貫徹落實《數據安全法》 強化工業領域數據安全保障
今年 9 月 1 日,《數據安全法》正式施行,數據安全事業開啟了新階段,依法開展數據安全工作踏上了新征程。工業領域作為《數據安全法》中提及的行業領域之首,是當前強化數據安全保障的重要領域。做好新時期工業領域數據安全工作,關鍵是要立足新階段、迎接新挑戰、提出新思路,加快貫徹落實《數據安全法》,切實提升數據安全保障能力。
一、立足新階段,奮力踏上工業領域數據安全新征程
(一)堅持黨管數據,新時期工業領域數據安全責任體系將逐步完善
2021 年 8 月 4 日,經中共中央批準,由中共中央辦公廳發布的《黨委(黨組)網絡安全工作責任制實施辦法》向社會公布,進一步凸顯黨委(黨組)在網絡安全工作中的領導作用,也是新時期構建數據安全責任制的重要遵循。數據安全是國家安全的重要組成,開展數據安全工作更要堅持黨的領導,要深刻領會學習貫徹《數據安全法》的政治意義,建立和完善黨管數據的體制機制,積極發揮黨管數據安全發展的戰斗堡壘作用。在工業領域,數據安全責任體系的構建尚處于起步階段,按照誰主管誰負責、屬地管理的原則,各級黨委(黨組)對本地區本部門數據安全工作負主體責任,各地工業和信息化主管部門在職責范圍內負責本地區工業數據安全監管。同時,工業企業等工業數據處理者應落實數據安全主體責任,按照《數據安全法》等法律法規要求切實履行責任和義務。
(二)堅持依法治數,新時期工業領域數據安全制度的“四梁八柱”將加快建設
《數據安全法》作為我國數據安全領域的基礎性法律,明確了數據安全治理體系的頂層設計,構建了“一個頂點、多維度配合、全社會參與”的數據安全協同工作體系,通過規制數據處理活動、保障數據安全、保護個人和組織合法權益、維護國家主權和安全,引領和促進數據的開發利用。《數據安全法》明確提出的數據分類分級、重要數據保護、安全審查、風險評估、報告、信息共享、監測預警、應急處置、交易管理、出境管理、出口管制等相關制度,在行業落地應用中應結合行業特色進一步細化。目前,工業和信息化部已經公開發布《工業和信息化領域數據安全管理辦法(試行)征求意見稿》,但工業領域數據安全政策標準體系還不完善,需針對性制定工業數據分類分級方法和全生命周期防護要求,梳理形成工業領域重要數據和核心數據目錄,并通過建立覆蓋事前事中事后的工業領域數據安全制度規范等,全方位保障工業數據安全。
(三)堅持統籌發展和安全,新時期工業領域數據安全發展將有力推進
黨的十九屆五中全會提出的《中共中央關于制定國民經濟和社會發展第十四個五年規劃和二〇三五年遠景目標的建議》指出,要“統籌發展和安全”“把安全發展貫穿國家發展各領域和全過程,防范和化解影響我國現代化進程的各種風險,筑牢國家安全屏障”。《數據安全法》明確了要安全與發展并重,兩方面相互促進、共同發展。當前,數據安全與發展不僅是“國潮級”熱議話題,更是“全球性”博弈陣地。“十四五”時期,工業數據作為制造業和數字經濟高質量發展的強力引擎,統籌工業數據發展和安全的必要性和急迫性十分突出。對此,我們更要堅持總體國家安全觀,增強風險意識,樹立底線思維,下好先手棋、打好主動仗,構筑工業領域數據安全屏障,護航制造強國和網絡強國建設。
二、迎接新挑戰,著力應對工業領域數據安全新風險
(一)工業領域針對數據的攻擊威脅嚴重,跨境安全風險嚴峻
據 Verizon 發布的《2020 年數據泄露調查報告》統計,全球數據泄露事件多達 3950 起,同比增長96%,制造業在受影響行業中排名第三(前兩名為醫療保障、金融保險業)。隨著企業上云、工業App 培育等工作持續推進,工況狀態、產能信息等數據向云平臺加速匯聚,高價值的數據資源池將日益成為不法分子牟取利益的攻擊竊密目標。當前,勒索攻擊、撞庫攻擊等威脅數據安全的攻擊方式不斷增多,尤其是勒索攻擊呈現手段復雜化、解密難度大、索要贖金高等特征,成為工業數據安全的重大威脅。此外,工業數據跨境面臨威脅嚴重、外部壓力等問題,國家工業信息安全發展研究中心建設的國家工業互聯網數據安全監測與防護平臺就監測發現多起數據跨境、數據泄露等事件,涉及鋼鐵、裝備制造等行業,其中不乏研發、生產等工業數據。從全球來看,多國跨境數據流動規則角力升溫,一些國家以“長臂管轄”“域外效力”等為由,對我國數據安全監管活動指手畫腳、故意施壓,企圖抹黑我國國際形象。
(二)工業領域數據互聯互通加快,數據流動安全防護面臨挑戰
隨著新一代信息技術與制造業的融合發展,工業生產環境互聯開放趨勢加快,工業數據的流向、路徑、匯聚點等都發生了變化,數據從流向企業本地孤立的業務系統,到流向外部的邊緣節點、云端平臺、大數據中心等,貫穿了企業控制網、管理網、專用網、互聯網等各個網絡,數據安全涉及設備層、控制層、網絡層、平臺層及應用層等各個層面,導致數據暴露面加大,數據安全風險與威脅點增多,數據安全影響面更廣。由此,一方面,降低了攻擊難度,黑客可從網絡端攻擊生產端,觸碰原先封閉在內網中的數據,實現竊取工業數據等目的;另一方面,加劇了風險隱患,單點工業數據一旦被攻擊破壞,就可能從局部性風險演變成系統性風險。因此,如何在跨網絡、跨組織、跨地區的數據流動路徑中全流程保障數據安全,建立以數據為中心的流動安全體系,成為當前工業數據安全防護的重要難題。
(三)工業領域數據流通應用需求加大,數據可信共享生態亟需構建
在信息全球化和數字經濟時代,協同制造、個性定制等新模式新業態快速發展,跨企業、跨行業、跨地區的工業數據交換共享需求愈發迫切,促進工業數據安全可信共享已成為提高生產經營效率和加快促進行業發展的重要基礎。但是,工業領域數據安全可信共享面臨諸多挑戰,一方面,工業領域涉及鋼鐵、有色、化工、裝備制造等多個行業,數據分類分級“拉清單”難度較大。目前,在面對海量工業數據共享場景時,大量企業的數據資產底數、重要數據目錄、可共享利用的數據清單等多為“糊涂賬”。另一方面,工業數據確權定價、價值評估等難題尚未有效解決,針對工業數據的可信防護、輕量級加密、數據脫敏、數據溯源等專門的技術手段不足,工業數據安全交換、安全共享、安全交易、安全賦能等服務方式和商業模式也還不成熟,數據安全與共享發展的平衡仍然存在難度。
三、提出新思路,努力開創工業領域數據安全新局面
立足“十四五”新發展階段,應堅持以習近平新時代中國特色社會主義思想為指導,加快貫徹落實《數據安全法》,秉持“保安全、促發展”的工作理念,按照綜合施策、多方聯動、協同治理的工作思路,聚焦行業特色,全面提升工業領域數據安全保障能力,開創工業領域數據安全事業新局面。
(一)以分類分級構建安全基礎,“以評促防”建立安全基線
貫徹落實《數據安全法》要求,加快出臺《工業和信息化領域數據安全管理辦法(試行)》等相關數據安全規章制度,切實提出“管什么”“怎么管”,明確工業領域數據安全監管對象、范疇和要求。研究制定工業數據領域分類分級方法、重要數據和核心數據識別認定指南、安全防護指引、共享應用導則等系列政策標準,加快建立工業數據安全監管體系和工作機制,推動落實企業主體責任。組織開展工業領域數據安全試點示范和分類分級摸底調研,梳理形成工業領域重要數據和核心數據目錄清單并實施重點保護。構建工業數據安全評估認證體系,開展數據安全風險評估、防護能力評估、出境評估以及數據安全能力評估認證等,引導鼓勵企業加大投入,開展工業數據安全建設,促進企業提升工業數據安全管理與防護能力。
(二)以技術創新與產業發展壯實安全供給,以保障能力建設奠定安全基石
圍繞工業數據全生命周期安全需求以及面臨的風險隱患情況,加快數據分類定級、敏感數據挖掘、輕量級加密、數據動態脫敏、可信防護、水印溯源等專門的工業數據安全技術和產品攻關,提升數據防篡改、防竊取、防泄露、防濫用等能力。充分發揮產業聯盟、行業協會、專委會等行業組織作用,整合資源,創新服務模式,大力培育數據安全企業,遴選推廣工業領域數據安全優秀實踐,加快促進工業數據安全產業健康發展。支持國家專業機構建設工業領域重要數據和核心數據備案管理,以及工業數據安全監測與防護、風險通報、評估認證、共享交易、應急聯動等國家級技術平臺,形成全方位的工業數據安全保障能力,護航數字經濟和制造業高質量發展。
(三)以共享交易促進安全發展,以合作共贏擴大安全友圈
加快推動工業數據安全可信交換共享公共服務平臺建設,建立數據產權交易規則和標準,形成數據共享交易新安全模式。依托公共服務平臺,聚攏產學研用各方共建安全可信的工業數據空間,以數據安全共享為驅動,推動構建安全活躍的數據要素市場。深挖工業數據價值,深入探索工業領域數據保險、數據銀行、數據信托等新興業務,逐步構建工業數據跨行業跨領域應用生態。加強工業相關行業協會和聯盟等形成數據安全共識,建立健全工業數據安全行業自律機制。結合人類命運共同體理念、“一帶一路”倡議以及《全球數據安全倡議》等,積極開展數據安全國際交流,與更多國家建立數據安全“朋友圈”,提出中國特色的數據安全方案,致力于構建符合國際共識和各國利益的數據安全國際規則。
