《電子技術應用》
您所在的位置:首頁 > 通信與網(wǎng)絡 > 業(yè)界動態(tài) > 工業(yè)數(shù)據(jù)安全能力建設路徑與思考

工業(yè)數(shù)據(jù)安全能力建設路徑與思考

2022-11-07
來源:安全牛

  工業(yè)領域數(shù)據(jù)安全管理與防護能力建設要以分類分級為基礎,圍繞重要數(shù)據(jù),、核心數(shù)據(jù),,補短固底強化基礎,,實施分級防護與精細化管控,、開展數(shù)據(jù)安全能力評估并持續(xù)運營。

  工業(yè)數(shù)據(jù)安全建設路徑:

  1.以數(shù)據(jù)分類分級為基礎,,識別重要數(shù)據(jù)資產(chǎn),,做到“摸清家底,識別關鍵”

  2.識別典型業(yè)務場景,,圍繞重要數(shù)據(jù)資產(chǎn),,“補短板”, 強化基礎安全防護能力

  3.基于數(shù)據(jù)分類分級結果實施分級管控與防護策略,,做到“體系化管理,,精細化管控”

  4.持續(xù)數(shù)據(jù)安全能力評估,加強數(shù)據(jù)安全事件運營,,做到“查漏補缺,,運籌帷幄,持續(xù)運營”

  一,、背景

  《中華人民共和國數(shù)據(jù)安全法》(以下簡稱“數(shù)據(jù)安全法”)是數(shù)據(jù)安全領域的基礎性法律,,明確提出了行業(yè)數(shù)據(jù)安全監(jiān)管的職責,對于工業(yè)領域來講,,需對本行業(yè)制定相關數(shù)據(jù)安全標準,、監(jiān)測數(shù)據(jù)安全風險,、區(qū)分本行業(yè)重要數(shù)據(jù)和核心數(shù)據(jù),保障本行業(yè)的數(shù)據(jù)安全等要求,。為貫徹落實數(shù)據(jù)安全法等法律法規(guī)對工業(yè)領域數(shù)據(jù)安全管理工作的要求,,工業(yè)和信息化部擬發(fā)布《工業(yè)和信息化領域數(shù)據(jù)安全管理辦法(試行)》,用于加快和推進工業(yè)和信息化領域數(shù)據(jù)安全管理工作制度化,、規(guī)范化,、并提升工業(yè)和電信行業(yè)數(shù)據(jù)安全保護能力,防范數(shù)據(jù)安全風險,,同時相繼推出《工業(yè)領域重要數(shù)據(jù)和核心數(shù)據(jù)識別規(guī)則(草案)》《工業(yè)企業(yè)數(shù)據(jù)安全防護要求(草案)》《工業(yè)數(shù)據(jù)安全評估指南(草案)》等,,用來指導工業(yè)企業(yè)識別重要數(shù)據(jù)和核心數(shù)據(jù)、評估工業(yè)企業(yè)數(shù)據(jù)安全防護能力和建設參考,。

  工業(yè)領域已成為我國數(shù)字化轉型與數(shù)字經(jīng)濟發(fā)展的前沿,,隨著工業(yè)領域數(shù)字化轉型的推進,工業(yè)企業(yè)由傳統(tǒng)的生產(chǎn)車間的生產(chǎn)制造逐步轉向數(shù)字產(chǎn)業(yè)化和生產(chǎn)數(shù)字化,,而數(shù)據(jù)作為具有生產(chǎn)效益的數(shù)字要素,,已成為數(shù)字化發(fā)展的關鍵。

  工業(yè)領域的數(shù)據(jù)規(guī)模呈爆發(fā)式增長,,泛在化流動,,并且向平臺化集中,同時,,隨著業(yè)務系統(tǒng)上云,、數(shù)據(jù)交互和流通(甚至存在跨境傳輸)需求的增加,針對于工業(yè)領域數(shù)據(jù)層面的安全管理,、安全防護問題也逐漸增多,,工業(yè)數(shù)據(jù)安全形式復雜且變得嚴峻。

  如何對海量工業(yè)數(shù)據(jù)進行有針對性的防護,,促進工業(yè)領域數(shù)據(jù)安全有序的流動,、保障業(yè)務應用安全的使用、及時發(fā)現(xiàn)潛在數(shù)據(jù)風險并及時處置等,,都是當前工業(yè)領域數(shù)據(jù)安全管理與防護的難題,。

  二、工業(yè)數(shù)據(jù)安全建設路徑

  對于工業(yè)領域的數(shù)據(jù)安全管理和能力建設,,應聚焦工業(yè)領域數(shù)據(jù)的內容,、特征,緊貼業(yè)務應用場景,,構建以數(shù)據(jù)為核心,,建立以“以分類分級為基礎,圍繞重要數(shù)據(jù),、核心數(shù)據(jù),,補短固底強化基礎,開展分級防護與精細化管控,、安全能力評估并與持續(xù)運營”的路線作為工業(yè)領域數(shù)據(jù)安全管理與防護能力建設的路線開展,。

  1、以數(shù)據(jù)分類分級為基礎,,識別重要數(shù)據(jù)資產(chǎn),,做到“摸清家底,識別關鍵”

  數(shù)據(jù)分類分級是工業(yè)領域數(shù)據(jù)安全管理與防護體系建設的基礎,。

  工業(yè)領域相關企業(yè)提供產(chǎn)品或服務時,,相關產(chǎn)品的研發(fā)設計、生產(chǎn)制造,、經(jīng)營管理,、運維服務等環(huán)節(jié)中產(chǎn)生和使用的數(shù)據(jù)類型眾多。其中,,工業(yè)領域數(shù)據(jù)的主要來源包括:一是來源于企業(yè)內部信息化管理系統(tǒng),,主要涉及到業(yè)務經(jīng)營管理相關的數(shù)據(jù),如產(chǎn)品,、工藝,、生產(chǎn)、采購,、營銷,、訂單、服務,、運維,、管理等方面的數(shù)據(jù);二是來自產(chǎn)線設備的數(shù)據(jù),,主要包含生產(chǎn)過程中產(chǎn)線,、設備、物流等環(huán)節(jié)的相關工況信息,、工作面信息,、運行狀況信息、環(huán)境監(jiān)控信息等,,這類數(shù)據(jù)量大,,數(shù)據(jù)來源繁雜且具有很強的實時性;三是來自于工業(yè)企業(yè)的外部數(shù)據(jù),,一般情況下包括工業(yè)企業(yè)外部相關的供應鏈數(shù)據(jù),、互聯(lián)網(wǎng)數(shù)據(jù)、工業(yè)產(chǎn)品或服務交付后產(chǎn)生的數(shù)據(jù)(如設備工況,、工作面等數(shù)據(jù)),,此類數(shù)據(jù)一般情況會與工業(yè)企業(yè)業(yè)務相融合,,經(jīng)過開發(fā)分析與匯聚融合后,為工業(yè)企業(yè)提供數(shù)據(jù)支撐,,促進業(yè)務發(fā)展,。

  因此,工業(yè)領域數(shù)據(jù)類型多,、數(shù)據(jù)來源復雜,、體量大,若對所有數(shù)據(jù)無差別的進行安全管理和防護,,對于數(shù)據(jù)安全管理人員來說就顯得不科學和不現(xiàn)實,。摸清工業(yè)企業(yè)具有的數(shù)據(jù)類型、識別要保護的數(shù)據(jù)類型就顯得很重要,,將數(shù)據(jù)分類分級管理和開展工作賦能到工業(yè)企業(yè)相關業(yè)務條線,,識別重點保護的數(shù)據(jù)類型,作為常態(tài)化管理工作是一種必然,。

  對于工業(yè)領域的數(shù)據(jù)分類分級與重要數(shù)據(jù)識別,,應至少做到以下幾點:

  a) 識別并對工業(yè)企業(yè)各個業(yè)務條線上的數(shù)據(jù)的敏感性進行評價,識別出具有業(yè)務成果性,、關鍵性,、重要性、核心性相關聯(lián)的業(yè)務系統(tǒng)的數(shù)據(jù)(含個人數(shù)據(jù))的敏感性,,區(qū)分敏感數(shù)據(jù)類型,,并進行數(shù)據(jù)安全類型和數(shù)據(jù)安全級別的標記;

  b) 按照工業(yè)和信息化領域的相關要求,,需識別出對國家安全,、行業(yè)發(fā)展(安全管控、經(jīng)濟運行,、行業(yè)競爭),、行業(yè)特色、出庫管制,、供應鏈安全等相關的重要數(shù)據(jù),、核心數(shù)據(jù),并按照要求完成重要數(shù)據(jù),、核心數(shù)據(jù)的備案管理工作,;

  2、識別典型業(yè)務場景,,圍繞重要數(shù)據(jù)資產(chǎn),,“補短板”, 強化基礎安全防護能力

  工業(yè)企業(yè)的數(shù)據(jù)具有海量、多態(tài)的特點,,隨著工業(yè)企業(yè)相關業(yè)務的運轉過程中,,對數(shù)據(jù)的訪問場景多樣、路徑繁多,,接觸人員角色復雜,,不同業(yè)務場景下面對的數(shù)據(jù)安全風險不同,難以套用傳統(tǒng)網(wǎng)絡安全防護能力去保障,,每段業(yè)務流程中對數(shù)據(jù)的安全訪問與數(shù)據(jù)的級別、類別,、數(shù)據(jù)全生命周期無法做到一一對應,,因此,很難在業(yè)務場景中根據(jù)數(shù)據(jù)全生命周期的邏輯作為數(shù)據(jù)安全能力建設的依據(jù)而落地技術保護措施,。針對于類似于工業(yè)企業(yè)數(shù)據(jù)量大,、數(shù)據(jù)來源復雜、數(shù)據(jù)業(yè)務場景眾多的情況,,從識別業(yè)務場景出發(fā),,構建數(shù)據(jù)安全能力:

  a) 典型業(yè)務場景識別:在工業(yè)企業(yè)的眾多業(yè)務場景中,不同產(chǎn)業(yè)類型的工業(yè)企業(yè)的主要經(jīng)濟業(yè)務類型存在差異化,,一般包含資金籌集業(yè)務,、生產(chǎn)準備業(yè)務、產(chǎn)品生產(chǎn)業(yè)務,、產(chǎn)品銷售業(yè)務,、財務成果性差分配業(yè)務等五大類,工業(yè)企業(yè)不同的業(yè)務涵蓋可能涉及的經(jīng)濟業(yè)務類型不同,,所以在不同的工業(yè)業(yè)務信息系統(tǒng)中,,數(shù)據(jù)的類型、種類,、數(shù)據(jù)敏感性存在差異化,。在進行數(shù)據(jù)安全管理活動中,厘清并識別出工業(yè)企業(yè)關鍵性,、核心性業(yè)務場景,,是做數(shù)據(jù)安全風險識別的先決條件;

  b) 識別數(shù)據(jù)安全風險:針對于工業(yè)企業(yè)不同的業(yè)務類型,,選擇典型的業(yè)務應用場景,,圍繞敏感數(shù)據(jù)(含重要數(shù)據(jù)、核心數(shù)據(jù)),,發(fā)現(xiàn)關鍵的數(shù)據(jù)訪問業(yè)務系統(tǒng)的場景,,通過開展數(shù)據(jù)安全維度的威脅建模、風險分析,,暴露出典型業(yè)務場景中的數(shù)據(jù)安全風險問題,;

  c) 補短固底,,做好基礎防護:圍繞識別的數(shù)據(jù)安全風險,通過其暴露的安全問題,,開展選取針對性的數(shù)據(jù)安全能力,,并落地技術防護措施,在支撐工業(yè)企業(yè)業(yè)務正常開展的同時,,確保典型業(yè)務場景下數(shù)據(jù)安全使用和數(shù)據(jù)安全能力的持續(xù),。

  3、基于數(shù)據(jù)分類分級結果實施分級管控與防護策略,,做到“體系化管理,,精細化管控”

  工業(yè)和信息化領域相關企業(yè)中的部門包含采購部門、人力資源部門,、研發(fā)設計部門,、生產(chǎn)制造部門、運營維護部門,、銷售營銷部門,、法務部門、審計部門,、數(shù)字化執(zhí)行部門,、信息化部門等,其中數(shù)據(jù)安全管理的主要職責需要從工業(yè)企業(yè)全局和實際現(xiàn)狀考慮,,在構筑數(shù)據(jù)安全管理體系時應充分考慮現(xiàn)有企業(yè)的相關管理體系,、組織結構和人員組成等情況,確定各相關方的數(shù)據(jù)安全管理職責,。工業(yè)企業(yè)數(shù)據(jù)安全管理體系的構建需要做到如下:

  a) 優(yōu)化數(shù)據(jù)安全管理體系,,在企業(yè)原有相關的安全體系下構建數(shù)據(jù)安全管理體系,優(yōu)化數(shù)據(jù)安全管理組織架構,;

  b) 明確數(shù)據(jù)安全組織職能分工,,確定數(shù)據(jù)安全主管部門(信息化部或數(shù)字化部)職責各相關方職責,其中各相關方包含采購,、人力,、研發(fā)設計、生產(chǎn)制造,、運營維護,、銷售營銷、法務,、審計等部門,;

  c) 明確數(shù)據(jù)安全崗位職責與說明,針對于數(shù)據(jù)安全管理、數(shù)據(jù)安全策略與數(shù)據(jù)安全實施相關的工作職責應明確相關負責人,、職責說明,。

  除了需要確定各相關方數(shù)據(jù)安全管理職責以外,還應通過數(shù)據(jù)安全相關管理制度,、規(guī)程中明確出數(shù)據(jù)安全管理的具體內容,,相關的數(shù)據(jù)安全管理制度包括但不限于數(shù)據(jù)安全管理辦法、數(shù)據(jù)分類分級規(guī)范,、數(shù)據(jù)安全審計規(guī)范,、數(shù)據(jù)安全評估辦法、數(shù)據(jù)安全應急管理制度,、數(shù)據(jù)內部登記審批制度等等,。

  工業(yè)領域相關企業(yè)在開展業(yè)務時,對數(shù)據(jù)對訪問,、使用等環(huán)節(jié)應基于業(yè)務視角,對相關數(shù)據(jù)類型,、數(shù)據(jù)的流向,、流轉的系統(tǒng)與載體、流轉的數(shù)據(jù)量級,、數(shù)據(jù)的流轉目的,、數(shù)據(jù)存儲位置、數(shù)據(jù)的消費方,、數(shù)據(jù)使用方式等內容進行梳理并結合數(shù)據(jù)分類分級結果,,構建精細化的數(shù)據(jù)安全防護策略,其中包含但不限于:

  a) 分級防護策略:與數(shù)據(jù)分類分級結果,、數(shù)據(jù)全生命周期維度,、從數(shù)據(jù)安全管理,數(shù)據(jù)安全技術防護視角構建數(shù)據(jù)安全防護策略,;

  b) 精細化訪問控制策略:基于數(shù)據(jù)分類分級結果,,從業(yè)務訪問數(shù)據(jù)資源的需求出發(fā),制定可落地的訪問控制策略或技術措施,,保護訪問角色,、系統(tǒng)賬戶密碼安全,做到系統(tǒng)數(shù)據(jù)資產(chǎn)統(tǒng)一訪問納管,;

  c) 場景化防護策略:圍繞業(yè)務場景和數(shù)據(jù)流轉,,梳理數(shù)據(jù)脈絡,識別數(shù)據(jù)的訪問關系,,制定貼合業(yè)務場景的數(shù)據(jù)安全能力和防護策略,。

  4、持續(xù)數(shù)據(jù)安全能力評估,加強數(shù)據(jù)安全事件運營,,做到“查漏補缺,,運籌帷幄,持續(xù)運營”

  對于工業(yè)企業(yè)來說,,如何對自身的數(shù)據(jù)安全管理和防護能力進行評價,,需從綜合評價的角度,運用科學的方法和手段,,系統(tǒng)地分析和診斷工業(yè)數(shù)據(jù)所面臨的威脅及其存在的脆弱性來評估工業(yè)企業(yè)數(shù)據(jù)安全防護水平,。開展數(shù)據(jù)安全能力評估的目的是通過數(shù)據(jù)安全防護評估,讓工業(yè)企業(yè)發(fā)現(xiàn)自己的數(shù)據(jù)安全能力的弱項和短板,,及時查漏補缺,,提升工業(yè)企業(yè)自身的數(shù)據(jù)安全能力,通過不斷且持續(xù)的數(shù)據(jù)安全能力評估活動,,使工業(yè)企業(yè)在數(shù)據(jù)安全能力建設過程中穩(wěn)扎穩(wěn)打,,勒實基礎。評估工業(yè)企業(yè)的數(shù)據(jù)安全能力,,主要參照《工業(yè)數(shù)據(jù)安全評估指南》規(guī)定的104項數(shù)據(jù)安全能力進行評估,,從評估結果得分確定工業(yè)企業(yè)數(shù)據(jù)安全能力的強弱,其中包含:

  a) 通用性數(shù)據(jù)安全管理能力評估,,包含評估數(shù)據(jù)安全管理制度,、組織機構、人員保障,、權限管理,、系統(tǒng)與設備安全管理、供應鏈數(shù)據(jù)安全管理,、安全評估,、日志留存和審計、監(jiān)測預警,、信息共享和應急處置等通用性的數(shù)據(jù)安全能力進行評估,;

  b) 分級防護能力評估,通過對一般數(shù)據(jù),、重要數(shù)據(jù),、核心數(shù)據(jù)在數(shù)據(jù)全生命周期中差異化的數(shù)據(jù)安全防護能力方面進行數(shù)據(jù)安全能力評估。

  采取有效的數(shù)據(jù)安全監(jiān)測工具,,是維護數(shù)據(jù)安全風險持續(xù)安全運營的有效手段,。

  數(shù)據(jù)安全風險監(jiān)測需要關注對數(shù)據(jù)風險的發(fā)現(xiàn)和控制能力,數(shù)據(jù)安全管理人員需要考慮如何去發(fā)現(xiàn)和識別業(yè)務上的數(shù)據(jù)風險,,怎么去對產(chǎn)生的數(shù)據(jù)風險進行治理和糾正,,怎么在以后的運營環(huán)節(jié)中規(guī)避這種數(shù)據(jù)風險,,怎么對發(fā)現(xiàn)數(shù)據(jù)的風險進行評估,可以對數(shù)據(jù)風險的發(fā)生概率,、影響對象以及影響程度進行綜合分析,,按照系統(tǒng)化、科學化管理思想,,及時掌握工業(yè)企業(yè)數(shù)據(jù)安全風險態(tài)勢,,研判分析可能發(fā)生重大數(shù)據(jù)安全事件風險的情況。

  針對數(shù)據(jù)安全風險持續(xù)運營,,應采取切實可行,、能力完善的技術工具及時發(fā)現(xiàn)數(shù)據(jù)安全風險事件,對數(shù)據(jù)安全事件持續(xù)監(jiān)測,。圍繞對數(shù)據(jù)資產(chǎn)的管理,、數(shù)據(jù)流動監(jiān)測、數(shù)據(jù)風險管理,、數(shù)據(jù)風險評估等能力,,實現(xiàn)對數(shù)據(jù)安全風險的態(tài)勢、數(shù)據(jù)安全事件溯源的感知能力,。對于數(shù)據(jù)安全風險等態(tài)勢感知能力,,通過對單位時間段內的數(shù)據(jù)資產(chǎn)分布、敏感數(shù)據(jù)量,、敏感數(shù)據(jù)類型等指標進行統(tǒng)計分析與趨勢預測,;對數(shù)據(jù)資產(chǎn)流動的程序和載體,,如數(shù)據(jù)庫,、應用、API等涉敏對象采取敏感數(shù)據(jù)量,、敏感數(shù)據(jù)類型等指標進行統(tǒng)計分析與趨勢預測,;對分布在不同位置、不同時間,、不同類別,、不同級別的數(shù)據(jù)資產(chǎn)的安全告警、事件處置等指標進行統(tǒng)計分析與趨勢預測,。三大安全態(tài)勢圍繞數(shù)據(jù)從分布,、流動、風險三個維度為運營人員構建了清晰的宏觀視圖,。對于安全事件溯源能力,,應通過對數(shù)據(jù)資產(chǎn)內容和相關方的溯源能力,將可疑的“人”,、“數(shù)”,、證據(jù)等信息按時間順序組織成為事件鏈,,為運營人員構建細致的微觀視圖。

  三,、總結

  工業(yè)領域相關企業(yè)開展數(shù)據(jù)安全能力建設,,需要把握四個方面:

  首先要切換視角,圍繞“保護重要數(shù)據(jù)資產(chǎn)”為目的,,去梳理業(yè)務,、識別典型業(yè)務場景,梳理數(shù)據(jù)資產(chǎn),,做好分類分級,,識別重要的數(shù)據(jù)資產(chǎn),摸清現(xiàn)有的管理及技術防護的現(xiàn)狀,,盤清家底,。

  然后,圍繞重要的數(shù)據(jù)資產(chǎn),,重新審視已有的安全措施是否有效并覆蓋到了對重要數(shù)據(jù)資產(chǎn)的保護,,加強基礎安全能力建設,補足短板,。

  同時,,以數(shù)據(jù)分類分級為基礎,去規(guī)劃設計數(shù)據(jù)安全防護體系,, 結合業(yè)務的場景化以及迫切性,,有序建設,逐步補全安全能力,,將數(shù)據(jù)安全能力全面覆蓋數(shù)據(jù)在流轉過程中的各階段,,涉及數(shù)據(jù)采集、傳輸,、存儲,、處理、交換和銷毀等各環(huán)節(jié),,使安全能力內生于業(yè)務系統(tǒng)以及數(shù)據(jù)信息化基礎環(huán)境建設中,,在業(yè)務流程中按需調用,靈活配置安全能力,,達到深度融合,、全面覆蓋。

  最后,,定期開展數(shù)據(jù)安全能力評估,,不斷優(yōu)化和提升數(shù)據(jù)安全能力,持續(xù)運營,,只有不斷完善,、不斷改進,,數(shù)據(jù)安全道路才能越走越遠。



更多信息可以來這里獲取==>>電子技術應用-AET<<

二維碼.png


本站內容除特別聲明的原創(chuàng)文章之外,,轉載內容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點。轉載的所有的文章,、圖片,、音/視頻文件等資料的版權歸版權所有權人所有。本站采用的非本站原創(chuàng)文章及圖片等內容無法一一聯(lián)系確認版權者,。如涉及作品內容,、版權和其它問題,請及時通過電子郵件或電話通知我們,,以便迅速采取適當措施,,避免給雙方造成不必要的經(jīng)濟損失。聯(lián)系電話:010-82306118,;郵箱:[email protected],。