工業數據分級分類丨尹麗波:推進工業數據分類分級,精準防控數據安全風險
隨著工業互聯網、云計算、大數據、人工智能等新一代信息技術與制造業的深度融合發展,我國傳統工業已走上數字化轉型的道路,在數字化、網絡化、智能化的趨勢引領下,工業數據呈現出爆發式增長。匯集的海量數據經處理、分析、挖掘轉化為信息和知識,可有效支撐工業生產決策,帶來資源配置優化、生產效率提升和服務方式革新。工業數據作為新的生產要素資源,支撐供給側結構性改革、驅動制造業轉型升級的作用日益顯現,正成為推動質量變革、效率變革、動力變革的新引擎。
然而,工業數據的巨大價值也引發了黑客組織和攻擊者的高度關注,企業普遍面臨工業數據被篡改、泄露、竊取等安全風險,如何推動企業提升工業數據管理能力,在促進工業數據使用、流動與共享的同時實現有效管控治理,成為亟待解決的問題。近日,工業和信息化部印發了《工業數據分類分級指南(試行)》(以下簡稱《指南》),從工業數據定義、分類分級方法、差異化管理等方面提出16條指導意見,這是工業領域關于數據分類分級管理的首份指導性文件,是加強工業數據管理實踐探索和理論創新的重要階段性成果。
一
工業數據安全事件頻發敲響安全“警鐘”
國家工業信息安全發展研究中心(以下簡稱“中心”)發布的《2019年工業信息安全態勢展望報告》顯示,2019年針對工業數據的網絡攻擊呈現明顯增勢,工業數據已成為網絡攻擊的重點目標。3月,全球鋁業巨頭挪威海德魯公司遭網絡攻擊,20余種重要文件被加密,經濟損失高達4000余萬美元,6月,大型飛機零部件供應商ASCO遭遇勒索病毒攻擊,位于比利時、德國、加拿大和美國的工廠被迫關閉,企業運營中斷。據美國威瑞森公司《2019數據泄露報告》統計,2019年制造業數據泄露事件共發生87起,較上一年增加16起,增幅近20%。
分析發現,工業數據安全事件具有以經濟利益為主要目的、以重要敏感工業數據為攻擊目標、攻擊大多來源于企業外部等特點。目前,我國暴露于公共互聯網的工業控制系統和物聯網設備,大多存在弱口令、目錄遍歷、SQL注入、未授權訪問等漏洞,易被攻擊者利用實施數據篡改、竊取及刪除等惡意操作,工業數據面臨的安全形勢愈發嚴峻。
二
數字化轉型時代亟待分類分級標定“著力點”
中心作為《指南》編制的牽頭支撐單位,承擔了調查研究、指南起草、方法驗證等重要任務。在前期調研中我們發現,隨著工業數據體量的爆發式增長,工業領域對于數據安全的管理需求日益顯現,很多大型工業企業和平臺企業正在積極探索建立數據分類分級制度,目的在于通過分類梳理工業企業海量數據資產,明確基礎數據類型,通過分級確定各類工業數據的敏感程度,明確數據的范圍邊界和使用方式,為加強數據安全管理,推動數據開放共享和最大化挖掘利用提供支撐。
編制過程中,我們充分參考了美國《聯邦信息和信息系統安全分類標準》(FIPS 199)、我國《GB/T 35273-2017信息安全技術 個人信息安全規范》等標準文件,廣泛聽取了業界專家、企業的意見建議,深入研究了我國工業數據的內涵和特征,提出了基于數據業務屬性及安全屬性的分類分級思路方法。為進一步驗證指南內容的可操作性和科學性,中心在國家煙草專賣局信息中心和江蘇省、江西省等地方工業和信息化主管部門的大力支持下,先后赴多家工業企業和工業互聯網平臺企業對近350類工業數據進行定級分析,并根據試驗驗證結果進一步完善《指南》內容。
三
扎實推進指南落實,做好工業數據“安全衛士”
《指南》的出臺為推進工業數據分類分級工作提供了方法和指導,為進一步做好工業數據管理,強化工業數據安全防護奠定了堅實的基礎。中心將切實發揮工業信息安全“國家智庫”作用,致力于用科學理論、創新技術和解決方案服務于行業發展,為推進工業企業數字化轉型,保障工業生產安全積極獻力。下一步中心將充分發揮自身技術優勢,從以下方面推進指南落實。
一是開展宣貫培訓。深刻理解指南內容,詳細剖析各項要求,編制工業數據分類分級系列宣貫讀本,為社會各界了解使用指南提供參考;支撐各級工業和信息化主管部門以及企業開展工業數據分類分級培訓,提高安全意識,助力指南落地實施;充分利用我中心自有媒體、聯盟、論壇等資源,加大宣傳力度,號召各方積極參與,努力打造“學習指南、落實指南”的良好氛圍。
二是強化自身落實。將工業數據分類分級方法應用于安全態勢感知、重要資源測繪等國家級平臺的建設運營中,對平臺匯聚的數據進行分類分級管理,明確數據使用范圍和安全防護重點,保障平臺運行安全。同時,利用分類分級數據標簽繪制工業數據資產地圖,通過持續跟蹤監測工業數據資產情況,支撐工業數據安全態勢感知、風險防控、產業分析等工作。
三是做好行業服務。圍繞指南落地實際需求,為各級行業主管部門和有關企業提供工業數據分類分級咨詢和技術服務。針對工業數據采集、傳輸、存儲、分析等關鍵應用環節,梳理數據資產,劃分數據等級,并提出分級數據安全防護策略建議。加快中心企業側態勢感知與安全服務平臺的部署進度,持續監測工業數據安全狀態,為各方提升工業數據管理水平和安全防護能力提供技術支撐。
AII微信公眾號
AII頭條號