淺談工業(yè)企業(yè)工業(yè)數(shù)據(jù)安全保護(hù)建議

楊梓濤，王尊

（國(guó)家工業(yè)信息安全發(fā)展研究中心，北京 100040）

0 引言

工業(yè)安全是關(guān)鍵信息基礎(chǔ)設(shè)施安全的重要組成部分，伴隨著我國(guó)工業(yè)和信息化的深度融合發(fā)展，黨中央、國(guó)務(wù)院和相關(guān)部委高度重視數(shù)據(jù)在推動(dòng)我國(guó)數(shù)字經(jīng)濟(jì)發(fā)展中的作用。在工業(yè)和信息化領(lǐng)域，工業(yè)數(shù)據(jù)作為貫穿工業(yè)產(chǎn)品和服務(wù)全生命周期的重要數(shù)據(jù)，在支撐供給側(cè)結(jié)構(gòu)性改革、驅(qū)動(dòng)制造業(yè)轉(zhuǎn)型升級(jí)的作用日益顯現(xiàn)，是支撐構(gòu)建以數(shù)字驅(qū)動(dòng)的工業(yè)新生態(tài)的重要因素。

1 我國(guó)工業(yè)領(lǐng)域數(shù)據(jù)安全保護(hù)相關(guān)文件

“安全是發(fā)展的前提，發(fā)展是安全的保障”，為加強(qiáng)對(duì)數(shù)據(jù)安全的保障，歷年來(lái)，我國(guó)陸續(xù)出臺(tái)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《促進(jìn)大數(shù)據(jù)發(fā)展行動(dòng)綱要》《大數(shù)據(jù)產(chǎn)業(yè)發(fā)展規(guī)劃（2016-2020年）》等法律法規(guī)和政策文件。2021年6月，《中華人民共和國(guó)數(shù)據(jù)安全法》表決通過(guò)，已于今年9月1日起施行，用于指導(dǎo)和規(guī)范在我國(guó)范圍內(nèi)的數(shù)據(jù)處理活動(dòng)，在促進(jìn)數(shù)據(jù)開(kāi)發(fā)利用的同時(shí)，著力保障數(shù)據(jù)安全。在我國(guó)“十四五”規(guī)劃中，數(shù)據(jù)安全的相關(guān)內(nèi)容被多次提及和強(qiáng)調(diào)：在做好統(tǒng)籌數(shù)據(jù)開(kāi)發(fā)利用的同時(shí)，要持續(xù)加強(qiáng)涉及國(guó)家利益、商業(yè)秘密和個(gè)人隱私等方面數(shù)據(jù)的保護(hù)；在法律法規(guī)政策文件制定方面，加快推進(jìn)數(shù)據(jù)安全、個(gè)人信息保護(hù)等領(lǐng)域基礎(chǔ)性立法，加快在數(shù)據(jù)資源產(chǎn)權(quán)、交易流通、跨境傳輸和安全保護(hù)等方面的基礎(chǔ)制度和標(biāo)準(zhǔn)規(guī)范建立，強(qiáng)化數(shù)據(jù)資源全生命周期安全保護(hù)，進(jìn)一步完善適用于大數(shù)據(jù)環(huán)境下的數(shù)據(jù)分類(lèi)分級(jí)保護(hù)制度；在監(jiān)督管理方面，持續(xù)加強(qiáng)數(shù)據(jù)安全評(píng)估工作，推動(dòng)數(shù)據(jù)跨境安全有序流動(dòng)[1-3]。

在工業(yè)領(lǐng)域，我國(guó)陸續(xù)出臺(tái)了《關(guān)于深化“互聯(lián)網(wǎng)+先進(jìn)制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導(dǎo)意見(jiàn)》《數(shù)據(jù)管理能力成熟度評(píng)估模型》（GB/T 36073-2018）《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》《加強(qiáng)工業(yè)互聯(lián)網(wǎng)安全工作的指導(dǎo)意見(jiàn)》《工業(yè)數(shù)據(jù)分類(lèi)分級(jí)指南（試行）》等國(guó)家標(biāo)準(zhǔn)和指導(dǎo)性文件中，都明確提出了加強(qiáng)數(shù)據(jù)安全的相關(guān)要求，指導(dǎo)工業(yè)企業(yè)不僅要實(shí)現(xiàn)工業(yè)數(shù)據(jù)管理能力提升，促進(jìn)工業(yè)數(shù)據(jù)的使用、流動(dòng)與共享，同時(shí)也要加強(qiáng)對(duì)數(shù)據(jù)安全的全方位防護(hù)。

2 工業(yè)企業(yè)工業(yè)數(shù)據(jù)安全保護(hù)突出問(wèn)題

工業(yè)數(shù)據(jù)是工業(yè)企業(yè)的“血液”，是工業(yè)企業(yè)增強(qiáng)自身生產(chǎn)力、競(jìng)爭(zhēng)力、創(chuàng)新力的核心動(dòng)力，加強(qiáng)工業(yè)數(shù)據(jù)安全保護(hù)工作對(duì)于促進(jìn)和保障工業(yè)行業(yè)的平穩(wěn)健康發(fā)展至關(guān)重要，但由于諸多因素制約，我國(guó)工業(yè)企業(yè)工業(yè)數(shù)據(jù)安全保護(hù)工作仍存在著一系列突出問(wèn)題[4]。

2.1 未落實(shí)工業(yè)數(shù)據(jù)安全主體責(zé)任

當(dāng)前部分工業(yè)企業(yè)自身工業(yè)數(shù)據(jù)安全主體責(zé)任仍不明確，工業(yè)數(shù)據(jù)安全管理機(jī)制存在不同程度的缺失，工業(yè)數(shù)據(jù)安全保護(hù)責(zé)任人及其崗位職責(zé)模糊不清，更多的工業(yè)企業(yè)高層僅關(guān)注工業(yè)企業(yè)安全生產(chǎn)和生產(chǎn)效率保障，缺乏對(duì)工業(yè)控制系統(tǒng)安全、工業(yè)數(shù)據(jù)安全等難以直觀看到回報(bào)的“隱性投資”的支持和重視，致使相關(guān)人員在開(kāi)展工業(yè)數(shù)據(jù)安全保護(hù)工作的過(guò)程中難以及時(shí)獲得工業(yè)企業(yè)最高管理者的充分支持和資源傾斜，推進(jìn)工作難以施行和落地。

2.2 未建立工業(yè)數(shù)據(jù)安全管理體系

當(dāng)前部分工業(yè)企業(yè)在工業(yè)數(shù)據(jù)安全保護(hù)方面仍未做到與發(fā)展同步規(guī)劃、同步建設(shè)、同步運(yùn)行，在工業(yè)數(shù)據(jù)的整體規(guī)劃、安全管理、使用機(jī)制、流動(dòng)共享、監(jiān)督檢查、問(wèn)責(zé)通報(bào)和應(yīng)急處置等方面存在管理缺失，缺失工業(yè)數(shù)據(jù)安全保護(hù)綱領(lǐng)文件，工業(yè)數(shù)據(jù)安全管理制度類(lèi)型和內(nèi)容缺失工業(yè)企業(yè)工業(yè)數(shù)據(jù)的全生命周期中的部分環(huán)節(jié)。在工業(yè)數(shù)據(jù)分類(lèi)分級(jí)管理方面，工業(yè)企業(yè)尚未依據(jù)工業(yè)數(shù)據(jù)分類(lèi)分級(jí)管理相關(guān)要求，形成各級(jí)完善的工業(yè)數(shù)據(jù)清單；在工業(yè)數(shù)據(jù)全生命周期管理方面，工業(yè)企業(yè)當(dāng)前工業(yè)數(shù)據(jù)安全管理體系存在疏漏，未涵蓋在研發(fā)設(shè)計(jì)、生產(chǎn)制造、經(jīng)營(yíng)管理、運(yùn)維服務(wù)等工業(yè)領(lǐng)域產(chǎn)品和服務(wù)全生命周期中生成和使用的數(shù)據(jù)，以及工業(yè)互聯(lián)網(wǎng)平臺(tái)企業(yè)在設(shè)備接入、平臺(tái)運(yùn)行、工業(yè)APP應(yīng)用等過(guò)程中生成和使用的數(shù)據(jù)；在工業(yè)數(shù)據(jù)安全保護(hù)監(jiān)測(cè)和應(yīng)急處理方面，企業(yè)不同程度上缺失針對(duì)不同階段的各類(lèi)各級(jí)工業(yè)數(shù)據(jù)制定相應(yīng)的安全保護(hù)管理制度和事件應(yīng)急處置預(yù)案；在工業(yè)數(shù)據(jù)安全供應(yīng)鏈保護(hù)方面，工業(yè)企業(yè)未明確劃分自身與服務(wù)商各自承擔(dān)的工業(yè)數(shù)據(jù)安全保護(hù)的責(zé)任和義務(wù)；在工業(yè)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估方面，工業(yè)企業(yè)未定期自行或委托專(zhuān)業(yè)測(cè)評(píng)機(jī)構(gòu)開(kāi)展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估，掌握自身工業(yè)數(shù)據(jù)安全風(fēng)險(xiǎn)現(xiàn)狀[5-7]。

2.3 未采取工業(yè)數(shù)據(jù)安全防護(hù)措施

在工業(yè)數(shù)據(jù)存儲(chǔ)和傳輸方面，當(dāng)前部分工業(yè)企業(yè)在數(shù)據(jù)庫(kù)、存儲(chǔ)介質(zhì)中靜態(tài)存儲(chǔ)的工業(yè)數(shù)據(jù)以明文形式存儲(chǔ)，未通過(guò)技術(shù)手段進(jìn)行加密保護(hù)，在網(wǎng)絡(luò)層動(dòng)態(tài)傳輸?shù)墓I(yè)數(shù)據(jù)以明文形式傳輸，此類(lèi)現(xiàn)象極易被攻擊者通過(guò)簡(jiǎn)單的攻擊手段獲取數(shù)據(jù)內(nèi)容；在工業(yè)數(shù)據(jù)分類(lèi)分級(jí)安全防護(hù)方面，企業(yè)尚未依據(jù)國(guó)家相關(guān)文件要求對(duì)自身涉及的工業(yè)數(shù)據(jù)進(jìn)行分類(lèi)分級(jí)，對(duì)不同類(lèi)型不同級(jí)別的數(shù)據(jù)采取的安全防護(hù)手段落實(shí)不到位；在工業(yè)數(shù)據(jù)安全備份管理方面，企業(yè)未定期對(duì)工藝參數(shù)、配置文件、設(shè)備運(yùn)行數(shù)據(jù)、生產(chǎn)數(shù)據(jù)、控制指令等關(guān)鍵業(yè)務(wù)數(shù)據(jù)進(jìn)行備份，對(duì)相關(guān)數(shù)據(jù)進(jìn)行統(tǒng)一收集、保護(hù)和管理的手段不足，數(shù)據(jù)僅在各自系統(tǒng)或設(shè)備本地留存；在工業(yè)測(cè)試數(shù)據(jù)安全管理方面，未對(duì)安全評(píng)估數(shù)據(jù)、現(xiàn)場(chǎng)組態(tài)開(kāi)發(fā)數(shù)據(jù)、系統(tǒng)聯(lián)調(diào)數(shù)據(jù)、現(xiàn)場(chǎng)變更測(cè)試數(shù)據(jù)、應(yīng)急演練數(shù)據(jù)等測(cè)試數(shù)據(jù)采取授權(quán)訪問(wèn)、加密存儲(chǔ)、加密傳輸、定期備份、風(fēng)險(xiǎn)監(jiān)測(cè)等保護(hù)措施[8-13]。

2.4 未配備工業(yè)數(shù)據(jù)安全專(zhuān)業(yè)人才

當(dāng)前大多數(shù)工業(yè)企業(yè)存在工業(yè)數(shù)據(jù)安全管理人才、團(tuán)隊(duì)和技術(shù)手段無(wú)法滿足自身實(shí)際需求的突出問(wèn)題，企業(yè)工業(yè)數(shù)據(jù)安全管理的人、財(cái)、物力支持和投入不高，缺乏完善的專(zhuān)業(yè)人才的引進(jìn)、培養(yǎng)、考核機(jī)制，忽視對(duì)工業(yè)數(shù)據(jù)安全管理人才的培養(yǎng)和選拔、管理隊(duì)伍的建設(shè)、相關(guān)人員的培訓(xùn)與考核，難以吸引具備一定專(zhuān)業(yè)能力的復(fù)合型人才。企業(yè)內(nèi)部人員缺少對(duì)國(guó)家、行業(yè)或業(yè)界相關(guān)活動(dòng)或?qū)I(yè)領(lǐng)域知識(shí)的關(guān)注，不具備相關(guān)專(zhuān)業(yè)領(lǐng)域的基本知識(shí)。

3 淺談工業(yè)企業(yè)工業(yè)數(shù)據(jù)安全保護(hù)建議

3.1 謀劃工業(yè)數(shù)據(jù)安全管理頂層設(shè)計(jì)

工業(yè)企業(yè)應(yīng)進(jìn)一步強(qiáng)化落實(shí)自身工業(yè)數(shù)據(jù)安全管理主體責(zé)任，持續(xù)貫徹落實(shí)《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《關(guān)于深化“互聯(lián)網(wǎng)+先進(jìn)制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導(dǎo)意見(jiàn)》《關(guān)于工業(yè)大數(shù)據(jù)發(fā)展的指導(dǎo)意見(jiàn)》《工業(yè)控制系統(tǒng)信息安全行動(dòng)計(jì)劃（2018-2020年）》《工業(yè)控制系統(tǒng)信息安全防護(hù)能力評(píng)估工作管理辦法》《工業(yè)數(shù)據(jù)分類(lèi)分級(jí)指南（試行）》《工業(yè)控制系統(tǒng)信息安全事件應(yīng)急管理工作指南》《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》等國(guó)家網(wǎng)絡(luò)安全法律法規(guī)和政策文件精神，穩(wěn)步推動(dòng)工業(yè)數(shù)據(jù)安全保護(hù)方面陸續(xù)出臺(tái)的國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)等各類(lèi)標(biāo)準(zhǔn)文件落地施行，建立符合工業(yè)企業(yè)自身特點(diǎn)和發(fā)展現(xiàn)狀的工業(yè)數(shù)據(jù)安全保護(hù)管理體系，明確工業(yè)數(shù)據(jù)安全保護(hù)責(zé)任人及其崗位職責(zé)，嚴(yán)格遵循國(guó)家法律法規(guī)和相關(guān)指導(dǎo)性文件，明確各崗位在各自職責(zé)范圍應(yīng)履行的工業(yè)數(shù)據(jù)安全保護(hù)義務(wù)和應(yīng)承擔(dān)的工業(yè)數(shù)據(jù)安全保護(hù)責(zé)任，建設(shè)涵蓋工業(yè)數(shù)據(jù)安全的整體規(guī)劃、安全管理、使用機(jī)制、流動(dòng)共享、供應(yīng)鏈管理、監(jiān)督檢查、培訓(xùn)教育、問(wèn)責(zé)通報(bào)和應(yīng)急處置等多方面的管理制度，建立健全工業(yè)數(shù)據(jù)分類(lèi)分級(jí)管理、工業(yè)數(shù)據(jù)訪問(wèn)權(quán)限管理、工業(yè)數(shù)據(jù)安全合規(guī)性評(píng)估、工業(yè)數(shù)據(jù)全生命周期管理、工業(yè)數(shù)據(jù)合作方管理、工業(yè)數(shù)據(jù)安全應(yīng)急響應(yīng)等全流程工業(yè)數(shù)據(jù)安全管理制度[14-16]。

3.2 推進(jìn)工業(yè)數(shù)據(jù)安全防護(hù)手段建設(shè)

工業(yè)企業(yè)應(yīng)在工業(yè)控制系統(tǒng)設(shè)計(jì)、選型、建設(shè)、測(cè)試、運(yùn)行、檢修、廢棄等全生命周期各階段建設(shè)相應(yīng)的工業(yè)數(shù)據(jù)安全防護(hù)軟硬件設(shè)施，將工業(yè)數(shù)據(jù)安全保護(hù)資金投入納入企業(yè)總體支出范疇進(jìn)行全局考慮，保證工業(yè)數(shù)據(jù)安全保護(hù)資金投入與企業(yè)當(dāng)前現(xiàn)狀相匹配，形成涵蓋網(wǎng)絡(luò)層安全防護(hù)、主機(jī)層安全防護(hù)、應(yīng)用層安全防護(hù)、物理層安全防護(hù)安全、管理體系安全防護(hù)等方面的整體型工業(yè)數(shù)據(jù)安全保護(hù)能力，依據(jù)工業(yè)企業(yè)自身工業(yè)數(shù)據(jù)分類(lèi)分級(jí)管理制度，對(duì)工業(yè)數(shù)據(jù)進(jìn)行分類(lèi)分級(jí)管理，采取相應(yīng)級(jí)別的安全防護(hù)措施。

3.3 定期開(kāi)展工業(yè)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估

工業(yè)企業(yè)應(yīng)定期自行開(kāi)展或委托第三方專(zhuān)業(yè)測(cè)評(píng)機(jī)構(gòu)開(kāi)展工業(yè)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估工作，及時(shí)掌握自身工業(yè)數(shù)據(jù)安全風(fēng)險(xiǎn)現(xiàn)狀，對(duì)評(píng)估中發(fā)現(xiàn)的問(wèn)題及時(shí)整改，確保自身工業(yè)數(shù)據(jù)滿足分類(lèi)分級(jí)保護(hù)要求，確保當(dāng)前采取的安全防護(hù)措施切實(shí)有效，形成覆蓋工業(yè)數(shù)據(jù)全生命周期管理的“事前防范、事中監(jiān)測(cè)、事后應(yīng)急”的全方位安全防護(hù)機(jī)制[17-18]。

3.4 加強(qiáng)工業(yè)數(shù)據(jù)安全人才隊(duì)伍建設(shè)

工業(yè)企業(yè)應(yīng)積極加強(qiáng)與政府相關(guān)部門(mén)、各類(lèi)院校、專(zhuān)業(yè)機(jī)構(gòu)合作，建立安全人才的培養(yǎng)、獎(jiǎng)勵(lì)、引進(jìn)全方位機(jī)制，通過(guò)人才引進(jìn)、人才培養(yǎng)、人才選拔等多種方式，借助定期開(kāi)展培訓(xùn)教育、技能考核、交流學(xué)習(xí)等手段，打造一支具備數(shù)據(jù)安全保護(hù)知識(shí)、掌握數(shù)據(jù)安全防護(hù)技術(shù)、了解國(guó)家數(shù)據(jù)安全保護(hù)總體形勢(shì)，并具備一定程度的實(shí)際操作能力的復(fù)合型人才隊(duì)伍，以“小核心，大外圍”的模式為工業(yè)數(shù)據(jù)安全戰(zhàn)略部署、規(guī)劃制定、決策咨詢(xún)、重大問(wèn)題等提供智力支持和技術(shù)支撐。