亚洲第一色欲AV|丰满无码人妻热妇无码喷水区|日韩成人一区二区|情五月亚洲天堂网

安全資訊

安徽等級保護:工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全分類分級思考

隨著新一代信息技術(shù)的快速發(fā)展,經(jīng)濟社會各領(lǐng)域的數(shù)字化、網(wǎng)絡(luò)化、智能化趨勢加快,新模式新業(yè)態(tài)持續(xù)涌現(xiàn),數(shù)字經(jīng)濟方興未艾。數(shù)據(jù)正成為我國實施供給側(cè)結(jié)構(gòu)性改革、推動經(jīng)濟發(fā)展的生產(chǎn)力,也是促進全球經(jīng)濟發(fā)展的新生產(chǎn)要素。


與此同時,工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)規(guī)?;鲩L速度越來越快,內(nèi)外網(wǎng)數(shù)據(jù)交互流通、海量數(shù)據(jù)集中匯聚分析等提供了更多竊取、篡改數(shù)據(jù)的路徑,擴大了攻擊面,數(shù)據(jù)安全面臨愈發(fā)嚴峻的風險隱患,實施數(shù)據(jù)安全分類分級和差異化分級防護、加強工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全保障、網(wǎng)絡(luò)安全等級保護測評刻不容緩。


當前,我國工業(yè)企業(yè)、工業(yè)互聯(lián)網(wǎng)平臺企業(yè)等仍然存在重發(fā)展輕安全的問題,對于開展工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全防護建設(shè)等相關(guān)工作,很多企業(yè)感到無從下手或者力不從心,特別是在面對海量多樣的工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)時,對如何開展數(shù)據(jù)安全分類分級和安全防護毫無思路。


因此,加快推動工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全分類分級、實行差異化數(shù)據(jù)安全防護是當前工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全保障的重點工作,也是落實企業(yè)主體責任的重要舉措,亦是強化數(shù)據(jù)安全監(jiān)管的重要抓手,更是促進數(shù)字經(jīng)濟健康發(fā)展、維護國家數(shù)據(jù)主權(quán)的重要保障。



工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全分類分級思路和方法


(一)國內(nèi)外數(shù)據(jù)分類分級相關(guān)標準情況


相比傳統(tǒng)網(wǎng)絡(luò)數(shù)據(jù),工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)種類和形態(tài)更為豐富多樣,且具有適應(yīng)工業(yè)生產(chǎn)運營場景下的實時性、穩(wěn)定性等特征,對其進行有效的分類分級和安全防護存在困難。


目前,國內(nèi)外在信息、數(shù)據(jù)等對象的分類分級方面已有所嘗試,在一些標準中提出了一些方法和參考。例如,美國《聯(lián)邦信息和信息系統(tǒng)安全分類標準》(FIPS 199),我國《GB/T 35273-2017信息安全技術(shù) 個人信息安全規(guī)范》、貴州省《DB52/T 1123-2016政府數(shù)據(jù) 數(shù)據(jù)分類分級指南》等,從數(shù)據(jù)主體、用途、業(yè)務(wù)屬性等角度出發(fā)對數(shù)據(jù)進行分類,根據(jù)數(shù)據(jù)遭泄露、篡改等造成的后果進行定性分級。


(二)數(shù)據(jù)分類分級的目的


一是分類的目的是明確安全責任、確定防護邊界。分類旨在劃定工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)范圍,從行業(yè)的角度明確行業(yè)主管部門監(jiān)管范疇,從企業(yè)的角度落實數(shù)據(jù)安全主體責任,從防護的角度確定數(shù)據(jù)安全防護邊界。例如,行業(yè)層面,電力、石油石化等行業(yè)數(shù)據(jù)由能源主管部門進行監(jiān)管,工業(yè)、通信業(yè)等行業(yè)數(shù)據(jù)由工信主管部門進行監(jiān)管。企業(yè)層面,各企業(yè)應(yīng)對其產(chǎn)生或使用的工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)承擔安全主體責任,如工業(yè)互聯(lián)網(wǎng)平臺上的數(shù)據(jù)應(yīng)由平臺企業(yè)切實做好安全防護,根據(jù)數(shù)據(jù)來源、用途等細分研發(fā)域與生產(chǎn)域、IaaS層與PaaS層等,分別確定域之間、層之間的防護邊界。


二是分級的目的是確定責任主體的防護措施力度和粒度、實施差異化分級安全防護。數(shù)據(jù)的分級主要從保密性、完整性、可用性三個屬性遭破壞后造成的后果影響來進行定級,這與國內(nèi)網(wǎng)絡(luò)安全等級保護定級、關(guān)鍵信息基礎(chǔ)設(shè)施識別等相關(guān)標準及文件的思路是一致的。同時,與對網(wǎng)絡(luò)與信息系統(tǒng)進行等級保護一樣,數(shù)據(jù)也應(yīng)分等級進行保護,從管理和技術(shù)等維度提出細粒度、有層次的數(shù)據(jù)分級保護措施,對應(yīng)落實分級監(jiān)管職責。


(三)數(shù)據(jù)分類分級方法


借鑒國內(nèi)外數(shù)據(jù)分類分級相關(guān)經(jīng)驗,緊扣數(shù)據(jù)分類分級的目的,根據(jù)工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)的特征和安全防護需求,研究提出工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)分類分級方法。首先,從數(shù)據(jù)來源、特征、用途、關(guān)聯(lián)性、安全防護需求等多個方面進行綜合分析,提出數(shù)據(jù)分類方法,確保數(shù)據(jù)類別之間緊耦合、安全防護需求基本一致,同時,為了方便管理,數(shù)據(jù)類別劃分不宜過多。然后,采用“就高不就低”原則,根據(jù)數(shù)據(jù)的三個安全屬性任意一個屬性遭破壞后,用定性和定量結(jié)合的方法判斷對工業(yè)生產(chǎn)經(jīng)營、公共利益、經(jīng)濟社會穩(wěn)定、生態(tài)環(huán)境、人民生命健康、國家安全等造成的最大后果影響來進行定級。


(四)數(shù)據(jù)級別與網(wǎng)絡(luò)信息系統(tǒng)級別之間的關(guān)系


數(shù)據(jù)具有流動性、可復(fù)制等特有屬性,三級的系統(tǒng)也有可能流入或存儲一級、二級、四級的數(shù)據(jù),所以數(shù)據(jù)的級別與承載其的系統(tǒng)的級別沒有必然聯(lián)系,數(shù)據(jù)流動過程中的級別以源數(shù)據(jù)判定時的級別為準。但如果低級別的數(shù)據(jù)流入高級別的系統(tǒng)中時,該級別數(shù)據(jù)對系統(tǒng)的運行或服務(wù)產(chǎn)生了作用和影響,則該數(shù)據(jù)應(yīng)該重新定級,級別應(yīng)相應(yīng)提高。從安全防護的角度考慮,系統(tǒng)中的所有數(shù)據(jù)應(yīng)按照該級別系統(tǒng)的數(shù)據(jù)安全要求實施,高級別的數(shù)據(jù)一般不允許在無附加安全保護措施的情況下流入低級別的系統(tǒng)。



基于工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)分類分級的數(shù)據(jù)安全防護思考


盡管我國有些政策文件在工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全分類分級方面有所涉及,但還未形成體系化管理。筆者認為在分類分級的基礎(chǔ)上,工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全防護應(yīng)堅持總體國家安全觀,以落實企業(yè)主體責任為關(guān)鍵,從體制機制、法規(guī)政策、標準規(guī)范、技術(shù)手段等多方面入手,加快提升工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全保障水平??梢灾攸c做好以下工作:


一是加強監(jiān)管、落實責任。加強工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全分類分級研究,通過數(shù)據(jù)分類明確各類數(shù)據(jù)的主管部門,確定工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全監(jiān)管邊界,建立健全跨部門的數(shù)據(jù)安全監(jiān)管機制。通過分級明確各級數(shù)據(jù)的安全防護要求,落實各級數(shù)據(jù)的安全主體責任和監(jiān)管層級,實行差異化分級防護。


二是政策指導、標準引導。研究制定工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全相關(guān)法規(guī)政策,明確發(fā)展目標和實施路徑,部署重大任務(wù)和發(fā)展路線,指導促進我國工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全發(fā)展。圍繞工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)的特征和全生命周期安全需求,加快研制工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全分類分級、安全防護、重要數(shù)據(jù)識別等標準。加強法規(guī)政策和標準的宣貫培訓,提升工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全意識。


三是技管結(jié)合、提升能力。推動工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全管理機制創(chuàng)新,重視數(shù)據(jù)安全管理能力。建設(shè)工業(yè)互聯(lián)網(wǎng)敏感數(shù)據(jù)監(jiān)測平臺,在企業(yè)內(nèi)部、流量出口等地部署探針和數(shù)據(jù)檢測引擎,實時監(jiān)測企業(yè)IT、OT網(wǎng)絡(luò)及工業(yè)APP等中的數(shù)據(jù)安全風險。建設(shè)工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)跨境監(jiān)測平臺,在重要網(wǎng)絡(luò)出口等地部署數(shù)采探針,實現(xiàn)對各類數(shù)據(jù)的識別、分析、研判與預(yù)警,避免重要數(shù)據(jù)流出境外。構(gòu)建工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全評估認證體系,依托第三方專業(yè)機構(gòu),開展數(shù)據(jù)安全能力的評估和認證。


四是研發(fā)技術(shù)、發(fā)展產(chǎn)業(yè)。推動工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全技術(shù)研發(fā),促進數(shù)據(jù)安全產(chǎn)業(yè)發(fā)展,強化產(chǎn)業(yè)支撐。加快工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全態(tài)勢感知、數(shù)據(jù)加密、數(shù)據(jù)脫敏等技術(shù)研發(fā),形成核心技術(shù)創(chuàng)新發(fā)展優(yōu)勢。培育一批以工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全為核心業(yè)務(wù)的工業(yè)信息安全骨干企業(yè),打造特色優(yōu)勢產(chǎn)業(yè)集群。發(fā)揮工業(yè)信息安全產(chǎn)業(yè)發(fā)展聯(lián)盟的作用,促進科研成果轉(zhuǎn)化和產(chǎn)業(yè)化應(yīng)用,構(gòu)建協(xié)調(diào)發(fā)展的工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全產(chǎn)業(yè)生態(tài)。



結(jié)束語


工業(yè)互聯(lián)網(wǎng)實現(xiàn)了數(shù)據(jù)在工業(yè)設(shè)備、生產(chǎn)線、工廠、平臺、供應(yīng)商、產(chǎn)品和客戶全產(chǎn)業(yè)鏈的閉環(huán)流動。數(shù)據(jù)是工業(yè)互聯(lián)網(wǎng)的“血液”,是我國實施供給側(cè)結(jié)構(gòu)性改革、推動經(jīng)濟發(fā)展的生產(chǎn)力,也是促進全球經(jīng)濟發(fā)展的新生產(chǎn)要素,數(shù)據(jù)安全對于發(fā)展工業(yè)互聯(lián)網(wǎng)至關(guān)重要、事在必行。開展工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)分類分級,是保障工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全的基礎(chǔ)。

服務(wù)熱線

138-6598-3726

產(chǎn)品和特性

價格和優(yōu)惠

安徽靈狐網(wǎng)絡(luò)公眾號

微信公眾號