■ 2020年2月27日，工信部办公厅发布了 《工业数据分类分级指南 （试行）》，提出了构建我国工业数据分类分级的基本框架，为全面提升我国工业数据管理能力，释放数据潜在价值，保证数据安全，提供了指导。■ 工业数据分类分级不仅需要考虑本行业或企业的需求，还需要综合考虑产业链中上下游行业和企业间的关联关系，政府管理部门和研究部门的需求，以及数据在时间、空间、精度等维度上的特性，最大程度保证数据共享过程的安全和有序。■ 扎实推进工业数据分类分级管理工作，关键是构建与 《指南》等政策法规相匹配、相衔接的标准体系。
工业数据规范管理和共享至关重要
■ 中国科学院院士、西安交通大学
   电子与信息学部主任 管晓宏
   工业数据规范管理和共享，保证数据安全性，对工业经济的健康发展至关重要。在信息全球化和网络经济时代，工业数据的安全有序使用和流动共享，是全球化产业链发展的必要条件，是实现国家治理体系和治理能力现代化的需求。如果工业数据安全性无法保证，就无法保证工业数据的正常共享，保证产业链的正常运行。
   笔者所在的西安交通大学网络化系统工程团队，近期在紧急完成新冠肺炎疫情分析预测的国家任务中，深感如果经授权共享交通、物流、电力、气象等数据，不但能更加准确地分析预测疫情，还能分析疫情与各类经济社会活动的相互影响，为国家应急管理和重大公共安全事件的响应，提供十分重要的决策支持。
   今年2月27日工信部办公厅发布的 《工业数据分类分级指南 （试行）》 （以下简称 《指南》），提出了构建我国工业数据分类分级的基本框架，为全面提升我国工业数据管理能力，释放数据潜在价值，保证数据安全，提供了指导。
   工业数据涉及种类繁多，涉及相互关联的行业和企业，分类分级不仅需要考虑本行业或企业的需求，还需要综合考虑产业链中上下游行业和企业间的关联关系，政府管理部门和研究部门的需求，以及数据在时间、空间、精度等维度上的特性，最大程度保证数据共享过程的安全和有序。对此，笔者针对指南的具体实施，结合相关研究工作实践提出一些思考与建议。
间接数据安全亟需予以保护
跨行业企业的上下游管理和紧密耦合是现代工业产业链的特点。许多行业和企业间的数据，存在强相关性，间接数据安全需要予以关注和保护。例如，对制造企业的实时电力负荷数据进行模式分析，可能间接获得产量、生产流程、设备类型和参数等敏感信息，导致企业商业秘密泄露。因此，一个企业的高敏感数据，不仅需要高等级直接保护，还需要保护产业链上下游企业、横向相关企业关联数据，在授权和法律协议的基础上共享。
   《指南》在第五条中强调在工业数据进行分类梳理和标识中需要 “结合生产制造模式、平台企业结合服务运营模式，分析梳理业务流程和系统设备”，体现了贯穿运行模式和业务流程，跨行业、跨企业协同实现工业数据分类管理和共享思想。在实践过程中，建议政府部门和行业协会，协助上下游关联企业数据分级保护和安全共享。
数据分级需考虑时间空间精度属性
   不同的时间尺度、空间范围、精准程度的数据分级显然不同。例如，上市公司需要对投资者和社会公开全年收入和利润，让投资者了解公司经营状况，但不能公开每一笔合同的收益，以保护企业的商业秘密。结合《指南》第八条对于分级标准的依据：“根据不同类别工业数据遭篡改、破坏、泄露或非法利用后，可能对工业生产、经济效益等带来的潜在影响”，建议在实际分级过程中，综合考虑数据的时间尺度、空间尺度、精度等属性，进行恰当的分级。
   对于具有重大商业价值的数据，在可通过调整时间和空间尺度，或降低数据的精度，降低数据的敏感性和保护等级，在数据共享和数据安全之间找到平衡点。
建设统一的公共数据共享和管理平台
   数据分类分级管理责任重、成本高、难度大，大部分中、小、微企业受限于技术能力和管理成本，可能难以独立承担。 《指南》第十三条中明确了企业是数据管理的主体， “工业企业、平台企业等企业承担工业数据管理的主体责任”。数据分类分级管理中需要考虑数据存储安全、传输过程中给数据的一致性和保密性、用户权限的设置和管理等因素。 《指南》中鼓励企业共享二级数据，第十四条要求 “企业应按照 《工业控制系统信息安全防护指南》等要求”， “针对二级数据采取的防护措施，应能抵御大规模、较强恶意攻击”。
   由于数据分类分级管理是实现数据安全有序共享的基础保障，建议政府部门和行业协会组织相关企业，面向地区或行业制定数据分类分级的数据共享和管理规范，采用合作互利的商业模式，建设统一的公共数据共享和管理平台。这样便于提升数据管理能力、降低平均管理成本。有了数据管理规范，也便于云服务企业以商业化方式提供数据共享服务。规范化数据管理，有利于依法挖掘数据价值，提供数据服务新模式，也能够保证数据安全性，让使用数据共享服务的企业放心。
   安全有序的数据共享是我国推进国家治理体系和治理能力现代化、加速建设制造强国的重要保障条件，本次发布的 《指南》在数据的分类和分级方法、管理机制等方面提出了系统性的指导要求，具有重大意义。工业数据由于敏感程度高、种类多、涉及面广、关联关系复杂等特点，分类分级是一个复杂的系统工程问题，安全共享的具体实践过程中，需要由政府相关部门和行业协会引导，不同行业和企业共同协作，制定出符合我国工业体系特色的分类分级体系。
数据分级管理需发挥标准规范引领作用
■ 中国电子技术标准化研究院院长
   赵波
   工业和信息化部办公厅最近印发的《工业数据分类分级指南 （试行）》 （以下简称 《指南》），从促进工业数据的使用、流动与共享等角度，对工业数据管理和安全防护工作提出了新要求，同时也给标准化工作赋予了更高使命。在此，笔者从深刻领会 《指南》的作用和意义，发挥标准的规范性、引领性作用，助力数据分级管理和防护等角度谈几点认识。
工业数据潜在价值待进一步挖掘
   当前，我国大数据技术蓬勃发展，与制造业的融合应用愈发紧密，已成为加速工业转型升级，推动制造业高质量发展的新引擎。但与此同时，工业数据作为全新的生产资源要素，在管理执行、开发利用和流通共享等方面还存在一定问题和困难，工业数据的潜在价值有待进一步挖掘。
   党中央、国务院高度重视大数据技术对制造业转型升级的推动作用。习近平总书记在十九届中央政治局第二次集体学习中提出要实施国家大数据战略，构建以数据为关键要素的数字经济。十九届四中全会首次提出将 “数据”作为生产要素参与分配，这为数据赋予了新的历史使命。国务院印发 《促进大数据发展行动纲要》要求全面推进我国大数据发展和应用，加快建设数据强国，释放技术、制度和创新红利。
   为贯彻落实党中央、国务院重大决策部署，工业和信息化部作为大数据和工业信息安全行业主管部门，从推动大数据技术与制造业深度融合，夯实工业数据安全保障基础，助力数字经济高质量发展的战略高度，制定并印发了工业数据分类分级管理指导性文件。 《指南》的发布实施，有利于企业全面梳理自身工业数据类型，有利于全面提升企业数据管理能力，更有利于促进数据充分使用、全局流动和有序共享，为企业有效挖掘数据价值，加速工业领域生产方式变革提供了强有力的政策指导和理论依据。
构建数据标准体系
   数据管理，标准先行。扎实推进工业数据分类分级管理工作，基础是推动各方贯彻落实 《指南》有关要求，关键是构建与 《指南》等政策法规相匹配、相衔接的标准体系。中国电子技术标准化研究院作为全国信息技术和信息安全标准化专业机构，紧紧围绕落实政策法规要求，针对工业数据管理和安全防护需求，以标准研制、试验验证和应用推广为主线，积极组织开展了一系列富有成效的工作。
   初步建立了数据标准体系。组织相关企业和行业专家先期开展工业信息安全标准体系研究，一方面详细梳理已有国家标准、行业标准，另一方面，结合相关政策法规要求，认真研究工控安全、工业数据安全标准研制需求。目前，已初步建立由分类分级、安全要求、防护实施、测试评估等四类标准组成的工业信息安全标准体系，为后续相关国家标准、行业标准的制修订工作奠定了基础。
   制定了一批数据标准。根据 《工业控制系统信息安全防护指南》等政策文件要求，加紧研制安全分级、安全管理、安全防护及安全测评类基础标准。截至目前，已正式发布 《工业控制系统安全控制应用指南》 《数据安全能力成熟度模型》等国家标准24项，在研《工业控制系统信息安全防护建设实施规范》 《工业数据分类分级防护要求》等重点标准5项，形成了与现行法规政策紧密结合的标准族，为加快 《指南》实施提供技术支撑。
   推动了标准试点应用。积极支撑工业数据分类分级工作，面向重点地区和重点行业，开展分类分级试点验证，帮助四川长虹、鞍钢集团、唐钢集团等典型企业完成了133类数据的定级分析，并进一步验证了数据分级防护的科学性、有效性和可操作性。此外，配合相关政策落地实施，面向6省市开展政策配套标准贯标活动，累计培训地方工信主管部门及工业企业有关工作负责人1200余人，推动成立贯标推进机构，探索形成了较为成熟的政策标准应用推广工作机制。
切实推动工业数据分类分级管理
   工业数据分类分级管理是一项复杂的长期性工作，涉及行业多、覆盖范围广，中国电子技术标准化研究院在推动《指南》落实过程中，将进一步发挥专业标准化机构的权威性、引领性作用，利用标准研制、试验验证、贯标推广等多种方式，为主管部门提供技术支撑，为工业行业提供优质服务，帮助企业尽快将 《指南》的各项要求融入自身发展战略中。
   抓紧重点标准研制。加快推动工控安全防护建设实施规范、工业数据分类分级防护要求等关键标准的研制与发布，针对不同级别的数据研究提出更为细致的安全防护指标体系，联合工业企业、安全厂商、科研机构依据标准开展防护解决方案攻关，形成可复制、可推广的标准化成套防护方案。
   加强服务能力建设。围绕重点标准，建设更加完善的标准化服务能力，搭建涵盖工业数据分类分级、工控安全防护建设实施和数据安全成熟度评价等标准的贯标公共服务平台，为企业提供自对标、自诊断、自评价服务，帮助企业有效落实政策标准提出的各项要求，切实提升工业数据管理和安全防护能力。
   加快贯标应用推广。抓好贯标推进机制建设，联合产、学、研、用优势资源，共同打造 “贯标深度行”活动品牌，进一步深化分级管理和安全防护理念，增强企业数据管理和防护意识。服务有条件的地方建设贯标应用推广示范区，引导更多企业参与贯标、实施贯标，通过标准引领企业真正落实好主管部门的各项政策要求，促进工业数据的使用、流动、共享，释放数据潜在价值，赋能制造业高质量发展。
加快《指南》在烟草行业落地见效
■ 国家烟草专卖局经济信息中心副
   巡视员 张雪峰
   工业和信息化部最近印发的 《工业数据分类分级指南 （试行）》 （以下简称 《指南》），为工业领域提升数据管理能力、保障数据安全、发挥数据价值、促进数据共享，健全和完善数据生产要素参与分配机制提供了基本依据。在 《指南》编制过程中，烟草行业有关单位参与了试点工作。下面，从行业角度就 《指南》谈几点体会。
分类分级是数据管理的基础
   随着信息技术的发展，数据在国民经济运行的作用越来越重要，数据不仅成为战略资源，其本身也成为生产力的组成部分。由于不同类型的数据具有不同的权属关系、管理主体、应用特点、价值体现以及安全属性等，因此无论是开展数据资产管理和保护，还是建立数据生产要参与分配的机制，首先都要从数据分类分级做起。
   近年来，烟草行业一直致力于加强工业数据管理能力建设的探索，但由于缺乏有效的方法和路径，一些基础性工作始终难以破局。2019年，在工信部信息技术发展司的指导下，我们参与了 《指南》编制预研和试点验证工作，分别在浙江中烟和广东中烟两个企业开展工业数据分类分级。我们按照工信部课题组提供的原则和方法，完成了企业管理机构及下属卷烟厂两个工作区域，包含MES、制丝、卷包、物流、PDM、数字仓储、ERP、批次、营销等多个业务系统，20多类数据的分析和梳理，按照研发域、生产域、运维域、管理域、运行域、外部域等六大域进行了数据分类，按照数据重要性标准划分了数据防护等级。通过分类分级试点工作，理清了工业数据 “有哪些、有多少、在哪里、归谁管、谁在用”等基本情况，建立了全局数据模型和科学合理的数据架构，为工业数据治理工作找到了方向和抓手，打通了解决短板弱项的关键环节，为规范数据资产管理、开展数据保护提供了基础依据。
   结合前期试点工作，我们体会到《指南》的架构和内容，是在充分吸收前期调研成果的基础上制定的，既立足当前、又着眼长远，对生产企业实施工业数据分类分级进行了普适性谋划，为不同类型企业开展数据分类分级提供了方法论，具有较强的科学性和可行性。
贯彻落实 《指南》需把握好几个要点
   近年来，为加快构建工业领域网络安全保障体系，提升工业企业网络安全保障能力，工业和信息化部先后发布了多个指导性文件和安全标准规范。此次发布的 《指南》，为广大工业企业在进一步开展工业数据保护、释放工业数据红利、破解难题瓶颈指明了方向。烟草行业在贯彻落实 《指南》过程中，要将正确理解和把握 《指南》的定位与要义作为切入点、着力点和前提条件，不断提升用 《指南》指导实践工作的实效性。
   《指南》是贯彻落实 《网络安全法》的举措。工业数据主要来源于支撑工业领域产品制造和服务的信息系统，无论是数据的产生者、收集者还是使用者，作为信息系统的法定运营者都要履行 《网络安全法》赋予的安全管理义务，都要按照法律规定采取数据分类、重要数据备份和加密等措施进行数据安全保护。 《指南》针对我国工业数据的内涵和特征，提出了基于数据业务属性及安全属性的分类分级思路与方法以及安全保护的基本要求，在内容上对 《工业控制系统信息安全防护指南》所提的 “数据安全”要求进行了细化。两个指南相结合，为工业企业依法履行信息网络安全管理义务，开展工控系统运行安全和数据安全保护提供了可操作、可落地的实施规范和方法。
   《指南》是促进工业数据流动与共享的保障。孤木难成林。推动实施国家大数据战略，必须同步推进数据资源整合与开放共享。但是，随着知识产权保护力度不断加大，以及数据确权制度不断完善，哪些数据应该共享、哪些数据可以开放往往成为制约数据共享的瓶颈。 《指南》在促进数据充分使用、全局流动和有序共享方面提出了明确的指导意见，鼓励企业在做好数据管理的前提下适当共享一、二级数据，并且强调二级数据只对确需获取该级数据的授权机构及相关人员开放，三级数据原则上不共享，确需共享的应严格控制知悉范围。这就在需要数据共享的不同责任主体之间架起桥梁，大家可以在共同规则下共享数据，消除彼此的数据鸿沟和壁垒。为充分释放工业数据的潜在价值，实现工业数据的最大挖掘利用，运用数字化催生极具活力的新业态、新产业，有效推动管理创新、商业模式创新、营销创新和品牌创新提供了可行的路径。
   《指南》是实施技术防护的前提。在数据资源共享开放变得更加广泛、快捷的同时，安全隐患也随之加大，内外网数据交互流通、海量数据集中汇聚分析等为不法分子提供了更多窃取、篡改数据的路径和攻击面，数据安全风险隐患倍增。众所周知，数据安全离不开技术保障，但是，任何技术保障措施都是有成本的也是有限的。同时，在当前的科技发展阶段，安全性与易用性始终处于矛盾状态。因此，在数据安全防护上，我们不能眉毛胡子一把抓，要有针对性。企业按照《指南》进行工业数据分类分级以后，可以按照数据的重要程度和风险程度实施差异化保护，做到有的放矢，降低安全成本、提高技防有效性。
   目前，工业数据分类分级工作尚处于起步阶段，烟草行业虽然积累了前期试点经验，但在下一步贯彻执行工作中还可能会遇到一些问题和困难，一方面要努力改进方式方法以适应《指南》要求，一方面要认真总结经验，积极争取工信部专家指导，共同推进 《指南》在烟草行业落地见效。
精准防控数据安全风险
■ 国家工业信息安全发展研究中心主任
   尹丽波
   随着工业互联网、云计算、大数据、人工智能等新一代信息技术与制造业的深度融合发展，我国传统工业已走上数字化转型的道路，在数字化、网络化、智能化的趋势引领下，工业数据呈现出爆发式增长。汇集的海量数据经处理、分析、挖掘转化为信息和知识，可有效支撑工业生产决策，带来资源配置优化、生产效率提升和服务方式革新。工业数据作为新的生产要素资源，支撑供给侧结构性改革、驱动制造业转型升级的作用日益显现，正成为推动质量变革、效率变革、动力变革的新引擎。
   然而，工业数据的巨大价值也引发了黑客组织和攻击者的高度关注，企业普遍面临工业数据被篡改、泄露、窃取等安全风险，如何推动企业提升工业数据管理能力，在促进工业数据使用、流动与共享的同时实现有效管控治理，成为亟待解决的问题。近日，工业和信息化部印发的 《工业数据分类分级指南（试行）》 （以下简称 《指南》），从工业数据定义、分类分级方法、差异化管理等方面提出16条指导意见，这是工业领域关于数据分类分级管理的首份指导性文件，是加强工业数据管理实践探索和理论创新的重要阶段性成果。
工业数据面临的安全形势愈发严峻
国家工业信息安全发展研究中心（以下简称中心）发布的 《2019年工业信息安全态势展望报告》显示，2019年针对工业数据的网络攻击呈现明显增势，工业数据已成为网络攻击的重点目标。3月，全球铝业巨头挪威海德鲁公司遭网络攻击，20余种重要文件被加密，经济损失高达4000余万美元；6月，大型飞机零部件供应商ASCO遭遇勒索病毒攻击，位于比利时、德国、加拿大和美国的工厂被迫关闭，企业运营中断。据美国威瑞森公司 《2019数据泄露报告》统计，2019年制造业数据泄露事件共发生87起，较上一年增加16起，增幅近20%。
   分析发现，工业数据安全事件具有以经济利益为主要目的、以重要敏感工业数据为攻击目标、攻击大多来源于企业外部等特点。目前，我国暴露于公共互联网的工业控制系统和物联网设备，大多存在弱口令、目录遍历、SQL注入、未授权访问等漏洞，易被攻击者利用实施数据篡改、窃取及删除等恶意操作，工业数据面临的安全形势愈发严峻。
数字化转型时代亟待分类分级标定 “着力点”
   中心作为 《指南》编制的牵头支撑单位，承担了调查研究、指南起草、方法验证等重要任务。在前期调研中我们发现，随着工业数据体量的爆发式增长，工业领域对于数据安全的管理需求日益显现，很多大型工业企业和平台企业正在积极探索建立数据分类分级制度，目的在于通过分类梳理工业企业海量数据资产，明确基础数据类型，通过分级确定各类工业数据的敏感程度，明确数据的范围边界和使用方式，为加强数据安全管理，推动数据开放共享和最大化挖掘利用提供支撑。
   编制过程中，我们充分参考了美国 《联邦信息和信息系统安全分类标准》 （FIPS199）、我国 《GB/T35273-2017信息安全技术 个人信息安全规范》等标准文件，广泛听取了业界专家、企业的意见建议，深入研究了我国工业数据的内涵和特征，提出了基于数据业务属性及安全属性的分类分级思路方法。为进一步验证指南内容的可操作性和科学性，中心在国家烟草专卖局信息中心和江苏省、江西省等地方工业和信息化主管部门的大力支持下，先后赴多家工业企业和工业互联网平台企业对近350类工业数据进行定级分析，并根据试验验证结果进一步完善 《指南》内容。
   《指南》的出台为推进工业数据分类分级工作提供了方法和指导，为进一步做好工业数据管理，强化工业数据安全防护奠定了坚实的基础。中心将切实发挥工业信息安全 “国家智库”作用，致力于用科学理论、创新技术和解决方案服务于行业发展，为推进工业企业数字化转型，保障工业生产安全积极献力。