工业数据安全能力建设路径与思考

互联网安全内参 2022-08-06 08:43

工业领域数据安全管理与防护能力建设要以分类分级为基础,围绕重要数据、核心数据,补短固底强化基础,实施分级防护与精细化管控、开展数据安全能力评估并持续运营。

工业数据安全建设路径:

1.以数据分类分级为基础,识别重要数据资产,做到“摸清家底,识别关键”

2.识别典型业务场景,围绕重要数据资产,“补短板”, 强化基础安全防护能力

3.基于数据分类分级结果实施分级管控与防护策略,做到“体系化管理,精细化管控”

4.持续数据安全能力评估,加强数据安全事件运营,做到“查漏补缺,运筹帷幄,持续运营”

一、背景

《中华人民共和国数据安全法》(以下简称“数据安全法”)是数据安全领域的基础性法律,明确提出了行业数据安全监管的职责,对于工业领域来讲,需对本行业制定相关数据安全标准、监测数据安全风险、区分本行业重要数据和核心数据,保障本行业的数据安全等要求。为贯彻落实数据安全法等法律法规对工业领域数据安全管理工作的要求,工业和信息化领部拟发布《工业和信息化领域数据安全管理办法(试行)》,用于加快和推进工业和信息化领域数据安全管理工作制度化、规范化、并提升工业和电信行业数据安全保护能力,防范数据安全风险,同时相继推出《工业领域重要数据和核心数据识别规则(草案)》《工业企业数据安全防护要求(草案)》《工业数据安全评估指南(草案)》等,用来指导工业企业识别重要数据和核心数据、评估工业企业数据安全防护能力和建设参考。

工业领域已成为我国数字化转型与数字经济发展的前沿,随着工业领域数字化转型的推进,工业企业由传统的生产车间的生产制造逐步转向数字产业化和生产数字化,而数据作为具有生产效益的数字要素,已成为数字化发展的关键。 

工业领域的数据规模呈爆发式增长,泛在化流动,并且向平台化集中,同时,随着业务系统上云、数据交互和流通(甚至存在跨境传输)需求的增加,针对于工业领域数据层面的安全管理、安全防护问题也逐渐增多,工业数据安全形式复杂且变得严峻。

如何对海量工业数据进行有针对性的防护,促进工业领域数据安全有序的流动、保障业务应用安全的使用、及时发现潜在数据风险并及时处置等都是当前工业领域数据安全管理与防护的难题。

二、工业数据安全建设路径

对于工业领域的数据安全管理和能力建设,应聚焦工业领域数据的内容、特征,紧贴业务应用场景,构建以数据为核心,建立以“以分类分级为基础,围绕重要数据、核心数据,补短固底强化基础,开展分级防护与精细化管控、安全能力评估并与持续运营的路线作为工业领域数据安全管理与防护能力建设的路线开展。

1、以数据分类分级为基础,识别重要数据资产,做到“摸清家底,识别关键”

数据分类分级是工业领域数据安全管理与防护体系建设的基础

工业领域相关企业提供产品或服务时,相关产品的研发设计、生产制造、经营管理、运维服务等环节中产生和使用的数据类型众多。其中工业领域数据的主要来源包括一是来源于企业内部信息化管理系统,主要涉及到业务经营管理相关的数据,如产品、工艺、生产、采购、营销、订单、服务、运维、管理等方面的数据;二是来自产线设备的数据,主要包含生产过程中产线、设备、物流等环节的相关工况信息、工作面信息、运行状况信息、环境监控信息等,这类数据量大,数据来源繁杂且具有很强的实时性;三是来自于工业企业的外部数据,一般情况下包括工业企业外部相关的供应链数据、互联网数据、工业产品或服务交付后产生的数据(如设备工况、工作面等数据),此类数据一般情况会与工业企业业务相融合,经过开发分析与汇聚融合后,为工业企业提供数据支撑,促进业务发展。

因此,工业领域数据类型多、数据来源复杂、体量大若对所有数据无差别的进行安全管理和防护,对于数据安全管理人员来说就显得不科学和不现实。摸清工业企业具有的数据类型、识别要保护的数据类型就显得很重要,将数据分类分级管理和开展工作赋能到工业企业相关业务条线,识别重点保护的数据类型,作为常态化管理工作是一种必然。

对于工业领域的数据分类分级与重要数据识别,应至少做到以下几点:

a) 识别并对工业企业各个业务条线上的数据的敏感性进行评价,识别出具有业务成果性、关键性、重要性、核心性相关联的业务系统的数据(含个人数据)的敏感性,区分敏感数据类型,并进行数据安全类型和数据安全级别的标记;

b) 按照工业和信息化领域的相关要求,需识别出对国家安全、行业发展(安全管控、经济运行、行业竞争)、行业特色、出库管制、供应链安全等相关的重要数据、核心数据,并按照要求完成重要数据、核心数据的备案管理工作;

2、识别典型业务场景,围绕重要数据资产,“补短板”, 强化基础安全防护能力

工业企业的数据具有海量、多态的特点,随着工业企业相关业务的运转过程中,对数据的访问场景多样、路径繁多,接触人员角色复杂,不同业务场景下面对的数据安全风险不同,难以套用传统网络安全防护能力去保障,每段业务流程中对数据的安全访问与数据的级别、类别、数据全生命周期无法做到一一对应,因此,很难在业务场景中根据数据全生命周期的逻辑作为数据安全能力建设的依据而落地技术保护措施针对于类似于工业企业数据量大、数据来源复杂、数据业务场景众多的情况,从识别业务场景出发,构建数据安全能力:

a) 典型业务场景识别:在工业企业的众多业务场景中,不同产业类型的工业企业的主要经济业务类型存在差异化,一般包含资金筹集业务、生产准备业务、产品生产业务、产品销售业务、财务成果性差分配业务等五大类,工业企业不同的业务涵盖可能涉及的经济业务类型不同,所以在不同的工业业务信息系统中,数据的类型、种类、数据敏感性存在差异化。在进行数据安全管理活动中,厘清并识别出工业企业关键性、核心性业务场景,是做数据安全风险识别的先决条件;

b) 识别数据安全风险:真对于工业企业不同的业务类型,选择典型的业务应用场景,围绕敏感数据(含重要数据、核心数据),发现关键的数据访问业务系统的场景,通过开展数据安全维度的威胁建模、风险分析,暴露出典型业务场景中的数据安全风险问题;

c) 补短固底,做好基础防护:围绕识别的数据安全风险,通过其暴露的安全问题,开展选取针对性的数据安全能力,并落地技术防护措施,在支撑工业企业业务正常开展的同时,确保典型业务场景下数据安全使用和数据安全能力的持续。

3、基于数据分类分级结果实施分级管控与防护策略,做到“体系化管理,精细化管控”

工业和信息化领域相关企业中的部门包含采购部门、人力资源部门、研发设计部门、生产制造部门、运营维护部门、销售营销部门、法务部门、审计部门、数字化执行部门、信息化部门等,其中数据安全管理的主要职责需要从工业企业全局和实际现状考虑,在构筑数据安全管理体系时应充分考虑现有企业的相关管理体系、组织结构和人员组成等情况确定各相关方的数据安全管理职责。工业企业数据安全管理体系的构建需要做到如下:

a) 优化数据安全管理体系,在企业原有相关的安全体系下构建数据安全管理体系,优化数据安全管理组织架构;

b) 明确数据安全组织职能分工,确定数据安全主管部门(信息化部或数字化部)职责各相关方职责,其中各相关方包含采购、人力、研发设计、生产制造、运营维护、销售营销、法务、审计等部门;

c) 明确数据安全岗位职责与说明,针对于数据安全管理、数据安全策略与数据安全实施相关的工作职责应明确相关负责人、职责说明。

除了需要确定各相关方数据安全管理职责以外,还应通过数据安全相关管理制度、规程中明确出数据安全管理的具体内容,相关的数据安全管理制度包括但不限于数据安全管理办法、数据分类分级规范、数据安全审计规范、数据安全评估办法、数据安全应急管理制度、数据内部登记审批制度等等。

工业领域相关企业在开展业务时,对数据对访问、使用等环节应基于业务视角,对相关数据类型、数据的流向、流转的系统与载体、流转的数据量级、数据的流转目的、数据存储位置、数据的消费方、数据使用方式等内容进行梳理并结合数据分类分级结果,构建精细化的数据安全防护策略其中包含但不限于:

a) 分级防护策略:与数据分类分级结果、数据全生命周期维度、从数据安全管理,数据安全技术防护视角构建数据安全防护策略;

b) 精细化访问控制策略:基于数据分类分级结果,从业务访问数据资源的需求出发,制定可落地的访问控制策略或技术措施,保护访问角色、系统账户密码安全,做到系统数据资产统一访问纳管;

c) 场景化防护策略:围绕业务场景和数据流转,梳理数据脉略,识别数据的访问关系,制定贴合业务场景的数据安全能力和防护策略。

4、持续数据安全能力评估,加强数据安全事件运营,做到“查漏补缺,运筹帷幄,持续运营”

对于工业企业来说,如何对自身的数据安全管理和防护能力进行评价,需从综合评价的角度,运用科学的方法和手段,系统的分析和诊断工业数据所面临的威胁及其存在的脆弱性来评估工业企业数据安全防护水平。开展数据安全能力评估的目的是通过数据安全防护评估,让工业企业发现自己的数据安全能力的弱项和短板,及时查漏补缺,提升工业企业自身的数据安全能力,通过不断且持续的数据安全能力评估活动,使工业企业在数据安全能力建设过程中稳扎稳打,勒实基础。评估工业企业的数据安全能力,主要参照《工业数据安全评估指南》规定的104项数据安全能力进行评估,从评估结果得分确定工业企业数据安全能力的强弱其中包含:

a) 通用性数据安全管理能力评估,包含评估数据安全管理制度、组织机构、人员保障、权限管理、系统与设备安全管理、供应链数据安全管理、安全评估、日志留存和审计、监测预警、信息共享和应急处置等通用性的数据安全能力进行评估;

b) 分级防护能力评估,通过对一般数据、重要数据、核心数据在数据全生命周期中差异化的数据安全防护能力方面进行数据安全能力评估。

采取有效的数据安全监测工具,是维护数据安全风险持续安全运营的有效手段。

数据安全风险监测需要关注对数据风险的发现和控制能力,数据安全管理人员需要考虑如何去发现和识别业务上的数据风险,怎么去对产生的数据风险进行治理和纠正,怎么在以后的运营环节中规避这种数据风险,怎么对发现数据的风险进行评估,可以对数据风险的发生概率、影响对象以及影响程度进行综合分析,按照系统化、科学化管理思想,及时掌握工业企业数据安全风险态势,研判分析可能发生重大数据安全事件风险的情况。

针对数据安全风险持续运营,应采取切实可行、能力完善的技术工具及时发现数据安全风险事件,对数据安全事件持续监测。围绕对数据资产的管理、数据流动监测、数据风险管理、数据风险评估等能力,实现对数据安全风险的态势、数据安全事件溯源的感知能力。对于数据安全风险等态势感知能力,通过对单位时间段内的数据资产分布、敏感数据量、敏感数据类型等指标进行统计分析与趋势预测;对数据资产流动的程序和载体如数据库、应用、API等涉敏对象采取敏感数据量、敏感数据类型等指标进行统计分析与趋势预测;对分布在不同位置、不同时间、不同类别、不同级别的数据资产的安全告警、事件处置等指标进行统计分析与趋势预测。三大安全态势围绕数据从分布、流动、风险三个维度为运营人员构建了清晰的宏观视图。对于安全事件溯源能力,应通过对数据资产内容和相关方的溯源能力,将可疑的“人”、“数”、证据等信息按时间顺序组织成为事件链,为运营人员构建细致的微观视图。

三、总结

工业领域相关企业开展数据安全能力建设,需要把握四个方面:

首先要切换视角,围绕“保护重要数据资产”为目的,去梳理业务、识别典型业务场景,梳理数据资产,做好分类分级,识别重要的数据资产,摸清现有的管理及技术防护的现状,盘清家底。

然后,围绕重要的数据资产,重新审视已有的安全措施是否有效并覆盖到了对重要数据资产的保护,加强基础安全能力建设,补足短板。

同时,以数据分类分级为基础,去规划设计数据安全防护体系, 结合业务的场景化以及迫切性,有序建设,逐步补全安全能力,将数据安全能力全面覆盖数据在流转过程中的各阶段,涉及数据采集、传输、存储、处理、交换和销毁等各环节,使安全能力内生于业务系统以及数据信息化基础环境建设中,在业务流程中按需调用,灵活配置安全能力,达到深度融合、全面覆盖。 

最后,定期开展数据安全能力评估,不断优化和提升数据安全能力,持续运营,只有不断完善、不断改进,数据安全道路才能越走越远。

  关 于 作 者  


奇安信集团战略咨询规划-数据安全治理部


提供专业数据安全治理服务,帮助客户做数据安全制度建设、数据的分类分级以满足合规要求,同时梳理清楚数据安全建设的路径(安全治理,防护,运营等),牵引数据安全整体规划及产品、方案的落地。


推荐阅读




文章来源:虎符智库


点击下方卡片关注我们,
带你一起读懂网络安全 ↓



推荐阅读