毛片网站在线观看-毛片网站在线-毛片网站有哪些-毛片网站视频-女生脱衣服app-女色综合

為貫徹《促進(jìn)大數(shù)據(jù)發(fā)展行動(dòng)綱要》《大數(shù)據(jù)產(chǎn)業(yè)發(fā)展規(guī)劃（2016-2020年）》有關(guān)要求，更好推動(dòng)《數(shù)據(jù)管理能力成熟度評(píng)估模型》（GB/T 36073-2018）貫標(biāo)和《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》落實(shí)，指導(dǎo)企業(yè)提升工業(yè)數(shù)據(jù)管理能力，促進(jìn)工業(yè)數(shù)據(jù)的使用、流動(dòng)與共享，釋放數(shù)據(jù)潛在價(jià)值，賦能制造業(yè)高質(zhì)量發(fā)展，2020年2月27日，工業(yè)和信息化部印發(fā)《工業(yè)數(shù)據(jù)分類(lèi)分級(jí)指南（試行）》。本期特邀浙江國(guó)利網(wǎng)安科技有限公司王迎、許劍新撰文解讀《工業(yè)數(shù)據(jù)分類(lèi)分級(jí)指南（試行）》指導(dǎo)下的工業(yè)安全防護(hù)。

工業(yè)數(shù)據(jù)是工業(yè)數(shù)字化進(jìn)程的重要媒介，也是工業(yè)企業(yè)數(shù)字化轉(zhuǎn)型的重要資產(chǎn)，因此工業(yè)數(shù)據(jù)既具有流通作用，又具有投資價(jià)值，尤其是在工業(yè)互聯(lián)網(wǎng)基礎(chǔ)設(shè)施建設(shè)關(guān)鍵階段、全面的工業(yè)信息安全防護(hù)落地階段，試行并實(shí)施《工業(yè)數(shù)據(jù)分類(lèi)分級(jí)指南（試行）》（以下簡(jiǎn)稱(chēng)“《指南》”），對(duì)工業(yè)企業(yè)、地方政府主管部門(mén)、工業(yè)互聯(lián)網(wǎng)平臺(tái)企業(yè)、工業(yè)安全企業(yè)具有重要的指導(dǎo)意義，有利于各方通力合作，共同維護(hù)好各級(jí)工業(yè)數(shù)據(jù)的應(yīng)用管理和保護(hù)工作。

《指南》的“第一章（第一條~第四條）”從工業(yè)數(shù)據(jù)的定義、類(lèi)型以及適用范圍等方面進(jìn)行了詮釋?zhuān)暧^上闡明了工業(yè)數(shù)據(jù)分類(lèi)分級(jí)和管理的目標(biāo)、意義和原則，并提出了數(shù)據(jù)分類(lèi)分級(jí)的原則和措施，明確了工業(yè)數(shù)據(jù)的管理主體，以及需要進(jìn)一步落實(shí)和完善的工作內(nèi)容。

本文重點(diǎn)針對(duì)《指南》中分級(jí)管理的數(shù)據(jù)安全保護(hù)角度，結(jié)合工業(yè)企業(yè)及平臺(tái)企業(yè)信息與網(wǎng)絡(luò)安全防護(hù)實(shí)施的具體需求和情況，解讀和分析工業(yè)數(shù)據(jù)分類(lèi)分級(jí)和保護(hù)的工作內(nèi)容，并對(duì)工業(yè)安全服務(wù)企業(yè)應(yīng)發(fā)揮的作用和扮演的角色提出一些建議。

工業(yè)數(shù)據(jù)的分類(lèi)分級(jí)是為了對(duì)數(shù)據(jù)進(jìn)行更為科學(xué)合理的保護(hù)，對(duì)企業(yè)而言，通過(guò)分級(jí)保護(hù)措施有助于工業(yè)安全防護(hù)建設(shè)投入成本，獲得更高的數(shù)據(jù)保護(hù)投資收益。

《指南》的“第二章（第五條~第七條）”將工業(yè)數(shù)據(jù)按照工業(yè)企業(yè)的生產(chǎn)制造和平臺(tái)企業(yè)的服務(wù)運(yùn)營(yíng)進(jìn)行劃分，并分別從不同的維度對(duì)數(shù)據(jù)分類(lèi)進(jìn)行了指導(dǎo)，數(shù)據(jù)類(lèi)型覆蓋了工業(yè)領(lǐng)域產(chǎn)品和服務(wù)全生命周期，保證了工業(yè)數(shù)據(jù)分類(lèi)的完備性。

《指南》的“第三章（第八條~第十一條）”則是從工業(yè)數(shù)據(jù)的影響程度對(duì)其進(jìn)行了分級(jí)，其實(shí)質(zhì)是“影響級(jí)別”，定級(jí)參考影響范圍（可理解為局部影響、相繼影響、整體影響等三級(jí)）、持續(xù)時(shí)間（可理解為時(shí)間短、時(shí)間長(zhǎng)、永久或較難逆轉(zhuǎn)等三級(jí)）、可恢復(fù)性（可理解為易恢復(fù)、恢復(fù)代價(jià)較大、無(wú)法恢復(fù)或較難挽回等三級(jí)）等多個(gè)維度，形成了工業(yè)數(shù)據(jù)分級(jí)的定性基本標(biāo)準(zhǔn)。

盡管工業(yè)數(shù)據(jù)的最終承載者仍然是生產(chǎn)和平臺(tái)運(yùn)營(yíng)企業(yè)，但實(shí)際上廣義數(shù)據(jù)的整個(gè)生命周期涉及到產(chǎn)品和設(shè)備供應(yīng)商和平臺(tái)開(kāi)發(fā)企業(yè)（研發(fā)數(shù)據(jù)域）、系統(tǒng)建設(shè)和維護(hù)方（生產(chǎn)數(shù)據(jù)域）、工業(yè)生產(chǎn)企業(yè)（管理數(shù)據(jù)域）、業(yè)務(wù)合作企業(yè)（外部數(shù)據(jù)域）、平臺(tái)運(yùn)營(yíng)和管理企業(yè)（平臺(tái)運(yùn)營(yíng)數(shù)據(jù)域、企業(yè)管理數(shù)據(jù)域）等多個(gè)法人主體，一方面需要統(tǒng)一的數(shù)據(jù)保護(hù)框架，對(duì)各類(lèi)數(shù)據(jù)尤其是涉及到主體企業(yè)主體間的連通和共享數(shù)據(jù)進(jìn)行一致性的保護(hù)，保證每個(gè)類(lèi)別和級(jí)別的安全數(shù)據(jù)獲得相匹配的保護(hù)措施；另一方面，工業(yè)數(shù)據(jù)在各主體企業(yè)流轉(zhuǎn)過(guò)程中，由于各主體單位對(duì)某個(gè)數(shù)據(jù)在本企業(yè)業(yè)務(wù)中的影響和價(jià)值不同，有可能存在“相同數(shù)據(jù)，不同定級(jí)”的情況，從而導(dǎo)致相同的數(shù)據(jù)可能在不同的企業(yè)中實(shí)施了不同的安全防護(hù)策略，這種情況可能會(huì)造成攻擊者可以通過(guò)間接的方式獲得較高級(jí)別的數(shù)據(jù)，所以在數(shù)據(jù)定級(jí)時(shí)，對(duì)于交叉使用的數(shù)據(jù)既需要考慮對(duì)本企業(yè)的影響，也需要考慮對(duì)其他相關(guān)企業(yè)的影響。

因此，工業(yè)企業(yè)在實(shí)施安全防護(hù)建設(shè)時(shí)，需要遵循工業(yè)數(shù)據(jù)安全保護(hù)原則，參照分級(jí)數(shù)據(jù)來(lái)制定和實(shí)施符合分級(jí)保護(hù)需求的防護(hù)措施；同時(shí)，工業(yè)數(shù)據(jù)在不同企業(yè)之間需要實(shí)施“平衡保護(hù)”，即一是進(jìn)行平臺(tái)級(jí)的綜合評(píng)級(jí)，保證“同數(shù)據(jù)，同級(jí)別”；二是實(shí)施與級(jí)別相匹配的防護(hù)措施，保證“同級(jí)別，同防護(hù)”。

從“平衡保護(hù)”的需求來(lái)看，一是需要實(shí)現(xiàn)工業(yè)數(shù)據(jù)在工業(yè)企業(yè)以及平臺(tái)企業(yè)為核心的流轉(zhuǎn)體系中的追蹤，通過(guò)標(biāo)記、指紋等方式保證相同數(shù)據(jù)在不同承載對(duì)象上能夠準(zhǔn)確識(shí)別，以實(shí)施相同的防護(hù)；二是需要做好工業(yè)數(shù)據(jù)在整個(gè)流通鏈上下游主體間的安全承接和監(jiān)控，保證數(shù)據(jù)流轉(zhuǎn)中的完整性，當(dāng)數(shù)據(jù)形態(tài)發(fā)生變化時(shí)，進(jìn)行相應(yīng)的級(jí)別調(diào)整。

在“平衡保護(hù)”的實(shí)施中，第三方工業(yè)安全企業(yè)應(yīng)發(fā)揮重要的串聯(lián)作用，可以聯(lián)合工控設(shè)備供應(yīng)商和平臺(tái)開(kāi)發(fā)企業(yè)從數(shù)據(jù)分級(jí)和安全防護(hù)等角度綜合解決上述問(wèn)題和關(guān)鍵技術(shù)，并協(xié)助工業(yè)企業(yè)和平臺(tái)企業(yè)完成工業(yè)數(shù)據(jù)分類(lèi)分級(jí)。

《指南》的“第四章（第十二條~第十六條）”認(rèn)定了工業(yè)數(shù)據(jù)分級(jí)管理的責(zé)任主體，提出工業(yè)企業(yè)、平臺(tái)企業(yè)等責(zé)任主體應(yīng)設(shè)置管理制度、管理機(jī)構(gòu)和專(zhuān)職人員以及安全事件應(yīng)急預(yù)案，建立了工業(yè)數(shù)據(jù)分級(jí)保護(hù)與工業(yè)控制系統(tǒng)信息安全防護(hù)之間的聯(lián)系，并建議企業(yè)在必要的情況下開(kāi)放數(shù)據(jù)。

工業(yè)數(shù)據(jù)分級(jí)的基礎(chǔ)是“影響級(jí)別”，對(duì)各級(jí)工業(yè)數(shù)據(jù)保護(hù)的實(shí)質(zhì)，是根據(jù)數(shù)據(jù)管理的責(zé)任主體來(lái)實(shí)施安全防護(hù)，即防護(hù)實(shí)施的對(duì)象不是數(shù)據(jù)本身，而是數(shù)據(jù)的承載對(duì)象和數(shù)據(jù)的所有者，數(shù)據(jù)本身并沒(méi)有意義和價(jià)值，而是數(shù)據(jù)與企業(yè)中的業(yè)務(wù)、與設(shè)備、與人建立了關(guān)聯(lián)之后賦予了數(shù)據(jù)作為描述和操控業(yè)務(wù)、數(shù)據(jù)和人的手段。

因此，與數(shù)據(jù)“影響級(jí)別”相對(duì)應(yīng)的是責(zé)任主體的“安全級(jí)別”，責(zé)任主體因工業(yè)數(shù)據(jù)安全所造成的風(fēng)險(xiǎn)越小，即工業(yè)數(shù)據(jù)的影響越小，責(zé)任主體的“安全級(jí)別”越低。責(zé)任主體的安全目標(biāo)是降低風(fēng)險(xiǎn)，數(shù)據(jù)本身的“固有級(jí)別”在責(zé)任主體中各對(duì)象不變的情況下是無(wú)法降低的，只能通過(guò)企業(yè)安全防護(hù)措施，從影響范圍、持續(xù)時(shí)間、可恢復(fù)性等三個(gè)維度去降低工業(yè)數(shù)據(jù)的“實(shí)際級(jí)別”，從而達(dá)到降低責(zé)任主體“安全級(jí)別”的目標(biāo)。

在《指南》指導(dǎo)下，工業(yè)企業(yè)和平臺(tái)企業(yè)等主體在結(jié)合了工業(yè)數(shù)據(jù)分類(lèi)分級(jí)的安全防護(hù)建設(shè)應(yīng)具有以下新特征：

3.1 數(shù)據(jù)最高級(jí)別決定防護(hù)措施

無(wú)論是工業(yè)現(xiàn)場(chǎng)輸入和生成的數(shù)據(jù)、工業(yè)企業(yè)主機(jī)上存儲(chǔ)的數(shù)據(jù)、工業(yè)網(wǎng)絡(luò)中流動(dòng)的數(shù)據(jù)，還是工業(yè)互聯(lián)網(wǎng)上的企業(yè)間互通數(shù)據(jù)，通常可能存在一、二、三級(jí)數(shù)據(jù)是融合、混存的，并且是較難按級(jí)別進(jìn)行分流和切割的，因此在定級(jí)上通常會(huì)采用“就高原則”，既只要認(rèn)定整體數(shù)據(jù)中部分存在三級(jí)數(shù)據(jù)，即可將整體數(shù)據(jù)定級(jí)為三級(jí)，從而執(zhí)行相應(yīng)的防護(hù)措施。

3.2 “數(shù)據(jù)拼圖”全景下的定級(jí)策略

數(shù)據(jù)的級(jí)別，有時(shí)候具有一個(gè)量的特征，單一的數(shù)據(jù)不會(huì)造成影響或者引發(fā)信息泄露，但是數(shù)據(jù)量越大，涉及的可分析維度越多，級(jí)別越高；從另一個(gè)角度來(lái)說(shuō)也可以分為局部數(shù)據(jù)和整體數(shù)據(jù)。這兩種情況均體現(xiàn)的是一個(gè)“數(shù)據(jù)拼圖”的概念，數(shù)據(jù)量不斷積累，當(dāng)能夠呈現(xiàn)出數(shù)據(jù)全景時(shí)，數(shù)據(jù)的級(jí)別可能會(huì)出現(xiàn)級(jí)別的質(zhì)變。因此，工業(yè)數(shù)據(jù)的定級(jí)策略是一個(gè)多維度的全景分析問(wèn)題，可能涉及到數(shù)據(jù)索引、數(shù)據(jù)關(guān)聯(lián)、數(shù)據(jù)組合等方面的技術(shù)性問(wèn)題。

3.3 數(shù)據(jù)開(kāi)放是主體防護(hù)意識(shí)的升華

涉及到工業(yè)數(shù)據(jù)的工業(yè)企業(yè)和平臺(tái)企業(yè)安全對(duì)抗，攻守雙方的競(jìng)爭(zhēng)實(shí)質(zhì)是信息（數(shù)據(jù)）的掌握程度和分析能力。對(duì)于工業(yè)數(shù)據(jù)的獲取渠道，攻方可以通過(guò)非法、暴力的手段獲得，而守方必須從合法渠道，并且在數(shù)據(jù)所有者授權(quán)的情況下才能獲得。此外，攻方獲取數(shù)據(jù)具有定點(diǎn)性，守方則需具有全面性，任何短板都易成為守方的天然劣勢(shì)，這也是古老的“木桶原理”。因此就目前企業(yè)數(shù)據(jù)在保護(hù)隱私的前提下，無(wú)論從數(shù)據(jù)時(shí)效性還是數(shù)據(jù)分析樣本范圍上，守方都不具備優(yōu)勢(shì)。

從防護(hù)意識(shí)上來(lái)說(shuō)，意識(shí)是人的屬性，不是工業(yè)中“物”的屬性。《指南》“第十五條”中鼓勵(lì)工業(yè)數(shù)據(jù)擁有者將數(shù)據(jù)開(kāi)放給防守合作方，適當(dāng)共享一、二級(jí)數(shù)據(jù)，提升的是責(zé)任主體人的防護(hù)意識(shí)，使守方占據(jù)數(shù)據(jù)領(lǐng)先優(yōu)勢(shì)，最終讓守方幫助工業(yè)數(shù)據(jù)擁有者進(jìn)行更為恰當(dāng)?shù)姆雷o(hù)。

3.4 “二次數(shù)據(jù)”需具備更高的級(jí)別

工業(yè)“一次數(shù)據(jù)”是指直接從工業(yè)現(xiàn)場(chǎng)、工業(yè)主機(jī)、工控設(shè)備、工業(yè)網(wǎng)絡(luò)上獲取的數(shù)據(jù)，是責(zé)任主體中的原始數(shù)據(jù)。通常企業(yè)中會(huì)部署分析系統(tǒng)、診斷系統(tǒng)、監(jiān)控系統(tǒng)、防護(hù)系統(tǒng)等系統(tǒng)，通過(guò)采集“一次數(shù)據(jù)”，并經(jīng)過(guò)對(duì)大規(guī)模“一次數(shù)據(jù)”進(jìn)行分析和處理后獲得的數(shù)據(jù)稱(chēng)為“二次數(shù)據(jù)”，這部分?jǐn)?shù)據(jù)更能夠清晰地表達(dá)出數(shù)據(jù)的核心內(nèi)容，因此比“一次數(shù)據(jù)”更有價(jià)值，更容易被攻擊者所利用。因此在保護(hù)“一次數(shù)據(jù)”的同時(shí)，更加要注重“二次數(shù)據(jù)”的保護(hù)，有必要將“二次數(shù)據(jù)”設(shè)定為更高的級(jí)別，并對(duì)“二次數(shù)據(jù)”的生成對(duì)象實(shí)施更高級(jí)別的防護(hù)。

3.5 應(yīng)急需要技術(shù)框架下的持續(xù)聯(lián)動(dòng)

《指南》“第十六條”重點(diǎn)強(qiáng)調(diào)應(yīng)急，包括“事前”的預(yù)案和“事后”的處置，仍然應(yīng)該是從影響范圍、持續(xù)時(shí)間、可恢復(fù)性等三個(gè)維度去考慮應(yīng)急響應(yīng)問(wèn)題，其中影響范圍的控制是要做好區(qū)域限定和隔離，以使在事件發(fā)生時(shí)能夠切斷區(qū)域關(guān)聯(lián)，避免相繼事件發(fā)生；持續(xù)時(shí)間實(shí)際指的是從影響產(chǎn)生到影響停止的時(shí)間，需結(jié)合工業(yè)現(xiàn)場(chǎng)的情況實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)與安全系統(tǒng)間的快速聯(lián)動(dòng)；可恢復(fù)性通常需要受影響對(duì)象從異常狀態(tài)恢復(fù)到正常狀態(tài)，這里除了易造成物理?yè)p毀的設(shè)施無(wú)法恢復(fù)外，應(yīng)能夠快速地恢復(fù)與數(shù)據(jù)有關(guān)的業(yè)務(wù)。因此應(yīng)急不僅僅是管理和服務(wù)范疇，而是涉及到多個(gè)技術(shù)層面，并且是需要多方對(duì)接聯(lián)動(dòng)的持續(xù)性過(guò)程。

從“微盟刪庫(kù)事件”可以總結(jié)出一些數(shù)據(jù)防護(hù)的意義和經(jīng)驗(yàn)，一是對(duì)工業(yè)企業(yè)而言，數(shù)據(jù)即是資產(chǎn)和價(jià)值，數(shù)據(jù)的損失直接導(dǎo)致生產(chǎn)環(huán)境及數(shù)據(jù)遭受?chē)?yán)重破壞；二是防護(hù)的對(duì)象不僅僅是來(lái)自于外部，也可能來(lái)自于內(nèi)部，對(duì)于工業(yè)數(shù)據(jù)的保護(hù)可以借鑒工控系統(tǒng)的安全連鎖方式，從概率角度較低風(fēng)險(xiǎn)；三是事件應(yīng)急應(yīng)該是即時(shí)性的，處置的時(shí)間窗口應(yīng)設(shè)定在較小范圍內(nèi)，以避免更大規(guī)模的損失。

《指南》的意義在于通過(guò)工業(yè)數(shù)據(jù)將所有的安全相關(guān)主體和對(duì)象進(jìn)行連接，通過(guò)工業(yè)數(shù)據(jù)分類(lèi)分級(jí)，更加清晰地指導(dǎo)了對(duì)工業(yè)企業(yè)安全的描述，并從數(shù)據(jù)安全及其影響的角度實(shí)現(xiàn)了對(duì)數(shù)據(jù)價(jià)值的評(píng)價(jià)。