随着5G、工业互联网与工业实体的深度融合,海量工业设备、工业终端,暴露在相对开放的网络中,工业领域数据安全成为关系企业利益、公共利益和国家安全的重要因素。近日,工信部印发《工业和信息化领域数据安全管理办法》(以下简称《管理办法》),明确开展工业和信息化领域数据分类分级、全生命周期安全管理。
(资料图片仅供参考)
专家表示,在工业领域数据安全相关专项政策、通知、标准相继发布后,对工业企业来说,“补短版”是数据安全的当务之急,行业企业需要以能力导向代替合规导向,夯实产业数字化的安全底座。
工信领域数据明确全生命周期保护要求
从《管理办法》主要内容看,一是界定工业和信息化领域数据和数据处理者概念,明确监管范围和监管职责。二是确定数据分类分级管理、重要数据识别与备案相关要求。三是针对不同级别的数据,围绕数据收集、存储、加工、传输、提供、公开、销毁、出境、转移、委托处理等环节,提出相应安全管理和保护要求。四是建立数据安全监测预警、风险信息报送和共享、应急处置、投诉举报受理等工作机制。五是明确开展数据安全监测、认证、评估的相关要求。六是规定监督检查等工作要求。七是明确相关违法违规行为的法律责任和惩罚措施。
数据是数字经济时代最为活跃的新型生产要素。当前,我国工业互联网产业规模已突破万亿大关,工业领域成为我国数字化转型发展的主阵地,这一背景下,工业互联网和工业数据的信息安全重要性日益凸现。国家工业信息安全发展研究中心副主任郝志强表示,5G+工业互联网在加速产业化的同时,也打破了传统工业封闭的生产环境,带来了更加严峻的安全挑战。
一位信息安全企业相关负责人对记者表示,新一代信息技术与实体经济深度融合的同时,但也使工业实体成为了被网络攻击的对象。《管理办法》作为工业和信息化领域数据安全管理顶层制度文件,明确了开展数据分类分级保护、重要数据管理等工作的具体要求,细化数据全生命周期安全义务,为行业数据安全监管提供制度保障。《管理办法》指导数据处理者健全数据安全管理和技术保护措施,履行安全保护主体责任,有利于推动工业企业的早投入、早介入和长远安全发展,对信息安全行业也起到规范作用。
工业数据安全形势严峻 攻击频次居高不下
事实上,近年来,工业行业网络安全事件发生频次正快速上升,成为数据安全事件的高发地带,对企业生产经营、经济社会运行,乃至国家安全造成严重威胁。
例如,今年3月,由于一家主要供应商遭受到网络攻击,导致丰田汽车日本国内工厂全部关停;今年6月,富士康旗下一家工厂遭受勒索病毒攻击,被索取2.3亿佣金,并不是富士康第一次遭受勒索软件的攻击,2020年12月的攻击中,富士康被要求支付价值3400万美元的比特币。
机构监测数据也显示,工业数据安全领域风险复杂严峻,攻击路径增多、频次居高不下。国家工业信息安全发展研究中心发布的《2021年工业信息安全态势报告》显示,2021年,国家工信安全中心完成全国工业控制系统威胁诱捕网络部署工程,全年共捕获来自境外105个国家和地区对我国实施的扫描探测、信息读取等恶意行为超过600万次。从行业来看,我国的制造、能源和交通行业面临的工业信息安全风险较大。
湖北省网络信息安全技术管控中心工程师陈倩近日透露,湖北省省级工业互联网安全态势感知平台上线以来,监测发现网络攻击行为2500万余次。从行业分析来看,被攻击的工业企业主要集中在汽车制造业、计算机设备及其他通信设备制造业、金属制品业、化学原料和化学制品制造业、电器机械和器材制造业;从恶意攻击行为数据来看,漏洞利用、挖矿事件、异常流量占比较高,分别占24%、21.8%、18%。
而这背后,国内很多工业企业的数据仍处在“裸奔”状态。一位地方监管层人士表示,从目前的调查情况看,很多企业尤其中小企业,认为网络安全事故或者安全漏洞隐患“离自己还很远”。
“拿网络安全和安全生产来打个比方:安全生产意识已经深入人心,企业都知道不能出爆炸、不能出安全事故,但是网络安全意识却还不到位,还总以为大不了宕机就重新启动。这其实是不对的。”上述人士表示,以本地某工业企业为例,此前一次攻击被黑客组织勒索了35万元,但现在仍不愿提高每年的信息安全投入,“他以为勒索一次就能‘消停’几年,下次勒索轮不到他,但这种意识最要不得,富士康两次遭受勒索攻击正是例子。”
奇安信工业互联网安全创新实验室负责人韩从菲介绍,2022年1-9月,奇安信集团安全服务中心共参与和处置了全国范围内174起工业网络安全应急响应事件,其中与工业数据勒索相关的安全事件72起,占到工业安全应急响应事件的41.4%,而其中导致数据丢失、无法恢复的占到50%。他表示:“工业企业受攻击的‘中心’就是核心业务数据被攻击、被勒索,这也是被黑客认为能产生巨大价值的地方。”
补数据安全短板成工业企业转型升级重点
“工业数据安全现在越来越成为工业转型升级的重中之重。但工业互联网是一个复杂体系,它的安全建设是一个系统工程,需要用科学、系统化的理论方法制定安全框架、落实安全措施。”接受记者采访的业内专家表示,在工业领域数据安全相关专项政策、通知、标准相继发布后,对工业企业来说,补短版是数据安全的首要问题和当务之急,迫切需要强化工业数据安全风险和事件应对能力,补齐工业数据安全的技术短板,建立纵深数据安全防御体系。同时,企业要提高保障工业数据持续安全的意识,“产业数字化的趋势下,针对虚拟世界的攻击都有可能转化为物理世界的伤害,信息安全的‘弦’绝不能松。”
湖北省通信管理局副局长付景广建议,保护工业数据安全要促进网络安全产业发展,各网络安全企业要强化5G、工业互联网、车联网等新技术、新业务网络安全问题的研究。加强攻击防护、态势感知等安全产品研发。提升安全支撑服务水平。同时,应加强网络安全人才队伍建设,加强对相关人员的网络安全教育和培训,积极组织开展和参与各种形式的网络安全竞赛、演练、会议等活动,聚天下英才而用之。
这一方面,工业和信息化部本月发布了《关于组织开展工业互联网安全深度行活动典型案例和成效突出地区遴选工作的通知》,提出面向实施工业互联网企业网络安全分类分级管理的联网工业企业、工业互联网平台企业和工业互联网标识解析企业,聚焦分类分级管理对企业网络安全能力的提升作用,征集遴选一批安全防护举措有效、安全能力提升显著、具备可复制可推广价值的分类分级管理典型案例。