浅谈工业数据分类分级
数据的分类分级是数据安全的基础性工作,是对数据实施安全保护措施的重点和前提。2021年9月1日,《中华人民共和国数据安全法》(以下简称:《数据安全法》)正式施行,为国家重要数据保护和各行业数据安全监管提供了法律依据。《数据安全法》第二十一条规定:
“国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。
关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。
各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。”
一、工业数据分类分级意义
随着信息化和工业化融合的不断深入,工业生产结合大数据技术走向互联,信息不断开放,高效利用数据实现智能化已成为当前工业生产的必要条件。但与此同时,工业数据也存在管理执行不到位、开发利用不深入、流通共享不充分等问题,尚未完全发挥对数字经济的放大、叠加和倍增作用。对数据而言,开放才有意义,但开放的前提是安全。由于不同类型的数据,其级别和价值均不同,不能等同视之,应根据数据的重要性、价值指数,予以区别对待。因此《数据安全法》提出建立数据分类分级保护制度。
数据分类是为了规范化关联,分级是安全防护的基础,不同安全级别的数据在不同的活动场景下,安全防护的手段和措施也不同。比如《数据安全法》规定关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,将实行更加严格的管理制度。
二、工业数据分类分级的必要性
《数据安全法》从国家层面提出了数据分类分级,是确定数据保护和利用之间平衡点的一个重要依据,为个人数据、企业数据和国家数据的保护奠定了法律基础。
针对工业数据分类分级,工业和信息化部发布了一系列政策文件为开展工业互联网数据安全保护工作提供了具有指导性和可操作性的具体措施。
《工业数据分类分级指南(试行)》立足行业特征细化数据分类目录和分级量化指标,引导更多企业建立工业数据分类分级管理体系,提升数据管理和安全防护能力。
《关于工业大数据发展的指导意见》部署了3项重点任务,推动全面采集、高效互通和高质量汇聚。
《工业领域重要数据和核心数据识别规则(草案)》给出了工业领域重要数据和核心数据的定义、识别原则和识别方法。
《工业企业数据安全防护要求(草案)》给出了工业企业数据安全防护的管理要求和全生命周期保护要求,重点针对不同安全级别的工业数据提出分级防护要求。
贯彻落实国家层面法律法规,依据工业和信息化指导文件,落实数据安全防护工作,加强数据分类分级管理、安全防护、安全评估、安全监测等能力,提升行业数据安全防护水平,建设满足现状同时具有可持续发展的数据安全防护体系是必要并急迫的。
三、工业数据安全分类分级
数据资源分类分级的行业差异性很大,不同行业数据具有不同的属性,分类分级标准存在差异。《工业数据分类分级指南(试行)》立足行业特征,细化数据分类目录和分级量化指标,为工业企业建立工业数据分类分级管理体系提供指导。
1、数据资源分类
结合工业企业的生产制造模式,兼顾垂直行业监管要求,分析梳理业务流程和系统设备,考虑本行业业务要求、业务规模、数据复杂程度等客观情况,对工业企业数据进行分类梳理和标识,面向工业数据全生命周期管理,形成企业工业数据分类清单。工业数据分类维度如下图所示。
图1 工业企业数据分类维度
2、数据资源分级
根据不同类别工业数据遭篡改、破坏、泄露或非法利用后,可能对工业生产、经济效益等带来的潜在影响,将工业数据分为一级、二级、三级等3个级别(三级为最高级),如下表所示。
表1 工业数据分级
四、工业数据分类分级的难点和建议
数据分类分级是一项涉及大量业务知识和数据专业的复杂工作。企业在对企业数据分类分级中往往存在以下问题。
1、数据源不清晰。随着信息化的推进,企业积累了大量的数据,这些数据可能以多种形式分散在不同设备中。梳理数据源,需要多方人员配合,难以达到全覆盖。
数据资产梳理是数据安全治理的基础,是数据安全分类分级的前提工作。企业的数据往往散落在各个异构系统中,数据结构、数据类型、存储形式、敏感级别、重要程度各不相同,整体看起来就像是一团乱麻的线,想要理出头绪其实并不容易。企业对数据资产的记录可能随着时间流逝、人员变动等原因产生梳理盲点的情况,建议采用技术扫描资产信息来辅助,人工配合的形式来尽量达到数据源的全覆盖。
2、数据分类维度确定。数据分类分级的行业差异性很大,不同行业数据具有不同的属性,分类标准存在差异。
针对信息资源的分类,工业企业可参考工信部《工业数据分类分级指南(试行)》、《工业企业数据安全防护要求》、《工业互联网数据安全分类分级指南》等行业内标准。数据分类的目的是要便于数据的管理、利用。基本原则是:分类要合理。建议先根据数据的管理归属以及业务情况对数据进行大类划分,再依据数据属性划分出子类,为了保证后续分级的准确性,最后根据自身情况对数据子类再次进行更细致的分类。
3、数据复杂且海量。企业生产环境中的数据往往并不规则,敏感数据可能潜藏在众多脏数据、非结构化化数据的包围之中。需要考虑数据元信息、数据内容不规范,各类型杂糅,敏感数据被分隔,加工等情况。
对海量数据分类分级建议通过AI算法智能标签、数据分级分类规则模型和人工配置数据分级分类规则集的方式对数据表和字段进行数据分级分类标识,形成数据安全分级分类图谱。通过技术驱动的数据分类分级方式消除了人工方式容易出错的风险,降低人工分类分级的成本,同时可以全天候分类,增加分类分级的持续性。再配合人工的决策,为系统进行的数据分类分级策略配置和对分类分级结果进行甄别调整。
4、数据分类分级的持续性。数据分类分级不只是把已有数据梳理清楚,产出已有数据分类分级清单就结束了,因为数据是动态和流动的,业务也是不断新增和变化的,分类分级清单也会不断变化。
企业对企业数据进行分类分级是为了根据数据的重要性、价值指数,予以区别对待。《工业企业数据安全防护要求(草案)》也给出了工业企业数据安全防护的管理要求和全生命周期保护要求,重点针对不同安全级别的工业数据提出分级防护要求。明确要求企业对数据全生命周期安全保护。建议企业要保持数据分类分级的持续性,并强化数据的全生命周期的安全保障。
长扬科技数据资产安全管理平台
为满足国家所提出的数据分类分级要求,保证分类分级的规范性,同时有效提升分类分级的准确性和效率,长扬科技在结合自身安全经验及对相关法律法规、行业标准研究基础上,推出长扬数据资产安全管理平台。
图2 长扬数据资产安全管理平台界面
核心功能如下图所示:
图3 核心功能
长扬数据资产安全管理平台旨在不影响工业数据连起来、跑起来、用起来的情况下,对企业数据资产进行有效、准确的分类分级,并强化数据的全生命周期的安全保障,实现:用户身份鉴别与授权、数据资产分类分级、敏感数据自动识别、数据全生命周期安全监控、安全策略联动、数据资产安全态势展示、数据安全审计(数据安全风险预测、数据安全风险警告、数据安全溯源追踪)、数据备份恢复、数据安全防护能力评估等功能。
长扬数据资产安全管理平台将助力发挥好数据的基础资源作用和创新引擎作用,为工业企业数据资源的开发、利用提供安全保障。
