■ 北京 陳雪鴻 楊帥鋒 柳彩云

編者按：工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全問題近年來引起廣泛關(guān)注，由于工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)形態(tài)種類多樣，安全防護(hù)需求不一，因此亟需實(shí)施有效的數(shù)據(jù)分類分級(jí)措施、開展差異化分級(jí)防護(hù)，切實(shí)保障工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全。

隨著經(jīng)濟(jì)社會(huì)各領(lǐng)域的數(shù)字化、網(wǎng)絡(luò)化、智能化趨勢加快，新模式新業(yè)態(tài)持續(xù)涌現(xiàn)，數(shù)字經(jīng)濟(jì)方興未艾。數(shù)據(jù)正成為我國實(shí)施供給側(cè)結(jié)構(gòu)性改革、推動(dòng)經(jīng)濟(jì)發(fā)展的生產(chǎn)力，也是促進(jìn)全球經(jīng)濟(jì)發(fā)展的新生產(chǎn)要素。

與此同時(shí)，工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)規(guī)?；鲩L速度越來越快，內(nèi)外網(wǎng)數(shù)據(jù)交互流通、海量數(shù)據(jù)集中匯聚分析等提供了更多竊取、篡改數(shù)據(jù)的路徑，擴(kuò)大了攻擊面，數(shù)據(jù)安全面臨愈發(fā)嚴(yán)峻的風(fēng)險(xiǎn)隱患，實(shí)施數(shù)據(jù)安全分類分級(jí)和差異化分級(jí)防護(hù)、加強(qiáng)工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全刻不容緩。

當(dāng)前，我國工業(yè)企業(yè)、工業(yè)互聯(lián)網(wǎng)平臺(tái)企業(yè)等仍然存在重發(fā)展輕安全的問題，對(duì)于開展工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全防護(hù)建設(shè)等相關(guān)工作，很多企業(yè)感到無從下手或力不從心，特別是面對(duì)海量的工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)時(shí)，對(duì)如何開展數(shù)據(jù)安全分類分級(jí)和安全防護(hù)毫無思路。

因此，加快推動(dòng)工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全分類分級(jí)、實(shí)行差異化數(shù)據(jù)安全防護(hù)是當(dāng)前工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全保障的重點(diǎn)工作，也是落實(shí)企業(yè)主體責(zé)任的重要舉措，亦是強(qiáng)化數(shù)據(jù)安全監(jiān)管的重要抓手，更是促進(jìn)數(shù)字經(jīng)濟(jì)健康發(fā)展、維護(hù)國家數(shù)據(jù)主權(quán)的重要保障。

工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全分類分級(jí)思路和方法

1.國內(nèi)外數(shù)據(jù)分類分級(jí)相關(guān)標(biāo)準(zhǔn)情況

相比傳統(tǒng)網(wǎng)絡(luò)數(shù)據(jù)，工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)種類和形態(tài)更為豐富多樣，且具有適應(yīng)工業(yè)生產(chǎn)運(yùn)營場景下的實(shí)時(shí)性、穩(wěn)定性等特征，對(duì)其進(jìn)行有效分類分級(jí)和安全防護(hù)存在困難。

目前，國內(nèi)外在信息、數(shù)據(jù)等對(duì)象的分類分級(jí)方面已有所嘗試，在一些標(biāo)準(zhǔn)中提出了一些方法和參考。例如，美國《聯(lián)邦信息和信息系統(tǒng)安全分類標(biāo)準(zhǔn)》（FIPS 199），我 國《GB/T 35273-2017信息安全技術(shù) 個(gè)人信息安全規(guī)范》、貴州省《DB52/T 1123-2016政府?dāng)?shù)據(jù) 數(shù)據(jù)分類分級(jí)指南》等，從數(shù)據(jù)主體、用途、業(yè)務(wù)屬性等角度出發(fā)對(duì)數(shù)據(jù)進(jìn)行分類，根據(jù)數(shù)據(jù)遭泄露、篡改等造成的后果進(jìn)行定性分級(jí)。

2.數(shù)據(jù)分類分級(jí)的目的

一是分類的目的是明確安全責(zé)任、確定防護(hù)邊界。分類旨在劃定工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)范圍，從行業(yè)的角度明確行業(yè)主管部門監(jiān)管范疇，從企業(yè)的角度落實(shí)數(shù)據(jù)安全主體責(zé)任，從防護(hù)的角度確定數(shù)據(jù)安全防護(hù)邊界。例如，行業(yè)層面，電力、石油石化等行業(yè)數(shù)據(jù)由能源主管部門進(jìn)行監(jiān)管，工業(yè)、通信業(yè)等行業(yè)數(shù)據(jù)由工信主管部門進(jìn)行監(jiān)管。企業(yè)層面，各企業(yè)應(yīng)對(duì)其產(chǎn)生或使用的工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)承擔(dān)安全主體責(zé)任，如工業(yè)互聯(lián)網(wǎng)平臺(tái)上的數(shù)據(jù)應(yīng)由平臺(tái)企業(yè)切實(shí)做好安全防護(hù)，根據(jù)數(shù)據(jù)來源、用途等細(xì)分研發(fā)域與生產(chǎn)域、IaaS層與PaaS層等，分別確定域之間、層之間的防護(hù)邊界。

二是分級(jí)的目的是確定責(zé)任主體的防護(hù)措施力度和粒度、實(shí)施差異化分級(jí)安全防護(hù)。數(shù)據(jù)的分級(jí)主要從保密性、完整性、可用性三個(gè)屬性遭破壞后造成的后果影響來進(jìn)行定級(jí)，這與國內(nèi)網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)、關(guān)鍵信息基礎(chǔ)設(shè)施識(shí)別等相關(guān)標(biāo)準(zhǔn)及文件的思路是一致的。同時(shí)，與對(duì)網(wǎng)絡(luò)與信息系統(tǒng)進(jìn)行等級(jí)保護(hù)一樣，數(shù)據(jù)也應(yīng)分等級(jí)進(jìn)行保護(hù)，從管理和技術(shù)等維度提出細(xì)粒度、有層次的數(shù)據(jù)分級(jí)保護(hù)措施，對(duì)應(yīng)落實(shí)分級(jí)監(jiān)管職責(zé)。

3.數(shù)據(jù)分類分級(jí)方法

借鑒國內(nèi)外數(shù)據(jù)分類分級(jí)相關(guān)經(jīng)驗(yàn)，緊扣數(shù)據(jù)分類分級(jí)的目的，根據(jù)工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)的特征和安全防護(hù)需求，研究提出工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)分類分級(jí)方法。

首先，從數(shù)據(jù)來源、特征、用途、關(guān)聯(lián)性、安全防護(hù)需求等多個(gè)方面進(jìn)行綜合分析，提出數(shù)據(jù)分類方法，確保數(shù)據(jù)類別之間緊耦合、安全防護(hù)需求基本一致。同時(shí)，為了方便管理，數(shù)據(jù)類別劃分不宜過多。

然后，采用“就高不就低”原則，根據(jù)數(shù)據(jù)的三個(gè)安全屬性任意一個(gè)屬性遭破壞后，用定性和定量結(jié)合的方法判斷對(duì)工業(yè)生產(chǎn)經(jīng)營、公共利益、經(jīng)濟(jì)社會(huì)穩(wěn)定、生態(tài)環(huán)境、人民生命健康、國家安全等造成的最大后果影響來進(jìn)行定級(jí)。

4.數(shù)據(jù)級(jí)別與網(wǎng)絡(luò)信息系統(tǒng)級(jí)別之間的關(guān)系

數(shù)據(jù)具有流動(dòng)性、可復(fù)制等特有屬性，三級(jí)的系統(tǒng)也有可能流入或存儲(chǔ)一級(jí)、二級(jí)、四級(jí)的數(shù)據(jù)，所以數(shù)據(jù)的級(jí)別與所承載它的系統(tǒng)的級(jí)別沒有必然聯(lián)系，數(shù)據(jù)流動(dòng)過程中的級(jí)別以源數(shù)據(jù)判定時(shí)的級(jí)別為準(zhǔn)。但如果低級(jí)別的數(shù)據(jù)流入高級(jí)別的系統(tǒng)中時(shí)，該級(jí)別數(shù)據(jù)對(duì)系統(tǒng)的運(yùn)行或服務(wù)產(chǎn)生了作用和影響，則該數(shù)據(jù)應(yīng)該重新定級(jí)，級(jí)別應(yīng)相應(yīng)提高。從安全防護(hù)的角度考慮，系統(tǒng)中的所有數(shù)據(jù)應(yīng)按照該級(jí)別系統(tǒng)的數(shù)據(jù)安全要求實(shí)施，高級(jí)別的數(shù)據(jù)一般不允許在無附加安全保護(hù)措施的情況下流入低級(jí)別的系統(tǒng)。

基于工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)分類分級(jí)的數(shù)據(jù)安全防護(hù)思考

盡管我國有些政策文件在工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全分類分級(jí)方面有所涉及，但還未形成體系化管理。當(dāng)前，國家工業(yè)信息安全發(fā)展研究中心正在推動(dòng)工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全監(jiān)測與防護(hù)平臺(tái)等技術(shù)能力建設(shè)，依托全國信息化和工業(yè)化融合管理標(biāo)準(zhǔn)化技術(shù)委員會(huì)（TC573）工業(yè)信息安全標(biāo)準(zhǔn)工作組（WG7）開展《工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全分類分級(jí)指南》《工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全防護(hù)指南》《工業(yè)互聯(lián)網(wǎng)重要數(shù)據(jù)識(shí)別指南》等標(biāo)準(zhǔn)規(guī)范制定。

下一步，筆者認(rèn)為在分類分級(jí)的基礎(chǔ)上，工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全防護(hù)應(yīng)堅(jiān)持總體國家安全觀，以落實(shí)企業(yè)主體責(zé)任為關(guān)鍵，從體制機(jī)制、法規(guī)政策、標(biāo)準(zhǔn)規(guī)范、技術(shù)手段等多方面入手，加快提升工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全保障水平?？梢灾攸c(diǎn)做好以下工作：

一是加強(qiáng)監(jiān)管、落實(shí)責(zé)任。加強(qiáng)工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全分類分級(jí)研究，通過數(shù)據(jù)分類明確各類數(shù)據(jù)的主管部門，確定工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全監(jiān)管邊界，建立健全跨部門的數(shù)據(jù)安全監(jiān)管機(jī)制。通過分級(jí)明確各級(jí)數(shù)據(jù)的安全防護(hù)要求，落實(shí)各級(jí)數(shù)據(jù)的安全主體責(zé)任和監(jiān)管層級(jí)，實(shí)行差異化分級(jí)防護(hù)。

二是政策指導(dǎo)、標(biāo)準(zhǔn)引導(dǎo)。研究制定工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全相關(guān)法規(guī)政策，明確發(fā)展目標(biāo)和實(shí)施路徑，部署重大任務(wù)和發(fā)展路線，指導(dǎo)促進(jìn)我國工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全發(fā)展。圍繞工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)的特征和全生命周期安全需求，加快研制工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全分類分級(jí)、安全防護(hù)、重要數(shù)據(jù)識(shí)別等標(biāo)準(zhǔn)。加強(qiáng)法規(guī)政策和標(biāo)準(zhǔn)的宣貫培訓(xùn)，提升工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全意識(shí)。

三是技管結(jié)合、提升能力。推動(dòng)工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全管理機(jī)制創(chuàng)新，重視數(shù)據(jù)安全管理能力。建設(shè)工業(yè)互聯(lián)網(wǎng)敏感數(shù)據(jù)監(jiān)測平臺(tái)，在企業(yè)內(nèi)部、流量出口等地部署探針和數(shù)據(jù)檢測引擎，實(shí)時(shí)監(jiān)測企業(yè)IT、OT網(wǎng)絡(luò)及工業(yè)APP等中的數(shù)據(jù)安全風(fēng)險(xiǎn)。建設(shè)工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)跨境監(jiān)測平臺(tái)，在重要網(wǎng)絡(luò)出口等地部署數(shù)采探針，實(shí)現(xiàn)對(duì)各類數(shù)據(jù)的識(shí)別、分析、研判與預(yù)警，避免重要數(shù)據(jù)流出境外。構(gòu)建工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全評(píng)估認(rèn)證體系，依托第三方專業(yè)機(jī)構(gòu)，開展數(shù)據(jù)安全能力的評(píng)估和認(rèn)證。

四是研發(fā)技術(shù)、發(fā)展產(chǎn)業(yè)。推動(dòng)工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全技術(shù)研發(fā)，促進(jìn)數(shù)據(jù)安全產(chǎn)業(yè)發(fā)展，強(qiáng)化產(chǎn)業(yè)支撐。加快工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全態(tài)勢感知、數(shù)據(jù)加密、數(shù)據(jù)脫敏等技術(shù)研發(fā)，形成核心技術(shù)創(chuàng)新發(fā)展優(yōu)勢。培育一批以工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全為核心業(yè)務(wù)的工業(yè)信息安全骨干企業(yè)，打造特色優(yōu)勢產(chǎn)業(yè)集群。發(fā)揮工業(yè)信息安全產(chǎn)業(yè)發(fā)展聯(lián)盟的作用，促進(jìn)科研成果轉(zhuǎn)化和產(chǎn)業(yè)化應(yīng)用，構(gòu)建協(xié)調(diào)發(fā)展的工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全產(chǎn)業(yè)生態(tài)。

結(jié)語

數(shù)據(jù)是工業(yè)互聯(lián)網(wǎng)的“血液”，數(shù)據(jù)安全對(duì)于發(fā)展工業(yè)互聯(lián)網(wǎng)至關(guān)重要、事在必行。開展工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)分類分級(jí)，是保障工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全的基礎(chǔ)。