朱立鋒

(中電工業(yè)互聯(lián)網(wǎng)有限公司，北京 100190)

0 引言

當前，世界新一輪科技革命和產(chǎn)業(yè)變革迅猛發(fā)展，工業(yè)互聯(lián)網(wǎng)作為新一代信息技術與制造業(yè)深度融合的產(chǎn)物，作為以數(shù)字化、網(wǎng)絡化、智能化為主要特征的關鍵基礎設施，日益成為新工業(yè)革命的關鍵支撐，對未來工業(yè)發(fā)展產(chǎn)生全方位、深層次、革命性影響，對推進制造強國和網(wǎng)絡強國建設，建設社會主義現(xiàn)代化強國具有重大意義。

工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)是指工業(yè)互聯(lián)網(wǎng)這一新模式新業(yè)態(tài)下，在工業(yè)互聯(lián)網(wǎng)企業(yè)開展研發(fā)設計、生產(chǎn)制造、經(jīng)營管理、應用服務、供應鏈管理和物流管理等業(yè)務時，圍繞客戶需求、訂單、計劃、研發(fā)、設計、工藝、制造、采購、供應、庫存、銷售、交付、售后、運維、報廢或回收等工業(yè)生產(chǎn)經(jīng)營環(huán)節(jié)和過程，所產(chǎn)生、采集、傳輸、存儲、使用、共享或歸檔的數(shù)據(jù)。如果按類型來劃分，工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)主要包括工業(yè)互聯(lián)網(wǎng)設備數(shù)據(jù)、應用系統(tǒng)數(shù)據(jù)、知識庫數(shù)據(jù)、企業(yè)數(shù)據(jù)、用戶個人數(shù)據(jù)五大類。

本文基于對工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全的發(fā)展現(xiàn)狀、存在問題進行深入分析的基礎上，提出解決工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全問題的基本思路。

1 發(fā)展現(xiàn)狀

當前，社會各界圍繞法律、制度、標準、技術等領域對工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全展開熱烈討論、積極探索，相關工作加速推進并取得了階段性成果。

(1)法規(guī)政策加速完善。繼2016 年11 月發(fā)布《網(wǎng)絡安全法》以來，《數(shù)據(jù)安全法》《個人信息保護法》相繼于2021 年6 月和8 月審議通過，數(shù)據(jù)安全立法和法律實踐穩(wěn)步推進。具體到工業(yè)互聯(lián)網(wǎng)領域，有關部門相繼發(fā)布了《關于深化“互聯(lián)網(wǎng)+先進制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導意見》《加強工業(yè)互聯(lián)網(wǎng)安全工作的指導意見》《工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展行動計劃（2021-2023 年）》《關于工業(yè)大數(shù)據(jù)發(fā)展的指導意見》《工業(yè)數(shù)據(jù)分級分類指南(試行)》等一系列政策文件，為開展工業(yè)數(shù)據(jù)分類分級、管理能力評估、有序共享、治理與防護等相關工作提供了政策指導。

(2)標準建設穩(wěn)步推進。2021 年12 月，《工業(yè)互聯(lián)網(wǎng)安全標準體系(2021 年)》正式發(fā)布，該標準體系包括分類分級安全防護、安全管理、安全應用服務等3 個類別、16 個細分領域以及76 個具體方向。在數(shù)據(jù)安全領域明確提出了《工業(yè)互聯(lián)網(wǎng)企業(yè)數(shù)據(jù)安全防護要求》《工業(yè)互聯(lián)網(wǎng)重要數(shù)據(jù)識別指南》《工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)跨境安全防護要求》等標準，為切實發(fā)揮標準規(guī)范引領作用，加快建立數(shù)據(jù)安全分類分級管理制度，強化工業(yè)互聯(lián)網(wǎng)企業(yè)數(shù)據(jù)安全防護能力，推動工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)高質量發(fā)展具有重要支撐作用。

(3)安全能力持續(xù)提升。產(chǎn)學研用各界圍繞著工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全的基礎通用技術、數(shù)據(jù)安全管理技術、數(shù)據(jù)安全防護技術以及涵蓋數(shù)據(jù)的產(chǎn)生、傳輸、存儲、處理、使用及銷毀等數(shù)據(jù)全生命周期流轉安全開展理論研究和技術攻關，隨著區(qū)塊鏈、多方安全計算、聯(lián)邦學習以及數(shù)據(jù)沙箱等數(shù)據(jù)安全技術快速發(fā)展，以接入認證、訪問控制、權限管理、網(wǎng)絡隔離、數(shù)據(jù)加密、數(shù)據(jù)脫敏、數(shù)據(jù)備份和恢復等為代表的主要技術手段日趨成熟，“數(shù)據(jù)可用不可見”“數(shù)據(jù)不動程序動”等正加快從理念變?yōu)楝F(xiàn)實。

2 面臨問題

隨著工業(yè)互聯(lián)網(wǎng)的迅猛發(fā)展，其所沉淀的數(shù)據(jù)體量不斷增大、種類不斷增多、結構日趨復雜，并逐漸向海量、多維和雙向流動的改變。隨之而來的數(shù)據(jù)安全問題也日益凸顯，主要表現(xiàn)為數(shù)據(jù)泄露、非授權訪問、用戶信息泄露等方面。

從國際看，工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全形勢嚴峻。

(1)網(wǎng)絡攻擊方式新型多樣。暴力破解憑證、勒索攻擊、撞庫攻擊、漏洞攻擊等新型攻擊方式層出不窮，針對電力、能源、航空、醫(yī)疔等重點領域工業(yè)互聯(lián)網(wǎng)的攻擊事件大幅增加，導致相關行業(yè)企業(yè)內(nèi)部重要數(shù)據(jù)、敏感信息頻頻泄露，工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全面臨嚴重威脅。

(2)數(shù)據(jù)黑市交易觸目驚心。以暗網(wǎng)數(shù)據(jù)交易、精準詐騙、撒網(wǎng)式詐騙等為主要特征的網(wǎng)絡犯罪活動日趨規(guī)?；M織化集團化。隨著工業(yè)企業(yè)加快推進上云、工業(yè)APP 培育，海量工業(yè)數(shù)據(jù)向云平臺匯聚，形成高價值的數(shù)據(jù)資源池，這些工業(yè)數(shù)據(jù)日益成為犯罪集團牟取利益的竊密目標。

(3)數(shù)據(jù)安全風險日益加劇。隨著工業(yè)領域向互聯(lián)開放發(fā)展，新一代信息技術的廣泛使用，相關設備、平臺、系統(tǒng)和應用實現(xiàn)在線化、網(wǎng)絡化，以及供應鏈、物流鏈的高度協(xié)同，潛在的風險敞口增多。再加上工業(yè)互聯(lián)網(wǎng)跨設備、跨系統(tǒng)、跨廠區(qū)、跨地區(qū)互聯(lián)互通的特點，對數(shù)據(jù)全生命周期各環(huán)節(jié)的安全防護的時效性、復雜性要求較高，所面臨的挑戰(zhàn)也持續(xù)增加。

從國內(nèi)看，工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全管理也存在一些不足。

(1)工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全責任體系尚未建立。主管部門、工業(yè)企業(yè)、工業(yè)互聯(lián)網(wǎng)基礎設施運營單位、工業(yè)互聯(lián)網(wǎng)平臺企業(yè)、工業(yè)互聯(lián)網(wǎng)供應鏈（一般包含制造商、上下游供應商、零售商以及消費者）、物流鏈（包括海關、進出口商、物流企業(yè)）等多方主體在保護工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全方面的權責義務還不夠清晰，工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全保護要求難以落實到位。

(2)工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全管理理念落后缺位。工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)相關企業(yè)安全意識較為薄弱，數(shù)據(jù)安全管理理念落后甚至缺位，尚未形成能有效處理工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全與數(shù)據(jù)流通核心矛盾的全局性、整體性、戰(zhàn)略性數(shù)據(jù)安全核心理念，工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全防護缺少科學的理念指導。

(3)工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全技術能力亟待加強。相關企業(yè)數(shù)據(jù)安全核心技術產(chǎn)品研發(fā)不夠，應對新型攻擊防篡改、防竊取、防泄露的安全核心技術能力還不足，產(chǎn)業(yè)支撐力不強，工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全風險發(fā)現(xiàn)、實時告警、防護處置等能力建設還需進一步提升。

3 解決思路

與傳統(tǒng)互聯(lián)網(wǎng)安全相比，工業(yè)互聯(lián)網(wǎng)安全具有三大特點：一是涉及范圍廣，網(wǎng)絡攻擊面持續(xù)擴大，可直達生產(chǎn)一線；二是造成影響大，一旦發(fā)生安全事件，影響嚴重；三是企業(yè)防護基礎弱，整體安全保障能力有待進一步提升。因此，對工業(yè)互聯(lián)網(wǎng)而言，安全是保障，要堅持系統(tǒng)思維，從制度、管理和技術等方面構建統(tǒng)籌協(xié)調、科學高效的數(shù)據(jù)安全體系，促進數(shù)據(jù)的安全流通與高效配置。

(1)貫徹落實數(shù)據(jù)安全法律法規(guī)。堅持依法治理，全面貫徹落實國家《數(shù)據(jù)安全法》《個人信息保護法》《關鍵信息基礎設施安全保護條例》等法律法規(guī)，《關于深化“互聯(lián)網(wǎng)+先進制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導意見》《加強工業(yè)互聯(lián)網(wǎng)安全工作的指導意見》等國家政策，以及《工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全保護要求》《工業(yè)互聯(lián)網(wǎng)重要數(shù)據(jù)識別指南》等行業(yè)標準，結合行業(yè)企業(yè)實際，制定數(shù)據(jù)安全保護實施方案和工作機制，強化制度執(zhí)行，全面提升工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全保護的法治化水平。

(2)建立健全數(shù)據(jù)安全組織體系。建立健全權責明晰、分級管理的數(shù)據(jù)安全監(jiān)督管理體系。明確工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全各主體的責權利，研究制定數(shù)據(jù)分類分級管理規(guī)范，將數(shù)據(jù)安全保護和監(jiān)管管理要求融入工業(yè)互聯(lián)網(wǎng)研發(fā)設計、生產(chǎn)制造、供應鏈管理和物流管理等多種場景，以高質量的數(shù)據(jù)安全保護確保工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)鏈供應鏈物流鏈安全穩(wěn)定，防范數(shù)據(jù)跨境流動風險。融入數(shù)據(jù)采集、傳輸、存儲、使用、交換、共享、公開、歸檔、刪除等全生命周期各環(huán)節(jié)。在數(shù)據(jù)采集階段，要保證數(shù)據(jù)的完整性、準確性和機密性，在數(shù)據(jù)傳輸階段，要做好傳輸主體及節(jié)點的身份鑒別和認證，在數(shù)據(jù)存儲階段，要做好數(shù)據(jù)存儲加密、數(shù)據(jù)備份和恢復等工作。在數(shù)據(jù)處理使用階段,要做好數(shù)據(jù)訪問控制和權限管理。

(3)建立自主可控的先進技術體系。聚焦工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全需求，采用自主可控的信創(chuàng)產(chǎn)品建設高安全標準的數(shù)據(jù)金庫和數(shù)據(jù)要素操作系統(tǒng)，歸集并存儲核心數(shù)據(jù)和重要數(shù)據(jù)，為數(shù)據(jù)元件的生產(chǎn)開發(fā)與流通提供支撐，實現(xiàn)數(shù)據(jù)的安全流通與高效配置。例如，中電互聯(lián)依托中國電子CPU、操作系統(tǒng)和內(nèi)存三位一體的內(nèi)生安全PKS 體系，積極踐行中國電子“關鍵數(shù)據(jù)入庫，雙向風險隔離、三級安全管控”的數(shù)據(jù)安全核心理念，建立安全先進綠色的數(shù)據(jù)治理底座，構建全棧式的數(shù)據(jù)安全技術體系，為數(shù)據(jù)安全保護提供了堅實的技術保障。