工業互聯網數據安全分類分級思考

■ 北京 陳雪鴻 楊帥鋒 柳彩云

編者按：工業互聯網數據安全問題近年來引起廣泛關注，由于工業互聯網數據形態種類多樣，安全防護需求不一，因此亟需實施有效的數據分類分級措施、開展差異化分級防護，切實保障工業互聯網數據安全。

隨著經濟社會各領域的數字化、網絡化、智能化趨勢加快，新模式新業態持續涌現，數字經濟方興未艾。數據正成為我國實施供給側結構性改革、推動經濟發展的生產力，也是促進全球經濟發展的新生產要素。

與此同時，工業互聯網數據規模化增長速度越來越快，內外網數據交互流通、海量數據集中匯聚分析等提供了更多竊取、篡改數據的路徑，擴大了攻擊面，數據安全面臨愈發嚴峻的風險隱患，實施數據安全分類分級和差異化分級防護、加強工業互聯網數據安全刻不容緩。

當前，我國工業企業、工業互聯網平臺企業等仍然存在重發展輕安全的問題，對于開展工業互聯網數據安全防護建設等相關工作，很多企業感到無從下手或力不從心，特別是面對海量的工業互聯網數據時，對如何開展數據安全分類分級和安全防護毫無思路。

因此，加快推動工業互聯網數據安全分類分級、實行差異化數據安全防護是當前工業互聯網數據安全保障的重點工作，也是落實企業主體責任的重要舉措，亦是強化數據安全監管的重要抓手，更是促進數字經濟健康發展、維護國家數據主權的重要保障。

工業互聯網數據安全分類分級思路和方法

1.國內外數據分類分級相關標準情況

相比傳統網絡數據，工業互聯網數據種類和形態更為豐富多樣，且具有適應工業生產運營場景下的實時性、穩定性等特征，對其進行有效分類分級和安全防護存在困難。

目前，國內外在信息、數據等對象的分類分級方面已有所嘗試，在一些標準中提出了一些方法和參考。例如，美國《聯邦信息和信息系統安全分類標準》（FIPS 199），我 國《GB/T 35273-2017信息安全技術 個人信息安全規范》、貴州省《DB52/T 1123-2016政府數據 數據分類分級指南》等，從數據主體、用途、業務屬性等角度出發對數據進行分類，根據數據遭泄露、篡改等造成的后果進行定性分級。

2.數據分類分級的目的

一是分類的目的是明確安全責任、確定防護邊界。分類旨在劃定工業互聯網數據范圍，從行業的角度明確行業主管部門監管范疇，從企業的角度落實數據安全主體責任，從防護的角度確定數據安全防護邊界。例如，行業層面，電力、石油石化等行業數據由能源主管部門進行監管，工業、通信業等行業數據由工信主管部門進行監管。企業層面，各企業應對其產生或使用的工業互聯網數據承擔安全主體責任，如工業互聯網平臺上的數據應由平臺企業切實做好安全防護，根據數據來源、用途等細分研發域與生產域、IaaS層與PaaS層等，分別確定域之間、層之間的防護邊界。

二是分級的目的是確定責任主體的防護措施力度和粒度、實施差異化分級安全防護。數據的分級主要從保密性、完整性、可用性三個屬性遭破壞后造成的后果影響來進行定級，這與國內網絡安全等級保護定級、關鍵信息基礎設施識別等相關標準及文件的思路是一致的。同時，與對網絡與信息系統進行等級保護一樣，數據也應分等級進行保護，從管理和技術等維度提出細粒度、有層次的數據分級保護措施，對應落實分級監管職責。

3.數據分類分級方法

借鑒國內外數據分類分級相關經驗，緊扣數據分類分級的目的，根據工業互聯網數據的特征和安全防護需求，研究提出工業互聯網數據分類分級方法。

首先，從數據來源、特征、用途、關聯性、安全防護需求等多個方面進行綜合分析，提出數據分類方法，確保數據類別之間緊耦合、安全防護需求基本一致。同時，為了方便管理，數據類別劃分不宜過多。

然后，采用“就高不就低”原則，根據數據的三個安全屬性任意一個屬性遭破壞后，用定性和定量結合的方法判斷對工業生產經營、公共利益、經濟社會穩定、生態環境、人民生命健康、國家安全等造成的最大后果影響來進行定級。

4.數據級別與網絡信息系統級別之間的關系

數據具有流動性、可復制等特有屬性，三級的系統也有可能流入或存儲一級、二級、四級的數據，所以數據的級別與所承載它的系統的級別沒有必然聯系，數據流動過程中的級別以源數據判定時的級別為準。但如果低級別的數據流入高級別的系統中時，該級別數據對系統的運行或服務產生了作用和影響，則該數據應該重新定級，級別應相應提高。從安全防護的角度考慮，系統中的所有數據應按照該級別系統的數據安全要求實施，高級別的數據一般不允許在無附加安全保護措施的情況下流入低級別的系統。

基于工業互聯網數據分類分級的數據安全防護思考

盡管我國有些政策文件在工業互聯網數據安全分類分級方面有所涉及，但還未形成體系化管理。當前，國家工業信息安全發展研究中心正在推動工業互聯網數據安全監測與防護平臺等技術能力建設，依托全國信息化和工業化融合管理標準化技術委員會（TC573）工業信息安全標準工作組（WG7）開展《工業互聯網數據安全分類分級指南》《工業互聯網數據安全防護指南》《工業互聯網重要數據識別指南》等標準規范制定。

下一步，筆者認為在分類分級的基礎上，工業互聯網數據安全防護應堅持總體國家安全觀，以落實企業主體責任為關鍵，從體制機制、法規政策、標準規范、技術手段等多方面入手，加快提升工業互聯網數據安全保障水平。可以重點做好以下工作：

一是加強監管、落實責任。加強工業互聯網數據安全分類分級研究，通過數據分類明確各類數據的主管部門，確定工業互聯網數據安全監管邊界，建立健全跨部門的數據安全監管機制。通過分級明確各級數據的安全防護要求，落實各級數據的安全主體責任和監管層級，實行差異化分級防護。

二是政策指導、標準引導。研究制定工業互聯網數據安全相關法規政策，明確發展目標和實施路徑，部署重大任務和發展路線，指導促進我國工業互聯網數據安全發展。圍繞工業互聯網數據的特征和全生命周期安全需求，加快研制工業互聯網數據安全分類分級、安全防護、重要數據識別等標準。加強法規政策和標準的宣貫培訓，提升工業互聯網數據安全意識。

三是技管結合、提升能力。推動工業互聯網數據安全管理機制創新，重視數據安全管理能力。建設工業互聯網敏感數據監測平臺，在企業內部、流量出口等地部署探針和數據檢測引擎，實時監測企業IT、OT網絡及工業APP等中的數據安全風險。建設工業互聯網數據跨境監測平臺，在重要網絡出口等地部署數采探針，實現對各類數據的識別、分析、研判與預警，避免重要數據流出境外。構建工業互聯網數據安全評估認證體系，依托第三方專業機構，開展數據安全能力的評估和認證。

四是研發技術、發展產業。推動工業互聯網數據安全技術研發，促進數據安全產業發展，強化產業支撐。加快工業互聯網數據安全態勢感知、數據加密、數據脫敏等技術研發，形成核心技術創新發展優勢。培育一批以工業互聯網數據安全為核心業務的工業信息安全骨干企業，打造特色優勢產業集群。發揮工業信息安全產業發展聯盟的作用，促進科研成果轉化和產業化應用，構建協調發展的工業互聯網數據安全產業生態。

結語

數據是工業互聯網的“血液”，數據安全對于發展工業互聯網至關重要、事在必行。開展工業互聯網數據分類分級，是保障工業互聯網數據安全的基礎。