工業(yè)數據分級分類丨尹麗波:推進工業(yè)數據分類分級,精準防控數據安全風險
隨著工業(yè)互聯(lián)網、云計算、大數據、人工智能等新一代信息技術與制造業(yè)的深度融合發(fā)展,我國傳統(tǒng)工業(yè)已走上數字化轉型的道路,在數字化、網絡化、智能化的趨勢引領下,工業(yè)數據呈現出爆發(fā)式增長。匯集的海量數據經處理、分析、挖掘轉化為信息和知識,可有效支撐工業(yè)生產決策,帶來資源配置優(yōu)化、生產效率提升和服務方式革新。工業(yè)數據作為新的生產要素資源,支撐供給側結構性改革、驅動制造業(yè)轉型升級的作用日益顯現,正成為推動質量變革、效率變革、動力變革的新引擎。
然而,工業(yè)數據的巨大價值也引發(fā)了黑客組織和攻擊者的高度關注,企業(yè)普遍面臨工業(yè)數據被篡改、泄露、竊取等安全風險,如何推動企業(yè)提升工業(yè)數據管理能力,在促進工業(yè)數據使用、流動與共享的同時實現有效管控治理,成為亟待解決的問題。近日,工業(yè)和信息化部印發(fā)了《工業(yè)數據分類分級指南(試行)》(以下簡稱《指南》),從工業(yè)數據定義、分類分級方法、差異化管理等方面提出16條指導意見,這是工業(yè)領域關于數據分類分級管理的首份指導性文件,是加強工業(yè)數據管理實踐探索和理論創(chuàng)新的重要階段性成果。
一
工業(yè)數據安全事件頻發(fā)敲響安全“警鐘”
國家工業(yè)信息安全發(fā)展研究中心(以下簡稱“中心”)發(fā)布的《2019年工業(yè)信息安全態(tài)勢展望報告》顯示,2019年針對工業(yè)數據的網絡攻擊呈現明顯增勢,工業(yè)數據已成為網絡攻擊的重點目標。3月,全球鋁業(yè)巨頭挪威海德魯公司遭網絡攻擊,20余種重要文件被加密,經濟損失高達4000余萬美元,6月,大型飛機零部件供應商ASCO遭遇勒索病毒攻擊,位于比利時、德國、加拿大和美國的工廠被迫關閉,企業(yè)運營中斷。據美國威瑞森公司《2019數據泄露報告》統(tǒng)計,2019年制造業(yè)數據泄露事件共發(fā)生87起,較上一年增加16起,增幅近20%。
分析發(fā)現,工業(yè)數據安全事件具有以經濟利益為主要目的、以重要敏感工業(yè)數據為攻擊目標、攻擊大多來源于企業(yè)外部等特點。目前,我國暴露于公共互聯(lián)網的工業(yè)控制系統(tǒng)和物聯(lián)網設備,大多存在弱口令、目錄遍歷、SQL注入、未授權訪問等漏洞,易被攻擊者利用實施數據篡改、竊取及刪除等惡意操作,工業(yè)數據面臨的安全形勢愈發(fā)嚴峻。
二
數字化轉型時代亟待分類分級標定“著力點”
中心作為《指南》編制的牽頭支撐單位,承擔了調查研究、指南起草、方法驗證等重要任務。在前期調研中我們發(fā)現,隨著工業(yè)數據體量的爆發(fā)式增長,工業(yè)領域對于數據安全的管理需求日益顯現,很多大型工業(yè)企業(yè)和平臺企業(yè)正在積極探索建立數據分類分級制度,目的在于通過分類梳理工業(yè)企業(yè)海量數據資產,明確基礎數據類型,通過分級確定各類工業(yè)數據的敏感程度,明確數據的范圍邊界和使用方式,為加強數據安全管理,推動數據開放共享和最大化挖掘利用提供支撐。
編制過程中,我們充分參考了美國《聯(lián)邦信息和信息系統(tǒng)安全分類標準》(FIPS 199)、我國《GB/T 35273-2017信息安全技術 個人信息安全規(guī)范》等標準文件,廣泛聽取了業(yè)界專家、企業(yè)的意見建議,深入研究了我國工業(yè)數據的內涵和特征,提出了基于數據業(yè)務屬性及安全屬性的分類分級思路方法。為進一步驗證指南內容的可操作性和科學性,中心在國家煙草專賣局信息中心和江蘇省、江西省等地方工業(yè)和信息化主管部門的大力支持下,先后赴多家工業(yè)企業(yè)和工業(yè)互聯(lián)網平臺企業(yè)對近350類工業(yè)數據進行定級分析,并根據試驗驗證結果進一步完善《指南》內容。
三
扎實推進指南落實,做好工業(yè)數據“安全衛(wèi)士”
《指南》的出臺為推進工業(yè)數據分類分級工作提供了方法和指導,為進一步做好工業(yè)數據管理,強化工業(yè)數據安全防護奠定了堅實的基礎。中心將切實發(fā)揮工業(yè)信息安全“國家智庫”作用,致力于用科學理論、創(chuàng)新技術和解決方案服務于行業(yè)發(fā)展,為推進工業(yè)企業(yè)數字化轉型,保障工業(yè)生產安全積極獻力。下一步中心將充分發(fā)揮自身技術優(yōu)勢,從以下方面推進指南落實。
一是開展宣貫培訓。深刻理解指南內容,詳細剖析各項要求,編制工業(yè)數據分類分級系列宣貫讀本,為社會各界了解使用指南提供參考;支撐各級工業(yè)和信息化主管部門以及企業(yè)開展工業(yè)數據分類分級培訓,提高安全意識,助力指南落地實施;充分利用我中心自有媒體、聯(lián)盟、論壇等資源,加大宣傳力度,號召各方積極參與,努力打造“學習指南、落實指南”的良好氛圍。
二是強化自身落實。將工業(yè)數據分類分級方法應用于安全態(tài)勢感知、重要資源測繪等國家級平臺的建設運營中,對平臺匯聚的數據進行分類分級管理,明確數據使用范圍和安全防護重點,保障平臺運行安全。同時,利用分類分級數據標簽繪制工業(yè)數據資產地圖,通過持續(xù)跟蹤監(jiān)測工業(yè)數據資產情況,支撐工業(yè)數據安全態(tài)勢感知、風險防控、產業(yè)分析等工作。
三是做好行業(yè)服務。圍繞指南落地實際需求,為各級行業(yè)主管部門和有關企業(yè)提供工業(yè)數據分類分級咨詢和技術服務。針對工業(yè)數據采集、傳輸、存儲、分析等關鍵應用環(huán)節(jié),梳理數據資產,劃分數據等級,并提出分級數據安全防護策略建議。加快中心企業(yè)側態(tài)勢感知與安全服務平臺的部署進度,持續(xù)監(jiān)測工業(yè)數據安全狀態(tài),為各方提升工業(yè)數據管理水平和安全防護能力提供技術支撐。
AII微信公眾號
AII頭條號