前言
当前,数据作为新型生产要素,促进着数字基础设施发展与产业迭代升级,推动着数字经济成为我国经济高质量发展的新引擎,与此同时,有力的数据安全保障和流动监管成为确保数据优势发挥的重要基础底座。
2021年上半年,国家“十四五规划”勾勒数字化发展蓝图,明确未来将高度关注“保障国家数据安全,加强个人信息保护”。2022年底出台的“数据二十条”,将维护国家数据安全、保护个人信息和商业秘密作为促进数据合规高效流通使用、赋能实体经济主线任务的前提。随后2023年初发布的《数字中国建设整体布局规划》,“数字安全屏障”作为数字中国建设整体框架的两大能力之一被提出。2023年10月,国家数据局揭牌,2024年1月出台“数据要素×”三年行动计划,坚持把安全贯穿数据要素价值创造和实现全过程,严守数据安全底线。
在如火如荼的数字化建设征程中,在统筹发展与安全的顶层规划下,各关键领域以及各地区的主管部门密集出台相关的数据条例与安全标准,有力落实上位法的监管要求,积极探索数字治理的中国方案。安全419将以各关键领域为维度,观察其在数字化建设大背景下数据安全的建设现状、监管要求、市场需求、难点及应对,以期为各行业的数据处理者带来一定的启发与有益的参考。
本期,我们走进工业和信息化领域。
延伸阅读:卫生医疗领域
工业领域迈向两化融合 数据安全危机重生
工业和信息化领域覆盖的行业范围非常广泛,根据《工业和信息化领域数据安全管理办法(试行)》的定义,该领域的数据包括工业数据、电信数据和无线电数据等,由于无线电数据、电信数据的垂直属性较强,我们在本文主要探讨大举迈向两化融合的工业领域。
《“十四五”信息化和工业化深度融合发展规划》提出,到2025年,信息化与工业化在更广范围、更深程度、更高水平上实现融合发展,新一代信息技术向制造业各领域加速渗透,范围显著扩展、程度持续深化、质量大幅提升,制造业数字化转型步伐明显加快。
工业数据是指工业各行业各领域在研发设计、生产制造、经营管理、运行维护、平台运营等过程中产生和收集的数据。随着工业企业组织模式、生产模式和服务模式不断向跨设备、跨系统、跨厂区、跨地区的互联互通转变,数据规模化增长、泛在化流动、平台化集聚,成为维持工业体系运转的“血液”。
一方面,相对封闭的工业生产环境被打破,工业主机、数据库等存在的端口开放、漏洞未修复、接口未认证等安全威胁在开放互联环境下被指数级放大,数据更易泄露。Verizon数据泄露调查报告显示,制造业在2022年数据泄露事件共338起,同比增长25.2%。另一方面,地缘政治冲突推动国防工业领域的APT攻击、工业供应链攻击肆虐全球,能源等基础设施成为“靶标”。如乌克兰能源公司DTEK、俄罗斯石油生产商Rosneft等遭黑客攻击,大量数据被窃取,生产运营受影响。同时,工业领域积极引入人工智能、区块链等新兴技术,在促进工业数据分析、挖掘、利用的同时,也带来深度伪造、数据污染等新生威胁。
这些数据安全风险遍布在数据全生命周期的各环节,从数据采集看,不同行业及企业间的数据类型、接口规范、通信协议不统一,难以实施有效的整体防护,采集的数据可被黑客注入“脏数据”,存在数据不可靠风险。从数据传输看,工业数据实时性强,传统加密传输等安全技术难以胜任,数据传输面临泄露、监听等多重安全风险。从数据存储看,缺乏完善的数据分类分级隔离措施和授权访问机制,存在被非法访问、窃取、篡改等风险。从数据使用看,工业数据多维异构、碎片化,传统数据清洗与解析、数据包深度分析等措施的实施效果不佳。
行业监管走在前列 围绕数据生命周期进行体系化建设
《数据安全法》明确提出工业、电信、交通、金融等八大行业主管部门承担本行业、本领域数据安全监管职责,工信部作为位列前二的行业的主管部门,其数据安全监督管理工作一直跑在前列。
数安法正式实施的2021年9月,工信部就对《工业和信息化领域数据安全管理办法(试行)》公开征求意见,作为该领域数据安全的顶层管理制度,明确了开展数据分类分级保护、重要数据管理等工作的具体要求,细化数据全生命周期安全义务,为本领域数据安全监管提供制度保障。同时构建起该领域数据安全监管体系,明确工信部、地方行业监管部门的职责范围,建立权责一致的工作机制。2022年,工信部在江苏、深圳等15个省(区、市)及计划单列市开展工业领域数据安全管理试点工作。
管理办法明确数据全生命周期安全管理
同时期相继推出的《工业领域重要数据和核心数据识别规则(草案)》《工业企业数据安全防护要求(草案)》《工业数据安全评估指南(草案)》等,用来指导工业企业识别重要数据和核心数据,评估工业企业数据安全防护能力和建设参考。
管理办法自2023年实施以来,配套的《工业和信息化领域数据安全风险评估实施细则(试行)》《工业和信息化领域数据安全行政处罚裁量指引(试行)》《工业和信息化领域数据安全事件应急预案(试行)》等文件陆续出台征求意见稿,健全并细化了该领域数据安全工作的落实方针,监管成为常态化,明晰数据处理者的合规边界。
在如今构建的监管框架下,工业领域的数据安全管理与防护能力建设,不能再延续传统安全思维,聚焦工业内外网边界通过点状部署功能性安全设备进行防控或隔离。正确理解合规要求,切换视角,围绕“保护重要数据资产”的目标,以数据分类分级为基础,围绕重要数据、核心数据, 结合业务场景以及迫切性,有序建设逐步补全安全能力,将数据安全能力全面覆盖数据在流转过程中的各阶段,实施分级防护与精细化管控,开展数据安全能力评估并持续运营。
实际落地困难重重 从管理到技术业界支招
目前,体系化的数据安全管理与防护思路渐成共识,工业各个行业都在积极探索有效的实施路径。针对实际的落地情况,我们从威努特了解到,多数企业尚未制定数据管理和安全相关战略规划,数据安全管理未成为信息化的常规性、基础性工作,建设面临不少难题。
比如,工业数据分类分级千头万绪,不知道从什么地方抓起;工艺及相关自动化设备依赖国外自动化厂商维护,核心、重要等敏感数据的分布情况、数据流向和传输情况不清楚;缺少必要的工业数据安全防护的策略和手段,导致形成了各种数据安全防护缺口等等。
威努特将工业数据安全工作拆解为工业数据资产梳理、工业数据安全的评估及数据安全防护几个关键部分。工业数据资产梳理主要依据《工业领域重要数据和核心数据识别指南(实行)》的相关要求,根据系统建设、升级、变更、维护等情况,梳理和更新系统业务数据清单,对梳理完成的数据清单进行正确性与规范性核查,并按照数据分类标准,对数据资源目录中已归集的数据进行分类梳理,形成数据分类清单。数据资产梳理清单包含数据资产基础性梳理、数据流向梳理以及重要数据核心数据的识别。
工业数据安全梳理的思路和步骤
工业数据安全评估主要包括受理评估申请、组建评估技术队伍、制定评估工作计划、开展现场评估工作、现场评估情况反馈、企业自行整改、开展复评估工作和形成评估结论八个部分,工作程序如下图所示。通过数据安全评估,可以完整识别组织机构数据安全保护措施不到位情况,进而提出综合性和可操作性的防范对策、安全措施和改进建议,为数据安全治理管理体系和技术体系的建设提供重要依据。
数据安全评估流程图
工业数据安全防护将结合生产控制系统实际业务情况,从数据安全管理体系、数据安全技术体系、数据安全服务体系三个大方面进行项目整体建设。其中,数据安全服务体系包含数据安全评估、数据资产管理以及数据安全运营三个方面。将数据安全战略与合规管理有效整合,形成整体的安全管理体系,这是技术体系真正有效发挥保护作用的重要保障。
工业数据安全技术体系设计,以自身网络现状及业务情况为基础进行全面纵深防御建设,首先,从数据安全基础环境开始建设,保障整个数据流所处网络环境安全可信;其次,对于重要及核心数据进行细致化的防护建设,防止数据破坏、数据泄漏等事件的发生;最后,通过搭建工业数据安全运营中心,对整个企业的基础环境态势、数据安全态势进行可视化展示,切实提升全厂安全指挥调度和应急响应能力。另一方面,以《工业企业数据安全防护要求》为依据,针对工业控制系统的数据采集、存储、加工、传输、提供、销毁等各个阶段提供安全防护,为工业数据全生命周期提供全方位的保护。
以数据安全防护建设为主体的进阶防护体系建设
与此同时,我们还选取了已经市场验证的工业数据安全建设方案,帮助用户更切实地理解应该如何开展工业数据安全建设和管理工作。
某烟草行业用户数据安全管理制度覆盖面不够,缺少数据分类分级标准与分类分级指南、数据全生命周期安全标准;各信息系统内置了权限管控、部分敏感信息加密等保护措施,但是整体上缺少数据防泄漏、数据访问控制、实时监督预警等防护技术。中孚信息以数据生命周期的安全防护为切入点,形成一整套管理与技术相结合、体系化的设计思路,主要分为管理体系保障、数据安全评估、安全策略规划、数据安全防护、数据安全运营等五个部分。
其体系架构基于数据安全治理框架,构建“1+4+X”体系。一个数据安全态势感知平台,实现预测数据安全风险的变化趋势和偏离预警线的强弱幅度,并从行为、事件、合规性和脆弱性等维度提供及时的风险预警和风险处置措施。数据安全管理体系、数据安全组织体系、数据安全防护体系、数据安全运营体系四大体系,实现数据安全管理保障、数据管理规范有序、人员安全意识与技能提升。N即多重能力,指数据资产梳理、数据分类分级、访问控制、静态脱敏、动态脱敏、数据水印、数据加密、终端防泄漏、态势大屏和行为分析等综合技术能力,实现数据资源流通管控,保障业务平台数据自身安全,确保数据来源可信、访问可控、去向可查和责任可追究。
同样面对烟草行业,海云安提出形成建设目标、评估找差距、规划建设内容、实施建设任务的数据安全建设四步走方案。依据外部数据安全法规、管理条例标准以及烟草企业内部数据安全管理制度进行融合制定数据安全评估指标。立足于业务场景,梳理各部门业务的应用系统,以数据分类分级为基础,围绕数据全生命周期及数据访问链路进行评估。
建设内容包括管理体系、技术体系、运营体系的规划,管理层面面向组织设计数据安全管理方针,考虑风险防范需求,以数据为中心,从资产梳理入手,围绕数据生命周期保护要求,形成梯级制度体系架构。技术层面是明确具体平台工具的实施落地,以访问控制、密码基础设施等通用安全机制,结合运维审计等数据监测技术和数据脱敏、数据防泄漏等防护技术,进一步构建围绕数据生命周期保护的监测防护技术工具。运营层面意在打通各环节的建设内容,包含风险防范、监测预警、应急处置等,维持数据安全的持续运营,促进整个体系的良性发展。最后,依据风险等级、实现成本、造成影响、路径依赖等因素划分管理、技术和运营任务的建设阶段。优先推进重要业务系统的局部试点,逐步由点到线覆盖所有重要业务系统和数据链路,并由线到面确保整体安全性和合规性。
尾声
工业数据是驱动智能化生产的引擎,实现智能化运营的动力,工业数据安全形势在两化融合、企业数字化转型、工业互联网建设的蓬勃进程中愈发严峻复杂。欢迎更多在工业数据安全领域具有前瞻思考和成功实践的甲乙方与我们交流,基于我国工业数据安全发展实际,为业界呈现丰富且有益的建设参考,夯实工业数据安全发展基础,推动构建工业数据安全综合保障体系,护航工业领域高质量发展。