工業(yè)數(shù)據(jù)分級分類丨尹麗波:推進工業(yè)數(shù)據(jù)分類分級,精準防控數(shù)據(jù)安全風險
隨著工業(yè)互聯(lián)網(wǎng)、云計算、大數(shù)據(jù)、人工智能等新一代信息技術(shù)與制造業(yè)的深度融合發(fā)展,我國傳統(tǒng)工業(yè)已走上數(shù)字化轉(zhuǎn)型的道路,在數(shù)字化、網(wǎng)絡(luò)化、智能化的趨勢引領(lǐng)下,工業(yè)數(shù)據(jù)呈現(xiàn)出爆發(fā)式增長。匯集的海量數(shù)據(jù)經(jīng)處理、分析、挖掘轉(zhuǎn)化為信息和知識,可有效支撐工業(yè)生產(chǎn)決策,帶來資源配置優(yōu)化、生產(chǎn)效率提升和服務(wù)方式革新。工業(yè)數(shù)據(jù)作為新的生產(chǎn)要素資源,支撐供給側(cè)結(jié)構(gòu)性改革、驅(qū)動制造業(yè)轉(zhuǎn)型升級的作用日益顯現(xiàn),正成為推動質(zhì)量變革、效率變革、動力變革的新引擎。
然而,工業(yè)數(shù)據(jù)的巨大價值也引發(fā)了黑客組織和攻擊者的高度關(guān)注,企業(yè)普遍面臨工業(yè)數(shù)據(jù)被篡改、泄露、竊取等安全風險,如何推動企業(yè)提升工業(yè)數(shù)據(jù)管理能力,在促進工業(yè)數(shù)據(jù)使用、流動與共享的同時實現(xiàn)有效管控治理,成為亟待解決的問題。近日,工業(yè)和信息化部印發(fā)了《工業(yè)數(shù)據(jù)分類分級指南(試行)》(以下簡稱《指南》),從工業(yè)數(shù)據(jù)定義、分類分級方法、差異化管理等方面提出16條指導意見,這是工業(yè)領(lǐng)域關(guān)于數(shù)據(jù)分類分級管理的首份指導性文件,是加強工業(yè)數(shù)據(jù)管理實踐探索和理論創(chuàng)新的重要階段性成果。
一
工業(yè)數(shù)據(jù)安全事件頻發(fā)敲響安全“警鐘”
國家工業(yè)信息安全發(fā)展研究中心(以下簡稱“中心”)發(fā)布的《2019年工業(yè)信息安全態(tài)勢展望報告》顯示,2019年針對工業(yè)數(shù)據(jù)的網(wǎng)絡(luò)攻擊呈現(xiàn)明顯增勢,工業(yè)數(shù)據(jù)已成為網(wǎng)絡(luò)攻擊的重點目標。3月,全球鋁業(yè)巨頭挪威海德魯公司遭網(wǎng)絡(luò)攻擊,20余種重要文件被加密,經(jīng)濟損失高達4000余萬美元,6月,大型飛機零部件供應(yīng)商ASCO遭遇勒索病毒攻擊,位于比利時、德國、加拿大和美國的工廠被迫關(guān)閉,企業(yè)運營中斷。據(jù)美國威瑞森公司《2019數(shù)據(jù)泄露報告》統(tǒng)計,2019年制造業(yè)數(shù)據(jù)泄露事件共發(fā)生87起,較上一年增加16起,增幅近20%。
分析發(fā)現(xiàn),工業(yè)數(shù)據(jù)安全事件具有以經(jīng)濟利益為主要目的、以重要敏感工業(yè)數(shù)據(jù)為攻擊目標、攻擊大多來源于企業(yè)外部等特點。目前,我國暴露于公共互聯(lián)網(wǎng)的工業(yè)控制系統(tǒng)和物聯(lián)網(wǎng)設(shè)備,大多存在弱口令、目錄遍歷、SQL注入、未授權(quán)訪問等漏洞,易被攻擊者利用實施數(shù)據(jù)篡改、竊取及刪除等惡意操作,工業(yè)數(shù)據(jù)面臨的安全形勢愈發(fā)嚴峻。
二
數(shù)字化轉(zhuǎn)型時代亟待分類分級標定“著力點”
中心作為《指南》編制的牽頭支撐單位,承擔了調(diào)查研究、指南起草、方法驗證等重要任務(wù)。在前期調(diào)研中我們發(fā)現(xiàn),隨著工業(yè)數(shù)據(jù)體量的爆發(fā)式增長,工業(yè)領(lǐng)域?qū)τ跀?shù)據(jù)安全的管理需求日益顯現(xiàn),很多大型工業(yè)企業(yè)和平臺企業(yè)正在積極探索建立數(shù)據(jù)分類分級制度,目的在于通過分類梳理工業(yè)企業(yè)海量數(shù)據(jù)資產(chǎn),明確基礎(chǔ)數(shù)據(jù)類型,通過分級確定各類工業(yè)數(shù)據(jù)的敏感程度,明確數(shù)據(jù)的范圍邊界和使用方式,為加強數(shù)據(jù)安全管理,推動數(shù)據(jù)開放共享和最大化挖掘利用提供支撐。
編制過程中,我們充分參考了美國《聯(lián)邦信息和信息系統(tǒng)安全分類標準》(FIPS 199)、我國《GB/T 35273-2017信息安全技術(shù) 個人信息安全規(guī)范》等標準文件,廣泛聽取了業(yè)界專家、企業(yè)的意見建議,深入研究了我國工業(yè)數(shù)據(jù)的內(nèi)涵和特征,提出了基于數(shù)據(jù)業(yè)務(wù)屬性及安全屬性的分類分級思路方法。為進一步驗證指南內(nèi)容的可操作性和科學性,中心在國家煙草專賣局信息中心和江蘇省、江西省等地方工業(yè)和信息化主管部門的大力支持下,先后赴多家工業(yè)企業(yè)和工業(yè)互聯(lián)網(wǎng)平臺企業(yè)對近350類工業(yè)數(shù)據(jù)進行定級分析,并根據(jù)試驗驗證結(jié)果進一步完善《指南》內(nèi)容。
三
扎實推進指南落實,做好工業(yè)數(shù)據(jù)“安全衛(wèi)士”
《指南》的出臺為推進工業(yè)數(shù)據(jù)分類分級工作提供了方法和指導,為進一步做好工業(yè)數(shù)據(jù)管理,強化工業(yè)數(shù)據(jù)安全防護奠定了堅實的基礎(chǔ)。中心將切實發(fā)揮工業(yè)信息安全“國家智庫”作用,致力于用科學理論、創(chuàng)新技術(shù)和解決方案服務(wù)于行業(yè)發(fā)展,為推進工業(yè)企業(yè)數(shù)字化轉(zhuǎn)型,保障工業(yè)生產(chǎn)安全積極獻力。下一步中心將充分發(fā)揮自身技術(shù)優(yōu)勢,從以下方面推進指南落實。
一是開展宣貫培訓。深刻理解指南內(nèi)容,詳細剖析各項要求,編制工業(yè)數(shù)據(jù)分類分級系列宣貫讀本,為社會各界了解使用指南提供參考;支撐各級工業(yè)和信息化主管部門以及企業(yè)開展工業(yè)數(shù)據(jù)分類分級培訓,提高安全意識,助力指南落地實施;充分利用我中心自有媒體、聯(lián)盟、論壇等資源,加大宣傳力度,號召各方積極參與,努力打造“學習指南、落實指南”的良好氛圍。
二是強化自身落實。將工業(yè)數(shù)據(jù)分類分級方法應(yīng)用于安全態(tài)勢感知、重要資源測繪等國家級平臺的建設(shè)運營中,對平臺匯聚的數(shù)據(jù)進行分類分級管理,明確數(shù)據(jù)使用范圍和安全防護重點,保障平臺運行安全。同時,利用分類分級數(shù)據(jù)標簽繪制工業(yè)數(shù)據(jù)資產(chǎn)地圖,通過持續(xù)跟蹤監(jiān)測工業(yè)數(shù)據(jù)資產(chǎn)情況,支撐工業(yè)數(shù)據(jù)安全態(tài)勢感知、風險防控、產(chǎn)業(yè)分析等工作。
三是做好行業(yè)服務(wù)。圍繞指南落地實際需求,為各級行業(yè)主管部門和有關(guān)企業(yè)提供工業(yè)數(shù)據(jù)分類分級咨詢和技術(shù)服務(wù)。針對工業(yè)數(shù)據(jù)采集、傳輸、存儲、分析等關(guān)鍵應(yīng)用環(huán)節(jié),梳理數(shù)據(jù)資產(chǎn),劃分數(shù)據(jù)等級,并提出分級數(shù)據(jù)安全防護策略建議。加快中心企業(yè)側(cè)態(tài)勢感知與安全服務(wù)平臺的部署進度,持續(xù)監(jiān)測工業(yè)數(shù)據(jù)安全狀態(tài),為各方提升工業(yè)數(shù)據(jù)管理水平和安全防護能力提供技術(shù)支撐。
AII微信公眾號
AII頭條號