工业互联网数据交换共享安全模型

1T/BJAIIXXX—2022工业互联网数据交换共享安全模型本文件提出工业互联网数据安全共享模型，阐述了工业互联网数据共享模式、主要角色、各模式下的安全过程活动，用于指导工业互联网数据共享相关方安全开展数据共享活动，以保障数据共享前、中、后各阶段的数据安全性。本文件适用组织间安全开展工业互联网数据共享活动，也可为组织内部、组织与个人之间的工业互联网数据安全共享提供参考。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T25069—2022信息安全技术术语GB/T36478.1-2018物联网信息交换和共享第1部分：总体架构GB/T35273—2020信息安全技术个人信息安全规范3术语、定义与缩略语GB/T25069—2022界定的术语和定义以及下列术语和定义适用于本文件。3.1术语和定义3.1.1数据安全datasecurity以数据为中心的安全，保护数据的完整性、可用性和保密性。3.1.2数据脱敏datadesensitization对敏感信息进行数据变形处理，实现对敏感隐私信息的保护。2T/BJAIIXXX—20213.1.3身份鉴别entityauthentication鉴别一个实体拥有其声明的身份。3.1.4加密encryption一种基于密码算法对数据的可逆变换，用于隐藏数据的信息。3.1.5数据供方dataprovider数据共享中提供数据的组织机构。3.1.6数据需方datademander数据共享中使用数据的组织机构。3.1.7数据服务方dataserviceprovider提供支持数据共享生态系统的数据服务的组织，提供的服务包括但不限于：提供技术手段以促进数据共享；进行数据准备，数据管理以及技术/风险/治理咨询；从数据供方那里获取数据（可能包括进行处理以提高其价值），并将数据提供给数据需方。3.1.8数据共享datasharing数据由数据供方提供给一个或多数据需方，可能不涉及数据从一个位置到另一位置的物理移动或访问原始/原始数据。3.1.9联邦计算federatedcomputing一种使多方在不泄露其原始数据的前提下相互协作，构建和使用机器学习模型的系统或框架。3.1.10安全多方计算securemulti-partycomputation一种基于多方数据协同完成计算任务，实现除计算结果及其可推导出的信息之外，不泄漏各方隐私信息的密码学技术。3T/BJAIIXXX—20223.1.11分布式账本distributedledger是一种在网络成员之间共享、复制和同步的数据库。3.1.12同态加密homomorphicencryption一种加密形式，对密文进行特定形式的加法或乘法运算得到的加密结果，其解密所得到的结果与对明文进行同样的运算的结果一致。3.1.13匿名化dataanonymity通过对个人信息的技术处理，使得个人信息主体无法被识别或者关联，且处理后的信息不能被复原的过程。3.1.14工业互联网数据industrialInternetdata在工业互联网这一新模式新业态下，由工业互联网企业在研发设计、生产制造、经营管理、应用服务等业务过程和环节中，所产生和收集的数据。3.2缩略语下列缩略语适用于本文件。安全多方计算MPC4工业互联网数据安全共享模型4.1工业互联网数据安全共享目标工业互联网数据安全共享的目标包括但不限于：a)安全性：可实现数据自身安全及数据共享活动安全。b)时效性：可满足实时性、低时延等要求的工业互联网数据安全共享需求。c)准确性：可在数据共享的范围内确保共享数据准确无误并使其处在最新状态。d)成效性：可把数据供需双方进行有效对接，实现工业互联网数据安全共享的成效。4.2工业互联网数据安全共享原则工业互联网数据安全共享原则包括但不限于：a)目的明确：具有合法、正当、必要、清晰、明确的数据共享目的。4T/BJAIIXXX—2021b)协商一致：数据共享应在各相关方对数据共享目的、范围、方式、安全责任等协商一致的基础上进行。c)确保安全：工业互联网数据共享各相关方应具备与所面临的安全风险相匹配的安全能力，采取管理和技术措施，保护共享数据的保密性、完整性、可用性和数据全生命周期安全，注重个人隐私保护。d)责任共担：数据共享安全责任由数据供方和数据需方共同承担。4.3安全共享模型工业互联网数据安全共享模型由相关角色、安全共享过程活动、共享模式三个维度构建组成。工业互联网数据安全共享模型如图1所示。数据供方和需方通过直连或者中介方式进行共享，共享过程中涉及共享前、共享中、共享后系列安全活动。图1工业互联网数据安全共享模型4.3.1相关角色工业互联网数据安全共享模型中包含三个主要角色：a)数据供方：数据的实际拥有者，通过维护用于共享的数据和提供对外的数据查询服务等方式提供数据，并按需追踪数据的使用过程。b)数据需方：希望使用非自身拥有的数据的相关方，通过发起数据使用需求，以数据查询等方式，获得数据的使用权。c)数据服务方：独立于数据供方和数据需方的第三方，同时为双方提供数据共享服务，通过记录数据流转过程，维持流转秩序，记录权益情况等，平衡数据供方和需方可能存在的利益或其他冲突等。4.3.2共享模式图2数据共享模式5T/BJAIIXXX—2022数据共享模式见图2，包括：a)直连式：数据供需双方在一定的安全控制下直接进行数据交换共享。b)中介式：由数据服务方收集数据，对外提供数据服务、产品或者经授权的原始数据，又可以细分为三种模式:1)数据服务方作为数据托管者：数据供方将自己的数据提供给数据服务方，数据服务方向数据供方给付一定数额的商品、货币、服务等价物或者优惠、打折、积分等对价利益，也可以免费提供。2)数据服务方作为数据代理者：数据服务方以中间代理人身份为数据供方和数据需方提供数据共享撮合服务，数据供方、数据需方都是经数据服务方审核认证的组织。3)数据服务方作为数据经销者：数据服务方以数据经销者身份，将拥有所有权的数据进行安全共享。4.4工业互联网数据安全共享过程活动图3工业互联网数据安全共享过程活动4.4.1共享前安全过程活动数据共享前安全过程活动包括但不限于：a)确定数据潜在共享价值：明确哪些数据具有共享价值，明确数据共享的目的和意义。b)确定数据共享范围：6T/BJAIIXXX—2021盘点数据，对数据进行分类分级，评估数据共享的潜在风险，确定共享数据范围，建立数据共享资源目录，选择数据共享模式。c)建立工业互联网数据安全共享协议：必要情况下数据供需方可订立工业互联网数据安全共享协议，且在签订数合同、服务协议前，对数据需方的数据安全保护能力进行评价，以确认其有能力承担合同或协议中约定的安全责任，履行其应尽义务。d)准备数据：根据数据的类型及其潜在的用途，准备建立合作伙伴关系的组织可能会在共享之前尝试优化数据，以确保能够实现预期目的，包括：1)严格按照工业互联网数据安全共享协议或相关文件所确定的范围采集数据，避免数据过度采集，如共享的是融合计算结果，应按照要求进行计算，获得预期数据；2)检验数据的质量，包括对数据格式和接口提出统一要求，并对获取数据是否满足协议要求做出认定；3)在数据提取期间，确定可以满足数据共享目标的正确和所需的数据量；4)涉及个人信息的数据时，参考GB/T35273—20209.2节进行个人信息安全保护；5)确保在数据加载期间以安全的方式传输数据并检查数据是否损坏；6)与第三方共享前确保元数据已经匿名化。7)在将数据移出受控环境之前，明确定义数据集涉及的角色、职责（所有权，管理权、安全责任等）、授权范围。e)身份认证：数据供需双方需要对数据进行身份认证，如果是中介式共享方式，则数据供需双方、中介平台之间都需进行身份认证。4.4.2共享过程安全过程活动数据共享过程安全过程活动包括但不限于：a)根据实际情况，采用密码技术、数据脱敏、校验技术、数字签名等技术，保证传输数据的保密性、完整性、可用性；必要情况下，应采用安全套接层（SSL）协议、安全传输层协议（TLS）等协议传输数据；b)对数据发送、接收的相关主体身份进行鉴别；c)采取自动化手段采集并传输共享数据时，应考虑采集对象的数据处理能力和网络承载能力，不能影响采集对象的正常运行；d)部署数据安全监测设备，能够对网络流量行为、攻击威胁、数据泄露或篡改等进行识别和预警；e)若数据允许在线获取使用，必要情况下，应采取加密、脱敏、水印等措施，保证在线获取的数据安全；f)若数据允许接口调用，数据供需双方应协商确定接口规范，对接口采取认证、鉴权、访问控制等措施，并考虑接口的数据处理能力，不能影响接口的正常使用；g)若数据共享需实现可用不可见，则对采取的相关技术进行充分地检测评估，避免技术应用带来安全风险；h)数据供需双方对参与线下物理交换的传输人员进行协商确认；i)数据供需双方对线下物理交换使用介质类型进行协商确认；j)对线下物理交换的重要数据及个人敏感信息采用安全级别高的存储介质进行；k)完成线下物理交换后，数据供需双方根据实际情况安全保存或销毁物理介质。l)中介式共享数据安全：7T/BJAIIXXX—2022数据服务方提供的数据共享平台应至少具备如下安全活动：1)系统防御：建立针对数据共享平台的整体防护机制，部署防病毒、入侵防御、防火墙等软硬件设施；2)访问控制：登录数据共享平台的用户能根据授权主体配置其数据资源的访问控制策略且用户口令设置了复杂度要求；3)数据安全审计：提供对应用数据资源的操作的安全审计，并将审计数据进行隔离存放；4)集中安全管控：建立操作系统、数据库、网络设备的防病毒、系统补丁的统一管理；5)安全隔离：实现数据采集终端、数据源设备与数据共享平台的边界认证，及数据共享平台不同用户间的逻辑隔离；6)安全监测：具备对整个平台基础环境的实时安全监测、关联分析、威胁预警，自动对高风险数据操作进行监控，对被监控的数据服务流量数据进行数据安全分析；7)接口管理：记录数据服务接口调用事件信息，监控是否存在恶意数据获取、数据盗用等风8)数据流控制：具备控制数据流向的功能，确保数据抵达不超出协议约定的目的地；9)泄露追踪：提供数据泄露检测和跟踪技术实现数据泄露的报警和追踪；10)应急处置：提供对数据安全风险进行处置的应急预案；11)对于数据托管式和混合式，根据数据重要程度提供相应的数据加密、脱敏、水印等安全措施；12)涉及个人信息跨境传输的，参考GB/T35273—20209.8节进行安全控制；13)涉及跨境数据传输的，满足数据跨境安全相关法律法规要求。4.4.3共享后安全过程活动数据共享后安全过程活动包括但不限于：a)数据导入，包括：1)建立数据导入过程保护和回退机制，保证获取过程中产生问题时能有效还原和恢复数据；2)建立数据自动加载的故障恢复能力。b)数据存储安全（如需），包括：1)根据存储数据量、重要性、敏感程度等因素，选择合适的存储介质，并采取数据存储介质安全管控措施；2)实施分类分级存储，根据实际情况对存储数据采用加密技术、数字签名、校验技术等技术；3)对数据的访问、调用等进行身份鉴别和访问控制；4)建立数据灾备及恢复能力。c)数据溯源：采用数据标注、水印、区块链等技术，对数据流动路径及共享过程中的篡改、泄露、滥用等行为进行溯源。d)安全监测：建立数据共享安全监控及行为审计措施，对共享数据及数据共享行为进行监控，确保共享的数据合理规范使用。e)数据使用安全，包括：1)数据需方对数据使用行为进行记录，并按照约定的数据使用规则进行行为模型或策略模型等匹配检查，对异常使用进行告警；2)数据需方建立数据使用反馈机制，对数据资产变化、访问行为、数据流向、数据敏感程度变化向数据供方或数据服务方进行反馈；8T/BJAIIXXX—20213)第三方平台对接收的数据使用监管反馈进行统计分析，对异常使用进行告警，并通过适当机制向数据提供方进行通知。4)数据需方严格按照相关协议等授权的数据使用和知悉范围使用共享的数据，并确保任何经其授权的主体，不得在没有其授权的情形下处理数据，避免随意扩大使用范围和知悉范围。f)二次授权：当数据使用范围、使用方式等超出授权范围时，数据需方需征得数据供方二次授权，方可进行该范围数据使用。g)服务到期：当服务到期时，如需关闭共享权限或销毁数据，数据供方应及时关闭共享权限，数据需方按照协议约定的方式按期销毁数据，确保数据完全销毁，并对销毁结果进行审计。9T/BJAIIXXX—2022参考文献[1]英国Datasharingcodeofpractice[2]澳大利亚Datasharingabdreleasekegislativeperformsdiscussionpaper[3]JR/T01