工業(yè)數(shù)據(jù)分級(jí)分類丨尹麗波:推進(jìn)工業(yè)數(shù)據(jù)分類分級(jí),精準(zhǔn)防控?cái)?shù)據(jù)安全風(fēng)險(xiǎn)
隨著工業(yè)互聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)、人工智能等新一代信息技術(shù)與制造業(yè)的深度融合發(fā)展,我國(guó)傳統(tǒng)工業(yè)已走上數(shù)字化轉(zhuǎn)型的道路,在數(shù)字化、網(wǎng)絡(luò)化、智能化的趨勢(shì)引領(lǐng)下,工業(yè)數(shù)據(jù)呈現(xiàn)出爆發(fā)式增長(zhǎng)。匯集的海量數(shù)據(jù)經(jīng)處理、分析、挖掘轉(zhuǎn)化為信息和知識(shí),可有效支撐工業(yè)生產(chǎn)決策,帶來資源配置優(yōu)化、生產(chǎn)效率提升和服務(wù)方式革新。工業(yè)數(shù)據(jù)作為新的生產(chǎn)要素資源,支撐供給側(cè)結(jié)構(gòu)性改革、驅(qū)動(dòng)制造業(yè)轉(zhuǎn)型升級(jí)的作用日益顯現(xiàn),正成為推動(dòng)質(zhì)量變革、效率變革、動(dòng)力變革的新引擎。
然而,工業(yè)數(shù)據(jù)的巨大價(jià)值也引發(fā)了黑客組織和攻擊者的高度關(guān)注,企業(yè)普遍面臨工業(yè)數(shù)據(jù)被篡改、泄露、竊取等安全風(fēng)險(xiǎn),如何推動(dòng)企業(yè)提升工業(yè)數(shù)據(jù)管理能力,在促進(jìn)工業(yè)數(shù)據(jù)使用、流動(dòng)與共享的同時(shí)實(shí)現(xiàn)有效管控治理,成為亟待解決的問題。近日,工業(yè)和信息化部印發(fā)了《工業(yè)數(shù)據(jù)分類分級(jí)指南(試行)》(以下簡(jiǎn)稱《指南》),從工業(yè)數(shù)據(jù)定義、分類分級(jí)方法、差異化管理等方面提出16條指導(dǎo)意見,這是工業(yè)領(lǐng)域關(guān)于數(shù)據(jù)分類分級(jí)管理的首份指導(dǎo)性文件,是加強(qiáng)工業(yè)數(shù)據(jù)管理實(shí)踐探索和理論創(chuàng)新的重要階段性成果。
一
工業(yè)數(shù)據(jù)安全事件頻發(fā)敲響安全“警鐘”
國(guó)家工業(yè)信息安全發(fā)展研究中心(以下簡(jiǎn)稱“中心”)發(fā)布的《2019年工業(yè)信息安全態(tài)勢(shì)展望報(bào)告》顯示,2019年針對(duì)工業(yè)數(shù)據(jù)的網(wǎng)絡(luò)攻擊呈現(xiàn)明顯增勢(shì),工業(yè)數(shù)據(jù)已成為網(wǎng)絡(luò)攻擊的重點(diǎn)目標(biāo)。3月,全球鋁業(yè)巨頭挪威海德魯公司遭網(wǎng)絡(luò)攻擊,20余種重要文件被加密,經(jīng)濟(jì)損失高達(dá)4000余萬美元,6月,大型飛機(jī)零部件供應(yīng)商ASCO遭遇勒索病毒攻擊,位于比利時(shí)、德國(guó)、加拿大和美國(guó)的工廠被迫關(guān)閉,企業(yè)運(yùn)營(yíng)中斷。據(jù)美國(guó)威瑞森公司《2019數(shù)據(jù)泄露報(bào)告》統(tǒng)計(jì),2019年制造業(yè)數(shù)據(jù)泄露事件共發(fā)生87起,較上一年增加16起,增幅近20%。
分析發(fā)現(xiàn),工業(yè)數(shù)據(jù)安全事件具有以經(jīng)濟(jì)利益為主要目的、以重要敏感工業(yè)數(shù)據(jù)為攻擊目標(biāo)、攻擊大多來源于企業(yè)外部等特點(diǎn)。目前,我國(guó)暴露于公共互聯(lián)網(wǎng)的工業(yè)控制系統(tǒng)和物聯(lián)網(wǎng)設(shè)備,大多存在弱口令、目錄遍歷、SQL注入、未授權(quán)訪問等漏洞,易被攻擊者利用實(shí)施數(shù)據(jù)篡改、竊取及刪除等惡意操作,工業(yè)數(shù)據(jù)面臨的安全形勢(shì)愈發(fā)嚴(yán)峻。
二
數(shù)字化轉(zhuǎn)型時(shí)代亟待分類分級(jí)標(biāo)定“著力點(diǎn)”
中心作為《指南》編制的牽頭支撐單位,承擔(dān)了調(diào)查研究、指南起草、方法驗(yàn)證等重要任務(wù)。在前期調(diào)研中我們發(fā)現(xiàn),隨著工業(yè)數(shù)據(jù)體量的爆發(fā)式增長(zhǎng),工業(yè)領(lǐng)域?qū)τ跀?shù)據(jù)安全的管理需求日益顯現(xiàn),很多大型工業(yè)企業(yè)和平臺(tái)企業(yè)正在積極探索建立數(shù)據(jù)分類分級(jí)制度,目的在于通過分類梳理工業(yè)企業(yè)海量數(shù)據(jù)資產(chǎn),明確基礎(chǔ)數(shù)據(jù)類型,通過分級(jí)確定各類工業(yè)數(shù)據(jù)的敏感程度,明確數(shù)據(jù)的范圍邊界和使用方式,為加強(qiáng)數(shù)據(jù)安全管理,推動(dòng)數(shù)據(jù)開放共享和最大化挖掘利用提供支撐。
編制過程中,我們充分參考了美國(guó)《聯(lián)邦信息和信息系統(tǒng)安全分類標(biāo)準(zhǔn)》(FIPS 199)、我國(guó)《GB/T 35273-2017信息安全技術(shù) 個(gè)人信息安全規(guī)范》等標(biāo)準(zhǔn)文件,廣泛聽取了業(yè)界專家、企業(yè)的意見建議,深入研究了我國(guó)工業(yè)數(shù)據(jù)的內(nèi)涵和特征,提出了基于數(shù)據(jù)業(yè)務(wù)屬性及安全屬性的分類分級(jí)思路方法。為進(jìn)一步驗(yàn)證指南內(nèi)容的可操作性和科學(xué)性,中心在國(guó)家煙草專賣局信息中心和江蘇省、江西省等地方工業(yè)和信息化主管部門的大力支持下,先后赴多家工業(yè)企業(yè)和工業(yè)互聯(lián)網(wǎng)平臺(tái)企業(yè)對(duì)近350類工業(yè)數(shù)據(jù)進(jìn)行定級(jí)分析,并根據(jù)試驗(yàn)驗(yàn)證結(jié)果進(jìn)一步完善《指南》內(nèi)容。
三
扎實(shí)推進(jìn)指南落實(shí),做好工業(yè)數(shù)據(jù)“安全衛(wèi)士”
《指南》的出臺(tái)為推進(jìn)工業(yè)數(shù)據(jù)分類分級(jí)工作提供了方法和指導(dǎo),為進(jìn)一步做好工業(yè)數(shù)據(jù)管理,強(qiáng)化工業(yè)數(shù)據(jù)安全防護(hù)奠定了堅(jiān)實(shí)的基礎(chǔ)。中心將切實(shí)發(fā)揮工業(yè)信息安全“國(guó)家智庫”作用,致力于用科學(xué)理論、創(chuàng)新技術(shù)和解決方案服務(wù)于行業(yè)發(fā)展,為推進(jìn)工業(yè)企業(yè)數(shù)字化轉(zhuǎn)型,保障工業(yè)生產(chǎn)安全積極獻(xiàn)力。下一步中心將充分發(fā)揮自身技術(shù)優(yōu)勢(shì),從以下方面推進(jìn)指南落實(shí)。
一是開展宣貫培訓(xùn)。深刻理解指南內(nèi)容,詳細(xì)剖析各項(xiàng)要求,編制工業(yè)數(shù)據(jù)分類分級(jí)系列宣貫讀本,為社會(huì)各界了解使用指南提供參考;支撐各級(jí)工業(yè)和信息化主管部門以及企業(yè)開展工業(yè)數(shù)據(jù)分類分級(jí)培訓(xùn),提高安全意識(shí),助力指南落地實(shí)施;充分利用我中心自有媒體、聯(lián)盟、論壇等資源,加大宣傳力度,號(hào)召各方積極參與,努力打造“學(xué)習(xí)指南、落實(shí)指南”的良好氛圍。
二是強(qiáng)化自身落實(shí)。將工業(yè)數(shù)據(jù)分類分級(jí)方法應(yīng)用于安全態(tài)勢(shì)感知、重要資源測(cè)繪等國(guó)家級(jí)平臺(tái)的建設(shè)運(yùn)營(yíng)中,對(duì)平臺(tái)匯聚的數(shù)據(jù)進(jìn)行分類分級(jí)管理,明確數(shù)據(jù)使用范圍和安全防護(hù)重點(diǎn),保障平臺(tái)運(yùn)行安全。同時(shí),利用分類分級(jí)數(shù)據(jù)標(biāo)簽繪制工業(yè)數(shù)據(jù)資產(chǎn)地圖,通過持續(xù)跟蹤監(jiān)測(cè)工業(yè)數(shù)據(jù)資產(chǎn)情況,支撐工業(yè)數(shù)據(jù)安全態(tài)勢(shì)感知、風(fēng)險(xiǎn)防控、產(chǎn)業(yè)分析等工作。
三是做好行業(yè)服務(wù)。圍繞指南落地實(shí)際需求,為各級(jí)行業(yè)主管部門和有關(guān)企業(yè)提供工業(yè)數(shù)據(jù)分類分級(jí)咨詢和技術(shù)服務(wù)。針對(duì)工業(yè)數(shù)據(jù)采集、傳輸、存儲(chǔ)、分析等關(guān)鍵應(yīng)用環(huán)節(jié),梳理數(shù)據(jù)資產(chǎn),劃分?jǐn)?shù)據(jù)等級(jí),并提出分級(jí)數(shù)據(jù)安全防護(hù)策略建議。加快中心企業(yè)側(cè)態(tài)勢(shì)感知與安全服務(wù)平臺(tái)的部署進(jìn)度,持續(xù)監(jiān)測(cè)工業(yè)數(shù)據(jù)安全狀態(tài),為各方提升工業(yè)數(shù)據(jù)管理水平和安全防護(hù)能力提供技術(shù)支撐。
AII微信公眾號(hào)
AII頭條號(hào)