隨著5G、工業互聯網與工業實體的深度融合,海量工業設備、工業終端,暴露在相對開放的網絡中,工業領域數據安全成為關系企業利益、公共利益和國家安全的重要因素。近日,工信部印發《工業和信息化領域數據安全管理辦法》(以下簡稱《管理辦法》),明確開展工業和信息化領域數據分類分級、全生命周期安全管理。
(資料圖片僅供參考)
專家表示,在工業領域數據安全相關專項政策、通知、標準相繼發布后,對工業企業來說,“補短版”是數據安全的當務之急,行業企業需要以能力導向代替合規導向,夯實產業數字化的安全底座。
工信領域數據明確全生命周期保護要求
從《管理辦法》主要內容看,一是界定工業和信息化領域數據和數據處理者概念,明確監管范圍和監管職責。二是確定數據分類分級管理、重要數據識別與備案相關要求。三是針對不同級別的數據,圍繞數據收集、存儲、加工、傳輸、提供、公開、銷毀、出境、轉移、委托處理等環節,提出相應安全管理和保護要求。四是建立數據安全監測預警、風險信息報送和共享、應急處置、投訴舉報受理等工作機制。五是明確開展數據安全監測、認證、評估的相關要求。六是規定監督檢查等工作要求。七是明確相關違法違規行為的法律責任和懲罰措施。
數據是數字經濟時代最為活躍的新型生產要素。當前,我國工業互聯網產業規模已突破萬億大關,工業領域成為我國數字化轉型發展的主陣地,這一背景下,工業互聯網和工業數據的信息安全重要性日益凸現。國家工業信息安全發展研究中心副主任郝志強表示,5G+工業互聯網在加速產業化的同時,也打破了傳統工業封閉的生產環境,帶來了更加嚴峻的安全挑戰。
一位信息安全企業相關負責人對記者表示,新一代信息技術與實體經濟深度融合的同時,但也使工業實體成為了被網絡攻擊的對象。《管理辦法》作為工業和信息化領域數據安全管理頂層制度文件,明確了開展數據分類分級保護、重要數據管理等工作的具體要求,細化數據全生命周期安全義務,為行業數據安全監管提供制度保障。《管理辦法》指導數據處理者健全數據安全管理和技術保護措施,履行安全保護主體責任,有利于推動工業企業的早投入、早介入和長遠安全發展,對信息安全行業也起到規范作用。
工業數據安全形勢嚴峻 攻擊頻次居高不下
事實上,近年來,工業行業網絡安全事件發生頻次正快速上升,成為數據安全事件的高發地帶,對企業生產經營、經濟社會運行,乃至國家安全造成嚴重威脅。
例如,今年3月,由于一家主要供應商遭受到網絡攻擊,導致豐田汽車日本國內工廠全部關停;今年6月,富士康旗下一家工廠遭受勒索病毒攻擊,被索取2.3億傭金,并不是富士康第一次遭受勒索軟件的攻擊,2020年12月的攻擊中,富士康被要求支付價值3400萬美元的比特幣。
機構監測數據也顯示,工業數據安全領域風險復雜嚴峻,攻擊路徑增多、頻次居高不下。國家工業信息安全發展研究中心發布的《2021年工業信息安全態勢報告》顯示,2021年,國家工信安全中心完成全國工業控制系統威脅誘捕網絡部署工程,全年共捕獲來自境外105個國家和地區對我國實施的掃描探測、信息讀取等惡意行為超過600萬次。從行業來看,我國的制造、能源和交通行業面臨的工業信息安全風險較大。
湖北省網絡信息安全技術管控中心工程師陳倩近日透露,湖北省省級工業互聯網安全態勢感知平臺上線以來,監測發現網絡攻擊行為2500萬余次。從行業分析來看,被攻擊的工業企業主要集中在汽車制造業、計算機設備及其他通信設備制造業、金屬制品業、化學原料和化學制品制造業、電器機械和器材制造業;從惡意攻擊行為數據來看,漏洞利用、挖礦事件、異常流量占比較高,分別占24%、21.8%、18%。
而這背后,國內很多工業企業的數據仍處在“裸奔”狀態。一位地方監管層人士表示,從目前的調查情況看,很多企業尤其中小企業,認為網絡安全事故或者安全漏洞隱患“離自己還很遠”。
“拿網絡安全和安全生產來打個比方:安全生產意識已經深入人心,企業都知道不能出爆炸、不能出安全事故,但是網絡安全意識卻還不到位,還總以為大不了宕機就重新啟動。這其實是不對的。”上述人士表示,以本地某工業企業為例,此前一次攻擊被黑客組織勒索了35萬元,但現在仍不愿提高每年的信息安全投入,“他以為勒索一次就能‘消停’幾年,下次勒索輪不到他,但這種意識最要不得,富士康兩次遭受勒索攻擊正是例子。”
奇安信工業互聯網安全創新實驗室負責人韓從菲介紹,2022年1-9月,奇安信集團安全服務中心共參與和處置了全國范圍內174起工業網絡安全應急響應事件,其中與工業數據勒索相關的安全事件72起,占到工業安全應急響應事件的41.4%,而其中導致數據丟失、無法恢復的占到50%。他表示:“工業企業受攻擊的‘中心’就是核心業務數據被攻擊、被勒索,這也是被黑客認為能產生巨大價值的地方。”
補數據安全短板成工業企業轉型升級重點
“工業數據安全現在越來越成為工業轉型升級的重中之重。但工業互聯網是一個復雜體系,它的安全建設是一個系統工程,需要用科學、系統化的理論方法制定安全框架、落實安全措施。”接受記者采訪的業內專家表示,在工業領域數據安全相關專項政策、通知、標準相繼發布后,對工業企業來說,補短版是數據安全的首要問題和當務之急,迫切需要強化工業數據安全風險和事件應對能力,補齊工業數據安全的技術短板,建立縱深數據安全防御體系。同時,企業要提高保障工業數據持續安全的意識,“產業數字化的趨勢下,針對虛擬世界的攻擊都有可能轉化為物理世界的傷害,信息安全的‘弦’絕不能松。”
湖北省通信管理局副局長付景廣建議,保護工業數據安全要促進網絡安全產業發展,各網絡安全企業要強化5G、工業互聯網、車聯網等新技術、新業務網絡安全問題的研究。加強攻擊防護、態勢感知等安全產品研發。提升安全支撐服務水平。同時,應加強網絡安全人才隊伍建設,加強對相關人員的網絡安全教育和培訓,積極組織開展和參與各種形式的網絡安全競賽、演練、會議等活動,聚天下英才而用之。
這一方面,工業和信息化部本月發布了《關于組織開展工業互聯網安全深度行活動典型案例和成效突出地區遴選工作的通知》,提出面向實施工業互聯網企業網絡安全分類分級管理的聯網工業企業、工業互聯網平臺企業和工業互聯網標識解析企業,聚焦分類分級管理對企業網絡安全能力的提升作用,征集遴選一批安全防護舉措有效、安全能力提升顯著、具備可復制可推廣價值的分類分級管理典型案例。
猜你喜歡
世界熱資訊!年度盤點 | 
美聯儲激進加息對A股和港股 
【5G商業賦能】AI加持,思特 
全球微資訊!凌晨00:14! 
“AI四小龍”上市之路各不相 
主流高端飲品,與奔富齊名的 
深圳坪山新能源車產業園一期 
