2024年2月26日,工业和信息化部印发《工业领域数据安全能力提升实施方案(2024-2026年)》(以下简称《实施方案》),提出了总体目标,到2026年底,工业领域数据安全保障体系基本建立,数据安全技术、产品、服务和人才等产业支撑能力稳步提升。本文首先解读了《实施方案》的关键内容,并分析了工业领域数据特点和工业数据分类分级方法,并对工业领域数据安全治理提出若干建议。
《实施方案》要点解读
《实施方案》明确了工信部的关键指标要求,要紧抓重点企业和规上企业,实现数据分类分级保护的企业超4.5万家,至少覆盖年营收在各省(区、市)行业排名前10%的规上工业企业。同时,立项研制国家、行业、团体等各类标准规范不少于100项,对企业履行数据安全保护责任义务加强细化标准指导。并面向不少于10个重点行业遴选典型案例不少于200个,强化优秀应用实践的引领带动作用。数据安全培训覆盖3万人次,培养工业数据安全人才超5000人。
基于以上总体目标和关键指标,《实施方案》提出了三项重点任务,一是通过增强数据安全保护意识、开展重要数据安全保护、强化重点企业数据安全管理、深化重点场景数据安全保护,提升工业企业数据保护能力。二是通过完善数据安全政策标准、加强数据安全风险防控、推进数据安全技术手段建设、锻造数据安全监管执法能力,提升数据安全监管能力。三是通过加大技术产品和服务供给、促进应用推广和供需对接、建立健全人才培养体系,提升数据安全产业支撑能力。
《实施方案》在保障措施上,一是通过加强组织协调,充分发挥高校、科研院所、第三方机构等在实施方案宣贯、手段建设指导、技术交流合作、成果应用推广等方面的专业作用,引导企业加强数据安全能力建设。二是加大资源保障,鼓励各地将数据安全纳入地方工业领域数字化转型发展相关规划,在支持数字化、网络化、智能化等项目时,同步明确数据安全要求,引导企业在信息化建设中为数据安全防护安排一定比例资金。三是强化成效评估,工业和信息化部对工作推动有力、取得明显成效的地区、企业和单位予以表扬,对优秀经验做法加强提炼总结和推广应用。四是做好宣传引导,充分调动行业协会、学会、产业联盟等力量,引导企业加强自律、凝聚共识,营造行业数据安全保护良好氛围。
工业领域数据特点
近年来,我国围绕“加快数字化发展,建设数字中国”战略目标,推动数字化赋能千行百业,尤其是工业领域的数字化转型是必然选择。工业企业依靠智能感知、信息挖掘、网络协同、认知决策、优化调度的智能化系统来解决规模化生产与定制化、效率提升和成本控制问题,已经汇聚了生产、安全、经济、消费等方面的重要数据。
企业的信息化和工业物联网中机器产生的海量时序数据,以及与企业运营相关的外部数据是工业数据的主要来源,且规模巨大。这些海量的工业数据,具有体量大、种类多、敏感程度高等重要特征。“数据量大”体现在工业企业所收集的数据体量非常庞大,需要采用大数据技术来处理和分析数据。“数据类型多”体现在工业企业所收集的数据来源广泛,既有经营管理的数据,也有客户行为画像的数据,更有多种设备状态、控制数据,且类型丰富,包括文本、图像、音频、视频等多种数据类型。“敏感程度高”体现在工业企业所收集的数据具有较高的敏感性,这些数据可能涉及到企业的商业机密、客户隐私等,甚至关乎国家安全,科技发展的大势所趋下,工业领域数据安全治理势在必行。
网络 名称 | 业务 系统 | 主要功能 | 数据特点 |
企业 信息网 | ERP/MES/ ...... | 物料计算、工艺路线、生产派单、BOM、库存管理、设备监测 | · 数据价值较高 · 数据范围覆盖整个企业 · 数据对外交互较多 |
设计仿真系统 | 前期处理、求解器、后期处理、分析工具 | ||
数据汇聚节点 | 协议转换、数据聚合、核心计算、模型管理 | ||
内部工程团队 | 研发设计资料 | · 单个数据价值较低 · 企业内流动闭环 · 数据与生产直接相关 | |
工业 控制网 | 工艺经验资料 | ||
生产区域 | 生产设备、检验设备、数采代理 | ||
工业 互联网 平台 | 生态云 | 我的供应商、我的客户、我的渠道商、我的设计商 | · 数据类型多 · 数据价值更高 · 生产要素特性更强 · 数据产权权属更强 · 数据对外交互量最大 |
生产云 | 任务创建、任务发布、任务跟踪、任务评价 | ||
业务云 | 业务创建、业务发布与订阅、数据对接管理、业务知识状态跟踪 | ||
测试云 | 改产学研管理、创新实验管理 | ||
实验云 | 行业模型、微服务、微函数、模型算法 | ||
应用服务 | 项目管理、BOM管理、仿真管理、实验床服务、资源管理...... | ||
模型知识库 | 产品型谱、产品参数、部件模型、工艺流程...... | ||
技术中台 | 分析模块、微开发、展现模块、影像平台...... | ||
大数据平台 | 统计分析、深度学习、数据分发...... |
工业领域数据分类分级
工业领域数据分类分级是开展差异化、动态化数据安全治理的前提。国家已出台《数据安全法》、《个人信息保护法》,明确提出对数据进行分类分级保护,行业层面,工业和信息化部颁布《工业数据分类分级指南(试行)》、《工业和信息化领域数据安全管理办法(试行)》(征求意见稿),对工业领域的数据分类分级保护落地给出了要求和指引。
应对数据安全合规要求,首要任务是通过对数据资产的发现、梳理、备案,明确数据保护对象,工业数据处理者应对数据进行分类分级,根据数据的重要和敏感程度制定不同的管理和使用策略。
分类是依照数据的来源、内容和用途对数据进行分类;分级是按照数据的价值、内容的敏感程度、影响和分发范围不同对数据进行敏感级别划分。数据分为一般数据、重要数据、核心数据,不同级别的数据采取不同的保护措施。国家对个人信息和重要数据进行重点保护,对核心数据实行严格保护。
分类分级更多是依据标准,对业务数据进行定义的过程,是一个研究审批的过程。鉴于工业数据分类分级与业务的强关联性,还需依赖较大量人工进行手动分类分级处理与评估,需要有自动化分类分级工具充分运用自然语言识别、知识图谱、机器学习等技术智能化对工业数据进行准确、高效分类分级。数据处理者不应该只是形成一份数据资产清单就结束了,因为数据是动态和流动的,业务也是不断新增和变化的,分类分级清单也会不断变化,应建立符合分类分级和审核上报目录的闭环流程。
工业领域数据分类分级有如下四个难点:
1、规模大、人工难以处理:工业互联网系统复杂,表和字段数据量大(一般在十万以上),依赖人工处理工作量大、人工投入成本高。
2、效率差、准确率低:传统的基于数据类型和特征识别的工具,可用性差、分类分级准评估确率低。
3、数据载体适配性低:承载工业互联网数据载体多样,可以各种结构化、非结构化、半结构化形态存储在各类型数据库(含各种国产数据库)和终端载体中,对各种的数据载体适配性低,不能全面覆盖工业互联网数据范围。
4、无法持续:数据不断地产生、加工转换、流转,数据分类分级评估不是“一次性”的工作,需要建立策略化、自动化、流程化的分类分级系统实现“持续”的数据分类分级评估。
这些难点问题也在逐步攻克,工业领域数据分类分级工具可实现自动识别数据资产,进行自动化、智能化分类分级映射与打标能力,对数据资产所处的数据载体进行资源管理、漏洞管理能力,围绕数据的分类分级结果结合对比分析,输出整体评估报告。创新采用主动网络嗅探与动态流量快速解析技术,全面发现工业互联网数据域中数据资产与识别敏感数据。运用Word2Vec等自然语言理解技术,对工业互联网数据资产进行自动分词和语义理解,形成分类分级特征提取。运用长短期记忆网络(LSTM)深度学习技术,进行工业互联网数据分类分级建模,可基于少量的分类分级成果开展分析建模,形成对海量数据资产分类分级的自动化预测打标。
工业领域数据分类分级模版1
工业领域数据分类分级模版2
工业领域数据安全治理
进行数字化转型是工业企业抓住数字时代的机遇,实现飞速发展的必要手段。目前,我国拥有41个工业大类、207个工业中类、666个工业小类,是全世界唯一拥有联合国产业分类中全部工业门类的国家,规上工业企业超40万家。数据是数字经济时代的关键新型生产要素,与国家经济运行、社会治理、公共服务等方面密切相关,保障数据安全已成为事关国家安全与经济社会发展的重大问题,《实施方案》针对工业领域数据安全工作提出了总体目标和具体路径,推动工业企业进一步加强数据安全主体责任落实和保护力度,实现行业数据安全保护能力整体跃升。工业企业满足数据安全合规要求、治理数据安全风险、促进数据价值释放,其核心工作应以数据分类分级为基础,明确重点保护数据对象,进一步落实数据安全人员组织,结合自身行业特点开展风险评估,实施贴合行业特点的数据保护措施,深化重点场景数据安全保护,构建从评估、建设、运营到监督评价的闭环管理体系,持续推动数据开发利用与安全防护的一体两翼平衡发展。工业领域数据安全治理正当时!
(本文作者:北京安华金和科技有限公司 谭峻楠)
声明:本文来自CCIA数据安全工作委员会,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。