专题研讨 | 工业领域数据安全的重点工作方向、工作内容以及如何结合当下监管要求开展工作?
“专题研讨”系列延伸阅读
研讨背景
2021年12月14日,工业和信息化部办公厅发布《工业和信息化部办公厅关于组织开展工业领域数据安全管理工作的通知》(工信厅网安函〔2021〕295号),通知中提出“为探索构建工业领域数据安全管理体系,有效保障数据安全,推动数字经济高质量发展,组织开展工业领域数据安全管理试点工作。”通知中提出三大必选内容和三大可选内容,其中,工业领域重要数据清单,重要数据的备案管理,是《中华人民共和国数据安全法》发布实施以后工业领域数据安全工作中的全新任务。此外,数据安全防护、数据安全评估、数据安全产品应用推广、数据安全监测、数据出境管理都成为关注的要点之一。目前,随着工业互联网的迅猛发展,工业领域数据爆发式增长,数据安全如何满足现有法律法规要求,成为当下实务工作的重点之一。
针对上述话题,CCIA数据安全工作委员会于近日组织各方专家进行了研讨。与会专家从理清基础概念、探索实践路径、提出安全建议等角度各抒己见。现就研讨中形成的主要观点以会议纪要方式公开,供各界参考、指正。
参与此次研讨的专家来自:中国电子技术标准化研究院、中国电子科技集团公司第十五研究所、中国软件评测中心等研究机构以及部分CCIA数据安全工作委员会委员单位。
以下观点仅代表专家个人观点。
本期研讨主题
工业领域数据安全的重点工作方向、工作内容以及如何结合当下监管要求
研讨问题
研讨问题1:工业领域中的数据有什么特点?如何有效识别工业领域的重要数据?与其他领域的识别方法有何异同?
精彩观点如下:
工业领域中的数据的特点与具体所属行业关系密切,比如钢铁、有色金属、石化化工、装备工业、消费品工业、电子信息业等领域均有其专属特点的数据,比如与消费品工业、电子信息业有关的家庭智能终端等产品,还有可能在其产品维护过程中涉及到个人信息相关的数据。
就工业领域数据的整体特点来看,包括但不仅限于:量级大、种类多、产生快、价值高等与其他领域相似的特点,也有与工业生产特性强相关的特点,如数据要求置信度高,数据的顺序性、关联性是保障工业生产安全的根本;数据要求适配度高,一个生产线的产生的数据往往只能用于辅助分析该生产线的状态,在其他生产线复用难;数据价值与生产流程关系密切,有的数据(如监测数据)对生产过程有巨大价值,但长期来看价值的密度不高,有的数据(如配方配比)则始终应当处于被严格保护的状态。
工业领域数据从宏观层面,可以区分为:生产数据、通讯数据、经营数据等,其中生产数据最具有工业领域特点,又可以从设计、运营、生产、控制、感知等层面进行进一步的识别,比如在工业控制系统中产生的控制指令等数据,就是一类辅助生产的数据。
工业领域的很多场景下,其所处理的数据与重要数据的概念契合度高,目前来看,工业领域算是最早提出重要数据和核心数据识别细则(草案)的领域之一,可为其他领域提供参考。
总体上来看,工业领域识别的重要数据方式、方法与其他领域类似,在行业主管部门推出细则后,可以通过“问卷”识别的方法,逐项梳理数据的属性是否与识别规则相匹配,如果匹配,则纳入重要数据/核心数据的清单中。
识别规则中通常还包括通过分析数据滥用、恶意使用带来的危害和后果进行重要数据识别的方法,则可以采取定性、定量相结合的方式,分析数据所涉及的量级、精度、波及范围等,进一步判断对国家安全、社会稳定、工业经济运行、工业生产安全产生的影响。有的数据则需要考虑到是否在关联、组合、累积后其价值和风险会激增,从而具备重要数据的属性。
重要数据识别的手段与其他领域类似,可采用人工+工具的方式实现,但由于工业领域数据很多都是非结构化数据、使用专属数据库、封闭系统的情况较多、无法适配自动化工具,因此利用工具扫描快速识别和发现、对数据进行标签化管理、追溯存在难度,因此目前以人工识别为主。从工业互联网、工业4.0的提出和发展,承载工业领域数据的系统、平台的互联互通、兼容性等不断提升,使用自动化工具对数据进行识别和管理将会更加适用。
由于生产安全在工业领域被长期重视,因此相关企业已经对生产及其安全所必需的数据了然于胸,采取了保护措施,就比如配方配比数据,企业自己也能足够重视。因此,当下更需要关注的是那些重要但没有被重视和保护的数据类型,行业在制定进一步的细则时建议重点考虑细化该部分内容。同时,有些数据可能对企业很重要,但放在国家、社会、行业层面则不然,企业在识别重要数据时应当准确把握重要数据保护的根本目标,优化安全资源配置,以达到最佳效果。
研讨问题2:重要数据的清单该如何建立和管理?如何保证数据的准确性、完整性、真实性?向主管部门报备有哪些注意点?精彩观点如下:
重要数据清单的建立步骤:第一步:全面盘点工业生产、经营等环节产生的数据,形成数据资产清单,第二步:判断数据的价值、敏感程度和数据遭破坏后可能造成的影响,第三步:按照既定规则进行重要数据识别,第四步:对于重要数据识别的准确性进行专家审核研判,第五步:根据既定格式形成需报送的重要数据清单。
为了保证所报送的数据类型是否准确、完整、真实,除严格对照既定规则识别以外,还可以结合安全事件、处罚案例的角度进行研判,因此,从事重要数据识别的人员应当对法律法规、标准规范有深入理解,还应具备丰富的行业从业经验。
重要数据向主管部门报送和备案的主要目的,是对企业数据资产的摸底,通过摸底,分析报送数据的重合度等,为后续提出统一、细致的行业重要数据目录相关标准、基线,形成更合理化的数据分类分级和保护方式打下基础。
报送重要数据清单时,需参照《工业领域重要数据和核心数据识别规则(草案)》中的格式填写内容,涉及到对外共享、跨境传输、安全防护措施等内容的,可以言简意赅的方式填写关键内容;报备时需使用工信部网站上提供的客户端,在客户端内进行填报上传。
研讨问题3:在开展数据分类分级保护的基础上,工业领域重要数据应当从哪种角度、哪些环节进行保护才能取得更好的效果?数据生命周期的保护理念能否适用?精彩观点如下:
整体上来看,目前工业领域重要数据主要依赖相关企业自行开展安全管理和防护,除《工业企业数据安全防护要求(草案)》以外,可把握重要数据重点保护,核心数据在重要数据的基础上,进行更加严格的管理与防护的基本原则,参考其他成熟的数据安全相关的通用标准规范、实践案例。
工业领域数据安全工作应当高度关注安全措施的效果,明确工作的具体方向和目标,而非简单地按惯例推行措施,或采取单一的标准推广实施。比如,涉及工业App、工业设计、工业图形相关的数据分类分级和管理应结合行业特点;涉及大量终端(如智能终端)处理数据的,需关注加密芯片、协议安全等;涉及对远程维护依赖度高的,需关注链路安全、接口安全等;涉及使用5G通信、云计算服务的,需关注相关的安全能力是否满足要求等。
从工业领域特点出发,数据可用性保障要求最为迫切,因此安全监测手段往往更为要紧,一些数据溯源、审计、预警的技术手段可以发挥重要作用,但如何让技术手段能够适配具体的需求场景需要进一步研究。
目前,工业领域生产环节数据的载体安全可以通过传统工控安全的方式实现安全控制,因此数据安全与相关信息基础设施的安全措施之间就存在着不可分割的关系。随着工控系统等级保护等基础性工作的推进,工业领域数据安全的基线要求得到了一定程度的保障。
就数据生命周期的保护理念而言,在工业领域也能适用。但是,由于工业领域的数据处理往往就有场景化特点,并未能够覆盖传统数据处理生命周期的全过程。目前,国内的各类法律标准中已经很少提及“数据生命周期”的概念,更多的采用“数据处理过程”来代替。而对于场景多样化的工业领域来说,从具体的数据处理过程提出安全要求在落地实施方面更为简便、直接。
研讨问题4:安全企业如何加强数据安全产品创新及在工业领域的适配应用,有哪些已有的解决方案能够应用到工业领域?精彩观点如下:
目前,数据安全产品在工业领域大多应用在运营、管理层面或者平台联动层面,在生产车间和设备间应用极少,主要原因在于传统产品无法应用和解析工业专用的协议和设备端。其中,数据库审计类产品在工业数据库的支持上有了很大的进步,但工业数据的加工、流转处理进行数据安全监测的产品应用还很少。
工业领域的数据安全需求往往聚焦于“点”,而非“线”和“面”。比如,加密芯片可以用于有效防范数据被篡改和窃取的风险,在物联网终端应用极为广泛。工业设计阶段对于工业图纸等的保护,部署数据防泄漏(DLP)类产品有着较明显的防护效果。
工信部在15个省开展的试点工作,覆盖原材料工业、装备工业、消费品工业、电子信息制造业、软件和信息技术服务业、民爆等领域,必选的数据安全管理、安全防护、风险评估方面,可选的数据安全产品应用推广、安全监测、数据出境方面,都少不了技术工具和产品的支撑,数据安全相关的访问控制、审计、脱敏、加密、防泄漏等都会在此大背景下发挥各自的力量。同时,如何让更多种类、更具工业领域特点的数据安全产品可以应用在工业生产车间中值得持续关注。
研讨问题5:工业领域数据安全风险评估的要素、风险监测的指标是否有特殊性?开展数据安全相关工作中的哪些过程数据可为主管部门整体监督、管理提供帮助?精彩观点如下:
工业领域数据安全风险评估采取的方法论与通用的数据安全风险评估基本一致,其要素包含:数据主体、涉及人员,威胁源与威胁事件、影响严重程度、数据脆弱性、利用难度、已有的控制措施,安全事件可能性。其中,需要注意的是威胁识别要结合以往工业领域典型安全事件,影响分析需要结合重要数据对国家、社会、行业等层面的危害,而非仅聚焦于生产安全。
可从以下角度开展对工业领域数据的安全监测:指令数据的异常、跨网、域异常的流量、数据传输的目标IP和对应地域、加密流量的异常增加等,监测工作需要不断调整策略、预警指标,以提升监测工作的价值。
企业建设统一监测平台、以及满足与主管部门联动的需要是数据安全能力建设的重要方向。可为主管部门整体监督、管理提供帮助的数据通常包括:根据要求需报备的数据、关键网络节点遭受网络攻击等事件的监测日志、安全事件处置情况及经验、其他通过大数据分析得到的态势类数据。
消费品工业、电子信息业等面向广大用户的领域,如家电企业等,可以倡导建立相应的行业数据治理平台,通过整合相应的安全态势数据,引导开展数据安全治理,以降低企业管理成本。
研讨问题6:工业领域数据出境的主要场景有哪些类别,有何特点?对于数据出境自评估有何建议?精彩观点如下:
数据出境可能涉及的场景包括:跨国公司经营(总部在国内,分支在国外;总部在国外,分支在国内)、“一带一路”等涉及的出境服务、国外供应商运维数据回传、与境外机构开展研究合作、聘请国外机构进行咨询、涉及与国外机构的纠纷处理等。就特点而言,与生产、经营相关的往往为长期出境状态。
数据出境自评估的第一步是必须通过调研问询、技术监测或者审计等手段掌握出境数据的基本情况,不能出现“被动”“不知情”的出境情形。
由于我国关于数据出境的相关法律法规、规章、标准等还处于制定中,因此开展数据出境自评估需要关注相关法律法规的协调性;现阶段评估过程中,需要通过分析是否存在重要数据出境可能,侧重分析数据出境可能为对国家、社会、行业层面的带来的风险。
CCIA数据安全工作委员会持续欢迎大家参与以上具体问题的研讨,通过观点交汇、碰撞,为推动深入研究难点问题、启发安全保护措施创新贡献一份微薄之力。
(记录整理:CCIA数据安全工作委员会)
“专题研讨”系列延伸阅读