工业互联网安全下的数据分类分级研究
发布日期:2022-12-05 作者: 来源: 分享:
摘要:随着工业经济的快速发展,工业数据安全性日益凸显,如何做好工业数据的整体治理、安全管理、价值挖掘、共享流通等工作,是亟待解决的重要问题,而工业数据分类分级是以上工作的基础,因此做好分类分级工作是一项极其重要的任务。基于此,研究了工业数据分类分级的现状,梳理了工业数据分类分级的总体要求、一般流程和实践情况,为工业数据分类分级工作的开展提供了一定的思路和方法,助力工业数据应用融合发展。
1 工业数据分类分级背景
2 工业数据分类分级指导
近年来,我国工业经济发展势头良好,新一代信息技术与制造业的深度融合,有力地提升了工业经济创新发展的潜能。工业数据作为工业企业的核心数据资产,其重要性不言而喻,而工业数据分类分级是工业数据管理的基础,因此做好工业数据分类分级工作是一项重要而又富有挑战的任务。本文首先调研了工业数据分类分级的背景,从分类分级政策、试点、必要性分析等方面展开。然后梳理了工业数据分类分级指导,围绕工业数据分类分级总体要求、一般流程和实践情况等方面进行阐述。
1.1 政策支持
2020年工业和信息化部印发《工业数据分类分级指南(试行)》,指明了工业数据的范围为工业领域产品和服务全生命周期产生和应用的数据,明确工业数据分类分级以提升企业数据管理能力为目标,坚持分类标识、逐类定级和分级管理相结合,为工业数据分类分级提供了政策指引和操作规范。
工业企业结合自身业务情况,依据生产制造模式不同对工业数据进行梳理分类,形成工业数据分类清单;根据工业数据安全造成破坏后可能对经济、社会等带来的潜在影响,将工业数据分为多个级别,为每个级别的数据制定对应的保护措施。为更好地推动《工业数据分类分级指南(试行)》落地实施,工业和信息化部先后推动开展工业数据分类分级应用试点和工业领域数据安全管理试点工作,在5个省市、9个行业的200余家企业开展工业数据分类分级应用试点,筛选出了28个优秀试点案例,同时在15个省市开展工业领域数据安全管理试点工作,促进工业数据分类分级在产业界应用落地。工业数据分类分级是贯彻落实分类分级管理相关法律法规的体现。《中华人民共和国数据安全法》明确要求建立数据分类分级保护制度,并对数据实行分类分级保护,制定重要数据目录,加强对重要数据的保护。《关于构建更加完善的要素市场化配置体制机制的意见》要求推动完善数据分类分级安全保护制度,加强数据资源整合和安全保护。《“十四五”大数据产业发展规划》、GB/T 36073—2018《数据管理能力成熟度评估模型》等明确将数据分类分级作为重要要求。工业数据分类分级是工业数据管理的基础。随着两化融合发展水平不断提高,工业企业在产品的研发设计、生产制造、售后服务等过程中积累了大量的工业数据。从这些工业数据的形态来看,种类繁多、结构复杂,涉及的数据主体多样,因此区分工业数据的类型和重要级别就显得尤为重要。针对不同类型和级别的工业数据,部署不同粒度、不同层次的管理措施,有利于明确差异化数据管理的要求,引导工业企业建立工业数据管理机制,增强企业数据流向跟踪、风险定位、责任追溯等数据管理能力,切实提升工业企业的数据管理水平,进一步带动工业全要素、全产业链、全价值链升级。工业数据分类是工业数据共享流通的基本前提。海量的工业数据种类多样,工业企业根据系统性、规范性、明确性、扩展性等原则,对“研产供销服”等各环节的数据进行分类并制定企业数据分类清单,形成了企业甚至是行业的重要数据目录。基于数据标识分类,明确用于共享流通的数据类型,制定不同类型的数据共享机制,将工业数据管理由“传统杂货铺”变成“现代化智能仓库”,实现工业数据的共享流通。组织开展工业数据分类分级是保障工业数据安全的重要手段,开展工业数据分类分级架构工作,结合工业互联数据安全场景下的工业数据属性、安全防护等要求构建数据分级安全防护体系,并为不同级别的工业数据制定相应的保护策略或措施,为工业数据安全提供保障,并广泛应用于核电、工程机械、物流等行业。分类分级方法的重要性不仅在工业领域十分突出,在其他领域同样应用广泛。中国人民银行发布《金融数据安全数据安全分级指南》,给出了金融数据安全分级的目标、原则和范围,以及金融数据安全定级的要素、规则和定级过程,推动金融行业的数据分类分级工作开展。GB/T 38667—2020《信息技术大数据数据分类指南》描述了大数据分类过程及在分类视角、分类维度和分类方法等方面的建议和指导;DB33/T 2351—2021《数字化改革公共数据分类分级指南》规定了公共数据分类分级的一般要求、维度与方法,为公共数据的分类分级工作提供标准化的思路和方法。2.1 总体要求
工业数据分类分级的总体要求包括科学性要求、扩展性要求、关联性要求、自主定级要求、分级管控要求和持续改进要求等。要求做到按照工业数据的逻辑关联进行科学和系统化的分类;工业数据分类的维度和逻辑应该具有可扩展性,以满足容纳将来可能出现的新数据;理解分类是分级的基础,二者密不可分;企业应按照一定的规范自主对各种类型的工业数据进行分级,安排实施分级管控具体执行动作,定期开展分类分级结果评估以及分级管控措施效果评估,并针对问题进行改进。工业数据分类分级的一般流程主要包括分类分级准备、实施分类分级、实施分级管控和持续改进4个部分,每个部分又可以分为几个更具体的步骤,如图1所示。图1 工业数据分类分级的一般流程
分类分级准备过程主要包括调研工业数据现状和制订分类分级工作计划。调研主要围绕以下几个方面展开:工业数据产生情况(例如产生的部门、场景、方式、频率、外部数据等)、工业数据存储情况(例如存储方式、存储位置、数据格式、数据规模、完整程度等)、工业数据业务类型(例如生产管理数据、人事管理数据、经营数据、财务数据等)、工业数据应用情况(例如应用场景、应用方式等)。在制订计划时,需明确分类分级工作的领导组织、工作目标、分类维度和场景、分级维度、评估方法和分级管控体系等方面的维护方案。实施分类分级过程主要包括拟定分类分级实施流程、组织实施和输出成果。根据业务、场景、频率以及数据生命周期等不同的维度(如表1所示)进行分类,拟定具体的实施流程。例如,通过制定实施步骤、执行实施工作、监控实施工作、总结实施过程等来实现工业数据分类分级,然后按照拟定的分类分级实施流程,组织企业相关部门和人员开展分类分级工作,输出如工业企业数据分类分级详细描述表、数据库表、工业数据分类分级描述表等成果产出物。实施分级管控过程主要包括确定防护措施、拟定分级管控防护实施流程、组织实施和输出分级管控防护结果。结合工业数据分类和安全级别(如表2所示)结果,制定相应的防护措施,并拟定具体的实施流程,组织企业相关部门及人员开展具体分级管控防护工作,梳理分级管控防护结果,得到工业数据分级管控防护清单和分级管控防护效果文件。持续改进过程主要包括定期评估和安全级别变更。对分类分级维度、类别划分方法、安全级别判定方法、分类分级结果、分级管控防护措施、分级管控效果进行定期评估,检查其是否合理、是否满足现有需求等,根据评估意见调整工业数据分类分级过程,当安全级别变更因业务、监管调整等因素(工业数据内容变化、更新频次变化、应用场景变化、合规性变化等)导致数据影响范围和程度改变时,须相应地变更工业数据的安全级别。
表 1 工业数据分类维度
表 2 工业数据级别判断标准和防护要求
工业互联网数据应用场景已从单一的数据展示、表达升级到覆盖各类过程的工业数据智能应用。工业互联网数据安全包括了生产管理数据安全、生产操作数据安全、工厂外部数据安全,涉及采集、传输、存储、处理等各个环节的数据及用户信息的安全。工业互联网相关的工业数据按照其属性或特征,可以分为设备数据、业务系统数据、知 识库数据和用户个人数据 4 种类型。根据数据 敏感程度的不同,可将工业互联网数据分为一 般数据、重要数据和敏感数据 3 种。随着工厂 数据由少量、单一和单向逐步向大量、多维和 双向转变,工业互联网的数据体量不断增大、 种类不断增多、结构日趋复杂,并出现数据在 工厂内部与外部网络之间的双向流动共享。由 此带来的安全风险主要包括数据泄露、非授权 分析和用户个人信息泄露等。对于工业互联网 的数据安全防护,应采取明示用途、数据加密、 访问控制、业务隔离、接入认证、数据脱敏等 多种防护措施,覆盖包括数据采集、传输、存 储和处理等在内的全生命周期的各个环节。徐工集团工程机械股份有限公司在狠抓工业信息安全的大背景下,从集团层面制定了主数据管理规定办法、信息系统应用和运维管理规定,对集团级工业数据、系统应用具有指导作用,各事业部,分、子公司在集团级规定的基础上,又细化为各单位的个性化管理规定,对业务部门的流程执行、数据应用、权限划分具有重要的指导作用,并进一步提升数据汇聚能力、数据开放能力、数据治理能力,以安全策略为指导,构建起了全面、完整、高效的信息安全体系,为业务的创新发展提供了坚实的信息安全保障。中联重科股份有限公司全面梳理企业自身的工业数据,累积了经营、制造、物联网等多维度的海量数据,通过工业数据的分类分级管理,提升了数据的使用效能和数据安全,促进了数据全局流动和有序共享;通过工业数据分类分级的防护技术应用等方式,实现了工业数据管理能力的跃升;依托安全可信的数据指导施工作业,构建了数据驱动实现服务业务管理闭环的目标,在企业关注的施工效率、施工环境、施工安全性等方面都有大幅度完善。浙江省宁波市烟草专卖局(公司)全面细致深入开展分类分级工作,梳理业务经营管理各环节的工业数据,掌握了“有哪些、有多少、在哪里、归谁管、谁在用”的基本情况,建立了动态工业数据资产清单,将工业数据分成生产、运维、管理和外部4个数据域,40个L2级数据子类,131个L3级数据子类,并按照数据资产对企业生产、经济效益等方面的影响程度,将工业数据分为106个L2级数据、25个L3级数据。
工业数据分类分级作为大数据技术领域的一项基础性安全保障工作,有力地支撑了相关行业的数字经济发展。无论是从工业数据分类分级试点情况来看,还是从企业为了满足自身业务需求而开展的分类分级工作来看,实施工业数据分类分级工作后,企业在工业数据安全等方面都取得了明显的成效,提升了企业的硬实力,走在了行业的前列。但同时也存在企业动力不足的问题,企业不愿意投入更多的成本在工业数据分类分级工作上。随着国家顶层设计完善、底层落地得到大力支持、企业数据意识和安全意识等的不断提高、相关技术的不断进步,工业数据分类分级也会在更多的企业应用中落地,提升企业的数据管理和安全防护能力,从而提高整个行业的竞争能力。
引用本文:唐萍峰,郭刚,杨超,等.工业互联网安全下的数据分类分级研究[J].信息安全与通信保密,2022(9):2-8.
作者简介 >>>
唐萍峰,男,硕士,工程师,主要研究方向为工业互联网应用、网络、安全、工业大数据等;
郭 刚,男,硕士,高级工程师,主要研究方向为工业互联网应用、网络、安全、工业大数据等;
杨 超,男,硕士,中级工程师,主要研究方向为工业互联网应用、网络、安全、工业大数据等;
叶林佶,男,硕士,高级工程师,主要研究方向为工业互联网应用、网络、安全、工业大数据等;
郭子豪,男,硕士,中级工程师,主要研究方向为工业互联网应用、网络、安全、工业大数据等
选自《信息安全与通信保密》2022年第9期(为便于排版,已省去原文参考文献)