工信部正式印发《工业和信息化领域数据安全管理办法（试行）》

一、工信部正式印发《工业和信息化领域数据安全管理办法(试行)》

12月13日,工信部正式发布《工业和信息化领域数据安全管理办法(试行)》(以下简称《管理办法》)。

二、筑牢我国工业领域数据安全管理顶层制度体系

工业领域正在借助信息技术不断突破带来的发展红利,推动建立数据驱动的新型生产制造和服务体系。工业数据在跨设备、跨系统、跨厂区、跨地区的互联流通过程中,突破了原本封闭的工业系统网络边界,不仅提升了对工业数据的感知深度和联通的广度,也将数据安全风险进一步向工业企业内网、工业系统和设备等更多对象和更大范围延伸。工业数据承载了企业的知识产权、商业秘密,甚至有关国家政治、经济安全,一旦遭受窃取、滥用或破坏会直接或间接造成对政治、经济、社会的影响。

随着《管理办法》的颁布实施,我国工业领域数据安全监管体系框架逐步健全。《管理办法》作为工业领域数据安全管理顶层制度文件,将能够更有效地贯彻落实《数据安全法》,指导工业领域数据安全的实施落地,促进工业领域数据安全管理工作制度化、规范化,探索构建工业领域数据安全管理体系,督促企业落实数据安全主体责任,加强数据分类分级管理、安全防护和安全监测等工作。

三、融入业务基因的工业数据分类分级顶层设计

《管理办法》中明确了行业主管部门开展自上而下的工业数据分类分级管理顶层设计。通过制定分类分级标准、重要数据和核心数据识别标准以及分级防护规范指导开展工业数据分类分级管理工作。工业企业结合自身业务特点,依据工业数据产生的位置及流转的范围,可参考下图的层次框架开展工业数据分类:

图1 工业数据分类参考框架

工业企业在进行数据分类分级过程中如果只是单纯依托咨询机构来实施,形成的数据分类分级清单大多停留在纸面上,无法在数据的流转中发挥实际作用。企业面对纷繁的工业数据,开展分类分级工作离不开“自动化工具+专家服务”的合作模式。绿盟科技将多年对工业生产业务的深入理解和深厚扎实的数据安全技术积累相结合,实现数据资产识别、敏感字段分析、机器学习辅助、信息关联、行业know-how有机融合,并结合行业专家对数据类别进行审核校订,有效提升工业数据分类分级的效率和准确率。工业数据分类分级流程如下图所示。

图2 工业数据分类分级流程

同时,将分类分级结果与数据标签相结合,在工业数据流转及使用环节可全面依托数据标签所定义的数据安全级别,匹配业务需求和场景,为一般数据、重要数据及核心数据实现分级防护。

四、落实工业企业安全主体责任 筑牢工业数据安全防护屏障

《管理办法》进一步明确工业企业承担数据安全主体责任。这表明企业的主要负责人在落实主体责任时将成为本企业数据安全第一责任人,应当承担起建立数据安全管理体系和技术体系、落实相关标准规范要求、确保数据全生命周期持续安全的责任。绿盟科技针对工业数据在流转过程中的安全需求,采取标记用途、数据加密、访问控制、数据审计、数据防泄漏、数据脱敏、安全监测等多种防护措施,覆盖包括数据收集、存储、使用加工、传输、提供、公开、销毁等全生命周期的不同环节,有效应对数据安全风险,面对未授权数据处理实现数据拿不到、看不懂、改不了、赖不掉。绿盟科技工业数据安全体系框架如下图所示。

图3 绿盟科技工业数据安全体系框架

(1)收集安全

依据工业数据的属性,按照生产数据(工艺流程数据、设备数据)、管理数据、研发数据、运维数据等分类,依照一般数据、重要数据和核心数据三种等级将分散在工业生产环节中零散数据进行分类分级采集。

(2)存储安全

依据数据的类别与安全等级,通过数据加密、数据完整性保护、数据防泄漏、访问控制等安全措施保障数据存储安全。

(3)使用加工安全

数据使用加工是工业数据价值再创造的核心环节,将工业生产的关键技术、流程、知识、工艺积累沉淀,不断迭代进而优化工艺流程、寻找最短、最经济的生产路径,为工业高质量发展提供最核心的数据支撑。在高价值工业数据使用加工过程中采取数据防泄漏、访问控制、完整性保护、机密性保护等措施,保证合法用户对信息和资源的有效使用。

(4)传输安全

在数据传输过程中,采用密码技术、校验技术等相关手段来保证数据传输过程中的机密性、完整性和有效性,防止数据被窃取或篡改。

多数工业企业生产线建设时间较早,没有考虑信息化和自动化的融合,一些“哑设备”不具有网络连接能力,生产线设备相对封闭或老旧,导致数据分散在生产的不同环节。在工业转型升级中,通过采用合理的架构设计与采集手段,既完成设备数据互联,又进行安全防护措施补齐。工业数据安全防护部署如下图所示。

图4 工业数据安全防护部署示意图

五、统筹构建工业领域数据安全三级监测体系

《管理办法》明确由行业主管部门统筹建立工业领域数据安全监测预警技术手段,打造工业领域数据安全态势全局化汇聚能力,形成国家-省-企业三级工业数据安全监测体系。通过安全工具流量采集、云端监测、主动上报等模式,实现对数据资产识别、数据流转监测、数据违规泄露发现和数据安全态势的有效掌握。国家-省-企业三级工业数据安全监测体系如下图所示。

图5 三级工业数据安全监测体系

绿盟科技工业数据安全监测体系架构通过大数据处理与分析平台实现多元化异构数据的接入、管理、存储、运算和智能整合,提供丰富的安全数据分析算法模型,全面提升工业数据安全监测能力。工业数据安全监测体系架构如下图所示。

图6 绿盟科技工业数据安全监测体系架构

通过构建工业数据安全监测平台,以工业企业为核心、行业主管部门遵循体系化和系统化思维,加强安全资源储备,帮助工业企业及时发现数据安全短板,提升工业数据安全保障能力。

六、结语

2022年,是工信部组织开展工业领域数据安全管理试点工作的部署实施之年,在国家数据安全法律法规及政策文件的加持下,工业领域数据安全管理必将步入发展的快车道。工业领域数据安全管理体系的建设,将成为工业企业数字化、网络化和智能化转型发展的重要保障手段。

近年来

网络安全新规密集出台

企业如何走稳合规之路?

微电影预告

绿盟科技自制微电影《等保风云》

重磅上线

接收过多少次“必须”通牒

让高压的工作任务不断勒紧你的神经

有过多少次背水一战

只为在无路可退中找寻一条前行的路

你是赛博世界里的工匠

一凿一砌

为安全的墙

奉献着虔诚与疲惫

云时代的格子间里

等保的风云 从未停过

或许

你也想知道

是谁闻风而动

号准了等保的脉

让“必须”无需急迫

让“一定”成为答卷

《等保风云》,明天见