孙岩：新型工业化背景下数据安全挑战及应对

习近平总书记就推进新型工业化作出重要指示强调,“要完整、准确、全面贯彻新发展理念,统筹发展和安全,深刻把握新时代新征程推进新型工业化的基本规律,积极主动适应和引领新一轮科技革命和产业变革,把高质量发展的要求贯穿新型工业化全过程”。工业数据是新型工业化发展和新质生产力生成的优质要素,充分发挥我国工业数据资源优势和数据要素核心引擎作用,促进实体经济和数字经济深度融合是把握新一轮科技革命和产业变革新机遇的战略选择,是制造业高质量发展的必然路径。高质量发展需要高水平安全保障,在工业企业数字化、网络化、智能化的演进过程中,新型安全风险层出不穷,引发新技术应用隐忧,亟须深入分析并加以应对。

第一,宏观层面,以数据要素为核心的政治博弈暗流涌动。

欧美等西方国家强化规则输出,抢占国际数据安全规则主导权,如美国发布《存储通信法案》《澄清境外合法使用数据法》等多项法规,扩张自身数据主权,同时通过签发《关于防止受关注国家获取美国人大量敏感个人数据和美国政府相关数据的行政令》,削弱他国政府、企业获取美国境内数据的能力。欧盟发布《数据治理法案》(DGA)及指导文件,旨在通过增强非个人数据跨境流动共享提升数据要素在数字经济发展中的作用。在网络对抗环节,数据正成为现代网络战中的“关键打击目标”。俄乌冲突前后、巴以冲突中,除物理战场之外,数据成为网络战较量的重要目标,先后出现多个数据擦除恶意软件用于彻底破坏工业等关键系统的数据可用性。工业领域重要数据一旦遭到窃取、篡改、勒索和擦除将严重影响国家安全。

第二,中观层面,以级联效应为特征的行业安全风险加速泛化。

数实融合背景下,数据安全与经济社会耦合度越来越高,数据安全风险和威胁可迅速向物理世界渗透蔓延甚至叠加。工业领域产业链供应链结构复杂,数据安全风险的级联效应更加突出。例如,2022年,上海某信息科技公司销售总监王某等受利益驱动,非法收集并向境外公司提供我交通领域通信敏感信号等敏感数据。数据外泄严重威胁我国交通基础设施平稳运行。

第三,微观层面,以企业敏感信息为靶标的攻击窃取行为愈演愈烈。

工业数据承载企业生产、经营、研发等高价值信息,成为内外部攻击者窃取的重要目标。网络安全公司Malwarebytes的情报团队ThreatDown发布的2024年勒索软件报告显示,2023年7月～2024年6月,已知的勒索软件攻击总数为4582起,同比增长33%。国家工业信息安全发展研究中心调研发现,2023年近23%的规模以上工业企业发生过大规模数据泄露和重要数据暴露事件。2024年监测数据显示,我国大量程序代码、研发图纸等非结构化数据暴露于网盘、文库、第三方代码托管库等外部公开平台,工业数据安全风险形势复杂严峻。

第一,工业数据流通利用模式迭代更新,工业数据安全治理难度急剧增加。

新技术更迭衍生更多攻击手段。人工智能、大数据等新一代信息技术赋能工业企业数字化转型的同时,也引入了模型越狱、数据投毒等数据安全风险,传统的安全防护体系对这些新型未知风险缺乏相应的检测和防范机制,数据安全治理难度加大。例如,工业智能模型应用缺乏访问控制机制,在学习企业敏感数据后,可向任何用户生成与企业敏感数据相关的结果。三星电子在引入生成式人工智能技术后,在短短20天内便爆出三起机密数据外泄事件。

新要素流通场景产生更多保护需求。我国积极开展可信数据空间、数场、数联网等多种数据流通利用基础设施建设,工业数据要素逐步在不同企业主体间进行流通交易,这种新数据流通模式催生数据使用权、数据所有权、数据持有权分离的要素产权结构性分置需求,引发可信接入、跨域管控、履约溯源等新数据流通合规要求,落地解决方案仍在探索。

新国际形势催生更多数据跨境难题。我国工业企业在对外贸易环节需满足本土及海外多重数据出境要求,各国数据跨境要求不一,企业合规成本增大。此外,美国等西方国家在TTC(美国—欧盟贸易和技术委员会)、G7(七国集团)等国际组织中围绕数据、数字技术等提出诸多歧视性主张,炒作中国制造威胁论,工业企业因数据安全问题“走出去”困难重重。

第二,工业数据资源开发利用尚不充分,工业企业数据安全治理能力亟待提升。

工业数据资产底数不清制约高质量工业数据集供给。国家工业信息安全发展研究中心2023年调研数据显示,我国仅有不足30%的工业企业开展数据分类分级工作,大部分工业企业未进行数据治理,企业内部私域数据供给能力不足。研究公司Epoch AI预测,到2028年互联网中的公域高质量文本数据将被利用完毕。人工智能产业面临行业高质量专用数据供给危机,若无高质量私域数据供给,人工智能引擎对高端工业场景的精准赋能将遇到瓶颈。

数据安全防护体系薄弱限制工业数据有序共享流通。大部分工业企业仍采用网络安全技术手段进行静态数据安全防护,无法解决工业数据跨域动态流转过程中的安全风险,导致企业数据共享意愿降低。

新风险识别与管控能力缺失束缚工业“局部智能”转化为“全局智能”。现有服务制造业全流程智能化的模型普遍存在数据依赖性、不可解释性、算法歧视、未知漏洞等技术内生安全问题,产业界尚无成熟防护解决方案,新兴技术安全能力缺失导致工业智能模型未知突发性故障频发,极易引发产线停摆等严重生产事故,目前工业智能模型仍处于小规模应用和测试阶段,尚未实现面向研发、生产等全场景的大规模落地。

第三,工业数据安全创新水平有待提升,工业数据安全产业优质供给短缺匮乏。

工业专用安全防护产品供给不足。工业场景复杂多样,数据类型格式差异较大,传统数据安全防护技术在工业领域适用性不足,缺乏关键技术产品供给。例如,满足工业生产业务低时延、零扰动、高容错的防护技术仍在研究,垂直领域及细分场景的工业数据分类分级标准编制及机器可理解的数据分类分级策略抽取尚未开展,已有数据加密等安全能力对IT/OT网络融合场景的适配性不足等。

2024年9月9日,2024年国家网络安全宣传周“网络安全技术高峰论坛主论坛暨粤港澳大湾区网络安全大会”在广州市南沙国际金融论坛会议中心举行。

工业数据安全技术创新能力不足。在工业大数据安全防护技术领域,虽然我国部分企业进入全球专利申请人前列,但从专利引用情况来看,我国企业引用和被引用都较少,表明技术开发相对独立,对行业技术进步和市场发展趋势的影响力相对较弱。2024年,在全球信息安全产业大会(RSA Conference)中,超半数入围企业隶属美国。工业网关、安全芯片等关键硬件依赖Xilinx FPGA(现场可编程门阵列)、英飞凌安全MCU(微控制单元)等进口产品,供应链及技术断供风险严峻。

工业数据安全复合人才缺口较大。据《网络安全人才实战能力白皮书》预测,到2027年,我国网络安全人员缺口将达327万。工业数据安全属于数据安全和工业流程交叉融合领域,人才专业要求更高,涉及行业多、领域广,人才培养难度大,现有技术人才难以满足企业人才需求。

在“十五五”规划谋篇布局之际,聚焦我国制造业高端化、智能化、绿色化发展需求,面向以新一代信息技术促进生产率大幅提升和经济质量持续改善的主要目标,要因地制宜推动工业数据安全保护工作从传统“内循环”安全体系向“内外循环”联动安全体系转变,夯实新型工业化安全底座。

第一,以制度保障推动工业数据要素有序流通。

完善标准体系建设,强化合规牵引。在现有《工业领域重要数据识别指南》基础上,加快推进细分行业领域数据分类分级规则制定,准确区分不同类别、不同级别数据的内流通、外流通边界。2024年3月,全国网络安全标准化技术委员会发布的《数据安全技术 数据分类分级规则》,为各类组织和个人在数据处理活动中的数据分类分级工作提供了统一的框架和方法,有助于实现数据安全风险的可控性。加快工业数据流通安全等标准研制,清晰界定工业数据流通安全基线,引导工业企业、平台企业安全有序开发利用私域数据。

加强基础设施建设,促进有序流通。分步骤、分阶段搭建国家—省—企业联动的工业数据流通安全基础设施。通过企业级流通节点打造企业基础数据安全能力和流通能力,推动数据内循环,促进生产效率有效提升;通过省级流通节点构建基础数据安全流通工具库,在安全赋能基础上鼓励企业数据跨行业价值共创,让数据真正成为可实现创收的企业资产,进而推动优势制造行业产能迭代升级;通过国家级流通节点形成跨省数据流通安全监测、事件响应等数据流通安全监管能力,在为企业数据流通保驾护航基础上实现跨省数据资源互补,形成我国工业数据资产流通分布式账本。

深化国际开放合作,实现互利共赢。以《全球数据安全倡议》《全球数据跨境流动合作倡议》等为基础,积极参与数据安全治理多边或双边机制,在对等原则、互相尊重主权和利益诉求的前提下,探索建立务实可行的数据跨境流动合作机制。面向供应链管理、异地协同研发、服务外包等典型场景开展数据跨境流动试点,探索建立兼顾安全与发展的数据跨境流通机制,逐步构建各方共同认可的数据跨境保护规则。

第二,以安全治理保障工业数据要素价值挖掘。

加快数据资产管理,以高质量数据供给实现工业数据要素“供得出”。全面梳理盘点组织OT(操作运营技术)侧、IT(信息技术)侧、外部域数据资产,依据《数据安全技术 数据分类分级规则》《工业领域重要数据识别指南》等标准对组织数据资产进行分类分级,通过标签标识等手段构建企业数据资产目录,将分散于各系统的业务数据资源有机整合,转化为数据资产、数据要素赋能工业智能模型训练、数据价值挖掘等业务。

夯实数据安全基础,以高水平安全体系推动工业数据要素“流得动”。依据《工业企业数据安全防护要求》《工业领域数据安全风险评估规范》等标准制定企业数据资产差异化全生命周期安全防护规范,明确不同数据的共享流通策略,按需配置数据安全能力,定期评估数据安全风险状况,及时加固数据安全脆弱环节。提高数据安全监测预警能力,实时掌握组织数据资产流通态势,感知风险隐患。

探索数据利用模式,以高价值业务场景牵引工业数据要素“用得好”。探索多方安全计算、联邦学习、差分隐私等新兴技术在企业实际业务场景的落地应用,围绕供应链协同、定制化研发、数字化生产等典型场景搭建多方互信的数据流通利用环境,建设运营企业、行业可信数据空间,整合多方优质工业数据资源赋能业务效能提升。

第三,以技术创新提高优质数据安全能力供给。

加强工业数据安全技术创新能力。不断迭代优化数据分类分级、数据脱敏、数据加密等共性基础技术性能,解决其在工业生产业务场景适配性差、工业终端设备轻量部署难度高等问题。快速把握工业智能、可信数据空间等新技术、新场景开发应用下的数据安全新需求,研究攻关工业大模型数据隐私保护、跨网跨域数据流通安全等关键技术,为新技术在工业领域应用提供安全可靠环境。

提升工业数据安全产业创新能力。通过政策扶持、资金补助等方式引导面向工业生产制造场景特色需求的精细化、专业型数据安全产品生产,增强相关产品在工业OT-IT全域的兼容适配。搭建产品供需对接渠道,促进安全企业、大数据企业、工业企业供需信息共享,通过需求引领进一步为产业创新增加动力,提升产业主动创新能力。

完善工业数据安全人才培养体系。在高校、职业院校增设“工业数据安全”专业课程,融合交叉计算机、控制科学与工程、网络空间安全等多学科课程培养体系,培养适应工业数据安全岗位的优秀人才。强化职业培养体系,通过职业技能评价、职业技能资格认定、专业技能考核等方式健全工业数据安全人才选拔、考核、激励机制。举办工业数据安全品牌赛事活动,以赛代练提高工业数据安全队伍实战能力。

(编辑:户静凝)