淺談工業企業工業數據安全保護建議

楊梓濤，王尊

（國家工業信息安全發展研究中心，北京 100040）

0 引言

工業安全是關鍵信息基礎設施安全的重要組成部分，伴隨著我國工業和信息化的深度融合發展，黨中央、國務院和相關部委高度重視數據在推動我國數字經濟發展中的作用。在工業和信息化領域，工業數據作為貫穿工業產品和服務全生命周期的重要數據，在支撐供給側結構性改革、驅動制造業轉型升級的作用日益顯現，是支撐構建以數字驅動的工業新生態的重要因素。

1 我國工業領域數據安全保護相關文件

“安全是發展的前提，發展是安全的保障”，為加強對數據安全的保障，歷年來，我國陸續出臺《中華人民共和國網絡安全法》《促進大數據發展行動綱要》《大數據產業發展規劃（2016-2020年）》等法律法規和政策文件。2021年6月，《中華人民共和國數據安全法》表決通過，已于今年9月1日起施行，用于指導和規范在我國范圍內的數據處理活動，在促進數據開發利用的同時，著力保障數據安全。在我國“十四五”規劃中，數據安全的相關內容被多次提及和強調：在做好統籌數據開發利用的同時，要持續加強涉及國家利益、商業秘密和個人隱私等方面數據的保護；在法律法規政策文件制定方面，加快推進數據安全、個人信息保護等領域基礎性立法，加快在數據資源產權、交易流通、跨境傳輸和安全保護等方面的基礎制度和標準規范建立，強化數據資源全生命周期安全保護，進一步完善適用于大數據環境下的數據分類分級保護制度；在監督管理方面，持續加強數據安全評估工作，推動數據跨境安全有序流動[1-3]。

在工業領域，我國陸續出臺了《關于深化“互聯網+先進制造業”發展工業互聯網的指導意見》《數據管理能力成熟度評估模型》（GB/T 36073-2018）《工業控制系統信息安全防護指南》《加強工業互聯網安全工作的指導意見》《工業數據分類分級指南（試行）》等國家標準和指導性文件中，都明確提出了加強數據安全的相關要求，指導工業企業不僅要實現工業數據管理能力提升，促進工業數據的使用、流動與共享，同時也要加強對數據安全的全方位防護。

2 工業企業工業數據安全保護突出問題

工業數據是工業企業的“血液”，是工業企業增強自身生產力、競爭力、創新力的核心動力，加強工業數據安全保護工作對于促進和保障工業行業的平穩健康發展至關重要，但由于諸多因素制約，我國工業企業工業數據安全保護工作仍存在著一系列突出問題[4]。

2.1 未落實工業數據安全主體責任

當前部分工業企業自身工業數據安全主體責任仍不明確，工業數據安全管理機制存在不同程度的缺失，工業數據安全保護責任人及其崗位職責模糊不清，更多的工業企業高層僅關注工業企業安全生產和生產效率保障，缺乏對工業控制系統安全、工業數據安全等難以直觀看到回報的“隱性投資”的支持和重視，致使相關人員在開展工業數據安全保護工作的過程中難以及時獲得工業企業最高管理者的充分支持和資源傾斜，推進工作難以施行和落地。

2.2 未建立工業數據安全管理體系

當前部分工業企業在工業數據安全保護方面仍未做到與發展同步規劃、同步建設、同步運行，在工業數據的整體規劃、安全管理、使用機制、流動共享、監督檢查、問責通報和應急處置等方面存在管理缺失，缺失工業數據安全保護綱領文件，工業數據安全管理制度類型和內容缺失工業企業工業數據的全生命周期中的部分環節。在工業數據分類分級管理方面，工業企業尚未依據工業數據分類分級管理相關要求，形成各級完善的工業數據清單；在工業數據全生命周期管理方面，工業企業當前工業數據安全管理體系存在疏漏，未涵蓋在研發設計、生產制造、經營管理、運維服務等工業領域產品和服務全生命周期中生成和使用的數據，以及工業互聯網平臺企業在設備接入、平臺運行、工業APP應用等過程中生成和使用的數據；在工業數據安全保護監測和應急處理方面，企業不同程度上缺失針對不同階段的各類各級工業數據制定相應的安全保護管理制度和事件應急處置預案；在工業數據安全供應鏈保護方面，工業企業未明確劃分自身與服務商各自承擔的工業數據安全保護的責任和義務；在工業數據安全風險評估方面，工業企業未定期自行或委托專業測評機構開展數據安全風險評估，掌握自身工業數據安全風險現狀[5-7]。

2.3 未采取工業數據安全防護措施

在工業數據存儲和傳輸方面，當前部分工業企業在數據庫、存儲介質中靜態存儲的工業數據以明文形式存儲，未通過技術手段進行加密保護，在網絡層動態傳輸的工業數據以明文形式傳輸，此類現象極易被攻擊者通過簡單的攻擊手段獲取數據內容；在工業數據分類分級安全防護方面，企業尚未依據國家相關文件要求對自身涉及的工業數據進行分類分級，對不同類型不同級別的數據采取的安全防護手段落實不到位；在工業數據安全備份管理方面，企業未定期對工藝參數、配置文件、設備運行數據、生產數據、控制指令等關鍵業務數據進行備份，對相關數據進行統一收集、保護和管理的手段不足，數據僅在各自系統或設備本地留存；在工業測試數據安全管理方面，未對安全評估數據、現場組態開發數據、系統聯調數據、現場變更測試數據、應急演練數據等測試數據采取授權訪問、加密存儲、加密傳輸、定期備份、風險監測等保護措施[8-13]。

2.4 未配備工業數據安全專業人才

當前大多數工業企業存在工業數據安全管理人才、團隊和技術手段無法滿足自身實際需求的突出問題，企業工業數據安全管理的人、財、物力支持和投入不高，缺乏完善的專業人才的引進、培養、考核機制，忽視對工業數據安全管理人才的培養和選拔、管理隊伍的建設、相關人員的培訓與考核，難以吸引具備一定專業能力的復合型人才。企業內部人員缺少對國家、行業或業界相關活動或專業領域知識的關注，不具備相關專業領域的基本知識。

3 淺談工業企業工業數據安全保護建議

3.1 謀劃工業數據安全管理頂層設計

工業企業應進一步強化落實自身工業數據安全管理主體責任，持續貫徹落實《網絡安全法》《數據安全法》《關于深化“互聯網+先進制造業”發展工業互聯網的指導意見》《關于工業大數據發展的指導意見》《工業控制系統信息安全行動計劃（2018-2020年）》《工業控制系統信息安全防護能力評估工作管理辦法》《工業數據分類分級指南（試行）》《工業控制系統信息安全事件應急管理工作指南》《工業控制系統信息安全防護指南》等國家網絡安全法律法規和政策文件精神，穩步推動工業數據安全保護方面陸續出臺的國家標準、行業標準等各類標準文件落地施行，建立符合工業企業自身特點和發展現狀的工業數據安全保護管理體系，明確工業數據安全保護責任人及其崗位職責，嚴格遵循國家法律法規和相關指導性文件，明確各崗位在各自職責范圍應履行的工業數據安全保護義務和應承擔的工業數據安全保護責任，建設涵蓋工業數據安全的整體規劃、安全管理、使用機制、流動共享、供應鏈管理、監督檢查、培訓教育、問責通報和應急處置等多方面的管理制度，建立健全工業數據分類分級管理、工業數據訪問權限管理、工業數據安全合規性評估、工業數據全生命周期管理、工業數據合作方管理、工業數據安全應急響應等全流程工業數據安全管理制度[14-16]。

3.2 推進工業數據安全防護手段建設

工業企業應在工業控制系統設計、選型、建設、測試、運行、檢修、廢棄等全生命周期各階段建設相應的工業數據安全防護軟硬件設施，將工業數據安全保護資金投入納入企業總體支出范疇進行全局考慮，保證工業數據安全保護資金投入與企業當前現狀相匹配，形成涵蓋網絡層安全防護、主機層安全防護、應用層安全防護、物理層安全防護安全、管理體系安全防護等方面的整體型工業數據安全保護能力，依據工業企業自身工業數據分類分級管理制度，對工業數據進行分類分級管理，采取相應級別的安全防護措施。

3.3 定期開展工業數據安全風險評估

工業企業應定期自行開展或委托第三方專業測評機構開展工業數據安全風險評估工作，及時掌握自身工業數據安全風險現狀，對評估中發現的問題及時整改，確保自身工業數據滿足分類分級保護要求，確保當前采取的安全防護措施切實有效，形成覆蓋工業數據全生命周期管理的“事前防范、事中監測、事后應急”的全方位安全防護機制[17-18]。

3.4 加強工業數據安全人才隊伍建設

工業企業應積極加強與政府相關部門、各類院校、專業機構合作，建立安全人才的培養、獎勵、引進全方位機制，通過人才引進、人才培養、人才選拔等多種方式，借助定期開展培訓教育、技能考核、交流學習等手段，打造一支具備數據安全保護知識、掌握數據安全防護技術、了解國家數據安全保護總體形勢，并具備一定程度的實際操作能力的復合型人才隊伍，以“小核心，大外圍”的模式為工業數據安全戰略部署、規劃制定、決策咨詢、重大問題等提供智力支持和技術支撐。