工業數據安全治理探索

馬躍強，陳懷源，李 晨

(綠盟科技集團股份有限公司，北京100089)

0 引言

工業數據是指工業企業在開展研發設計、生產制造、經營管理、應用服務等業務時，圍繞客戶需求、訂單、計劃、研發、設計、工藝、制造、采購、供應、庫存、銷售、交付、售后、運維、報廢或回收等工業生產經營環節和過程所產生、采集、傳輸、存儲、使用、共享的數據[1]。 隨著工業企業數字化進程不斷深化，工業數據作為新的生產要素，貫穿于工業全流程，其地位和重要性不言而喻[2]。 然而，隨著工業企業組織模式、生產模式和服務模式不斷向跨設備、跨系統、跨廠區、跨地區的互聯互通轉變[3-4]，工業數據也面臨著重大的安全風險，如數據盜取、數據泄露、數據篡改、敏感數據出境等。 那么如何確保工業數據這一生產要素的完整性、機密性、可用性，和在此基礎之上能夠進行安全有效的采集、 傳輸、存儲、使用、共享，是工業企業必須要考慮的問題。

由于工業數據產生源頭分散、采集環境惡劣、流轉途徑多樣、業務場景復雜、處理環節粗放等特點，導致工業數據在實時性、時序性、穩定性、連續性、結構化等方面存在較大差異。 同時，隨著工業互聯網與生產制造的不斷融合，使得工業數據在研發、采購、生產制造、供應、物流、運維、售后、報廢等環節之間互通互聯，加大了供應鏈數據流向跟蹤、數據出境、風險定位、責任追溯等數據管理的難度[5]。

因此，通過對工業數據安全治理探索，幫助工業企業實現數據全生命周期的安全防護，釋放工業數據潛在價值，有著重要的意義。

1 工業數據安全治理概述

工業數據作為國家基礎性戰略資源，是驅動工業數字化轉型發展的核心，是構建數字經濟的基石。

工業和信息化部陸續出臺多項文件，落實黨中央、國務院關于加強工業大數據發展的相關精神。《工業互聯網發展行動計劃(2021-2023 年)》提出實施數據匯聚賦能行動，制定工業大數據標準，促進數據互聯互通。 2020 年3 月發布的《工業數據分類分級指南(試行)》以及 9 月發布的《工業和信息化領域數據安全管理辦法(試行)》等文件，提出了工業數據安全管理工作制度化、規范化，旨在指導工業企業提升工業數據管理能力和安全保護能力。 促進工業數據的使用、流動與共享，釋放數據潛在價值，賦能制造業高質量發展。

安全是發揮數據作為生產要素價值的前提條件，工業數據復雜多樣性導致其安全不是一個單純的技術問題，而是涉及組織建設、制度流程、技術工具、人員能力等各方面的系統工程，需要借助數據安全治理理念進行體系化建設[6-7]。 構建工業數據安全治理體系，對工業數據在跨系統、跨地域、跨行業間的安全流動、應用有著重要的數據價值。

《數據安全治理實踐探索》[6]提出了一套數據安全治理體系架構，圍繞數據安全治理實踐機制的管理、技術、評估和運營等幾個方面逐一展開詳細說明，并對數據安全治理實踐所涉及的關鍵措施及技術要求進行了介紹， 但是沒有給出適用的場景。《裝備制造基礎數據治理體系建設研究》[7]主要從數據標準、數據架構、數據質量、數據應用以及數據安全防護等方面進行研究。 《跨境數據流動安全治理》[8]主要從數據跨境流動方面提出治理的思路、方法以及手段。 《工業互聯網數據安全分類分級防護框架研究》[10]主要從工業互聯網數據分類分級進行研究，給出工業數據分類分級的思路、防護框架以及防護技術。

2 工業數據安全治理探索

本文提出一套集管理、技術、運營為一體的工業數據安全治理參考框架，治理框架如圖1 所示。 在法律法規、 國家標準、 行業標準的框架下， 融合DSMM 成熟度模型理論，圍繞數據采集、傳輸、存儲、處理、交換以及銷毀等各個階段的全生命周期，分別從數據安全管理能力、技術能力以及安全運營能力等方面進行全面治理。

圖1 工業數據安全治理框架

2.1 數據安全管理能力

2.1.1 組織治理

工業數據安全治理離不開組織和人力資源的投入。 首先建立覆蓋本企業相關部門的數據安全工作體系，明確數據安全負責人和管理機構，建立常態化溝通與協作機制。 企業法定代表人或者主要負責人是數據安全第一責任人，領導團隊中分管數據安全的成員是直接責任人；明確數據處理關鍵崗位和崗位職責，并要求關鍵崗位人員簽署數據安全責任書。

其次在開展組織建設時，需要設計、研發、測試、生產科、儀表科、數據科、信息中心、財務、審計、人力等相關部門參加到數據安全治理工作中，確保數據安全管理方針、戰略、政策等制度得以落地執行。

工業企業數據安全治理組織可采取5 層組織結構，即決策層、管理層、執行層、監督層和參與層。 組織治理結構如圖 2 所示。

圖2 組織治理結構

決策層，主要由工業企業高層領導參與，構成數據安全治理領導小組，領導小組不少于2 人，總體負責工業數據安全治理工作的統籌組織、指導推進和協調落實，明確數據安全管理部門，協調機構內部數據安全管理資源調配，包括制定目標、方針、意愿，發布策略、規劃、制度規范，提供資源保障和重大事件協調管理。

管理層，主要由工業企業的設計、研發、測試、生產科、儀表科、數據科、信息中心、財務、人力等部門的主要負責人參與，構成數據安全治理管理小組，主要負責工業數據安全治理的相關管理工作、相關政策和制度的制定評審，保障數據安全工作所需資源，并設立數據安全管理專職崗位。 包括制定規范、界定職責、開展評估、監督檢測、保障運作、組織培訓、受理投訴、持續管理。

執行層，主要由工業企業的設計、研發、測試、生產科、儀表科、數據科、信息中心、財務、人力等相關部門落實數據安全執行的人員組成，構成數據安全治理技術小組，主要負責具體數據安全治理相關的技術及管理措施的落實，包括政策、制度、規范的執行，數據安全產品部署及運維，安全事件監控與處置，漏洞排查與修復等日常工作。

監督層，主要由工業企業內部安全審計、督察稽核、法務等部門人員構成，定期對管理層團隊、執行層團隊、參與層團隊在數據安全建設和管理過程中，對于策略和管理要求的執行情況進行監督審核，并向決策層匯報。 包括制度落地監督、數據安全工具有效性監督、風險評估、風險監控與審計。

參與層，主要由工業企業內部全部員工及外部合作伙伴參與、配合，遵守企業內部數據安全治理相關要求。

2.1.2 制度規范治理

制度規范治理，需要建立數據全生命周期安全管理制度，針對不同級別數據，制定數據收集、存儲、使用、加工、傳輸、提供、公開等環節的具體分級防護要求和操作規程。

數據安全制度規范體系主要從4 個層面進行建設，包括：一級文件的數據安全方針、戰略；二級文件的數據安全管理制度、辦法；三級文件的操作流程、規范、作業指導書、模板等；四級文件的各類表單、記錄日志、報告等。數據安全制度規范體系框架如圖 3 所示。

圖3 數據安全制度規范體系框架

一級文件，是企業數據安全方針、戰略，屬于綱領性的文件，包括數據安全治理的目標、適用范圍、治理意義以及指導原則，數據安全各個方面所應遵守的原則方法和指導策略。

二級文件，是從安全方針、戰略中規定的安全各個方面所應遵守的原則方法和指導策略引出的具體管理規定、管理辦法和實施辦法，具有可操作性和落地性。

三級文件，是根據二級文件制定的各個階段的具體操作流程、規范指南、作業指導書、模板文件等。

四級文件，主要是落地執行三級文件產生的各類記錄表單，包括運行日志、檢查記錄、日志文件、報告等。

2.1.3 數據安全規范治理

工業企業應將數據安全管理要求貫徹到從數據采集、傳輸、存儲、使用、分享、銷毀的各個階段，各業務部門提出各自的數據安全需求，由數據科牽頭制定數據安全規范，如《主數據規范》《數據資產識別規范》《數據分類分級規范》《重要數據識別規范》《核心數據識別規范》《敏感數據識別規范》《數據使用場景規范》等。

2.2 數據安全技術能力

數據安全技術能力治理主要是對技術措施的建設，圍繞工業數據全生命周期的各個階段采取相應的安全防護措施，包括智能識別、分類分級、數據庫審計、加密傳輸、數據防泄漏、數據脫敏、數據水印、用戶行為分析、知識圖譜等。

2.2.1 數據資產識別

通過數據資產識別技術，圍繞研發、設計、生產、采購、銷售、交付、售后、運維、報廢等工業生產經營環節和過程，對所產生、采集、傳輸、存儲、使用、共享以及銷毀的數據進行全面智能識別，包括結構化的數據(如設備運行狀態)、非結構化數據(如設計圖紙)，形成數據資產清單和數據資產分布地圖，然后進行數據分類分級，識別重要數據和核心數據。同時，對重要數據、核心數據目錄進行備案，備案內容包括但不限于數據類別、級別、規模、處理目的和方式、使用范圍、責任主體、對外共享、跨境傳輸、安全保護措施等。

2.2.2 分類分級

依據識別出的數據資產清單，按照《工業數據分類分級指南(試行)》要求，結合企業的生產制造模式、服務運營模式以及行業屬性、使用場景、數據流通程度等實際情況，對工業數據進行分類[9-13]。另一方面，根據工業數據遭破壞后，對工業生產經營、公共利益、國家安全等造成的后果，采用“就高不就低”原則，即同一場景下存在多種數據級別的情況下，按照最高級別進行定級，最終形成分類分級清單，為下一步分級定措提供依據。 工業數據分類分級示例如表1 所示。

表1 工業數據分類分級示例

2.2.3 加密傳輸

避免重要工業數據在三網(生產網、信息網、視頻網)混合中傳輸，必要時通過IP SecVPN 技術進行隧道加密傳輸。 利用密碼技術(如 SM3、SM4、SM9等)，對重要數據傳輸時進行完整性校驗，對數據傳輸雙方身份進行身份鑒別。 必要時采用工業專用加密 傳 輸 協 議(如 MODBUS Plus、S7comm Plus 等)或 安全 傳輸協議服務(如 TLS、DTLS、HTTPS 等)，對傳 輸的數據進行保護，避免來自利用協議脆弱性的破壞攻擊。

2.2.4 數據防泄漏

根據工業數據分類分級清單，定義敏感數據，形成工業敏感數據清單和重要數據、核心數據保護清單。 在網絡、終端主機、郵件服務器、存儲服務器等出口邊界部署對應的數據防泄漏產品，對含有工業敏感數據的外發進行監控與防護。

2.2.5 數據脫敏

通過數據脫敏技術，對工業企業濫用敏感數據進行治理，防止敏感數據在未經脫敏的情況下從企業流出。 既要滿足企業保護敏感數據，同時又滿足行業監管的合規性。

靜態脫敏通過算法將原始數據庫中的敏感數據處理成非敏感數據存儲至其他位置，供數據訪問者直接訪問和使用，主要應用在非生產環境，如：系統開發、測試、數據分析等。動態脫敏是在不改變原始數據的情況下，訪問者訪問敏感數據時，實時對每次訪問的數據進行脫敏，防止敏感數據泄露，主要應用在生產環境，比如大屏展示、運維人員工具直連數據庫等。 同時，也可對脫敏后的數據添加水印，當數據泄露后，根據水印信息來追溯數據泄露的源頭。

2.2.6 數據庫審計

通過工業數據庫審計技術，對諸如Siemens 的SIMATIC-IT-Historian、Honeywell 公司的 PHD、Rockwell的 RSSQL、北京和利時 HiRIS、浙江中控 ESP-iSYS、北京亞控 KingRDB、三維力控 pSpace 等工業實時數據庫以及 Oracle、MySQL、SQLServer、DB2 等關系數據庫進行審計。識別出關鍵操作行為、違規行為，對用戶訪問數據庫行為進行記錄、分析和匯報、事故追根溯源。

2.2.7 用戶行為分析

通過對于全流量進行采集和分析，利用機器自學習技術對用戶日常操作行為進行建模，建立起用戶行為基線與數據資產映射，形成用戶行為數據資產畫像。

2.2.8 知識圖譜

利用知識圖譜技術，將零散分布的多源異構的工業數據組織起來，對數據資產和物理資產的耦合關系進行深度解析，實現“決策制定、風險預判、事故分析、攻擊識別”等能力的智能化輔助和自動化處理，為數據安全的威脅建模、風險分析、攻擊推理等提供支持。

2.3 數據安全運營能力

2.3.1 資產安全運營

基于數據資產識別工具，對工業數據進行全面測繪，形成數據資產清單和資產分布地圖，通過內置行業分類分級策略模板，將識別出的工業數據進行分類分級，并基于行業屬性、業務屬性、使用場景對重要數據和敏感數據進行識別，建立起重要數據和敏感數據清單，按照敏感級別進行差異化的安全防護，并通過數據安全運營平臺進行持續監控運營。

2.3.2 常態化運營

數據資產的安全，需要持續運營才可以保證。利用數據安全運營平臺，從數據合規監管、數據資產、業務場景、數據風險等多個維度進行監測、評估分析、健康指標打分。對運營人員進行實訓演練，提升人員技能水平，助力常態化運營持續有效執行。

2.3.3 安全風險運營

安全風險運營的主要內容：基于數據資產、安全漏洞、脆弱性、威脅情報等進行大數據關聯分析、態勢感知；對特定的人群(如業務人員、第三方運維人員等)，涉敏接口建立敏感數據流動基線，監測數據訪問異常行為。 特別要加強成套進口設備、國外遠程運維、設備預測診斷等環節的數據出境風險的監控。 直接從工業現場設備、主機、網絡、系統等采集的數據被稱為“一次數據”；對“一次數據”進行處理、統計、分析、應用所產生的數據被稱為“二次數據”。 二次數據更能夠清晰地表達出工業企業數據的核心內容，往往比一次數據更有價值。因此，特別要加強二次數據的保護力度， 對發現數據盜取、破壞、篡改等行為及時告警，并進行通報預警；對發現的安全事件進行應急響應、處置、溯源分析，形成數據安全的閉環。

3 工業數據安全治理實踐路線

工業數據安全治理需要通過“知”“識”“控”“察”“行”5 個步驟的治理路線來具體落地。 數據安全治理路線如圖4 所示。

圖4 數據安全治理路線

“知”是指制定規范與定義敏感數據，結合DSMM數據能力成熟度模型，從組織建設、制度流程、技術工具和人員能力四個領域開展數據安全的工作，通過對生產業務和組織架構的梳理，制定有針對性的數據資產管理要求、管理辦法以及工業數據分類分級規范。

“識”是指將規范中的要求轉化為策略錄入到技術工具，實現自動化的數據識別與分類分級。 基于數據資產和其關聯的應用場景（如成套進口設備數據出境風險）進行分析，發現風險與安全需求，來達到數據風險評估的效果，風險評估中還要包含合規性評估，通過數據風險評估可以全面了解數據資產安全狀況。

“控”是指通過風險評估的結果，結合數據生命周期的每一個階段， 制定不同的安全防控策略，控制手段包括對數據庫的數據庫審計與防護，對應用的數據防泄漏、數據脫敏、數據掃描、數據水印、加密、用戶行為分析、備份恢復等技術手段，最終匯聚到數據安全運營平臺中進行統一的監管。

“察”是指有了全面的數據資產情況，又有了海量的數據行為日志，數據安全運營平臺就可以完成對數據的全面分析，從數據源到數據行為，通過平臺底層的大數據分析引擎、UEBA 引擎以及分析檢測引擎等機器學習的能力，實現敏感數據的追蹤溯源的效果。

“行”是指數據安全運營平臺，對數據安全事件進行實時的預警，并實現場景化的展示，讓運維人員可以了解到每一個數據安全事件的起因是由于內部操作還是因為外部攻擊導致的，通過數據安全運營平臺，可由現場的專業人員和云端的專家共同完成安全事件的快速處置以及策略優化，實現持續自適應的數據安全防護能力。

以某化工集團為例，其工業數據安全治理實踐路線如圖 5 所示。 通過 “知”“識”“控”“察”“行”5個步驟的治理路線， 將該化工集團的工業數據安全治理成功落地。 形成一整套化工行業的工業數據規范標準，識別出化工行業的工業數據資產、數據分布地圖， 形成分類分級清單、 敏感數據清單、重要數據保護目錄清單， 并進行分級定措防護，建立數據安全運營平臺，開展人才培養、實戰化運營。

圖5 某化工集團工業數據安全治理實踐

經過近6 個月的實踐效果來看，目前取得了一定成效，發現并阻止應用服務器被攻擊26 次，發現并阻止敏感數據外泄3 起，內部人員違規操作、誤操作 36 次，培養安全人才 9 人，安全事件處置 1 起。

4 結論

本文從安全管理、安全技術以及安全運營三個維度開展工業數據安全治理的探索。通過“知”“識”“控”“察”“行”5 個步驟的治理路線，將某化工集團企業工業數據進行應用實踐，產生一定的治理效果。 本文對今后工業企業在數字化轉型發展過程中實現工業數據跨地域、跨平臺、跨行業的安全傳輸、流動、交換、使用、釋放潛在價值，具有現實意義和應用價值。