文│ 国家工业信息安全发展研究中心 郝志强 杨帅锋 李俊
今年 9 月 1 日,《数据安全法》正式施行,数据安全事业开启了新阶段,依法开展数据安全工作踏上了新征程。工业领域作为《数据安全法》中提及的行业领域之首,是当前强化数据安全保障的重要领域。做好新时期工业领域数据安全工作,关键是要立足新阶段、迎接新挑战、提出新思路,加快贯彻落实《数据安全法》,切实提升数据安全保障能力。
(一)坚持党管数据,新时期工业领域数据安全责任体系将逐步完善
2021 年 8 月 4 日,经中共中央批准,由中共中央办公厅发布的《党委(党组)网络安全工作责任制实施办法》向社会公布,进一步凸显党委(党组)在网络安全工作中的领导作用,也是新时期构建数据安全责任制的重要遵循。数据安全是国家安全的重要组成,开展数据安全工作更要坚持党的领导,要深刻领会学习贯彻《数据安全法》的政治意义,建立和完善党管数据的体制机制,积极发挥党管数据安全发展的战斗堡垒作用。在工业领域,数据安全责任体系的构建尚处于起步阶段,按照谁主管谁负责、属地管理的原则,各级党委(党组)对本地区本部门数据安全工作负主体责任,各地工业和信息化主管部门在职责范围内负责本地区工业数据安全监管。同时,工业企业等工业数据处理者应落实数据安全主体责任,按照《数据安全法》等法律法规要求切实履行责任和义务。
(二)坚持依法治数,新时期工业领域数据安全制度的“四梁八柱”将加快建设
《数据安全法》作为我国数据安全领域的基础性法律,明确了数据安全治理体系的顶层设计,构建了“一个顶点、多维度配合、全社会参与”的数据安全协同工作体系,通过规制数据处理活动、保障数据安全、保护个人和组织合法权益、维护国家主权和安全,引领和促进数据的开发利用。《数据安全法》明确提出的数据分类分级、重要数据保护、安全审查、风险评估、报告、信息共享、监测预警、应急处置、交易管理、出境管理、出口管制等相关制度,在行业落地应用中应结合行业特色进一步细化。目前,工业和信息化部已经公开发布《工业和信息化领域数据安全管理办法(试行)征求意见稿》,但工业领域数据安全政策标准体系还不完善,需针对性制定工业数据分类分级方法和全生命周期防护要求,梳理形成工业领域重要数据和核心数据目录,并通过建立覆盖事前事中事后的工业领域数据安全制度规范等,全方位保障工业数据安全。
(三)坚持统筹发展和安全,新时期工业领域数据安全发展将有力推进
党的十九届五中全会提出的《中共中央关于制定国民经济和社会发展第十四个五年规划和二〇三五年远景目标的建议》指出,要“统筹发展和安全”“把安全发展贯穿国家发展各领域和全过程,防范和化解影响我国现代化进程的各种风险,筑牢国家安全屏障”。《数据安全法》明确了要安全与发展并重,两方面相互促进、共同发展。当前,数据安全与发展不仅是“国潮级”热议话题,更是“全球性”博弈阵地。“十四五”时期,工业数据作为制造业和数字经济高质量发展的强力引擎,统筹工业数据发展和安全的必要性和急迫性十分突出。对此,我们更要坚持总体国家安全观,增强风险意识,树立底线思维,下好先手棋、打好主动仗,构筑工业领域数据安全屏障,护航制造强国和网络强国建设。
(一)工业领域针对数据的攻击威胁严重,跨境安全风险严峻
据 Verizon 发布的《2020 年数据泄露调查报告》统计,全球数据泄露事件多达 3950 起,同比增长96%,制造业在受影响行业中排名第三(前两名为医疗保障、金融保险业)。随着企业上云、工业App 培育等工作持续推进,工况状态、产能信息等数据向云平台加速汇聚,高价值的数据资源池将日益成为不法分子牟取利益的攻击窃密目标。当前,勒索攻击、撞库攻击等威胁数据安全的攻击方式不断增多,尤其是勒索攻击呈现手段复杂化、解密难度大、索要赎金高等特征,成为工业数据安全的重大威胁。此外,工业数据跨境面临威胁严重、外部压力等问题,国家工业信息安全发展研究中心建设的国家工业互联网数据安全监测与防护平台就监测发现多起数据跨境、数据泄露等事件,涉及钢铁、装备制造等行业,其中不乏研发、生产等工业数据。从全球来看,多国跨境数据流动规则角力升温,一些国家以“长臂管辖”“域外效力”等为由,对我国数据安全监管活动指手画脚、故意施压,企图抹黑我国国际形象。
(二)工业领域数据互联互通加快,数据流动安全防护面临挑战
随着新一代信息技术与制造业的融合发展,工业生产环境互联开放趋势加快,工业数据的流向、路径、汇聚点等都发生了变化,数据从流向企业本地孤立的业务系统,到流向外部的边缘节点、云端平台、大数据中心等,贯穿了企业控制网、管理网、专用网、互联网等各个网络,数据安全涉及设备层、控制层、网络层、平台层及应用层等各个层面,导致数据暴露面加大,数据安全风险与威胁点增多,数据安全影响面更广。由此,一方面,降低了攻击难度,黑客可从网络端攻击生产端,触碰原先封闭在内网中的数据,实现窃取工业数据等目的;另一方面,加剧了风险隐患,单点工业数据一旦被攻击破坏,就可能从局部性风险演变成系统性风险。因此,如何在跨网络、跨组织、跨地区的数据流动路径中全流程保障数据安全,建立以数据为中心的流动安全体系,成为当前工业数据安全防护的重要难题。
(三)工业领域数据流通应用需求加大,数据可信共享生态亟需构建
在信息全球化和数字经济时代,协同制造、个性定制等新模式新业态快速发展,跨企业、跨行业、跨地区的工业数据交换共享需求愈发迫切,促进工业数据安全可信共享已成为提高生产经营效率和加快促进行业发展的重要基础。但是,工业领域数据安全可信共享面临诸多挑战,一方面,工业领域涉及钢铁、有色、化工、装备制造等多个行业,数据分类分级“拉清单”难度较大。目前,在面对海量工业数据共享场景时,大量企业的数据资产底数、重要数据目录、可共享利用的数据清单等多为“糊涂账”。另一方面,工业数据确权定价、价值评估等难题尚未有效解决,针对工业数据的可信防护、轻量级加密、数据脱敏、数据溯源等专门的技术手段不足,工业数据安全交换、安全共享、安全交易、安全赋能等服务方式和商业模式也还不成熟,数据安全与共享发展的平衡仍然存在难度。
立足“十四五”新发展阶段,应坚持以习近平新时代中国特色社会主义思想为指导,加快贯彻落实《数据安全法》,秉持“保安全、促发展”的工作理念,按照综合施策、多方联动、协同治理的工作思路,聚焦行业特色,全面提升工业领域数据安全保障能力,开创工业领域数据安全事业新局面。
(一)以分类分级构建安全基础,“以评促防”建立安全基线
贯彻落实《数据安全法》要求,加快出台《工业和信息化领域数据安全管理办法(试行)》等相关数据安全规章制度,切实提出“管什么”“怎么管”,明确工业领域数据安全监管对象、范畴和要求。研究制定工业数据领域分类分级方法、重要数据和核心数据识别认定指南、安全防护指引、共享应用导则等系列政策标准,加快建立工业数据安全监管体系和工作机制,推动落实企业主体责任。组织开展工业领域数据安全试点示范和分类分级摸底调研,梳理形成工业领域重要数据和核心数据目录清单并实施重点保护。构建工业数据安全评估认证体系,开展数据安全风险评估、防护能力评估、出境评估以及数据安全能力评估认证等,引导鼓励企业加大投入,开展工业数据安全建设,促进企业提升工业数据安全管理与防护能力。
(二)以技术创新与产业发展壮实安全供给,以保障能力建设奠定安全基石
围绕工业数据全生命周期安全需求以及面临的风险隐患情况,加快数据分类定级、敏感数据挖掘、轻量级加密、数据动态脱敏、可信防护、水印溯源等专门的工业数据安全技术和产品攻关,提升数据防篡改、防窃取、防泄露、防滥用等能力。充分发挥产业联盟、行业协会、专委会等行业组织作用,整合资源,创新服务模式,大力培育数据安全企业,遴选推广工业领域数据安全优秀实践,加快促进工业数据安全产业健康发展。支持国家专业机构建设工业领域重要数据和核心数据备案管理,以及工业数据安全监测与防护、风险通报、评估认证、共享交易、应急联动等国家级技术平台,形成全方位的工业数据安全保障能力,护航数字经济和制造业高质量发展。
(三)以共享交易促进安全发展,以合作共赢扩大安全友圈
加快推动工业数据安全可信交换共享公共服务平台建设,建立数据产权交易规则和标准,形成数据共享交易新安全模式。依托公共服务平台,聚拢产学研用各方共建安全可信的工业数据空间,以数据安全共享为驱动,推动构建安全活跃的数据要素市场。深挖工业数据价值,深入探索工业领域数据保险、数据银行、数据信托等新兴业务,逐步构建工业数据跨行业跨领域应用生态。加强工业相关行业协会和联盟等形成数据安全共识,建立健全工业数据安全行业自律机制。结合人类命运共同体理念、“一带一路”倡议以及《全球数据安全倡议》等,积极开展数据安全国际交流,与更多国家建立数据安全“朋友圈”,提出中国特色的数据安全方案,致力于构建符合国际共识和各国利益的数据安全国际规则。
来源:(本文刊登于《中国信息安全》杂志2021年第12期)
版权说明:无特殊说明,图片来自网络;无原创标识,文章、报告为转载或者综编,感谢每一位作者的辛苦付出,《大数据猎人》会在文章开头备注原标题、来源及作者。如涉及版权等问题,请发送消息至公号后台与我们联系,我们将在第一时间处理,非常感谢!