隨著新一代信息技術的快速發(fā)展，經(jīng)濟社會各領域的數(shù)字化、網(wǎng)絡化、智能化趨勢加快，新模式新業(yè)態(tài)持續(xù)涌現(xiàn)，數(shù)字經(jīng)濟方興未艾。數(shù)據(jù)正成為我國實施供給側結構性改革、推動經(jīng)濟發(fā)展的生產(chǎn)力，也是促進全球經(jīng)濟發(fā)展的新生產(chǎn)要素。

與此同時，工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)規(guī)?；鲩L速度越來越快，內外網(wǎng)數(shù)據(jù)交互流通、海量數(shù)據(jù)集中匯聚分析等提供了更多竊取、篡改數(shù)據(jù)的路徑，擴大了攻擊面，數(shù)據(jù)安全面臨愈發(fā)嚴峻的風險隱患，實施數(shù)據(jù)安全分類分級和差異化分級防護、加強工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全保障、網(wǎng)絡安全等級保護測評刻不容緩。

當前，我國工業(yè)企業(yè)、工業(yè)互聯(lián)網(wǎng)平臺企業(yè)等仍然存在重發(fā)展輕安全的問題，對于開展工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全防護建設等相關工作，很多企業(yè)感到無從下手或者力不從心，特別是在面對海量多樣的工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)時，對如何開展數(shù)據(jù)安全分類分級和安全防護毫無思路。

因此，加快推動工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全分類分級、實行差異化數(shù)據(jù)安全防護是當前工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全保障的重點工作，也是落實企業(yè)主體責任的重要舉措，亦是強化數(shù)據(jù)安全監(jiān)管的重要抓手，更是促進數(shù)字經(jīng)濟健康發(fā)展、維護國家數(shù)據(jù)主權的重要保障。

（一）國內外數(shù)據(jù)分類分級相關標準情況

相比傳統(tǒng)網(wǎng)絡數(shù)據(jù)，工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)種類和形態(tài)更為豐富多樣，且具有適應工業(yè)生產(chǎn)運營場景下的實時性、穩(wěn)定性等特征，對其進行有效的分類分級和安全防護存在困難。

目前，國內外在信息、數(shù)據(jù)等對象的分類分級方面已有所嘗試，在一些標準中提出了一些方法和參考。例如，美國《聯(lián)邦信息和信息系統(tǒng)安全分類標準》（FIPS 199），我國《GB/T 35273-2017信息安全技術 個人信息安全規(guī)范》、貴州省《DB52/T 1123-2016政府數(shù)據(jù) 數(shù)據(jù)分類分級指南》等，從數(shù)據(jù)主體、用途、業(yè)務屬性等角度出發(fā)對數(shù)據(jù)進行分類，根據(jù)數(shù)據(jù)遭泄露、篡改等造成的后果進行定性分級。

（二）數(shù)據(jù)分類分級的目的

一是分類的目的是明確安全責任、確定防護邊界。分類旨在劃定工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)范圍，從行業(yè)的角度明確行業(yè)主管部門監(jiān)管范疇，從企業(yè)的角度落實數(shù)據(jù)安全主體責任，從防護的角度確定數(shù)據(jù)安全防護邊界。例如，行業(yè)層面，電力、石油石化等行業(yè)數(shù)據(jù)由能源主管部門進行監(jiān)管，工業(yè)、通信業(yè)等行業(yè)數(shù)據(jù)由工信主管部門進行監(jiān)管。企業(yè)層面，各企業(yè)應對其產(chǎn)生或使用的工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)承擔安全主體責任，如工業(yè)互聯(lián)網(wǎng)平臺上的數(shù)據(jù)應由平臺企業(yè)切實做好安全防護，根據(jù)數(shù)據(jù)來源、用途等細分研發(fā)域與生產(chǎn)域、IaaS層與PaaS層等，分別確定域之間、層之間的防護邊界。

二是分級的目的是確定責任主體的防護措施力度和粒度、實施差異化分級安全防護。數(shù)據(jù)的分級主要從保密性、完整性、可用性三個屬性遭破壞后造成的后果影響來進行定級，這與國內網(wǎng)絡安全等級保護定級、關鍵信息基礎設施識別等相關標準及文件的思路是一致的。同時，與對網(wǎng)絡與信息系統(tǒng)進行等級保護一樣，數(shù)據(jù)也應分等級進行保護，從管理和技術等維度提出細粒度、有層次的數(shù)據(jù)分級保護措施，對應落實分級監(jiān)管職責。

（三）數(shù)據(jù)分類分級方法

借鑒國內外數(shù)據(jù)分類分級相關經(jīng)驗，緊扣數(shù)據(jù)分類分級的目的，根據(jù)工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)的特征和安全防護需求，研究提出工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)分類分級方法。首先，從數(shù)據(jù)來源、特征、用途、關聯(lián)性、安全防護需求等多個方面進行綜合分析，提出數(shù)據(jù)分類方法，確保數(shù)據(jù)類別之間緊耦合、安全防護需求基本一致，同時，為了方便管理，數(shù)據(jù)類別劃分不宜過多。然后，采用“就高不就低”原則，根據(jù)數(shù)據(jù)的三個安全屬性任意一個屬性遭破壞后，用定性和定量結合的方法判斷對工業(yè)生產(chǎn)經(jīng)營、公共利益、經(jīng)濟社會穩(wěn)定、生態(tài)環(huán)境、人民生命健康、國家安全等造成的最大后果影響來進行定級。

（四）數(shù)據(jù)級別與網(wǎng)絡信息系統(tǒng)級別之間的關系

數(shù)據(jù)具有流動性、可復制等特有屬性，三級的系統(tǒng)也有可能流入或存儲一級、二級、四級的數(shù)據(jù)，所以數(shù)據(jù)的級別與承載其的系統(tǒng)的級別沒有必然聯(lián)系，數(shù)據(jù)流動過程中的級別以源數(shù)據(jù)判定時的級別為準。但如果低級別的數(shù)據(jù)流入高級別的系統(tǒng)中時，該級別數(shù)據(jù)對系統(tǒng)的運行或服務產(chǎn)生了作用和影響，則該數(shù)據(jù)應該重新定級，級別應相應提高。從安全防護的角度考慮，系統(tǒng)中的所有數(shù)據(jù)應按照該級別系統(tǒng)的數(shù)據(jù)安全要求實施，高級別的數(shù)據(jù)一般不允許在無附加安全保護措施的情況下流入低級別的系統(tǒng)。

盡管我國有些政策文件在工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全分類分級方面有所涉及，但還未形成體系化管理。筆者認為在分類分級的基礎上，工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全防護應堅持總體國家安全觀，以落實企業(yè)主體責任為關鍵，從體制機制、法規(guī)政策、標準規(guī)范、技術手段等多方面入手，加快提升工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全保障水平?？梢灾攸c做好以下工作：

一是加強監(jiān)管、落實責任。加強工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全分類分級研究，通過數(shù)據(jù)分類明確各類數(shù)據(jù)的主管部門，確定工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全監(jiān)管邊界，建立健全跨部門的數(shù)據(jù)安全監(jiān)管機制。通過分級明確各級數(shù)據(jù)的安全防護要求，落實各級數(shù)據(jù)的安全主體責任和監(jiān)管層級，實行差異化分級防護。

二是政策指導、標準引導。研究制定工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全相關法規(guī)政策，明確發(fā)展目標和實施路徑，部署重大任務和發(fā)展路線，指導促進我國工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全發(fā)展。圍繞工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)的特征和全生命周期安全需求，加快研制工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全分類分級、安全防護、重要數(shù)據(jù)識別等標準。加強法規(guī)政策和標準的宣貫培訓，提升工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全意識。

三是技管結合、提升能力。推動工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全管理機制創(chuàng)新，重視數(shù)據(jù)安全管理能力。建設工業(yè)互聯(lián)網(wǎng)敏感數(shù)據(jù)監(jiān)測平臺，在企業(yè)內部、流量出口等地部署探針和數(shù)據(jù)檢測引擎，實時監(jiān)測企業(yè)IT、OT網(wǎng)絡及工業(yè)APP等中的數(shù)據(jù)安全風險。建設工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)跨境監(jiān)測平臺，在重要網(wǎng)絡出口等地部署數(shù)采探針，實現(xiàn)對各類數(shù)據(jù)的識別、分析、研判與預警，避免重要數(shù)據(jù)流出境外。構建工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全評估認證體系，依托第三方專業(yè)機構，開展數(shù)據(jù)安全能力的評估和認證。

四是研發(fā)技術、發(fā)展產(chǎn)業(yè)。推動工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全技術研發(fā)，促進數(shù)據(jù)安全產(chǎn)業(yè)發(fā)展，強化產(chǎn)業(yè)支撐。加快工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全態(tài)勢感知、數(shù)據(jù)加密、數(shù)據(jù)脫敏等技術研發(fā)，形成核心技術創(chuàng)新發(fā)展優(yōu)勢。培育一批以工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全為核心業(yè)務的工業(yè)信息安全骨干企業(yè)，打造特色優(yōu)勢產(chǎn)業(yè)集群。發(fā)揮工業(yè)信息安全產(chǎn)業(yè)發(fā)展聯(lián)盟的作用，促進科研成果轉化和產(chǎn)業(yè)化應用，構建協(xié)調發(fā)展的工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全產(chǎn)業(yè)生態(tài)。

工業(yè)互聯(lián)網(wǎng)實現(xiàn)了數(shù)據(jù)在工業(yè)設備、生產(chǎn)線、工廠、平臺、供應商、產(chǎn)品和客戶全產(chǎn)業(yè)鏈的閉環(huán)流動。數(shù)據(jù)是工業(yè)互聯(lián)網(wǎng)的“血液”，是我國實施供給側結構性改革、推動經(jīng)濟發(fā)展的生產(chǎn)力，也是促進全球經(jīng)濟發(fā)展的新生產(chǎn)要素，數(shù)據(jù)安全對于發(fā)展工業(yè)互聯(lián)網(wǎng)至關重要、事在必行。開展工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)分類分級，是保障工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全的基礎。