何小龍:強化數據安全保障 推動工業大數據健康發展
時間:2020-05-21
工業大數據是提升制造業生產力、競爭力、創新力的核心要素,是生產過程、產品、服務、業態智能化、數字化發展的關鍵驅動。4月28日發布的《關于工業大數據發展的指導意見》(以下簡稱“《指導意見》”)是工業和信息化部積極貫徹落實國家大數據發展戰略的又一重要舉措,為工業大數據健康穩定發展提供了整體指引和行動綱領。值得關注的是,《指導意見》將強化數據安全作為其中一項重要任務,明確了工業數據安全管理工作的關鍵核心和推進重點,為下一步體系化開展工業數據安全保障工作奠定了基礎,明確了方向。
一、工業大數據有效支撐制造業數字化轉型的同時伴生新型安全挑戰
工業大數據是工業互聯網采集、傳輸、存儲、分析和應用的關鍵資源要素, 并隨著工業互聯網創新發展戰略的深入貫徹實施而不斷被賦予新的使命,成為助推現代工業體系升級和支撐制造業數字化、網絡化、智能化轉型的基礎動力。工業大數據的及時性、完整性、連續性,以及支撐數據流、物質流和資金流集成協同能力,驅動工業領域全要素數據分析和資源配置,是傳統人工操作經驗的高效固化方式,有助于為企業帶來巨大的效益。工業企業、工業互聯網平臺企業以平臺為樞紐,強化和協調工業數據的采集、匯聚、建模、分析和綜合展示等功能,提升數據處理應用效率,實現產品和服務的自動化、數字化和智能化,以及基于海量工業數據的智能決策。但是,工業數據海量聚集、存儲和自動化處理在帶來資源整合優勢的同時,也伴生新型安全和挑戰。
一是工業大數據支撐高價值應用,日益成為黑客攻擊的重點目標。工業大數據應用已逐漸融入現代工業供應鏈上的采購、生產、物流等各個環節,涵蓋產品的設計、研發、工藝、制造等全生命周期數據,具備極大的商業價值,工業大數據正成為黑客攻擊的重點目標。2019年9月,網絡安全公司vpnMentor披露韓國制造商DK-Lok的數據庫遭到攻擊,泄露了該公司與國際客戶之間的內部郵件、通信數據和人員信息。
二是工業行業具有高度復雜性,客觀上增加了工業大數據防護難度。工業領域行業眾多,企業數量龐大,不同行業數字化終端種類多、業務鏈條長、應用環境復雜,產生的工業數據種類多,不同種類的工業數據保護需求多樣,數據流動的方向和路徑復雜,設計、生產、操控等各類數據分布在云平臺、用戶端、生產端等多種設施上,僅依托單點、離散的數據保護措施難以有效保護工業大數據安全。
三是工業大數據涉及主體復雜,安全防護責任難以劃分。在工業數據的采集、傳輸、匯聚、存儲、使用過程中,牽涉到數據所有者、使用者等多方主體,工業企業、工業互聯網平臺、工業APP企業等各主體數據權利義務復雜,一旦發生數據泄露等安全事件,各方的責任難以判定。各方主體怠于加大資金資源投入,采取與數據資源級別相匹配的安全防護措施,數據安全難以得到有效保障。
二、《指導意見》為工業大數據發展筑起安全基線
《指導意見》將數據安全作為重點任務之一,從構筑工業數據安全管理體系和加強工業數據安全產品研發兩個維度,著力明確安全責任體系、發展數據安全能力、布局產品技術攻關、培育安全骨干企業、打造安全產業生態,為工業大數據發展奠定了安全之基。
一是為工業數據安全責任劃分提供基礎依據。目前數據產權尚未界定,數據權屬有待明晰的情形下,各方主體的數據安全權利義務難以協調,統一劃分和統籌方式尚不明確。《指導意見》構建了工業數據安全管理的責任體系,劃分了安全主體責任和監督管理責任,明確由企業承擔安全主體責任,各級政府承擔監督管理責任,奠定了工業數據安全責任體系的總體基調,為進一步細化工業企業、平臺企業等企業層面的安全主體責任,以及政府部門之間的監管職責提供了依據。
二是為工業大數據安全風險管控構建有力屏障。應對工業大數據帶來的復雜多變的安全風險,亟需構建覆蓋數據全生命周期的風險識別和處置機制。《指導意見》提出強化態勢感知、測試評估、預警處置等工業大數據安全能力建設,并實現閉環管理,是工業大數據安全風險識別和應對的基本舉措,為進一步深化工業大數據安全管理,提升安全保障能力提供了關鍵著力點。
三是為應對工業大數據安全問題提供產業支撐。面對日益嚴峻的工業大數據安全形勢,強大的技術支撐體系和良好的安全產業生態是抵御黑客攻擊的“防火墻”。《指導意見》要求開展加密傳輸、訪問控制、數據脫敏等安全技術攻關。這些關鍵技術突破是提升企業工業數據安全防御能力的關鍵之舉,是提前防范和有效應對數據泄露等安全問題的重要考量,也是筑牢工業大數據安全“防火墻”的重要手段。同時,《管理辦法》提出加快培育安全骨干企業,增強數據安全服務的要求,提升工業數據安全的專業化供給能力,同時為工業大數據安全產業發展注入活力,提供動力,激發潛力。
三、扎實推進《指導意見》落實,保障工業大數據安全
《指導意見》的出臺為推進工業大數據安全工作提供了方向和指引,為進一步做好工業大數據管理和安全防護奠定了堅實的基礎。下一步,國家工業信息安全發展研究中心將認真貫徹落實《指導意見》要求,充分發揮工業信息安全“國家隊”作用,有力支撐工業數據安全管理體系建設,加快推進技術創新和解決方案,為激發工業數據資源要素潛力、加快工業大數據產業發展提供安全保障。
一是完善數據安全保障體系。建設完善工業互聯網數據安全監測平臺,提升工業大數據安全態勢分析、風險事件監測、安全威脅溯源與應急處置等能力。擴大平臺監測范圍,推動省級網絡出入口、重要網絡出入口(重要數據中心、工業園區網絡出入口)、工業企業與工業互聯網平臺側的數據安全監測探針部署,構建“國家-地區-企業”三級聯動的安全監測體系。打造數據安全仿真演示、測試驗證、加密、脫敏、溯源等技術能力,保障工業大數據安全。
二是提升行業服務能力建設。打造數據安全可信交換共享服務平臺,基于區塊鏈、Handle等技術建立數據安全交換、安全共享、安全交易、安全下載等技術與公共服務能力,吸引產學研用各方入駐平臺共同打造安全活躍的數據市場,構建完善數據應用生態,以數據驅動的發展模式充分發揮數據價值,促進數字經濟與制造業高質量發展。
三是加強數據安全管理。建立工業大數據安全管理工作體系,統籌推進數據安全合規性評估、風險評估、防護能力評估、成熟度評估等。深入推進工業數據分類分級管理,針對工業數據采集、傳輸、存儲、分析等關鍵應用環節,梳理數據資產,并進行分級防護。選取有條件的地區和典型行業企業,組織開展工業大數據安全合規評估、風險評估、防護能力評估等試點工作,積極推廣應用優秀實踐,形成良好的試點示范效應。
四是積極開展行業宣貫推廣。充分利用我中心自有媒體、聯盟、論壇等資源,加大工業大數據安全防護工作的宣傳力度,及時向社會廣泛傳播工業數據安全的政策研究動態,編制工業大數據安全管理宣貫材料,為社會各界了解和落實工業大數據管理要求提供參考。定期組織開展工業大數據安全研討活動,促進各級行業主管部門、工業制造企業、安全企業、平臺企業等各類機構間交流合作。
來源:人民郵電報