浅谈工业企业工业数据安全保护建议

杨梓涛，王尊

（国家工业信息安全发展研究中心，北京 100040）

0 引言

工业安全是关键信息基础设施安全的重要组成部分，伴随着我国工业和信息化的深度融合发展，党中央、国务院和相关部委高度重视数据在推动我国数字经济发展中的作用。在工业和信息化领域，工业数据作为贯穿工业产品和服务全生命周期的重要数据，在支撑供给侧结构性改革、驱动制造业转型升级的作用日益显现，是支撑构建以数字驱动的工业新生态的重要因素。

1 我国工业领域数据安全保护相关文件

“安全是发展的前提，发展是安全的保障”，为加强对数据安全的保障，历年来，我国陆续出台《中华人民共和国网络安全法》《促进大数据发展行动纲要》《大数据产业发展规划（2016-2020年）》等法律法规和政策文件。2021年6月，《中华人民共和国数据安全法》表决通过，已于今年9月1日起施行，用于指导和规范在我国范围内的数据处理活动，在促进数据开发利用的同时，着力保障数据安全。在我国“十四五”规划中，数据安全的相关内容被多次提及和强调：在做好统筹数据开发利用的同时，要持续加强涉及国家利益、商业秘密和个人隐私等方面数据的保护；在法律法规政策文件制定方面，加快推进数据安全、个人信息保护等领域基础性立法，加快在数据资源产权、交易流通、跨境传输和安全保护等方面的基础制度和标准规范建立，强化数据资源全生命周期安全保护，进一步完善适用于大数据环境下的数据分类分级保护制度；在监督管理方面，持续加强数据安全评估工作，推动数据跨境安全有序流动[1-3]。

在工业领域，我国陆续出台了《关于深化“互联网+先进制造业”发展工业互联网的指导意见》《数据管理能力成熟度评估模型》（GB/T 36073-2018）《工业控制系统信息安全防护指南》《加强工业互联网安全工作的指导意见》《工业数据分类分级指南（试行）》等国家标准和指导性文件中，都明确提出了加强数据安全的相关要求，指导工业企业不仅要实现工业数据管理能力提升，促进工业数据的使用、流动与共享，同时也要加强对数据安全的全方位防护。

2 工业企业工业数据安全保护突出问题

工业数据是工业企业的“血液”，是工业企业增强自身生产力、竞争力、创新力的核心动力，加强工业数据安全保护工作对于促进和保障工业行业的平稳健康发展至关重要，但由于诸多因素制约，我国工业企业工业数据安全保护工作仍存在着一系列突出问题[4]。

2.1 未落实工业数据安全主体责任

当前部分工业企业自身工业数据安全主体责任仍不明确，工业数据安全管理机制存在不同程度的缺失，工业数据安全保护责任人及其岗位职责模糊不清，更多的工业企业高层仅关注工业企业安全生产和生产效率保障，缺乏对工业控制系统安全、工业数据安全等难以直观看到回报的“隐性投资”的支持和重视，致使相关人员在开展工业数据安全保护工作的过程中难以及时获得工业企业最高管理者的充分支持和资源倾斜，推进工作难以施行和落地。

2.2 未建立工业数据安全管理体系

当前部分工业企业在工业数据安全保护方面仍未做到与发展同步规划、同步建设、同步运行，在工业数据的整体规划、安全管理、使用机制、流动共享、监督检查、问责通报和应急处置等方面存在管理缺失，缺失工业数据安全保护纲领文件，工业数据安全管理制度类型和内容缺失工业企业工业数据的全生命周期中的部分环节。在工业数据分类分级管理方面，工业企业尚未依据工业数据分类分级管理相关要求，形成各级完善的工业数据清单；在工业数据全生命周期管理方面，工业企业当前工业数据安全管理体系存在疏漏，未涵盖在研发设计、生产制造、经营管理、运维服务等工业领域产品和服务全生命周期中生成和使用的数据，以及工业互联网平台企业在设备接入、平台运行、工业APP应用等过程中生成和使用的数据；在工业数据安全保护监测和应急处理方面，企业不同程度上缺失针对不同阶段的各类各级工业数据制定相应的安全保护管理制度和事件应急处置预案；在工业数据安全供应链保护方面，工业企业未明确划分自身与服务商各自承担的工业数据安全保护的责任和义务；在工业数据安全风险评估方面，工业企业未定期自行或委托专业测评机构开展数据安全风险评估，掌握自身工业数据安全风险现状[5-7]。

2.3 未采取工业数据安全防护措施

在工业数据存储和传输方面，当前部分工业企业在数据库、存储介质中静态存储的工业数据以明文形式存储，未通过技术手段进行加密保护，在网络层动态传输的工业数据以明文形式传输，此类现象极易被攻击者通过简单的攻击手段获取数据内容；在工业数据分类分级安全防护方面，企业尚未依据国家相关文件要求对自身涉及的工业数据进行分类分级，对不同类型不同级别的数据采取的安全防护手段落实不到位；在工业数据安全备份管理方面，企业未定期对工艺参数、配置文件、设备运行数据、生产数据、控制指令等关键业务数据进行备份，对相关数据进行统一收集、保护和管理的手段不足，数据仅在各自系统或设备本地留存；在工业测试数据安全管理方面，未对安全评估数据、现场组态开发数据、系统联调数据、现场变更测试数据、应急演练数据等测试数据采取授权访问、加密存储、加密传输、定期备份、风险监测等保护措施[8-13]。

2.4 未配备工业数据安全专业人才

当前大多数工业企业存在工业数据安全管理人才、团队和技术手段无法满足自身实际需求的突出问题，企业工业数据安全管理的人、财、物力支持和投入不高，缺乏完善的专业人才的引进、培养、考核机制，忽视对工业数据安全管理人才的培养和选拔、管理队伍的建设、相关人员的培训与考核，难以吸引具备一定专业能力的复合型人才。企业内部人员缺少对国家、行业或业界相关活动或专业领域知识的关注，不具备相关专业领域的基本知识。

3 浅谈工业企业工业数据安全保护建议

3.1 谋划工业数据安全管理顶层设计

工业企业应进一步强化落实自身工业数据安全管理主体责任，持续贯彻落实《网络安全法》《数据安全法》《关于深化“互联网+先进制造业”发展工业互联网的指导意见》《关于工业大数据发展的指导意见》《工业控制系统信息安全行动计划（2018-2020年）》《工业控制系统信息安全防护能力评估工作管理办法》《工业数据分类分级指南（试行）》《工业控制系统信息安全事件应急管理工作指南》《工业控制系统信息安全防护指南》等国家网络安全法律法规和政策文件精神，稳步推动工业数据安全保护方面陆续出台的国家标准、行业标准等各类标准文件落地施行，建立符合工业企业自身特点和发展现状的工业数据安全保护管理体系，明确工业数据安全保护责任人及其岗位职责，严格遵循国家法律法规和相关指导性文件，明确各岗位在各自职责范围应履行的工业数据安全保护义务和应承担的工业数据安全保护责任，建设涵盖工业数据安全的整体规划、安全管理、使用机制、流动共享、供应链管理、监督检查、培训教育、问责通报和应急处置等多方面的管理制度，建立健全工业数据分类分级管理、工业数据访问权限管理、工业数据安全合规性评估、工业数据全生命周期管理、工业数据合作方管理、工业数据安全应急响应等全流程工业数据安全管理制度[14-16]。

3.2 推进工业数据安全防护手段建设

工业企业应在工业控制系统设计、选型、建设、测试、运行、检修、废弃等全生命周期各阶段建设相应的工业数据安全防护软硬件设施，将工业数据安全保护资金投入纳入企业总体支出范畴进行全局考虑，保证工业数据安全保护资金投入与企业当前现状相匹配，形成涵盖网络层安全防护、主机层安全防护、应用层安全防护、物理层安全防护安全、管理体系安全防护等方面的整体型工业数据安全保护能力，依据工业企业自身工业数据分类分级管理制度，对工业数据进行分类分级管理，采取相应级别的安全防护措施。

3.3 定期开展工业数据安全风险评估

工业企业应定期自行开展或委托第三方专业测评机构开展工业数据安全风险评估工作，及时掌握自身工业数据安全风险现状，对评估中发现的问题及时整改，确保自身工业数据满足分类分级保护要求，确保当前采取的安全防护措施切实有效，形成覆盖工业数据全生命周期管理的“事前防范、事中监测、事后应急”的全方位安全防护机制[17-18]。

3.4 加强工业数据安全人才队伍建设

工业企业应积极加强与政府相关部门、各类院校、专业机构合作，建立安全人才的培养、奖励、引进全方位机制，通过人才引进、人才培养、人才选拔等多种方式，借助定期开展培训教育、技能考核、交流学习等手段，打造一支具备数据安全保护知识、掌握数据安全防护技术、了解国家数据安全保护总体形势，并具备一定程度的实际操作能力的复合型人才队伍，以“小核心，大外围”的模式为工业数据安全战略部署、规划制定、决策咨询、重大问题等提供智力支持和技术支撑。