石油化工行业工业数据分类分级思路探讨
时间:2023-02-22 17:00:09 来源:千叶帆 本文已影响人
吕 波
(石化盈科信息技术有限责任公司,北京 100007)
随着我国数字化战略在石油化工方面的快速推进,海量工业数据产生。这些数据充分描述了石油化工在各方面的发展历程,汇集石化企业长期以来积累的科研和生产管理经验,是石化企业的重要核心资产,具有重大的技术经济价值。作为新的生产要素,数据是数字经济的核心关键,充分挖掘油气生产过程的数据,是现阶段石化企业的重要工作,有助于加速数字化转型进程,提升企业的生产决策能力。对数据进行有效的分类分级,是实现数据保护以及数据利用的重要条件。
随着石化企业数字化转型,各种石化数据成指数增长,传统的数据分类分级手段无法有效处理勘探、炼采、转储等生产环节的数据,难以为数据的保护工作提供有效支撑。因此,深入研究油化数据的特点,开展数据分类分级工作,对消除“数据孤岛”,促进生产协同,实现能源大数据的更高价值,提升数据安全性、有效性与易用性具有重要意义。
油化数据的分类分级是一项复杂的、充满挑战的系统工程,需要充分了解勘探开发、炼化运输等各生产环节产生的IT数据、OT数据,在制定标准、规范流程、定义属性、分类分级等方面开展工作。在数字化、智能化的背景下,细致完成数据分类分级工作,让数据充分发挥要素价值的同时,可以更好更精细地制定管控措施,切实保障油化数据安全。
1.1 按业务属性分类
石油化工行业生产和经营管理活动中产生、采集、加工、使用或管理的各类数据,包括但不限于以下:
油气勘探开发过程中产生和获取的相关数据,如物化探数据、地质油藏数据、井筒工程数据等;
企业生产过程中产生和获取的相关业务数据,如供应链管理数据、设备管理数据、生产管控数据等;
企业经营管理过程中产生和获取的相关数据,如财务数据、资产数据、人力资源数据等;
通过付费或数据共享等方式有偿获得的第三方数据,如勘探开发地质数据、气象数据、海况数据等;
其他生产经营活动需要的数据,如地理信息数据、人文数据等。
1.2 按数据类型分类
石油化工行业数据按照数据类型包括结构化数据、非结构化数据及半结构化数据。
结构化数据,由明确定义数据类型的数据元素组成,数据元素之间具有统一且确定关系。非结构化数据,是由没有统一和确定关系的数据元素组成。数据元素之间具有不同的内部结构,无法预定义统一的数据模型或模式进行表达和存储,如各种图形图像数据、时间序列数据、体数据、音视频数据、日志数据、地理信息数据、社交网络数据和三维模型数据等。非结构化数据在企业全部数据的占比较大,约在80%以上。半结构化数据,是指数据元素之间的关系介于结构化数据和非结构化数据之间,具有非关系模型、基本固定结构模式的数据,包括日志文件、XML文档、JSON文档、E-mail等。
2.1 油化数据分类分级工作的需求分析
1)落实法律法规的需要。国家对数据资源十分重视,近年来陆续颁布实施《网络安全法》《数据安全法》《关键信息基础设施安全保护条例》等一系列法律法规,旨在建立、推动数据安全的上层架构,在法律法规中也明确规定了要建立数据分类分级制度。
2)贯彻国家数字经济发展战略的需要。2022年1月,国务院印发的《“十四五”数字经济发展规划》提出,到2025年初步建立数据要素市场体系。充分发挥数据要素作用,建立数据资源产权、交易流通、跨境传输和安全保护等基础制度和标准规范,推动数据资源开发利用,数据分类分级工作势在必行。
3)数据协同的需要。油化数据是我国工业重要的基础数据之一,涉及多专业、多设备的参与,对提升工业价值、促进工业创新具有重要意义。但由于在油化生产的勘探、炼采、储运、销售等各环节形成了结构化、非结构化、半结构化的数据格式,需要建立一套切实有效的数据分级分类标准、原则、制度、流程、平台等手段,压实基础,能够更好地体现油化数据的价值。
4)数据安全的需要。贯彻落实国家层面法律法规,依据工业和信息化指导文件,落实数据安全防护工作,加强数据分类分级管理、安全防护、安全评估、安全监测等能力,提升行业数据安全防护水平,建设满足现有需求同时能够可持续发展的数据安全防护体系是数字化转型的基础工作之一。
2.2 油化数据分类分级工作的挑战
1)数据源不清晰。由于数据散落在各个异构系统中,数据结构、数据类型、存储形式、敏感级别、重要程度各不相同,分级分类条理模糊。企业对数据资产的记录可能随着时间流逝、人员变动等原因产生梳理盲点的情况,可以采用技术扫描资产信息、人工配合的形式来尽量达到数据源的全覆盖。
2)数据分类维度确定。数据分类的目的是要便于数据的管理、利用,基本原则是分类合理。建议先根据数据的管理归属以及业务情况对数据进行大类划分,再依据数据属性划分出子类,为了保证后续分级的准确性,最后根据自身情况对数据子类再次进行更细致分类。
3)数据复杂且海量。通过AI技术对海量数据进行数据分类分级,一方面可有效规避人工方式出错率高的风险,另一方面可降低人工分类分级的成本,同时可实现全天候分类,增加分类分级的持续性和迭代性。在此基础上,结合人工决策,为系统数据分类分级策略配置和结果进行甄别调整。
4)数据分类分级的持续性。数据是动态和流动的,业务也是不断新增和发展的,分类分级清单也会不断变化。《工业企业数据安全防护要求(草案)》给出了工业企业数据安全防护的管理要求和全生命周期保护要求,重点针对不同安全级别的工业数据提出分级防护要求。建议企业要保持数据分类分级的持续性,并强化数据全生命周期的安全保障。
3.1 组织架构保障
数据分类分级工作的开展应具备组织保障,设立并明确有关部门(或组织)及其职责。决策层负责制定企业数据战略、审批或授权,全面协调、指导和推进企业的数据分类分级工作;
管理层主要负责建立企业数据分类分级的完整体系,制定实施计划,统筹资源配置、建立数据分类分级常态化管理机制,组织评估数据分类分级工作的有效性和执行情况,制定并实施问责和激励机制;
执行层在管理层的统筹安排下,根据相关制度规范的要求,具体执行各项工作。
3.2 制度规范保障
数据分类分级工作的开展应具备制度保障,明确并落实相关工作要求。包括但不限于:数据分类分级的目标和原则;
数据分类分级工作涉及的角色、部门及相关职责;
数据分类分级的方法和具体要求;
数据分类分级的日常管理流程和操作规程,以及分类分级结果的确定、评审、批准、发布和变更机制;
数据分类分级管理相关绩效考评和评价机制;
数据分类分级结果的发布、备案和管理的相关规定。
3.3 数据安全防范思路
对于石油化工领域的数据安全管理和能力建设,应聚焦业务领域数据的内容、特征,紧贴业务应用场景,以分类分级为基础,围绕重要数据、核心数据,开展分级防护与精细化管控、安全能力评估并持续运营。
3.3.1 以数据分类分级为基础,识别重要数据资产
石油化工行业各生产环节中产生和使用的数据类型众多、数据来源复杂、体量大,将数据分类分级管理和开展工作赋能到工业企业相关业务条线,识别重点保护的数据类型,并进行常态化管理是一种必然。为此应至少做到以下几点:
1)识别并对石油化工企业各个业务条线数据的敏感性进行评价,识别出具有业务成果性、关键性、重要性、核心性数据,区分敏感数据类型,并进行数据安全类型和数据安全级别的标记。
2)按照工业和信息化领域的相关要求,需识别出对国家安全、行业发展(安全管控、经济运行、行业竞争)、行业特色、出库管制、供应链安全等相关的重要数据和核心数据,并按照要求完成其备案管理工作。
3.3.2 识别主要业务场景,强化基础安全防护能力
不同业务场景下面对的数据安全风险不同,每段业务流程中对数据的安全访问与数据的级别、类别、数据全生命周期无法做到一一对应,在业务场景中根据数据全生命周期的逻辑而落地技术保护措施难度较大。因此,针对于数据量大、数据来源复杂、数据业务场景众多的情况,要从识别业务场景出发,构建数据安全能力。
1)典型业务场景识别:在工业企业的众多业务场景中,在不同的工业业务信息系统中,数据的类型、敏感性存在差异化。厘清并识别出工业企业关键性、核心性业务场景,是做数据安全风险识别的先决条件。
2)数据安全风险识别:选择典型的业务应用场景,围绕敏感数据(含重要数据、核心数据),通过开展数据安全维度的威胁建模、风险分析,从而暴露出典型业务场景中的数据安全风险问题。
3)数据安全能力持续:围绕识别的数据安全风险,通过其暴露的安全问题,选取针对性的数据安全能力,并落地技术防护措施,在支撑企业业务正常开展的同时,确保典型业务场景下数据安全使用和数据安全能力的可持续。
3.3.3 基于数据分类分级结果实施分级管控与防护策略
数据安全管理的主要职责需要从企业全局和实际现状考虑,在构筑数据安全管理体系时应充分考虑现有企业的相关管理体系、组织结构和人员组成等情况,确定各相关方的数据安全管理职责。企业数据安全管理体系的构建需要做到以下几点:
1)优化数据安全管理体系,在企业原有相关的安全体系下构建数据安全管理体系,优化数据安全管理组织架构。
2)明确数据安全组织职能分工,确定数据安全主管部门(信息化部或数字化部)各相关方职责。其中各相关方包含采购、人力、研发设计、生产制造、运营维护、销售营销、法务、审计等。
3)明确数据安全岗位职责与说明,通过数据安全相关管理制度明确具体内容。数据安全管理制度包括但不限于数据安全管理办法、数据分类分级规范、数据安全审计规范、数据安全评估办法、数据安全应急管理制度、数据内部登记审批制度等。
相关企业在开展业务时,对数据访问、使用等环节应基于业务视角,对数据类型、数据流转的系统与载体、流转的数据量级、流转目的、数据存储位置、数据的消费方、数据使用方式等内容进行梳理,并结合数据分类分级结果,构建精细化的数据安全防护策略,其中包含但不限于:
1)分级防护策略:结合数据分类分级结果、数据全生命周期维度,从数据安全管理、数据安全技术防护视角构建数据安全防护策略。
2)精细化访问控制策略:从业务访问数据资源的需求出发,制定可落地的访问控制策略或技术措施,保护访问角色、系统账户密码安全,做到数据资产统一访问纳管。
3)场景化防护策略:围绕业务场景和数据流转,梳理数据脉络,识别数据的访问关系,制定贴合业务场景的数据安全防护策略。
3.3.4 持续数据安全能力评估,加强数据安全事件运营
开展数据安全能力评估是从综合评价的角度,运用科学的方法和手段,系统地分析和诊断工业数据所面临的威胁及其存在的脆弱性,以此来评估企业数据安全防护水平,发现数据安全能力的弱项和短板,及时查漏补缺,提升自身的数据安全能力,通过持续的数据安全能力评估活动,使企业在自身数据安全全方位能力建设过程中夯实基础、稳扎稳打。数据安全能力评估主要参照《工业数据安全评估指南(草案)》规定的104项数据安全能力进行评估,从评估结果得分确定工业企业数据安全能力的强弱,其中包含:
1)通用性数据安全管理能力评估,包含评估数据安全管理制度、组织机构、人员保障、权限管理、系统与设备安全管理、供应链数据安全管理、安全评估、日志留存和审计、监测预警、信息共享和应急处置等通用性的数据安全能力。
2)分级防护能力评估,通过对不同等级的数据,在数据使用和管理等各个环境,进行全生命周期的差异化分析和评估,从而制定合理有效的防护策略。在数据安全监测环节,需要合理利用工具,保障数据安全防护的持续、有效运营。
数据安全风险监测的重点是数据风险的发现和控制,通过技术手段识别、规避和缓释业务各个环节上的数据安全风险,建立数据风险评估机制,通过对数据风险的发生概率、影响对象以及影响程度进行综合性分析,按照系统化、及时掌握石化企业数据安全风险态势,科学化管理思想,分析研判可能发生重大数据安全事件风险的情况。
围绕数据流动监测、数据风险管理、数据风险评估等能力,实现对数据安全风险的态势、数据安全事件溯源的感知。具体包括,对单位时间段内的数据资产分布、敏感数据量、敏感数据类型等指标进行统计分析与趋势预测;
对数据资产流动的程序和载体,如数据库、应用、API等涉敏对象采取敏感数据量、敏感数据类型等指标进行统计分析与趋势预测;
对分布在不同位置、不同时间、不同类别、不同级别的数据资产的安全告警、事件处置等指标进行统计分析与趋势预测。围绕数据分布、流动、风险3个维度,为运营人员构建清晰的宏观视图。对于安全事件溯源能力,应通过对数据资产内容和相关方溯源,将可疑的“人”“数”“证据”等信息按时间顺序组织成为事件链,为运营人员构建细致的微观视图。
