基于DSMM的工業企業數據安全能力體系建設研究

摘要：數據作為工業企業至關重要的核心資產，已逐漸演化為推動工業行業發展的前沿生產資源。為有效提升工業企業的數據安全管理水平，文章基于數據安全能力成熟度模型DSMM，結合國家對工業行業的發展規劃、數據安全相關法規以及工業領域數據的相關特點，設計工業企業數據安全體系框架，旨在指導企業數據安全能力體系建設。

關鍵詞：工業領域；企業；數據安全；框架

中圖分類號：TP3 文獻標識碼：A

文章編號：1009-3044（2024）22-0089-03

開放科學（資源服務）標識碼（OSID）

0 引言

隨著科技的不斷進步，工業領域數字化、網絡化和智能化應用正迅速蓬勃發展，推動了行業的轉型，也促進了工業數據的流通、共享和開發利用。然而，與此同時，數據泄露、勒索軟件攻擊等安全風險也日益增加，工業領域數據安全問題日益凸顯，為此，工信部逐步出臺了一系列文件，從2022年12月發布的《工業和信息化領域數據安全管理辦法（試行）》，到2023年發布的《工業和信息化部等十六部門關于促進數據安全產業發展的指導意見》和《工業領域數據安全標準體系建設指南（2023版）》，再到2024年2月發布的《工業領域數據安全能力提升實施方案（2024—2026年）》。作為實現工業經濟全要素、全產業鏈、全價值鏈全面連接的關鍵支撐和重要紐帶，加強工業企業的數據保護能力、提高數據安全的監管水平以及強化數據安全產業的支撐能力，已成為新型工業化發展道路上不可或缺的先決條件和重要任務[1-2]。

1 工業領域企業數據安全現狀分析

根據我國每年發布的工業信息安全態勢報告，可以觀察到一個明顯的趨勢：工業安全事件的數量正在逐年上升，這一趨勢在很大程度上是由于大量防護薄弱的工業設備接入互聯網所致，其中，工業終端、控制系統、工業平臺、工業App成為數據安全問題頻發的主要載體，企業數據安全現狀極為嚴峻。

1.1 普遍忽視數據安全基礎與重要性

工業企業對數據安全的重要性認識和關注程度普遍不足。許多企業尚未認識到數據安全的至關重要性，對于維護企業核心數據的價值以及潛在風險缺乏深入的理解。這種安全意識的淡薄，導致了在數據安全管理方面的投資不足。此外，一線員工在平時的工作操作中，也可能在不自覺間忽略掉數據保護的關鍵步驟，從而增加了數據泄露和其他相關安全事件的風險。

1.2 企業數據安全投資相對較低

企業對數據安全的投資相對有限，導致整體的數據防護能力尚顯不足。由于資金和技術資源的限制，很多企業尚未能構建起一個有效的數據安全防護系統。再者，針對工業數據安全的市場產品和服務供應短缺，缺乏成熟的解決方案來滿足企業的特定需求。這種狀況使得工業企業在面對日益嚴峻的網絡安全威脅時，往往難以實施有效的防御策略。

1.3 工業行業多樣屬性導致安全需求各異

工業領域覆蓋廣泛的行業類別，每個行業都有其獨特的特性和數據安全需求。這種多樣性為制定和實施統一的監管政策帶來了挑戰，使得監管部門在推行數據安全規范的過程中遭遇諸多困難。同時，不同行業在技術標準和管理流程等方面的差異，也給跨行業的數據安全監管增添復雜性和額外挑戰。

為此，本文基于理論研究，嘗試提出一套工業企業建設數據安全能力體系框架，探討如何有效地構建和提升企業的數據安全能力。

2 工業企業數據安全能力體系框架概述

2.1 設計思路

2.1.1 國家對工業行業發展的戰略指導

在當前全球環境下，我國經濟發展正面臨來自發達國家和發展中國家的雙重壓力。我國經濟進入新常態，結構性矛盾突出，改革攻堅期到來，須解放和發展生產力，提高供給質量和效率，加快創新驅動轉型。為此，政府提出以新一代信息技術與制造業深度融合為主線，推進智能制造，通過工業互聯網實現制造過程智能化，發展智能制造裝備和產品，這也是“中國制造2025”的目標提出背景——將信息化與工業化深度融合，打造工業互聯網，以實現高質量發展，并將工業作為經濟主體和現代化的支柱。

2.1.2 工業企業數據的關鍵特點

工業數據是在生產和操作的工業過程中生成的多種類型的數據。這些數據大致可以被分類為關于生產、操作、環境、物流和能源的數據，往往具有以下特征：大量、高速、多樣、高價值密度、持久性以及與特定環境相關的特性，在改善制造流程、提高產品質量、減少能源消耗和降低成本等方面扮演著關鍵角色。

2.1.3 國家數據安全法規與標準框架

在信息技術飛速發展的當代，數據安全已上升為國家級的戰略要點。我國相繼頒布《網絡安全法》《數據安全法》以及《個人信息保護法》等法律文本，從而確立數據安全的原則、責任歸屬、監督管理以及違法的處罰機制。為確保這些法規的有效執行，國家發布多項信息安全相關標準。

截至2024年3月2日，以“安全”為關鍵詞在全國標準信息公共服務平臺中查詢，共計2453項現行國家標準，以“數據安全”為關鍵詞查詢，共計17項現行國家標準。其中，由全國信息安全標準化技術委員會提出的數據管理能力成熟度評估（DCMM） 和數據安全成熟度模型（DSMM） 為企業數據安全成熟度評估與管理能力提升提供了科學參考。為對數據安全開展體系性全面性的管理，從企業經營需要出發，本文選用數據安全能力成熟度模型（DSMM） 作為理論依據框架，助力企業建立健全數據安全體系，提高整體運營安全性。

2.2 理論基礎

數據安全能力成熟度模型（DSMM） 是依據國家標準GB/T 37988-2019《信息安全技術 數據安全能力成熟度模型》建立的標準模型，該標準體系性地從管理視角和最終結果視角描述了數據安全能力建設的關鍵要素和重要維度，旨在從組織建設、制度流程、技術工具、人員能力四個方面去評估和改進其數據安全能力。其中組織建設涉及數據安全治理結構的構建，包括組織架構的設計、職責的明確分配以及內部溝通與協作機制的建立。制度流程包括制定并執行關鍵數據安全領域的政策規范和操作流程，確保制度的有效落實。技術工具通過采用先進的技術手段和工具產品，將安全措施固化于系統之中或實現安全工作流程的自動化。人員能力強調提升從事數據安全工作人員的安全意識和專業技能，確保其能夠有效地執行數據安全相關工作。數據安全能力成熟度模型，如圖1所示。

除數據安全能力維度外，模型還從能力成熟度等級、數據安全過程維度分別給出了評估方式及維度，考慮到本文探討的是工業企業數據安全能力體系建設框架，因此，僅選取安全能力維度作為探討和分析的主要維度，開展相關研究。

2.3 框架概述

本文結合工業企業的數據安全需求和特性，以工業服務層、平臺層、邊緣層和工業現場中的數據流轉為著眼點，沿用DSMM的組織建設、技術工具、制度流程、人員能力四大方面提出安全能力體系搭建的管理框架，旨在指導管理部門和平臺運營者開展企業數據安全管理，實現數據安全治理的持續優化和合規性。工業企業數據安全能力體系框架，如圖2所示。

2.3.1 組織建設

重要數據的處理者，應當明確數據安全負責人，成立數據安全管理機構。領導者是提升企業安全防護水平的先行者和表率，因此，構建統籌有力的數據安全組織機構，決策層作為安全領導小組的第一責任人，配備一支完整規范的數據安全團隊，同時定期接受相關安全警示培訓是提升企業安全管理水平的一大舉措。其中，數據安全團隊應包括但不限于安全主管，安全監測、審核、監督員和安全咨詢專家。此外，為確保數據安全措施與企業發展需求與戰略相吻合，應設立專兼職安全業務團隊，聘請專職數據安全人員，同時培養業務人員的數據安全意識，使其能在日常工作中關注數據安全，并與數據安全團隊合作，促進數據安全工作的持續、系統和穩健進行。工業企業數據安全組織機構，如圖3所示。

2.3.2 制度流程

數據處理機構應遵循相關法律法規和國家標準的強制性要求，構建完善的數據安全管理和技術保護體系。如圖4所示，工業企業可以針對行業特點，從數據安全戰略、數據全生命周期安全制度以及基礎安全制度三個層面，分級制定文件清單，建立并執行有效的數據安全管理體系，確保數據安全管理工作得以有效實施。

2.3.3 技術工具

首先，搭建完善全面的技術工具頂層框架。技術工具是數據安全體系構建的核心抓手，鑒于工業互聯網實現了設備、工廠、人員和產品的全面互聯，其安全防護體系的建設必須采取一個宏觀的視角，確保各個層面都配備了相應的安全防護措施。這包括結合入侵檢測和其他安全技術，以及安全管理實踐，以實現邊界防護、協議分析等功能。這些措施共同構成一個完整的工業互聯網安全防護閉環，涵蓋了監測、報警、處置、溯源、恢復和檢查等關鍵環節。

其次，構建數據全生命周期的安全防護能力，在工業行業平臺應用中，企業有必要建立從數據采集到銷毀的數據全生命周期安全管理一體化平臺。此外，還需要重視常態化的數據安全運營，確保數據處理者能夠持續監控和管理數據安全風險。特別是對于處理重要數據或計劃在海外上市的企業，每年至少進行一次數據安全評估，以及時發現和修復潛在的安全漏洞，保障數據的安全性和完整性。工業企業平臺數據安全核心防護能力概覽圖，如圖5所示。

最后，注重技術工具的前瞻性。在工業互聯網背景下，區塊鏈技術的應用正日益受到關注。區塊鏈通過建立去中心化的信任機制，能增強數據安全性，降低交易成本，加速交易過程，并提高供應鏈的效率，有效提升對工業企業大數據、工業產品交易全過程的監管能力。因此，加大區塊鏈技術的研究和應用探索，對于促進工業互聯網的發展具有重要意義。

2.3.4 人員能力

當前，我國人才培養體系正朝著T型結構的方向發展，即要求人才具備廣泛的基礎知識和深入的專業技能，然而這種培養模式通常導致人才應用領域過于單一。隨著工業互聯網的興起，數據安全挑戰變得更加復雜，對安全專業人才的基礎能力、跨專業能力以及業務知識儲備提出了更高要求。為迎接這一挑戰，企業可以通過建立實訓基地、舉辦攻防競賽以及利用網絡平臺等方式，開展工業互聯數據安全防護演練活動和安全大賽，有效培養真正具備實戰能力的復合型安全人才。同時，推進人才培養做深做實，有效落實《網絡數據安全管理條例（征求意見稿）》中對數據處理者、全體技術和管理人員數據安全培訓的時長要求。

3 未來展望

加強數據安全保障是新型工業化發展繞不過的坎，是推進新型工業化行穩致遠的基礎和前提。2025年即是“中國制造2025”收官之年，工業企業在追求經濟效益的同時，必須充分認識到數據安全體系搭建的重要性。本文基于對工業行業數據安全能力建設的深入研究，提出了一套全面的數據安全能力框架，并探討了有效構建和增強企業數據安全能力的途徑。展望未來，將進一步深化數據安全領域的實踐案例研究，助力工業數據安全保障體系建成。

參考文獻

[1] 中國二重紀檢監察網.中國裝備制造業大而不強全球需求調整倒逼轉型[J].大型鑄鍛件，2014（3）：33.

[2] 徐延發.區塊鏈技術在工業互聯網安全防護中的應用[J].網絡安全技術與應用，2023（8）：96-98.

【通聯編輯：朱寶貴】