當前位置:100EC>行業研究>淺析:工業互聯網數據安全分類分級思考
淺析:工業互聯網數據安全分類分級思考
發布時間:2019年10月12日 09:42:38

(網經社訊)隨著新一代信息技術的快速發展,經濟社會各領域的數字化、網絡化、智能化趨勢加快,新模式新業態持續涌現,數字經濟方興未艾。數據正成為我國實施供給側結構性改革、推動經濟發展的生產力,也是促進全球經濟發展的新生產要素。

與此同時,工業互聯網數據規?;鲩L速度越來越快,內外網數據交互流通、海量數據集中匯聚分析等提供了更多竊取、篡改數據的路徑,擴大了攻擊面,數據安全面臨愈發嚴峻的風險隱患,實施數據安全分類分級和差異化分級防護、加強工業互聯網數據安全保障刻不容緩。

當前,我國工業企業、工業互聯網平臺企業等仍然存在重發展輕安全的問題,對于開展工業互聯網數據安全防護建設等相關工作,很多企業感到無從下手或者力不從心,特別是在面對海量多樣的工業互聯網數據時,對如何開展數據安全分類分級和安全防護毫無思路。

因此,加快推動工業互聯網數據安全分類分級、實行差異化數據安全防護是當前工業互聯網數據安全保障的重點工作,也是落實企業主體責任的重要舉措,亦是強化數據安全監管的重要抓手,更是促進數字經濟健康發展、維護國家數據主權的重要保障。

工業互聯網數據安全分類分級思路和方法

(一)國內外數據分類分級相關標準情況

相比傳統網絡數據,工業互聯網數據種類和形態更為豐富多樣,且具有適應工業生產運營場景下的實時性、穩定性等特征,對其進行有效的分類分級和安全防護存在困難。

目前,國內外在信息、數據等對象的分類分級方面已有所嘗試,在一些標準中提出了一些方法和參考。例如,美國《聯邦信息和信息系統安全分類標準》(FIPS 199),我國《GB/T 35273-2017信息安全技術 個人信息安全規范》、貴州省《DB52/T 1123-2016政府數據 數據分類分級指南》等,從數據主體、用途、業務屬性等角度出發對數據進行分類,根據數據遭泄露、篡改等造成的后果進行定性分級。

(二)數據分類分級的目的

一是分類的目的是明確安全責任、確定防護邊界。分類旨在劃定工業互聯網數據范圍,從行業的角度明確行業主管部門監管范疇,從企業的角度落實數據安全主體責任,從防護的角度確定數據安全防護邊界。例如,行業層面,電力、石油石化等行業數據由能源主管部門進行監管,工業、通信業等行業數據由工信主管部門進行監管。企業層面,各企業應對其產生或使用的工業互聯網數據承擔安全主體責任,如工業互聯網平臺上的數據應由平臺企業切實做好安全防護,根據數據來源、用途等細分研發域與生產域、IaaS層與PaaS層等,分別確定域之間、層之間的防護邊界。

二是分級的目的是確定責任主體的防護措施力度和粒度、實施差異化分級安全防護。數據的分級主要從保密性、完整性、可用性三個屬性遭破壞后造成的后果影響來進行定級,這與國內網絡安全等級保護定級、關鍵信息基礎設施識別等相關標準及文件的思路是一致的。同時,與對網絡與信息系統進行等級保護一樣,數據也應分等級進行保護,從管理和技術等維度提出細粒度、有層次的數據分級保護措施,對應落實分級監管職責。

(三)數據分類分級方法

借鑒國內外數據分類分級相關經驗,緊扣數據分類分級的目的,根據工業互聯網數據的特征和安全防護需求,研究提出工業互聯網數據分類分級方法。首先,從數據來源、特征、用途、關聯性、安全防護需求等多個方面進行綜合分析,提出數據分類方法,確保數據類別之間緊耦合、安全防護需求基本一致,同時,為了方便管理,數據類別劃分不宜過多。然后,采用“就高不就低”原則,根據數據的三個安全屬性任意一個屬性遭破壞后,用定性和定量結合的方法判斷對工業生產經營、公共利益、經濟社會穩定、生態環境、人民生命健康、國家安全等造成的最大后果影響來進行定級。

(四)數據級別與網絡信息系統級別之間的關系

數據具有流動性、可復制等特有屬性,三級的系統也有可能流入或存儲一級、二級、四級的數據,所以數據的級別與承載其的系統的級別沒有必然聯系,數據流動過程中的級別以源數據判定時的級別為準。但如果低級別的數據流入高級別的系統中時,該級別數據對系統的運行或服務產生了作用和影響,則該數據應該重新定級,級別應相應提高。從安全防護的角度考慮,系統中的所有數據應按照該級別系統的數據安全要求實施,高級別的數據一般不允許在無附加安全保護措施的情況下流入低級別的系統。

基于工業互聯網數據分類分級的數據安全防護思考

盡管我國有些政策文件在工業互聯網數據安全分類分級方面有所涉及,但還未形成體系化管理。筆者認為在分類分級的基礎上,工業互聯網數據安全防護應堅持總體國家安全觀,以落實企業主體責任為關鍵,從體制機制、法規政策、標準規范、技術手段等多方面入手,加快提升工業互聯網數據安全保障水平??梢灾攸c做好以下工作:

一是加強監管、落實責任。加強工業互聯網數據安全分類分級研究,通過數據分類明確各類數據的主管部門,確定工業互聯網數據安全監管邊界,建立健全跨部門的數據安全監管機制。通過分級明確各級數據的安全防護要求,落實各級數據的安全主體責任和監管層級,實行差異化分級防護。

二是政策指導、標準引導。研究制定工業互聯網數據安全相關法規政策,明確發展目標和實施路徑,部署重大任務和發展路線,指導促進我國工業互聯網數據安全發展。圍繞工業互聯網數據的特征和全生命周期安全需求,加快研制工業互聯網數據安全分類分級、安全防護、重要數據識別等標準。加強法規政策和標準的宣貫培訓,提升工業互聯網數據安全意識。

三是技管結合、提升能力。推動工業互聯網數據安全管理機制創新,重視數據安全管理能力。建設工業互聯網敏感數據監測平臺,在企業內部、流量出口等地部署探針和數據檢測引擎,實時監測企業IT、OT網絡及工業APP等中的數據安全風險。建設工業互聯網數據跨境監測平臺,在重要網絡出口等地部署數采探針,實現對各類數據的識別、分析、研判與預警,避免重要數據流出境外。構建工業互聯網數據安全評估認證體系,依托第三方專業機構,開展數據安全能力的評估和認證。

四是研發技術、發展產業。推動工業互聯網數據安全技術研發,促進數據安全產業發展,強化產業支撐。加快工業互聯網數據安全態勢感知、數據加密、數據脫敏等技術研發,形成核心技術創新發展優勢。培育一批以工業互聯網數據安全為核心業務的工業信息安全骨干企業,打造特色優勢產業集群。發揮工業信息安全產業發展聯盟的作用,促進科研成果轉化和產業化應用,構建協調發展的工業互聯網數據安全產業生態。

結束語

工業互聯網實現了數據在工業設備、生產線、工廠、平臺、供應商、產品和客戶全產業鏈的閉環流動。數據是工業互聯網的“血液”,是我國實施供給側結構性改革、推動經濟發展的生產力,也是促進全球經濟發展的新生產要素,數據安全對于發展工業互聯網至關重要、事在必行。開展工業互聯網數據分類分級,是保障工業互聯網數據安全的基礎。(來源:網絡安全和信息化 編選:網經社)

網經社致力于打造“中國領先的電商產業鏈綜合服務商”,基于旗下電子商務研究中心、電融寶、電數寶、商學院、電訴寶五大平臺,我們推出三大服務體系:(1)平臺服務:包括會員、數據、融資、售后顧問、法律等;(2)智庫服務:戰略顧問、政府智庫、報告贊助及定制、圖書贊助、專家培訓等。(3)媒體服務:包括商業報道、自媒體和社群、電商快評、品牌顧問、IPO服務等 。為各大電商上市公司、獨角獸、創業者以及國家和各地政府部門等提供專業服務。

【版權聲明】秉承互聯網開放、包容的精神,網經社歡迎各方(自)媒體、機構轉載、引用我們原創內容,但要嚴格注明來源網經社;同時,我們倡導尊重與保護知識產權,如發現本站文章存在版權問題,煩請將版權疑問、授權證明、版權證明、聯系方式等,發郵件至law@netsun.com,我們將第一時間核實、處理。

    溧阳| 连云港| 齐齐哈尔| 运城| 海东| 金华| 河南郑州| 宝应县| 铜仁| 库尔勒| 兴化| 山南| 顺德| 温岭| 寿光| 台州| 那曲| 四平| 新乡| 朝阳| 大兴安岭| 百色| 鞍山| 汉川| 蓬莱| 河池| 澳门澳门| 宁德| 荣成| 霍邱| 咸阳| 信阳| 嘉兴| 东台| 恩施| 德清| 义乌| 乐平| 海南| 无锡| 日土| 西双版纳| 兴安盟| 安岳| 博尔塔拉| 中卫| 新乡| 黔南| 九江| 日喀则| 武威| 龙岩| 湖州| 延边| 贵港| 定州| 中卫| 东莞| 岳阳| 定西| 包头| 香港香港| 遂宁| 涿州| 乌兰察布| 和县| 阜阳| 邹城| 荆州| 贵港| 巴彦淖尔市| 永康| 仁怀| 宜都| 西双版纳| 海安| 衢州| 牡丹江| 三明| 淄博| 垦利| 咸阳| 东营| 乌海| 商洛| 新泰| 天门| 长兴| 扬州| 克孜勒苏| 乌兰察布| 垦利| 安阳| 临汾| 保定| 承德| 黔南| 葫芦岛| 汉中| 崇左| 宝应县| 大庆| 张掖| 仁寿| 伊春| 宜春| 阿拉善盟| 梅州| 邵阳| 池州| 兴化| 涿州| 铁岭| 达州| 商洛| 临夏| 佳木斯| 扬州| 克拉玛依| 永康| 庄河| 商丘| 商洛| 德州| 禹州| 项城| 莆田| 唐山| 六盘水| 吐鲁番| 淮南| 迪庆| 赣州| 松原| 启东| 阿拉尔| 莒县| 大庆| 燕郊| 宜春| 和田| 平凉| 灌云| 洛阳| 南阳| 日照| 潮州| 果洛| 大连| 如东| 武夷山| 哈密| 玉树| 莱芜| 台湾台湾| 庆阳| 攀枝花| 安顺| 沧州| 陕西西安| 临汾| 阜新| 昌都| 漯河| 南京| 烟台| 临汾| 迪庆| 芜湖| 楚雄| 台山| 青海西宁| 长垣| 铜仁| 中卫| 揭阳| 马鞍山| 德阳| 吴忠| 莱州| 河北石家庄| 眉山| 禹州| 万宁| 渭南| 伊犁| 西双版纳| 东方| 厦门| 图木舒克| 山南| 陕西西安| 清远| 喀什| 梅州| 陕西西安| 眉山| 金华| 潍坊| 诸暨| 吉林长春| 信阳| 六安| 抚顺| 襄阳| 永新| 宿迁| 福建福州| 清徐| 库尔勒| 博尔塔拉| 灌南| 定西| 临夏| 甘肃兰州| 河北石家庄| 崇左| 陕西西安| 烟台| 黄山| 眉山| 邹城| 克孜勒苏| 洛阳| 陵水| 三河| 平顶山| 湖州| 台湾台湾| 池州| 榆林| 株洲| 吐鲁番| 芜湖| 吴忠| 榆林| 儋州| 遂宁| 文山| 哈密| 陇南| 温州| 漳州| 德宏| 宁夏银川| 乳山| 济南| 慈溪| 天长| 灌南| 江苏苏州| 文山| 淮安| 兴安盟| 延安| 晋中| 济源| 邹平| 海丰| 泰兴| 辽源| 四平| 伊犁| 广安| 靖江| 巴音郭楞| 苍南| 滁州| 庆阳| 江门| 本溪| 雄安新区| 保山| 潜江| 灌云| 随州| 双鸭山| 泸州| 景德镇| 嘉善| 南京| 金昌| 梧州| 神木| 武安| 大丰| 新余| 阿克苏| 延边| 朔州| 泰兴| 仁寿| 石嘴山| 鹰潭| 泰州| 丽水| 三沙| 海门| 贺州| 云浮|