12月13日,工信部正式發(fā)布《工業(yè)和信息化領域數據安全管理辦法(試行)》(以下簡稱《管理辦法》)。
二、筑牢我國工業(yè)領域數據安全管理頂層制度體系
工業(yè)領域正在借助信息技術不斷突破帶來的發(fā)展紅利,推動建立數據驅動的新型生產制造和服務體系。工業(yè)數據在跨設備、跨系統(tǒng)、跨廠區(qū)、跨地區(qū)的互聯流通過程中,突破了原本封閉的工業(yè)系統(tǒng)網絡邊界,不僅提升了對工業(yè)數據的感知深度和聯通的廣度,也將數據安全風險進一步向工業(yè)企業(yè)內網、工業(yè)系統(tǒng)和設備等更多對象和更大范圍延伸。工業(yè)數據承載了企業(yè)的知識產權、商業(yè)秘密,甚至有關國家政治、經濟安全,一旦遭受竊取、濫用或破壞會直接或間接造成對政治、經濟、社會的影響。
隨著《管理辦法》的頒布實施,我國工業(yè)領域數據安全監(jiān)管體系框架逐步健全。《管理辦法》作為工業(yè)領域數據安全管理頂層制度文件,將能夠更有效地貫徹落實《數據安全法》,指導工業(yè)領域數據安全的實施落地,促進工業(yè)領域數據安全管理工作制度化、規(guī)范化,探索構建工業(yè)領域數據安全管理體系,督促企業(yè)落實數據安全主體責任,加強數據分類分級管理、安全防護和安全監(jiān)測等工作。
三、融入業(yè)務基因的工業(yè)數據分類分級頂層設計
《管理辦法》中明確了行業(yè)主管部門開展自上而下的工業(yè)數據分類分級管理頂層設計。通過制定分類分級標準、重要數據和核心數據識別標準以及分級防護規(guī)范指導開展工業(yè)數據分類分級管理工作。工業(yè)企業(yè)結合自身業(yè)務特點,依據工業(yè)數據產生的位置及流轉的范圍,可參考下圖的層次框架開展工業(yè)數據分類:
圖1 工業(yè)數據分類參考框架
工業(yè)企業(yè)在進行數據分類分級過程中如果只是單純依托咨詢機構來實施,形成的數據分類分級清單大多停留在紙面上,無法在數據的流轉中發(fā)揮實際作用。企業(yè)面對紛繁的工業(yè)數據,開展分類分級工作離不開“自動化工具+專家服務”的合作模式。綠盟科技將多年對工業(yè)生產業(yè)務的深入理解和深厚扎實的數據安全技術積累相結合,實現數據資產識別、敏感字段分析、機器學習輔助、信息關聯、行業(yè)know-how有機融合,并結合行業(yè)專家對數據類別進行審核校訂,有效提升工業(yè)數據分類分級的效率和準確率。工業(yè)數據分類分級流程如下圖所示。
圖2 工業(yè)數據分類分級流程
同時,將分類分級結果與數據標簽相結合,在工業(yè)數據流轉及使用環(huán)節(jié)可全面依托數據標簽所定義的數據安全級別,匹配業(yè)務需求和場景,為一般數據、重要數據及核心數據實現分級防護。
四、落實工業(yè)企業(yè)安全主體責任 筑牢工業(yè)數據安全防護屏障
《管理辦法》進一步明確工業(yè)企業(yè)承擔數據安全主體責任。這表明企業(yè)的主要負責人在落實主體責任時將成為本企業(yè)數據安全第一責任人,應當承擔起建立數據安全管理體系和技術體系、落實相關標準規(guī)范要求、確保數據全生命周期持續(xù)安全的責任。綠盟科技針對工業(yè)數據在流轉過程中的安全需求,采取標記用途、數據加密、訪問控制、數據審計、數據防泄漏、數據脫敏、安全監(jiān)測等多種防護措施,覆蓋包括數據收集、存儲、使用加工、傳輸、提供、公開、銷毀等全生命周期的不同環(huán)節(jié),有效應對數據安全風險,面對未授權數據處理實現數據拿不到、看不懂、改不了、賴不掉。綠盟科技工業(yè)數據安全體系框架如下圖所示。
圖3 綠盟科技工業(yè)數據安全體系框架
(1)收集安全
依據工業(yè)數據的屬性,按照生產數據(工藝流程數據、設備數據)、管理數據、研發(fā)數據、運維數據等分類,依照一般數據、重要數據和核心數據三種等級將分散在工業(yè)生產環(huán)節(jié)中零散數據進行分類分級采集。
(2)存儲安全
依據數據的類別與安全等級,通過數據加密、數據完整性保護、數據防泄漏、訪問控制等安全措施保障數據存儲安全。
(3)使用加工安全
數據使用加工是工業(yè)數據價值再創(chuàng)造的核心環(huán)節(jié),將工業(yè)生產的關鍵技術、流程、知識、工藝積累沉淀,不斷迭代進而優(yōu)化工藝流程、尋找最短、最經濟的生產路徑,為工業(yè)高質量發(fā)展提供最核心的數據支撐。在高價值工業(yè)數據使用加工過程中采取數據防泄漏、訪問控制、完整性保護、機密性保護等措施,保證合法用戶對信息和資源的有效使用。
(4)傳輸安全
在數據傳輸過程中,采用密碼技術、校驗技術等相關手段來保證數據傳輸過程中的機密性、完整性和有效性,防止數據被竊取或篡改。
多數工業(yè)企業(yè)生產線建設時間較早,沒有考慮信息化和自動化的融合,一些“啞設備”不具有網絡連接能力,生產線設備相對封閉或老舊,導致數據分散在生產的不同環(huán)節(jié)。在工業(yè)轉型升級中,通過采用合理的架構設計與采集手段,既完成設備數據互聯,又進行安全防護措施補齊。工業(yè)數據安全防護部署如下圖所示。
圖4 工業(yè)數據安全防護部署示意圖
五、統(tǒng)籌構建工業(yè)領域數據安全三級監(jiān)測體系
《管理辦法》明確由行業(yè)主管部門統(tǒng)籌建立工業(yè)領域數據安全監(jiān)測預警技術手段,打造工業(yè)領域數據安全態(tài)勢全局化匯聚能力,形成國家-省-企業(yè)三級工業(yè)數據安全監(jiān)測體系。通過安全工具流量采集、云端監(jiān)測、主動上報等模式,實現對數據資產識別、數據流轉監(jiān)測、數據違規(guī)泄露發(fā)現和數據安全態(tài)勢的有效掌握。國家-省-企業(yè)三級工業(yè)數據安全監(jiān)測體系如下圖所示。
圖5 三級工業(yè)數據安全監(jiān)測體系
綠盟科技工業(yè)數據安全監(jiān)測體系架構通過大數據處理與分析平臺實現多元化異構數據的接入、管理、存儲、運算和智能整合,提供豐富的安全數據分析算法模型,全面提升工業(yè)數據安全監(jiān)測能力。工業(yè)數據安全監(jiān)測體系架構如下圖所示。
圖6 綠盟科技工業(yè)數據安全監(jiān)測體系架構
通過構建工業(yè)數據安全監(jiān)測平臺,以工業(yè)企業(yè)為核心、行業(yè)主管部門遵循體系化和系統(tǒng)化思維,加強安全資源儲備,幫助工業(yè)企業(yè)及時發(fā)現數據安全短板,提升工業(yè)數據安全保障能力。
六、結語
2022年,是工信部組織開展工業(yè)領域數據安全管理試點工作的部署實施之年,在國家數據安全法律法規(guī)及政策文件的加持下,工業(yè)領域數據安全管理必將步入發(fā)展的快車道。工業(yè)領域數據安全管理體系的建設,將成為工業(yè)企業(yè)數字化、網絡化和智能化轉型發(fā)展的重要保障手段。
近年來
網絡安全新規(guī)密集出臺
企業(yè)如何走穩(wěn)合規(guī)之路?
微電影預告
綠盟科技自制微電影《等保風云》
重磅上線
接收過多少次“必須”通牒
讓高壓的工作任務不斷勒緊你的神經
有過多少次背水一戰(zhàn)
只為在無路可退中找尋一條前行的路
你是賽博世界里的工匠
一鑿一砌
為安全的墻
奉獻著虔誠與疲憊
云時代的格子間里
等保的風云 從未停過
或許
你也想知道
是誰聞風而動
號準了等保的脈
讓“必須”無需急迫
讓“一定”成為答卷
《等保風云》,明天見
免責聲明:市場有風險,選擇需謹慎!此文僅供參考,不作買賣依據。
關鍵詞:
