《关键信息基础设施安全保护条例》之工业数据安全与防护
发布时间 2021-08-27近日,《中华人民共和国数据安全法》(简称“数据安全法”)、《关键信息基础设施安全保护条例》(简称“关基条例”)、《中华人民共和国个人信息保护法》(简称“个人信息保护法”)陆续发布,我国已基本建立由法律、法规、部门规章、标准等组成的“国家网络空间安全保障体系”。如图所示:
国家网络空间安全保障体系
工业企业的网络和信息系统已成为关基及整个经济社会的神经中枢,面向工业企业的网络入侵日益呈现手段专业化、目的商业化、源头国际化、载体移动化的趋势。
尤其是伴随“十四五”国有企业数字化升级转型进一步深入,工业数据作为新的生产要素资源,贯穿工业企业的所有生产与经营过程。工业企业在使用工业数据进行分析、利用与拓展业务的同时,需着重保障工业数据的网络安全。
关基背景下工业数据的特征
在工业产品和服务的全生命周期中产生和应用的工业数据,其生产源头、处理环节及流转途径多样性,导致了其特征的多样性,在关基背景下,大量的特殊生产系统产生的工业数据的特征性就更为复杂。
从数据形态看:种类繁多、价值不一
复杂多样的业务场景导致工业数据存在时序、非时序、结构化、非结构化等多种形式,承载信息、应用领域、重要程度等各不相同,实时性、连续性、稳定性需求差异较大。
从数据流向看,路径复杂、主体多样
工业数据在企业内部研发、生产、运维、管理等环节之间互通,在上下游企业间、平台间流转,涉及设备厂商、工业企业、平台企业、服务商等相关方,加大了流向跟踪、风险定位、责任追溯等数据管理的难度。
此外,还更具用户价值、数据产权、生产要素等更为重要的特征:
1、更具价值属性。工业数据更加强调用户价值驱动和数据本身的可用性,来提升创新能力和生产经营效率。
2、更具产权属性。工业数据产生于企业实际生产经营过程,数据产权属性明显高于个人用户信息。
3、更具要素属性。工业数据是驱动制造业和数字经济高质量发展的重要引擎,具有更强的生产要素作用。
关基背景下工业企业数据的安全风险
国有企业数字化升级转型是“十四五”的数字经济的关键,随着云计算、大数据、人工智能、5G等新技术的应用,工业数据安全隐患进一步加剧,面临着巨大的挑战。
数据泄露风险
随着工业企业数字化升级转型的进程发展,工业控制系统与生产经营网、互联网、大数据平台连接,导致网络入侵面持续扩大,外部威胁更易入侵到工业环境中,造成重要工业数据泄露、勒索等严重后果。
数据全生命周期管理风险
关基范围内大量工业企业的大型生产加工设备以往都是成套设备进口,因行业及企业间差异,数据接口规范、通信协议不统一,数据采集过程容易导致过度采集、隐私泄露等问题。工业数据传输、处理实时性要求高,工业数据多路径、跨组织、跨地域的复杂流动,易导致数据传输过程追踪溯源问题。
经营、控制等关键数据出境的风险
1、我国关基的大量工控系统均是成套进口设备,包括重要的控制服务器,如PKS、PC、APC等,关键节点的网络设备、存储与备份服务器等,其安装、调试及后期的升级改造,导致网络拓扑、设置、工艺参数等关键运行数据泄密和跨境的威胁。
2、成套设备外接第三方设备运行状态监测,其监控数据甚至直接传到国外设备厂商,导致数据跨境风险。
3、第三方远程运维与故障排查,往往采用远程检修模式,不增加任何安全措施,存在较高的风险。
4、一些主要的国有企业的数字化升级转型的项目,委托国外原始设备厂商进行评估与设计,一些重要的生产数据暴露无遗,存在数据跨境的风险。
5、点检与局部维护,委托第三方服务单位,数据泄密风险极高,内部员工有意与无意的数据泄密也存在可能。
综上所述,工业企业的数据面临来自内部和外部的安全风险,构建工业数据的安全保障体系成为建设和发展工业企业的数据安全的迫切需求。
关基背景下工业数据的安全需求与防护
从工业数据的产生、流转、应用、存储、销毁等角度考虑,通过建立包括产品生产过程工艺数据、在线监测数据、使用过程数据等在内的产品全生命周期质量数据体系,关联业内外部多源数据的大数据分析,可有效追溯质量问题的产生原因,并持续提升生产过程的质量保障能力。
工业数据流在数字化转型过程中带动技术流、资金流、人才流、物资流,提升资源优化配置能力,促进全要素生产率提升,成为带动业务创新发展、推动供给侧结构性改革、实现包容性增长和可持续发展的重要驱动力。就工业企业网络安全建设而言,会逐步形成以“工业数据”为中心的安全体系建设,严格意义上是以“高价值数据”为中心的安全体系。
加强政策引导,落实工业数据安全主体责任
依据《关基条例》及《数据安全法》,明确工业企业对工业数据安全的主体责任,规范工业数据的采集、存储、加工、分析、使用、存储、销毁行为,建立并完善工业数据安全安全体系、安全管理制度、管理规范和操作规程,切实做好工业数据的保护工作。
强化技术保障,构建工业数据安全技术体系
建设国家、省、市三级工业敏感数据监测平台,加强工业数据安全监测能力,构建数据安全传输、安全访问、安全存储、数据脱敏、追踪溯源技术体系;建设工业企业内部数据监测平台,提升企业工业数据实时监测能力,构建企业工业数据安全防护技术体系;在工业数据共享的同时,保证数据开发、测试、生产、应用等各个环节的安全,工业数据安全成为关基防护的重要任务。
建立健全工业数据安全响应制度
无论是保护系统安全,还是保护数据安全,完善的预警机制可以消除更多安全隐患。在逐渐完善国家、省、市三级部署平台的基础上,建立健全工业数据安全监测预警制度,及时掌握关键背景下的工业数据安全状况、安全态势、预警通报等工业数据安全隐患,定期组织开展工业数据安全检查检测,及时整改安全隐患、完善安全措施。
保障网络空间主权和数据安全
工业数据蕴藏着大量危及企业经营和国家安全的敏感信息。依据《网络安全法》和《数据安全法》要求,关键信息基础设施在境内收集和产生的信息和数据必须在境内存储,如果确实需要向境外提供,需要进行安全评估和严格审查,尤其是关基中的DCS系统的运行和核心工艺参数。
强化工业数据分类分级的安全防护
以全面盘点工业数据资产、实现工业数据动态监察、开展工业数据分级分类建设、保障工业数据安全合规等为重点内容和目标。通过工业数据资产梳理规划、分级分类,全面了解核心数据资产,识别数据资产风险,从而不断优化和提升数据资产安全管理规范。通过分类分级梳理识别高价值数据资产,为数据安全治理成功推行落地构建最重要的基础底座,保障数据的完整性、保密性和可用性。
高度重视工业企业“二次数据”安全
“一次数据”是指直接从工业现场、工业主机、工控设备、工业网络上获取的数据,是工业企业责任主体中的原始数据,结构各异。而工业企业有大量的“一次数据”采集分析系统,通常包括企业中部署的分析、诊、监控、防护等系统。在工业企业数字化升级转型过程中,需要对采集到的大规模“一次数据”进行分析和处理,形成“二次数据”。“二次数据”更能够清晰地表达出工业企业数据的核心内容,比“一次数据”更有价值,更易被入侵者所利用。因此,在保护“一次数据”的同时,更加要注重“二次数据”的保护,并将“二次数据”设定为更高的级别,并对“二次数据”的生成对象实施更高级别的防护。
作为业界最早开展数据安全研究的厂商,集团将工业数字化安全与数据要素化安全、大数据AI安全分析作为公司的战略发展方向,凭借数据安全领域的独特技术优势和丰富实践经验积累,已实现多项数据安全关键技术创新,形成一整套数据安全解决方案及优秀的数据安全产品。
同时,将场景化安全思维与用户的实际业务相结合,为其提供专业的工业数据安全咨询,构建全方位、多层次的数据安全体系,满足用户不同数字化场景需求,提供安全最佳实践,实现“护航数字中国 领航信息安全”使命愿景。
京公网安备11010802024551号