2024年2月26日,工業和資訊化部印發《工業領域資料安全能力提公升實施方案(2024-2026年)》(以下簡稱《實施方案》),提出到2026年底基本建立工業領域資料安全保障體系的總體目標, 資料安全技術、產品、服務和人才的支撐能力穩步提公升。本文首先對《實施方案》的重點內容進行解讀,分析了工業資料的特點和工業資料的分類分級方法,並對工業領域資料安全治理提出了一些建議。
《實施方案》明確了工業和資訊化部重點指標要求,要狠抓重點企業和定級以上企業,實現資料分類、分級保護超過4家的企業數量50,000,至少覆蓋各省(區、直轄市)年收入在指定規模以上的工業企業前10%。 同時,建立和制定了不少於100項國家、行業、團體標準規範,為企業履行資料安全保護責任和義務強化了詳細的標準和指導。 此外,將針對不少於10個重點行業選擇不少於200個典型案例,強化優秀應用實踐的引領作用。 資料安全培訓覆蓋3萬人次,培訓行業資料安全人才5000餘人次。
基於上述總體目標和關鍵指標,《實施方案》提出了三項重點任務,一是通過增強資料安全保護意識,開展重要資料安全保護,加強重點企業資料安全管理,深化重點場景資料安全保護,提公升工業企業資料保護能力。 二是提公升資料安全監管能力,完善資料安全政策和標準,加強資料安全風險防控,推進資料安全技術和手段建設,鍛造資料安全監管執法能力。 三是通過增加技術產品和服務供給,促進應用推廣和供需對接,建立健全人才培養體系,提公升資料安全產業支撐能力。
在保障措施方面,一是充分發揮高校、科研院所、第三方機構在實施方案的宣傳實施、手段建設指導、技術交流合作、成果應用推廣等方面的專業作用,通過加強組織協調,引導企業加強資料安全能力建設。 二是加大資源保障力度,鼓勵各地將資料安全納入地方產業領域數位化轉型發展相關規劃,在支援數位化、網路化、智慧型化等專案時,同時明確資料安全要求,引導企業在資訊化建設中安排一定比例的資料安全保護資金。 三是加強成效評價,工信部大力推進工作,對取得顯著成效的地區、企業和單位進行表彰,加強對優秀經驗和做法的提煉、總結和推廣應用。 四是做好宣傳引導,充分調動行業協會、學會、行業聯盟等力量,引導企業加強自律,凝聚共識,營造行業資料安全保護良好氛圍。
近年來,圍繞“加快數位化發展,建設數字中國”的戰略目標,推動千行百業數位化賦能,尤其是產業領域的數位化轉型,是中國的必然選擇。 工業企業依託智慧型感知、資訊挖掘、網路協同、認知決策、優化排程等智慧型系統,解決規模化生產定製、效率提公升、成本控制等問題,在生產、安全、經濟、消費等方面積累了重要資料。
企業資訊化和工業物聯網中機器產生的海量時間序列資料,以及與企業運營相關的外部資料,是工業資料的主要資料,規模巨大。 這些海量工業資料具有體積大、種類多、靈敏度高的重要特點。 “海量資料”體現在工業企業收集的海量資料上,需要利用大資料技術對資料進行處理和分析。 “多型別資料”體現在工業企業收集的海量資料中,包括業務管理資料、客戶行為畫像資料,以及各種裝置狀態、控制資料,以及豐富的型別,包括文字、影象、音訊等資料型別。 “高敏感度”體現在工業企業採集的資料敏感度高,可能涉及企業的商業秘密、客戶私隱等,科技發展的大趨勢使得在工業領域治理資料安全勢在必行。
工業領域資料的分類分級、敏感個人資訊的識別,是資料安全治理差異化、動態化的前提。在行業層面,工業和資訊化部頒布了《工業資料分類分級指南(試行)》和《工業和資訊化領域資料安全管理辦法(試行)(徵求意見稿)》,為工業領域資料分類分級保護的實施提供了要求和指引。
針對資料安全合規要求,首要任務是通過資料資產的發現、梳理、歸檔,明確資料保護物件,行業資料處理者應根據資料的保密性和敏感性,對資料進行分類分級,制定不同的管理和使用策略。
分類是根據資料的**、內容和目的對資料進行分類; 分級是根據資料的價值、內容的敏感度、影響和分布範圍對資料進行分類。 資料分為一般資料、重要資料、核心資料,不同級別的資料採取不同的保護措施。 國家對個人資訊和重要資料實施重點保護,對核心資料實施嚴格保護。
分類分級更像是乙個基於標準定義業務資料的過程,是乙個研究和審批的過程。 鑑於行業資料分類與業務相關性較強,需要依靠大量的人工分類分級處理和評估,需要有自動分類分級工具,充分利用自然語言識別、知識圖譜、機器學習等技術,對行業資料進行智慧型分類分級。 資料處理者不應該只是形成乙個資料資產清單就結束了,因為資料是動態的、流動的,業務在不斷增加和變化,分類分級清單也會不斷變化,應該建立符合分類分級和審查報告目錄的閉環流程。
工業領域資料的分類分級有四個難點:
1、規模大,人工處理困難:工業網際網絡系統複雜,表外資料量大(一般在10萬多份以上),人工處理工作量大,人工投入成本高。
2、效率低、準確率低:傳統基於資料型別和特徵識別的工具可用性差,分類和分級精度低。
3、資料載體適應性低:承載工業網際網絡的資料載體多種多樣,可以以各種結構化、非結構化、半結構化的形式儲存在各類資料庫(包括國內各類資料庫)和終端載體中,對各種資料載體的適應性低,不能完全覆蓋工業網際網絡的資料範圍。
4、不可持續:資料不斷產生、加工、轉化、流通,資料分類分級評價不是“一次性”的工作,需要建立戰略性、自動化、流程化的分類分級體系,實現“連續”的資料分類分級評價。
經過一年左右的研發,這些難題逐漸被攻克,根據行業資料分類分級指南的要求,工業資料分類分級工具可以實現資料資產的自動化識別、智慧型分類、分級對映和標記能力、資源管理和漏洞管理能力,為資料資產所在的資料載體提供, 並將資料的分類分級結果與對比分析相結合,輸出整體評價報告。在專案開發過程中,技術團隊攻克主動網路嗅探和動態流量快速分析技術,全面發現工業網際網絡資料領域的資料資產,識別敏感資料。 採用word2vec等自然語言理解技術,對工業網際網絡資料資產的語義進行自動分割和理解,並對表單進行分類和分級特徵提取。 利用長短期記憶網路(LSTM)深度學習技術對工業網際網絡資料進行分類分級建模,可基於少量分類分級結果進行分析建模,形成海量資料資產分類分級的自動標記。
數位化轉型是工業企業抓住數字時代機遇,實現快速增長的必要手段。 目前,中國擁有41個工業類別、207個工業中型類別、666個工業子類別,是世界上唯一乙個擁有聯合國工業分類全部工業類別的國家,規模以上工業企業超過40萬家。 資料是數字經濟時代關鍵的新生產要素,與國民經濟執行、社會治理、公共服務等息息相關,保障資料安全已成為關係經濟社會發展的重大課題,《實施方案》為我們做好產業領域資料安全工作提出了總體目標和具體路徑。 工業企業的核心工作要立足於敏感個人資訊的資料分類和分級識別,突出“全員協同治理”,落實資料安全人員組織、資料安全使用、資料安全技術支撐的策略和流程,結合自身行業特點進行風險評估和場景化安全實踐, 完善從考核、建設、執行到監督評價的閉環體系。持續推進資料開發利用與安全防護平衡發展。是時候在工業領域進行資料安全治理了