工作明确了提升数据安全产业支撑能力的三个重点方面,一是加大技术产品和服务供给,二是促进应用推广和供需对接,三是建立健全人才培养体系。
六、结语
在国家网络安全法律法规及政策文件的加持下,新型工业化数据安全保障能力建设的紧迫性愈发突出。工业企业数字化转型加速、工业数据价值提升、安全威胁多样化,这些因素都要求工业企业高度重视数据安全保障工作,加强技术落实、完善管理制度、提升员工安全意识。
作者:杨博、曹雅楠