工業(yè)互聯(lián)網(wǎng)安全下的數(shù)據(jù)分類分級研究

1工業(yè)數(shù)據(jù)分類分級背景1.1政策支持2020年工業(yè)和信息化部印發(fā)《工業(yè)數(shù)據(jù)分類分級指南(試行)》，指明了工業(yè)數(shù)據(jù)的范圍為工業(yè)領(lǐng)域產(chǎn)品和服務(wù)全生命周期產(chǎn)生和應(yīng)用的數(shù)據(jù)，明確工業(yè)數(shù)據(jù)分類分級以提升企業(yè)數(shù)據(jù)管理能力為目標(biāo)，堅持分類標(biāo)識、逐類定級和分級管理相結(jié)合，為工業(yè)數(shù)據(jù)分類分級提供了政策指引和操作規(guī)范。工業(yè)企業(yè)結(jié)合自身業(yè)務(wù)情況，依據(jù)生產(chǎn)制造模式不同對工業(yè)數(shù)據(jù)進(jìn)行梳理分類，形成工業(yè)數(shù)據(jù)分類清單；根據(jù)工業(yè)數(shù)據(jù)安全造成破壞后可能對經(jīng)濟(jì)、社會等帶來的潛在影響，將工業(yè)數(shù)據(jù)分為多個級別，為每個級別的數(shù)據(jù)制定對應(yīng)的保護(hù)措施。為更好地推動《工業(yè)數(shù)據(jù)分類分級指南(試行)》落地實(shí)施，工業(yè)和信息化部先后推動開展工業(yè)數(shù)據(jù)分類分級應(yīng)用試點(diǎn)和工業(yè)領(lǐng)域數(shù)據(jù)安全管理試點(diǎn)工作，在5個省市、9個行業(yè)的200余家企業(yè)開展工業(yè)數(shù)據(jù)分類分級應(yīng)用試點(diǎn)，篩選出了28個優(yōu)秀試點(diǎn)案例，同時在15個省市開展工業(yè)領(lǐng)域數(shù)據(jù)安全管理試點(diǎn)工作，促進(jìn)工業(yè)數(shù)據(jù)分類分級在產(chǎn)業(yè)界應(yīng)用落地。1.2必要性分析工業(yè)數(shù)據(jù)分類分級是貫徹落實(shí)分類分級管理相關(guān)法律法規(guī)的體現(xiàn)。《中華人民共和國數(shù)據(jù)安全法》明確要求建立數(shù)據(jù)分類分級保護(hù)制度，并對數(shù)據(jù)實(shí)行分類分級保護(hù)，制定重要數(shù)據(jù)目錄，加強(qiáng)對重要數(shù)據(jù)的保護(hù)?！蛾P(guān)于構(gòu)建更加完善的要素市場化配置體制機(jī)制的意見》要求推動完善數(shù)據(jù)分類分級安全保護(hù)制度，加強(qiáng)數(shù)據(jù)資源整合和安全保護(hù)?！丁笆奈濉贝髷?shù)據(jù)產(chǎn)業(yè)發(fā)展規(guī)劃》、GB/T36073—2018《數(shù)據(jù)管理能力成熟度評估模型》等明確將數(shù)據(jù)分類分級作為重要要求。工業(yè)數(shù)據(jù)分類分級是工業(yè)數(shù)據(jù)管理的基礎(chǔ)。隨著兩化融合發(fā)展水平不斷提高，工業(yè)企業(yè)在產(chǎn)品的研發(fā)設(shè)計、生產(chǎn)制造、售后服務(wù)等過程中積累了大量的工業(yè)數(shù)據(jù)。從這些工業(yè)數(shù)據(jù)的形態(tài)來看，種類繁多、結(jié)構(gòu)復(fù)雜，涉及的數(shù)據(jù)主體多樣，因此區(qū)分工業(yè)數(shù)據(jù)的類型和重要級別就顯得尤為重要。針對不同類型和級別的工業(yè)數(shù)據(jù)，部署不同粒度、不同層次的管理措施，有利于明確差異化數(shù)據(jù)管理的要求，引導(dǎo)工業(yè)企業(yè)建立工業(yè)數(shù)據(jù)管理機(jī)制，增強(qiáng)企業(yè)數(shù)據(jù)流向跟蹤、風(fēng)險定位、責(zé)任追溯等數(shù)據(jù)管理能力，切實(shí)提升工業(yè)企業(yè)的數(shù)據(jù)管理水平，進(jìn)一步帶動工業(yè)全要素、全產(chǎn)業(yè)鏈、全價值鏈升級。工業(yè)數(shù)據(jù)分類是工業(yè)數(shù)據(jù)共享流通的基本前提。海量的工業(yè)數(shù)據(jù)種類多樣，工業(yè)企業(yè)根據(jù)系統(tǒng)性、規(guī)范性、明確性、擴(kuò)展性等原則，對“研產(chǎn)供銷服”等各環(huán)節(jié)的數(shù)據(jù)進(jìn)行分類并制定企業(yè)數(shù)據(jù)分類清單，形成了企業(yè)甚至是行業(yè)的重要數(shù)據(jù)目錄?；跀?shù)據(jù)標(biāo)識分類，明確用于共享流通的數(shù)據(jù)類型，制定不同類型的數(shù)據(jù)共享機(jī)制，將工業(yè)數(shù)據(jù)管理由“傳統(tǒng)雜貨鋪”變成“現(xiàn)代化智能倉庫”，實(shí)現(xiàn)工業(yè)數(shù)據(jù)的共享流通。組織開展工業(yè)數(shù)據(jù)分類分級是保障工業(yè)數(shù)據(jù)安全的重要手段，開展工業(yè)數(shù)據(jù)分類分級架構(gòu)工作，結(jié)合工業(yè)互聯(lián)數(shù)據(jù)安全場景下的工業(yè)數(shù)據(jù)屬性、安全防護(hù)等要求構(gòu)建數(shù)據(jù)分級安全防護(hù)體系，并為不同級別的工業(yè)數(shù)據(jù)制定相應(yīng)的保護(hù)策略或措施，為工業(yè)數(shù)據(jù)安全提供保障，并廣泛應(yīng)用于核電、工程機(jī)械、物流等行業(yè)。1.3其他領(lǐng)域數(shù)據(jù)分類分級情況分類分級方法的重要性不僅在工業(yè)領(lǐng)域十分突出，在其他領(lǐng)域同樣應(yīng)用廣泛。中國人民銀行發(fā)布《金融數(shù)據(jù)安全數(shù)據(jù)安全分級指南》，給出了金融數(shù)據(jù)安全分級的目標(biāo)、原則和范圍，以及金融數(shù)據(jù)安全定級的要素、規(guī)則和定級過程，推動金融行業(yè)的數(shù)據(jù)分類分級工作開展。GB/T

38667—2020《信息技術(shù)大數(shù)據(jù)數(shù)據(jù)分類指南》描述了大數(shù)據(jù)分類過程及在分類視角、分類維度和分類方法等方面的建議和指導(dǎo)；DB33/T

2351—2021《數(shù)字化改革公共數(shù)據(jù)分類分級指南》規(guī)定了公共數(shù)據(jù)分類分級的一般要求、維度與方法，為公共數(shù)據(jù)的分類分級工作提供標(biāo)準(zhǔn)化的思路和方法。2工業(yè)數(shù)據(jù)分類分級指導(dǎo)2.1總體要求工業(yè)數(shù)據(jù)分類分級的總體要求包括科學(xué)性要求、擴(kuò)展性要求、關(guān)聯(lián)性要求、自主定級要求、分級管控要求和持續(xù)改進(jìn)要求等。要求做到按照工業(yè)數(shù)據(jù)的邏輯關(guān)聯(lián)進(jìn)行科學(xué)和系統(tǒng)化的分類；工業(yè)數(shù)據(jù)分類的維度和邏輯應(yīng)該具有可擴(kuò)展性，以滿足容納將來可能出現(xiàn)的新數(shù)據(jù)；理解分類是分級的基礎(chǔ)，二者密不可分；企業(yè)應(yīng)按照一定的規(guī)范自主對各種類型的工業(yè)數(shù)據(jù)進(jìn)行分級，安排實(shí)施分級管控具體執(zhí)行動作，定期開展分類分級結(jié)果評估以及分級管控措施效果評估，并針對問題進(jìn)行改進(jìn)。2.2一般流程工業(yè)數(shù)據(jù)分類分級的一般流程主要包括分類分級準(zhǔn)備、實(shí)施分類分級、實(shí)施分級管控和持續(xù)改進(jìn)4個部分，每個部分又可以分為幾個更具體的步驟，如圖1所示。圖1工業(yè)數(shù)據(jù)分類分級的一般流程分類分級準(zhǔn)備過程主要包括調(diào)研工業(yè)數(shù)據(jù)現(xiàn)狀和制訂分類分級工作計劃。調(diào)研主要圍繞以下幾個方面展開：工業(yè)數(shù)據(jù)產(chǎn)生情況(例如產(chǎn)生的部門、場景、方式、頻率、外部數(shù)據(jù)等)、工業(yè)數(shù)據(jù)存儲情況(例如存儲方式、存儲位置、數(shù)據(jù)格式、數(shù)據(jù)規(guī)模、完整程度等)、工業(yè)數(shù)據(jù)業(yè)務(wù)類型(例如生產(chǎn)管理數(shù)據(jù)、人事管理數(shù)據(jù)、經(jīng)營數(shù)據(jù)、財務(wù)數(shù)據(jù)等)、工業(yè)數(shù)據(jù)應(yīng)用情況(例如應(yīng)用場景、應(yīng)用方式等)。在制訂計劃時，需明確分類分級工作的領(lǐng)導(dǎo)組織、工作目標(biāo)、分類維度和場景、分級維度、評估方法和分級管控體系等方面的維護(hù)方案。實(shí)施分類分級過程主要包括擬定分類分級實(shí)施流程、組織實(shí)施和輸出成果。根據(jù)業(yè)務(wù)、場景、頻率以及數(shù)據(jù)生命周期等不同的維度(如表1所示)進(jìn)行分類，擬定具體的實(shí)施流程。例如，通過制定實(shí)施步驟、執(zhí)行實(shí)施工作、監(jiān)控實(shí)施工作、總結(jié)實(shí)施過程等來實(shí)現(xiàn)工業(yè)數(shù)據(jù)分類分級，然后按照擬定的分類分級實(shí)施流程，組織企業(yè)相關(guān)部門和人員開展分類分級工作，輸出如工業(yè)企業(yè)數(shù)據(jù)分類分級詳細(xì)描述表、數(shù)據(jù)庫表、工業(yè)數(shù)據(jù)分類分級描述表等成果產(chǎn)出物。實(shí)施分級管控過程主要包括確定防護(hù)措施、擬定分級管控防護(hù)實(shí)施流程、組織實(shí)施和輸出分級管控防護(hù)結(jié)果。結(jié)合工業(yè)數(shù)據(jù)分類和安全級別(如表2所示)結(jié)果，制定相應(yīng)的防護(hù)措施，并擬定具體的實(shí)施流程，組織企業(yè)相關(guān)部門及人員開展具體分級管控防護(hù)工作，梳理分級管控防護(hù)結(jié)果，得到工業(yè)數(shù)據(jù)分級管控防護(hù)清單和分級管控防護(hù)效果文件。持續(xù)改進(jìn)過程主要包括定期評估和安全級別變更。對分類分級維度、類別劃分方法、安全級別判定方法、分類分級結(jié)果、分級管控防護(hù)措施、分級管控效果進(jìn)行定期評估，檢查其是否合理、是否滿足現(xiàn)有需求等，根據(jù)評估意見調(diào)整工業(yè)數(shù)據(jù)分類分級過程，當(dāng)安全級別變更因業(yè)務(wù)、監(jiān)管調(diào)整等因素(工業(yè)數(shù)據(jù)內(nèi)容變化、更新頻次變化、應(yīng)用場景變化、合規(guī)性變化等)導(dǎo)致數(shù)據(jù)影響范圍和程度改變時，須相應(yīng)地變更工業(yè)數(shù)據(jù)的安全級別。表1工業(yè)數(shù)據(jù)分類維度表2工業(yè)數(shù)據(jù)級別判斷標(biāo)準(zhǔn)和防護(hù)要求2.3工業(yè)互聯(lián)網(wǎng)安全下的工業(yè)數(shù)據(jù)情況工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)應(yīng)用場景已從單一的數(shù)據(jù)展示、表達(dá)升級到覆蓋各類過程的工業(yè)數(shù)據(jù)智能應(yīng)用。工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全包括了生產(chǎn)管理數(shù)據(jù)安全、生產(chǎn)操作數(shù)據(jù)安全、工廠外部數(shù)據(jù)安全，涉及采集、傳輸、存儲、處理等各個環(huán)節(jié)的數(shù)據(jù)及用戶信息的安全。工業(yè)互聯(lián)網(wǎng)相關(guān)的工業(yè)數(shù)據(jù)按照其屬性或特征，可以分為設(shè)備數(shù)據(jù)、業(yè)務(wù)系統(tǒng)數(shù)據(jù)、知

識庫數(shù)據(jù)和用戶個人數(shù)據(jù)

4種類型。根據(jù)數(shù)據(jù)

敏感程度的不同，可將工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)分為一

般數(shù)據(jù)、重要數(shù)據(jù)和敏感數(shù)據(jù)

3種。隨著工廠

數(shù)據(jù)由少量、單一和單向逐步向大量、多維和

雙向轉(zhuǎn)變，工業(yè)互聯(lián)網(wǎng)的數(shù)據(jù)體量不斷增大、

種類不斷增多、結(jié)構(gòu)日趨復(fù)雜，并出現(xiàn)數(shù)據(jù)在

工廠內(nèi)部與外部網(wǎng)絡(luò)之間的雙向流動共享。由

此帶來的安全風(fēng)險主要包括數(shù)據(jù)泄露、非授權(quán)

分析和用戶個人信息泄露等。對于工業(yè)互聯(lián)網(wǎng)

的數(shù)據(jù)安全防護(hù)，

應(yīng)采取明示用途、數(shù)據(jù)加密、

訪問控制、業(yè)務(wù)隔離、接入認(rèn)證、數(shù)據(jù)脫敏等

多種防護(hù)措施，覆蓋包括數(shù)據(jù)采集、傳輸、存

儲和處理等在內(nèi)的全生命周期的各個環(huán)節(jié)。2.4工業(yè)互聯(lián)網(wǎng)安全下的實(shí)踐情況在狠抓工業(yè)信息安全的大背景下，從集團(tuán)層面制定了主數(shù)據(jù)管理規(guī)定辦法、信息系統(tǒng)應(yīng)用和運(yùn)維管理規(guī)定，對集團(tuán)級工業(yè)數(shù)據(jù)、系統(tǒng)應(yīng)用具有指導(dǎo)作用，各事業(yè)部，分、子公司在集團(tuán)級規(guī)定的基礎(chǔ)上，又細(xì)化為各單位的個性化管理規(guī)定，對業(yè)務(wù)部門的流程執(zhí)行、數(shù)據(jù)應(yīng)用、權(quán)限劃分具有重要的指導(dǎo)作用，并進(jìn)一步提升數(shù)據(jù)匯聚能力、數(shù)據(jù)開放能力、數(shù)據(jù)治理能力，以安全策略為指導(dǎo)，構(gòu)建起了全面、完整、高效的信息安全體系，為業(yè)務(wù)的創(chuàng)新發(fā)展提供了堅實(shí)的信息安全保障。中聯(lián)重科股份有限公司全面梳理企業(yè)自身的工業(yè)數(shù)據(jù)，累積了經(jīng)營、制造、物聯(lián)網(wǎng)等多維度的海量數(shù)據(jù)，通過工業(yè)數(shù)據(jù)的分類分級管理，提升了數(shù)據(jù)的使用效能和數(shù)據(jù)安全，促進(jìn)了數(shù)據(jù)全局流動和有序共享；通過工業(yè)數(shù)據(jù)分類分級的防護(hù)技術(shù)應(yīng)用等方式，實(shí)現(xiàn)了工業(yè)數(shù)據(jù)管理能力的躍升；依托安全可信的數(shù)據(jù)指導(dǎo)施工作業(yè)，構(gòu)建了數(shù)據(jù)驅(qū)動實(shí)現(xiàn)服務(wù)業(yè)務(wù)管理閉環(huán)的目標(biāo)，在企業(yè)關(guān)注的施工效率、施工環(huán)境、施工安全性等方面都有大幅度完善。浙江省寧波市煙草專賣局(公司)全面細(xì)致深入開展分類分級工作，梳理業(yè)務(wù)經(jīng)營管理各環(huán)節(jié)的工業(yè)數(shù)據(jù)，掌握了“有哪些、有多少、在哪里、歸誰管、誰在用”的基本情況，建立了動態(tài)工業(yè)數(shù)據(jù)資產(chǎn)清單，將工業(yè)數(shù)據(jù)分成生產(chǎn)、運(yùn)維、管理和外部4個數(shù)據(jù)域，40個L2級數(shù)據(jù)子類，131個L3級數(shù)據(jù)子類，并按照數(shù)據(jù)資產(chǎn)對企業(yè)生產(chǎn)、經(jīng)濟(jì)效益等方面的影響程度，將工業(yè)數(shù)據(jù)分為106個L2級數(shù)據(jù)、25個L3級數(shù)據(jù)。3結(jié)

語工業(yè)數(shù)據(jù)分類分級作為大數(shù)據(jù)技術(shù)領(lǐng)域的一項(xiàng)基礎(chǔ)性安全保障工作，有力地支撐了相關(guān)行業(yè)的數(shù)字經(jīng)濟(jì)發(fā)展。無論是從工業(yè)數(shù)據(jù)分類分級試點(diǎn)情況來看，還是從企業(yè)為了滿足自身業(yè)務(wù)需求而開展的分類分級工作來看