工業(yè)互聯(lián)網(wǎng)安全下的數(shù)據(jù)分類分級研究

發(fā)布時間： 2022-12-02 18:23

摘要：隨著工業(yè)經(jīng)濟的快速發(fā)展，工業(yè)數(shù)據(jù)安全性日益凸顯，如何做好工業(yè)數(shù)據(jù)的整體治理、安全管理、價值挖掘、共享流通等工作，是亟待解決的重要問題，而工業(yè)數(shù)據(jù)分類分級是以上工作的基礎，因此做好分類分級工作是一項極其重要的任務?；诖?，研究了工業(yè)數(shù)據(jù)分類分級的現(xiàn)狀，梳理了工業(yè)數(shù)據(jù)分類分級的總體要求、一般流程和實踐情況，為工業(yè)數(shù)據(jù)分類分級工作的開展提供了一定的思路和方法，助力工業(yè)數(shù)據(jù)應用融合發(fā)展。

內容目錄：

1 工業(yè)數(shù)據(jù)分類分級背景

2 工業(yè)數(shù)據(jù)分類分級指導

3 結語

近年來，我國工業(yè)經(jīng)濟發(fā)展勢頭良好，新一代信息技術與制造業(yè)的深度融合，有力地提升了工業(yè)經(jīng)濟創(chuàng)新發(fā)展的潛能。工業(yè)數(shù)據(jù)作為工業(yè)企業(yè)的核心數(shù)據(jù)資產(chǎn)，其重要性不言而喻，而工業(yè)數(shù)據(jù)分類分級是工業(yè)數(shù)據(jù)管理的基礎，因此做好工業(yè)數(shù)據(jù)分類分級工作是一項重要而又富有挑戰(zhàn)的任務。

本文首先調研了工業(yè)數(shù)據(jù)分類分級的背景，從分類分級政策、試點、必要性分析等方面展開。然后梳理了工業(yè)數(shù)據(jù)分類分級指導，圍繞工業(yè)數(shù)據(jù)分類分級總體要求、一般流程和實踐情況等方面進行闡述。

1　工業(yè)數(shù)據(jù)分類分級背景

1.1　政策支持

2020年工業(yè)和信息化部印發(fā)《工業(yè)數(shù)據(jù)分類分級指南(試行)》，指明了工業(yè)數(shù)據(jù)的范圍為工業(yè)領域產(chǎn)品和服務全生命周期產(chǎn)生和應用的數(shù)據(jù)，明確工業(yè)數(shù)據(jù)分類分級以提升企業(yè)數(shù)據(jù)管理能力為目標，堅持分類標識、逐類定級和分級管理相結合，為工業(yè)數(shù)據(jù)分類分級提供了政策指引和操作規(guī)范。

工業(yè)企業(yè)結合自身業(yè)務情況，依據(jù)生產(chǎn)制造模式不同對工業(yè)數(shù)據(jù)進行梳理分類，形成工業(yè)數(shù)據(jù)分類清單；根據(jù)工業(yè)數(shù)據(jù)安全造成破壞后可能對經(jīng)濟、社會等帶來的潛在影響，將工業(yè)數(shù)據(jù)分為多個級別，為每個級別的數(shù)據(jù)制定對應的保護措施。

為更好地推動《工業(yè)數(shù)據(jù)分類分級指南(試行)》落地實施，工業(yè)和信息化部先后推動開展工業(yè)數(shù)據(jù)分類分級應用試點和工業(yè)領域數(shù)據(jù)安全管理試點工作，在5個省市、9個行業(yè)的200余家企業(yè)開展工業(yè)數(shù)據(jù)分類分級應用試點，篩選出了28個優(yōu)秀試點案例，同時在15個省市開展工業(yè)領域數(shù)據(jù)安全管理試點工作，促進工業(yè)數(shù)據(jù)分類分級在產(chǎn)業(yè)界應用落地。

1.2　必要性分析

工業(yè)數(shù)據(jù)分類分級是貫徹落實分類分級管理相關法律法規(guī)的體現(xiàn)?！吨腥A人民共和國數(shù)據(jù)安全法》明確要求建立數(shù)據(jù)分類分級保護制度，并對數(shù)據(jù)實行分類分級保護，制定重要數(shù)據(jù)目錄，加強對重要數(shù)據(jù)的保護。《關于構建更加完善的要素市場化配置體制機制的意見》要求推動完善數(shù)據(jù)分類分級安全保護制度，加強數(shù)據(jù)資源整合和安全保護?！?ldquo;十四五”大數(shù)據(jù)產(chǎn)業(yè)發(fā)展規(guī)劃》、GB/T 36073—2018《數(shù)據(jù)管理能力成熟度評估模型》等明確將數(shù)據(jù)分類分級作為重要要求。

工業(yè)數(shù)據(jù)分類分級是工業(yè)數(shù)據(jù)管理的基礎。隨著兩化融合發(fā)展水平不斷提高，工業(yè)企業(yè)在產(chǎn)品的研發(fā)設計、生產(chǎn)制造、售后服務等過程中積累了大量的工業(yè)數(shù)據(jù)。從這些工業(yè)數(shù)據(jù)的形態(tài)來看，種類繁多、結構復雜，涉及的數(shù)據(jù)主體多樣，因此區(qū)分工業(yè)數(shù)據(jù)的類型和重要級別就顯得尤為重要。針對不同類型和級別的工業(yè)數(shù)據(jù)，部署不同粒度、不同層次的管理措施，有利于明確差異化數(shù)據(jù)管理的要求，引導工業(yè)企業(yè)建立工業(yè)數(shù)據(jù)管理機制，增強企業(yè)數(shù)據(jù)流向跟蹤、風險定位、責任追溯等數(shù)據(jù)管理能力，切實提升工業(yè)企業(yè)的數(shù)據(jù)管理水平，進一步帶動工業(yè)全要素、全產(chǎn)業(yè)鏈、全價值鏈升級。

工業(yè)數(shù)據(jù)分類是工業(yè)數(shù)據(jù)共享流通的基本前提。海量的工業(yè)數(shù)據(jù)種類多樣，工業(yè)企業(yè)根據(jù)系統(tǒng)性、規(guī)范性、明確性、擴展性等原則，對“研產(chǎn)供銷服”等各環(huán)節(jié)的數(shù)據(jù)進行分類并制定企業(yè)數(shù)據(jù)分類清單，形成了企業(yè)甚至是行業(yè)的重要數(shù)據(jù)目錄?；跀?shù)據(jù)標識分類，明確用于共享流通的數(shù)據(jù)類型，制定不同類型的數(shù)據(jù)共享機制，將工業(yè)數(shù)據(jù)管理由“傳統(tǒng)雜貨鋪”變成“現(xiàn)代化智能倉庫”，實現(xiàn)工業(yè)數(shù)據(jù)的共享流通。

組織開展工業(yè)數(shù)據(jù)分類分級是保障工業(yè)數(shù)據(jù)安全的重要手段，開展工業(yè)數(shù)據(jù)分類分級架構工作，結合工業(yè)互聯(lián)數(shù)據(jù)安全場景下的工業(yè)數(shù)據(jù)屬性、安全防護等要求構建數(shù)據(jù)分級安全防護體系，并為不同級別的工業(yè)數(shù)據(jù)制定相應的保護策略或措施，為工業(yè)數(shù)據(jù)安全提供保障，并廣泛應用于核電、工程機械、物流等行業(yè)。

1.3　其他領域數(shù)據(jù)分類分級情況

分類分級方法的重要性不僅在工業(yè)領域十分突出，在其他領域同樣應用廣泛。中國人民銀行發(fā)布《金融數(shù)據(jù)安全數(shù)據(jù)安全分級指南》，給出了金融數(shù)據(jù)安全分級的目標、原則和范圍，以及金融數(shù)據(jù)安全定級的要素、規(guī)則和定級過程，推動金融行業(yè)的數(shù)據(jù)分類分級工作開展。GB/T 38667—2020《信息技術大數(shù)據(jù)數(shù)據(jù)分類指南》描述了大數(shù)據(jù)分類過程及在分類視角、分類維度和分類方法等方面的建議和指導；DB33/T 2351—2021《數(shù)字化改革公共數(shù)據(jù)分類分級指南》規(guī)定了公共數(shù)據(jù)分類分級的一般要求、維度與方法，為公共數(shù)據(jù)的分類分級工作提供標準化的思路和方法。

2　工業(yè)數(shù)據(jù)分類分級指導

2.1　總體要求

工業(yè)數(shù)據(jù)分類分級的總體要求包括科學性要求、擴展性要求、關聯(lián)性要求、自主定級要求、分級管控要求和持續(xù)改進要求等。要求做到按照工業(yè)數(shù)據(jù)的邏輯關聯(lián)進行科學和系統(tǒng)化的分類；工業(yè)數(shù)據(jù)分類的維度和邏輯應該具有可擴展性，以滿足容納將來可能出現(xiàn)的新數(shù)據(jù)；理解分類是分級的基礎，二者密不可分；企業(yè)應按照一定的規(guī)范自主對各種類型的工業(yè)數(shù)據(jù)進行分級，安排實施分級管控具體執(zhí)行動作，定期開展分類分級結果評估以及分級管控措施效果評估，并針對問題進行改進。

2.2　一般流程

工業(yè)數(shù)據(jù)分類分級的一般流程主要包括分類分級準備、實施分類分級、實施分級管控和持續(xù)改進4個部分，每個部分又可以分為幾個更具體的步驟，如圖1所示。

圖1　工業(yè)數(shù)據(jù)分類分級的一般流程

分類分級準備過程主要包括調研工業(yè)數(shù)據(jù)現(xiàn)狀和制訂分類分級工作計劃。調研主要圍繞以下幾個方面展開：工業(yè)數(shù)據(jù)產(chǎn)生情況(例如產(chǎn)生的部門、場景、方式、頻率、外部數(shù)據(jù)等)、工業(yè)數(shù)據(jù)存儲情況(例如存儲方式、存儲位置、數(shù)據(jù)格式、數(shù)據(jù)規(guī)模、完整程度等)、工業(yè)數(shù)據(jù)業(yè)務類型(例如生產(chǎn)管理數(shù)據(jù)、人事管理數(shù)據(jù)、經(jīng)營數(shù)據(jù)、財務數(shù)據(jù)等)、工業(yè)數(shù)據(jù)應用情況(例如應用場景、應用方式等)。在制訂計劃時，需明確分類分級工作的領導組織、工作目標、分類維度和場景、分級維度、評估方法和分級管控體系等方面的維護方案。

實施分類分級過程主要包括擬定分類分級實施流程、組織實施和輸出成果。根據(jù)業(yè)務、場景、頻率以及數(shù)據(jù)生命周期等不同的維度(如表1所示)進行分類，擬定具體的實施流程。例如，通過制定實施步驟、執(zhí)行實施工作、監(jiān)控實施工作、總結實施過程等來實現(xiàn)工業(yè)數(shù)據(jù)分類分級，然后按照擬定的分類分級實施流程，組織企業(yè)相關部門和人員開展分類分級工作，輸出如工業(yè)企業(yè)數(shù)據(jù)分類分級詳細描述表、數(shù)據(jù)庫表、工業(yè)數(shù)據(jù)分類分級描述表等成果產(chǎn)出物。

實施分級管控過程主要包括確定防護措施、擬定分級管控防護實施流程、組織實施和輸出分級管控防護結果。結合工業(yè)數(shù)據(jù)分類和安全級別(如表2所示)結果，制定相應的防護措施，并擬定具體的實施流程，組織企業(yè)相關部門及人員開展具體分級管控防護工作，梳理分級管控防護結果，得到工業(yè)數(shù)據(jù)分級管控防護清單和分級管控防護效果文件。

持續(xù)改進過程主要包括定期評估和安全級別變更。對分類分級維度、類別劃分方法、安全級別判定方法、分類分級結果、分級管控防護措施、分級管控效果進行定期評估，檢查其是否合理、是否滿足現(xiàn)有需求等，根據(jù)評估意見調整工業(yè)數(shù)據(jù)分類分級過程，當安全級別變更因業(yè)務、監(jiān)管調整等因素(工業(yè)數(shù)據(jù)內容變化、更新頻次變化、應用場景變化、合規(guī)性變化等)導致數(shù)據(jù)影響范圍和程度改變時，須相應地變更工業(yè)數(shù)據(jù)的安全級別。

表 1　工業(yè)數(shù)據(jù)分類維度

表 2　工業(yè)數(shù)據(jù)級別判斷標準和防護要求

2.3　工業(yè)互聯(lián)網(wǎng)安全下的工業(yè)數(shù)據(jù)情況

工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)應用場景已從單一的數(shù)據(jù)展示、表達升級到覆蓋各類過程的工業(yè)數(shù)據(jù)智能應用。工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全包括了生產(chǎn)管理數(shù)據(jù)安全、生產(chǎn)操作數(shù)據(jù)安全、工廠外部數(shù)據(jù)安全，涉及采集、傳輸、存儲、處理等各個環(huán)節(jié)的數(shù)據(jù)及用戶信息的安全。

工業(yè)互聯(lián)網(wǎng)相關的工業(yè)數(shù)據(jù)按照其屬性或特征，可以分為設備數(shù)據(jù)、業(yè)務系統(tǒng)數(shù)據(jù)、知識庫數(shù)據(jù)和用戶個人數(shù)據(jù) 4 種類型。根據(jù)數(shù)據(jù) 敏感程度的不同，可將工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)分為一般數(shù)據(jù)、重要數(shù)據(jù)和敏感數(shù)據(jù) 3 種。隨著工廠數(shù)據(jù)由少量、單一和單向逐步向大量、多維和雙向轉變，工業(yè)互聯(lián)網(wǎng)的數(shù)據(jù)體量不斷增大、種類不斷增多、結構日趨復雜，并出現(xiàn)數(shù)據(jù)在工廠內部與外部網(wǎng)絡之間的雙向流動共享。由此帶來的安全風險主要包括數(shù)據(jù)泄露、非授權分析和用戶個人信息泄露等。對于工業(yè)互聯(lián)網(wǎng) 的數(shù)據(jù)安全防護，應采取明示用途、數(shù)據(jù)加密、訪問控制、業(yè)務隔離、接入認證、數(shù)據(jù)脫敏等多種防護措施，覆蓋包括數(shù)據(jù)采集、傳輸、存儲和處理等在內的全生命周期的各個環(huán)節(jié)。

2.4　工業(yè)互聯(lián)網(wǎng)安全下的實踐情況

徐工集團工程機械股份有限公司在狠抓工業(yè)信息安全的大背景下，從集團層面制定了主數(shù)據(jù)管理規(guī)定辦法、信息系統(tǒng)應用和運維管理規(guī)定，對集團級工業(yè)數(shù)據(jù)、系統(tǒng)應用具有指導作用，各事業(yè)部，分、子公司在集團級規(guī)定的基礎上，又細化為各單位的個性化管理規(guī)定，對業(yè)務部門的流程執(zhí)行、數(shù)據(jù)應用、權限劃分具有重要的指導作用，并進一步提升數(shù)據(jù)匯聚能力、數(shù)據(jù)開放能力、數(shù)據(jù)治理能力，以安全策略為指導，構建起了全面、完整、高效的信息安全體系，為業(yè)務的創(chuàng)新發(fā)展提供了堅實的信息安全保障。

中聯(lián)重科股份有限公司全面梳理企業(yè)自身的工業(yè)數(shù)據(jù)，累積了經(jīng)營、制造、物聯(lián)網(wǎng)等多維度的海量數(shù)據(jù)，通過工業(yè)數(shù)據(jù)的分類分級管理，提升了數(shù)據(jù)的使用效能和數(shù)據(jù)安全，促進了數(shù)據(jù)全局流動和有序共享；通過工業(yè)數(shù)據(jù)分類分級的防護技術應用等方式，實現(xiàn)了工業(yè)數(shù)據(jù)管理能力的躍升；依托安全可信的數(shù)據(jù)指導施工作業(yè)，構建了數(shù)據(jù)驅動實現(xiàn)服務業(yè)務管理閉環(huán)的目標，在企業(yè)關注的施工效率、施工環(huán)境、施工安全性等方面都有大幅度完善。

浙江省寧波市煙草專賣局(公司)全面細致深入開展分類分級工作，梳理業(yè)務經(jīng)營管理各環(huán)節(jié)的工業(yè)數(shù)據(jù)，掌握了“有哪些、有多少、在哪里、歸誰管、誰在用”的基本情況，建立了動態(tài)工業(yè)數(shù)據(jù)資產(chǎn)清單，將工業(yè)數(shù)據(jù)分成生產(chǎn)、運維、管理和外部4個數(shù)據(jù)域，40個L2級數(shù)據(jù)子類，131個L3級數(shù)據(jù)子類，并按照數(shù)據(jù)資產(chǎn)對企業(yè)生產(chǎn)、經(jīng)濟效益等方面的影響程度，將工業(yè)數(shù)據(jù)分為106個L2級數(shù)據(jù)、25個L3級數(shù)據(jù)。

3　結語

工業(yè)數(shù)據(jù)分類分級作為大數(shù)據(jù)技術領域的一項基礎性安全保障工作，有力地支撐了相關行業(yè)的數(shù)字經(jīng)濟發(fā)展。無論是從工業(yè)數(shù)據(jù)分類分級試點情況來看，還是從企業(yè)為了滿足自身業(yè)務需求而開展的分類分級工作來看，實施工業(yè)數(shù)據(jù)分類分級工作后，企業(yè)在工業(yè)數(shù)據(jù)安全等方面都取得了明顯的成效，提升了企業(yè)的硬實力，走在了行業(yè)的前列。但同時也存在企業(yè)動力不足的問題，企業(yè)不愿意投入更多的成本在工業(yè)數(shù)據(jù)分類分級工作上。隨著國家頂層設計完善、底層落地得到大力支持、企業(yè)數(shù)據(jù)意識和安全意識等的不斷提高、相關技術的不斷進步，工業(yè)數(shù)據(jù)分類分級也會在更多的企業(yè)應用中落地，提升企業(yè)的數(shù)據(jù)管理和安全防護能力，從而提高整個行業(yè)的競爭能力。

引用本文：唐萍峰,郭剛,楊超,等.工業(yè)互聯(lián)網(wǎng)安全下的數(shù)據(jù)分類分級研究[J].信息安全與通信保密,2022(9):2-8.

作者簡介 >>>

唐萍峰，男，碩士，工程師，主要研究方向為工業(yè)互聯(lián)網(wǎng)應用、網(wǎng)絡、安全、工業(yè)大數(shù)據(jù)等；

郭　剛，男，碩士，高級工程師，主要研究方向為工業(yè)互聯(lián)網(wǎng)應用、網(wǎng)絡、安全、工業(yè)大數(shù)據(jù)等；

楊　超，男，碩士，中級工程師，主要研究方向為工業(yè)互聯(lián)網(wǎng)應用、網(wǎng)絡、安全、工業(yè)大數(shù)據(jù)等；

葉林佶，男，碩士，高級工程師，主要研究方向為工業(yè)互聯(lián)網(wǎng)應用、網(wǎng)絡、安全、工業(yè)大數(shù)據(jù)等；

郭子豪，男，碩士，中級工程師，主要研究方向為工業(yè)互聯(lián)網(wǎng)應用、網(wǎng)絡、安全、工業(yè)大數(shù)據(jù)等

選自《信息安全與通信保密》2022年第9期（為便于排版，已省去原文參考文獻）