朱立鋒

(中電工業(yè)互聯(lián)網(wǎng)有限公司，北京 100190)

0 引言

當(dāng)前，世界新一輪科技革命和產(chǎn)業(yè)變革迅猛發(fā)展，工業(yè)互聯(lián)網(wǎng)作為新一代信息技術(shù)與制造業(yè)深度融合的產(chǎn)物，作為以數(shù)字化、網(wǎng)絡(luò)化、智能化為主要特征的關(guān)鍵基礎(chǔ)設(shè)施，日益成為新工業(yè)革命的關(guān)鍵支撐，對未來工業(yè)發(fā)展產(chǎn)生全方位、深層次、革命性影響，對推進(jìn)制造強(qiáng)國和網(wǎng)絡(luò)強(qiáng)國建設(shè)，建設(shè)社會主義現(xiàn)代化強(qiáng)國具有重大意義。

工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)是指工業(yè)互聯(lián)網(wǎng)這一新模式新業(yè)態(tài)下，在工業(yè)互聯(lián)網(wǎng)企業(yè)開展研發(fā)設(shè)計、生產(chǎn)制造、經(jīng)營管理、應(yīng)用服務(wù)、供應(yīng)鏈管理和物流管理等業(yè)務(wù)時，圍繞客戶需求、訂單、計劃、研發(fā)、設(shè)計、工藝、制造、采購、供應(yīng)、庫存、銷售、交付、售后、運(yùn)維、報廢或回收等工業(yè)生產(chǎn)經(jīng)營環(huán)節(jié)和過程，所產(chǎn)生、采集、傳輸、存儲、使用、共享或歸檔的數(shù)據(jù)。如果按類型來劃分，工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)主要包括工業(yè)互聯(lián)網(wǎng)設(shè)備數(shù)據(jù)、應(yīng)用系統(tǒng)數(shù)據(jù)、知識庫數(shù)據(jù)、企業(yè)數(shù)據(jù)、用戶個人數(shù)據(jù)五大類。

本文基于對工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全的發(fā)展現(xiàn)狀、存在問題進(jìn)行深入分析的基礎(chǔ)上，提出解決工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全問題的基本思路。

1 發(fā)展現(xiàn)狀

當(dāng)前，社會各界圍繞法律、制度、標(biāo)準(zhǔn)、技術(shù)等領(lǐng)域?qū)I(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全展開熱烈討論、積極探索，相關(guān)工作加速推進(jìn)并取得了階段性成果。

(1)法規(guī)政策加速完善。繼2016 年11 月發(fā)布《網(wǎng)絡(luò)安全法》以來，《數(shù)據(jù)安全法》《個人信息保護(hù)法》相繼于2021 年6 月和8 月審議通過，數(shù)據(jù)安全立法和法律實踐穩(wěn)步推進(jìn)。具體到工業(yè)互聯(lián)網(wǎng)領(lǐng)域，有關(guān)部門相繼發(fā)布了《關(guān)于深化“互聯(lián)網(wǎng)+先進(jìn)制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導(dǎo)意見》《加強(qiáng)工業(yè)互聯(lián)網(wǎng)安全工作的指導(dǎo)意見》《工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展行動計劃（2021-2023 年）》《關(guān)于工業(yè)大數(shù)據(jù)發(fā)展的指導(dǎo)意見》《工業(yè)數(shù)據(jù)分級分類指南(試行)》等一系列政策文件，為開展工業(yè)數(shù)據(jù)分類分級、管理能力評估、有序共享、治理與防護(hù)等相關(guān)工作提供了政策指導(dǎo)。

(2)標(biāo)準(zhǔn)建設(shè)穩(wěn)步推進(jìn)。2021 年12 月，《工業(yè)互聯(lián)網(wǎng)安全標(biāo)準(zhǔn)體系(2021 年)》正式發(fā)布，該標(biāo)準(zhǔn)體系包括分類分級安全防護(hù)、安全管理、安全應(yīng)用服務(wù)等3 個類別、16 個細(xì)分領(lǐng)域以及76 個具體方向。在數(shù)據(jù)安全領(lǐng)域明確提出了《工業(yè)互聯(lián)網(wǎng)企業(yè)數(shù)據(jù)安全防護(hù)要求》《工業(yè)互聯(lián)網(wǎng)重要數(shù)據(jù)識別指南》《工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)跨境安全防護(hù)要求》等標(biāo)準(zhǔn)，為切實發(fā)揮標(biāo)準(zhǔn)規(guī)范引領(lǐng)作用，加快建立數(shù)據(jù)安全分類分級管理制度，強(qiáng)化工業(yè)互聯(lián)網(wǎng)企業(yè)數(shù)據(jù)安全防護(hù)能力，推動工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)高質(zhì)量發(fā)展具有重要支撐作用。

(3)安全能力持續(xù)提升。產(chǎn)學(xué)研用各界圍繞著工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全的基礎(chǔ)通用技術(shù)、數(shù)據(jù)安全管理技術(shù)、數(shù)據(jù)安全防護(hù)技術(shù)以及涵蓋數(shù)據(jù)的產(chǎn)生、傳輸、存儲、處理、使用及銷毀等數(shù)據(jù)全生命周期流轉(zhuǎn)安全開展理論研究和技術(shù)攻關(guān)，隨著區(qū)塊鏈、多方安全計算、聯(lián)邦學(xué)習(xí)以及數(shù)據(jù)沙箱等數(shù)據(jù)安全技術(shù)快速發(fā)展，以接入認(rèn)證、訪問控制、權(quán)限管理、網(wǎng)絡(luò)隔離、數(shù)據(jù)加密、數(shù)據(jù)脫敏、數(shù)據(jù)備份和恢復(fù)等為代表的主要技術(shù)手段日趨成熟，“數(shù)據(jù)可用不可見”“數(shù)據(jù)不動程序動”等正加快從理念變?yōu)楝F(xiàn)實。

2 面臨問題

隨著工業(yè)互聯(lián)網(wǎng)的迅猛發(fā)展，其所沉淀的數(shù)據(jù)體量不斷增大、種類不斷增多、結(jié)構(gòu)日趨復(fù)雜，并逐漸向海量、多維和雙向流動的改變。隨之而來的數(shù)據(jù)安全問題也日益凸顯，主要表現(xiàn)為數(shù)據(jù)泄露、非授權(quán)訪問、用戶信息泄露等方面。

從國際看，工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全形勢嚴(yán)峻。

(1)網(wǎng)絡(luò)攻擊方式新型多樣。暴力破解憑證、勒索攻擊、撞庫攻擊、漏洞攻擊等新型攻擊方式層出不窮，針對電力、能源、航空、醫(yī)疔等重點(diǎn)領(lǐng)域工業(yè)互聯(lián)網(wǎng)的攻擊事件大幅增加，導(dǎo)致相關(guān)行業(yè)企業(yè)內(nèi)部重要數(shù)據(jù)、敏感信息頻頻泄露，工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全面臨嚴(yán)重威脅。

(2)數(shù)據(jù)黑市交易觸目驚心。以暗網(wǎng)數(shù)據(jù)交易、精準(zhǔn)詐騙、撒網(wǎng)式詐騙等為主要特征的網(wǎng)絡(luò)犯罪活動日趨規(guī)?；M織化集團(tuán)化。隨著工業(yè)企業(yè)加快推進(jìn)上云、工業(yè)APP 培育，海量工業(yè)數(shù)據(jù)向云平臺匯聚，形成高價值的數(shù)據(jù)資源池，這些工業(yè)數(shù)據(jù)日益成為犯罪集團(tuán)牟取利益的竊密目標(biāo)。

(3)數(shù)據(jù)安全風(fēng)險日益加劇。隨著工業(yè)領(lǐng)域向互聯(lián)開放發(fā)展，新一代信息技術(shù)的廣泛使用，相關(guān)設(shè)備、平臺、系統(tǒng)和應(yīng)用實現(xiàn)在線化、網(wǎng)絡(luò)化，以及供應(yīng)鏈、物流鏈的高度協(xié)同，潛在的風(fēng)險敞口增多。再加上工業(yè)互聯(lián)網(wǎng)跨設(shè)備、跨系統(tǒng)、跨廠區(qū)、跨地區(qū)互聯(lián)互通的特點(diǎn)，對數(shù)據(jù)全生命周期各環(huán)節(jié)的安全防護(hù)的時效性、復(fù)雜性要求較高，所面臨的挑戰(zhàn)也持續(xù)增加。

從國內(nèi)看，工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全管理也存在一些不足。

(1)工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全責(zé)任體系尚未建立。主管部門、工業(yè)企業(yè)、工業(yè)互聯(lián)網(wǎng)基礎(chǔ)設(shè)施運(yùn)營單位、工業(yè)互聯(lián)網(wǎng)平臺企業(yè)、工業(yè)互聯(lián)網(wǎng)供應(yīng)鏈（一般包含制造商、上下游供應(yīng)商、零售商以及消費(fèi)者）、物流鏈（包括海關(guān)、進(jìn)出口商、物流企業(yè)）等多方主體在保護(hù)工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全方面的權(quán)責(zé)義務(wù)還不夠清晰，工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全保護(hù)要求難以落實到位。

(2)工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全管理理念落后缺位。工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)相關(guān)企業(yè)安全意識較為薄弱，數(shù)據(jù)安全管理理念落后甚至缺位，尚未形成能有效處理工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全與數(shù)據(jù)流通核心矛盾的全局性、整體性、戰(zhàn)略性數(shù)據(jù)安全核心理念，工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全防護(hù)缺少科學(xué)的理念指導(dǎo)。

(3)工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全技術(shù)能力亟待加強(qiáng)。相關(guān)企業(yè)數(shù)據(jù)安全核心技術(shù)產(chǎn)品研發(fā)不夠，應(yīng)對新型攻擊防篡改、防竊取、防泄露的安全核心技術(shù)能力還不足，產(chǎn)業(yè)支撐力不強(qiáng)，工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全風(fēng)險發(fā)現(xiàn)、實時告警、防護(hù)處置等能力建設(shè)還需進(jìn)一步提升。

3 解決思路

與傳統(tǒng)互聯(lián)網(wǎng)安全相比，工業(yè)互聯(lián)網(wǎng)安全具有三大特點(diǎn)：一是涉及范圍廣，網(wǎng)絡(luò)攻擊面持續(xù)擴(kuò)大，可直達(dá)生產(chǎn)一線；二是造成影響大，一旦發(fā)生安全事件，影響嚴(yán)重；三是企業(yè)防護(hù)基礎(chǔ)弱，整體安全保障能力有待進(jìn)一步提升。因此，對工業(yè)互聯(lián)網(wǎng)而言，安全是保障，要堅持系統(tǒng)思維，從制度、管理和技術(shù)等方面構(gòu)建統(tǒng)籌協(xié)調(diào)、科學(xué)高效的數(shù)據(jù)安全體系，促進(jìn)數(shù)據(jù)的安全流通與高效配置。

(1)貫徹落實數(shù)據(jù)安全法律法規(guī)。堅持依法治理，全面貫徹落實國家《數(shù)據(jù)安全法》《個人信息保護(hù)法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》等法律法規(guī)，《關(guān)于深化“互聯(lián)網(wǎng)+先進(jìn)制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導(dǎo)意見》《加強(qiáng)工業(yè)互聯(lián)網(wǎng)安全工作的指導(dǎo)意見》等國家政策，以及《工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全保護(hù)要求》《工業(yè)互聯(lián)網(wǎng)重要數(shù)據(jù)識別指南》等行業(yè)標(biāo)準(zhǔn)，結(jié)合行業(yè)企業(yè)實際，制定數(shù)據(jù)安全保護(hù)實施方案和工作機(jī)制，強(qiáng)化制度執(zhí)行，全面提升工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全保護(hù)的法治化水平。

(2)建立健全數(shù)據(jù)安全組織體系。建立健全權(quán)責(zé)明晰、分級管理的數(shù)據(jù)安全監(jiān)督管理體系。明確工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全各主體的責(zé)權(quán)利，研究制定數(shù)據(jù)分類分級管理規(guī)范，將數(shù)據(jù)安全保護(hù)和監(jiān)管管理要求融入工業(yè)互聯(lián)網(wǎng)研發(fā)設(shè)計、生產(chǎn)制造、供應(yīng)鏈管理和物流管理等多種場景，以高質(zhì)量的數(shù)據(jù)安全保護(hù)確保工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)鏈供應(yīng)鏈物流鏈安全穩(wěn)定，防范數(shù)據(jù)跨境流動風(fēng)險。融入數(shù)據(jù)采集、傳輸、存儲、使用、交換、共享、公開、歸檔、刪除等全生命周期各環(huán)節(jié)。在數(shù)據(jù)采集階段，要保證數(shù)據(jù)的完整性、準(zhǔn)確性和機(jī)密性，在數(shù)據(jù)傳輸階段，要做好傳輸主體及節(jié)點(diǎn)的身份鑒別和認(rèn)證，在數(shù)據(jù)存儲階段，要做好數(shù)據(jù)存儲加密、數(shù)據(jù)備份和恢復(fù)等工作。在數(shù)據(jù)處理使用階段,要做好數(shù)據(jù)訪問控制和權(quán)限管理。

(3)建立自主可控的先進(jìn)技術(shù)體系。聚焦工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全需求，采用自主可控的信創(chuàng)產(chǎn)品建設(shè)高安全標(biāo)準(zhǔn)的數(shù)據(jù)金庫和數(shù)據(jù)要素操作系統(tǒng)，歸集并存儲核心數(shù)據(jù)和重要數(shù)據(jù)，為數(shù)據(jù)元件的生產(chǎn)開發(fā)與流通提供支撐，實現(xiàn)數(shù)據(jù)的安全流通與高效配置。例如，中電互聯(lián)依托中國電子CPU、操作系統(tǒng)和內(nèi)存三位一體的內(nèi)生安全PKS 體系，積極踐行中國電子“關(guān)鍵數(shù)據(jù)入庫，雙向風(fēng)險隔離、三級安全管控”的數(shù)據(jù)安全核心理念，建立安全先進(jìn)綠色的數(shù)據(jù)治理底座，構(gòu)建全棧式的數(shù)據(jù)安全技術(shù)體系，為數(shù)據(jù)安全保護(hù)提供了堅實的技術(shù)保障。