工業領域數據安全管理與防護能力建設要以分類分級為基礎，圍繞重要數據、核心數據，補短固底強化基礎，實施分級防護與精細化管控、開展數據安全能力評估并持續運營。

　　工業數據安全建設路徑：

　　1.以數據分類分級為基礎，識別重要數據資產，做到“摸清家底，識別關鍵”

　　2.識別典型業務場景，圍繞重要數據資產，“補短板”， 強化基礎安全防護能力

　　3.基于數據分類分級結果實施分級管控與防護策略，做到“體系化管理，精細化管控”

　　4.持續數據安全能力評估，加強數據安全事件運營，做到“查漏補缺，運籌帷幄，持續運營”

　　一、背景

　　《中華人民共和國數據安全法》（以下簡稱“數據安全法”）是數據安全領域的基礎性法律，明確提出了行業數據安全監管的職責，對于工業領域來講，需對本行業制定相關數據安全標準、監測數據安全風險、區分本行業重要數據和核心數據，保障本行業的數據安全等要求。為貫徹落實數據安全法等法律法規對工業領域數據安全管理工作的要求，工業和信息化部擬發布《工業和信息化領域數據安全管理辦法（試行）》，用于加快和推進工業和信息化領域數據安全管理工作制度化、規范化、并提升工業和電信行業數據安全保護能力，防范數據安全風險，同時相繼推出《工業領域重要數據和核心數據識別規則（草案）》《工業企業數據安全防護要求（草案）》《工業數據安全評估指南（草案）》等，用來指導工業企業識別重要數據和核心數據、評估工業企業數據安全防護能力和建設參考。

　　工業領域已成為我國數字化轉型與數字經濟發展的前沿，隨著工業領域數字化轉型的推進，工業企業由傳統的生產車間的生產制造逐步轉向數字產業化和生產數字化，而數據作為具有生產效益的數字要素，已成為數字化發展的關鍵。

　　工業領域的數據規模呈爆發式增長，泛在化流動，并且向平臺化集中，同時，隨著業務系統上云、數據交互和流通（甚至存在跨境傳輸）需求的增加，針對于工業領域數據層面的安全管理、安全防護問題也逐漸增多，工業數據安全形式復雜且變得嚴峻。

　　如何對海量工業數據進行有針對性的防護，促進工業領域數據安全有序的流動、保障業務應用安全的使用、及時發現潛在數據風險并及時處置等，都是當前工業領域數據安全管理與防護的難題。

　　二、工業數據安全建設路徑

　　對于工業領域的數據安全管理和能力建設，應聚焦工業領域數據的內容、特征，緊貼業務應用場景，構建以數據為核心，建立以“以分類分級為基礎，圍繞重要數據、核心數據，補短固底強化基礎，開展分級防護與精細化管控、安全能力評估并與持續運營”的路線作為工業領域數據安全管理與防護能力建設的路線開展。

　　1、以數據分類分級為基礎，識別重要數據資產，做到“摸清家底，識別關鍵”

　　數據分類分級是工業領域數據安全管理與防護體系建設的基礎。

　　工業領域相關企業提供產品或服務時，相關產品的研發設計、生產制造、經營管理、運維服務等環節中產生和使用的數據類型眾多。其中，工業領域數據的主要來源包括：一是來源于企業內部信息化管理系統，主要涉及到業務經營管理相關的數據，如產品、工藝、生產、采購、營銷、訂單、服務、運維、管理等方面的數據；二是來自產線設備的數據，主要包含生產過程中產線、設備、物流等環節的相關工況信息、工作面信息、運行狀況信息、環境監控信息等，這類數據量大，數據來源繁雜且具有很強的實時性；三是來自于工業企業的外部數據，一般情況下包括工業企業外部相關的供應鏈數據、互聯網數據、工業產品或服務交付后產生的數據（如設備工況、工作面等數據），此類數據一般情況會與工業企業業務相融合，經過開發分析與匯聚融合后，為工業企業提供數據支撐，促進業務發展。

　　因此，工業領域數據類型多、數據來源復雜、體量大，若對所有數據無差別的進行安全管理和防護，對于數據安全管理人員來說就顯得不科學和不現實。摸清工業企業具有的數據類型、識別要保護的數據類型就顯得很重要，將數據分類分級管理和開展工作賦能到工業企業相關業務條線，識別重點保護的數據類型，作為常態化管理工作是一種必然。

　　對于工業領域的數據分類分級與重要數據識別，應至少做到以下幾點：

　　a） 識別并對工業企業各個業務條線上的數據的敏感性進行評價，識別出具有業務成果性、關鍵性、重要性、核心性相關聯的業務系統的數據（含個人數據）的敏感性，區分敏感數據類型，并進行數據安全類型和數據安全級別的標記；

　　b） 按照工業和信息化領域的相關要求，需識別出對國家安全、行業發展（安全管控、經濟運行、行業競爭）、行業特色、出庫管制、供應鏈安全等相關的重要數據、核心數據，并按照要求完成重要數據、核心數據的備案管理工作；

　　2、識別典型業務場景，圍繞重要數據資產，“補短板”， 強化基礎安全防護能力

　　工業企業的數據具有海量、多態的特點，隨著工業企業相關業務的運轉過程中，對數據的訪問場景多樣、路徑繁多，接觸人員角色復雜，不同業務場景下面對的數據安全風險不同，難以套用傳統網絡安全防護能力去保障，每段業務流程中對數據的安全訪問與數據的級別、類別、數據全生命周期無法做到一一對應，因此，很難在業務場景中根據數據全生命周期的邏輯作為數據安全能力建設的依據而落地技術保護措施。針對于類似于工業企業數據量大、數據來源復雜、數據業務場景眾多的情況，從識別業務場景出發，構建數據安全能力：

　　a） 典型業務場景識別：在工業企業的眾多業務場景中，不同產業類型的工業企業的主要經濟業務類型存在差異化，一般包含資金籌集業務、生產準備業務、產品生產業務、產品銷售業務、財務成果性差分配業務等五大類，工業企業不同的業務涵蓋可能涉及的經濟業務類型不同，所以在不同的工業業務信息系統中，數據的類型、種類、數據敏感性存在差異化。在進行數據安全管理活動中，厘清并識別出工業企業關鍵性、核心性業務場景，是做數據安全風險識別的先決條件；

　　b） 識別數據安全風險：針對于工業企業不同的業務類型，選擇典型的業務應用場景，圍繞敏感數據（含重要數據、核心數據），發現關鍵的數據訪問業務系統的場景，通過開展數據安全維度的威脅建模、風險分析，暴露出典型業務場景中的數據安全風險問題；

　　c） 補短固底，做好基礎防護：圍繞識別的數據安全風險，通過其暴露的安全問題，開展選取針對性的數據安全能力，并落地技術防護措施，在支撐工業企業業務正常開展的同時，確保典型業務場景下數據安全使用和數據安全能力的持續。

　　3、基于數據分類分級結果實施分級管控與防護策略，做到“體系化管理，精細化管控”

　　工業和信息化領域相關企業中的部門包含采購部門、人力資源部門、研發設計部門、生產制造部門、運營維護部門、銷售營銷部門、法務部門、審計部門、數字化執行部門、信息化部門等，其中數據安全管理的主要職責需要從工業企業全局和實際現狀考慮，在構筑數據安全管理體系時應充分考慮現有企業的相關管理體系、組織結構和人員組成等情況，確定各相關方的數據安全管理職責。工業企業數據安全管理體系的構建需要做到如下：

　　a） 優化數據安全管理體系，在企業原有相關的安全體系下構建數據安全管理體系，優化數據安全管理組織架構；

　　b） 明確數據安全組織職能分工，確定數據安全主管部門（信息化部或數字化部）職責各相關方職責，其中各相關方包含采購、人力、研發設計、生產制造、運營維護、銷售營銷、法務、審計等部門；

　　c） 明確數據安全崗位職責與說明，針對于數據安全管理、數據安全策略與數據安全實施相關的工作職責應明確相關負責人、職責說明。

　　除了需要確定各相關方數據安全管理職責以外，還應通過數據安全相關管理制度、規程中明確出數據安全管理的具體內容，相關的數據安全管理制度包括但不限于數據安全管理辦法、數據分類分級規范、數據安全審計規范、數據安全評估辦法、數據安全應急管理制度、數據內部登記審批制度等等。

　　工業領域相關企業在開展業務時，對數據對訪問、使用等環節應基于業務視角，對相關數據類型、數據的流向、流轉的系統與載體、流轉的數據量級、數據的流轉目的、數據存儲位置、數據的消費方、數據使用方式等內容進行梳理并結合數據分類分級結果，構建精細化的數據安全防護策略，其中包含但不限于：

　　a） 分級防護策略：與數據分類分級結果、數據全生命周期維度、從數據安全管理，數據安全技術防護視角構建數據安全防護策略；

　　b） 精細化訪問控制策略：基于數據分類分級結果，從業務訪問數據資源的需求出發，制定可落地的訪問控制策略或技術措施，保護訪問角色、系統賬戶密碼安全，做到系統數據資產統一訪問納管；

　　c） 場景化防護策略：圍繞業務場景和數據流轉，梳理數據脈絡，識別數據的訪問關系，制定貼合業務場景的數據安全能力和防護策略。

　　4、持續數據安全能力評估，加強數據安全事件運營，做到“查漏補缺，運籌帷幄，持續運營”

　　對于工業企業來說，如何對自身的數據安全管理和防護能力進行評價，需從綜合評價的角度，運用科學的方法和手段，系統地分析和診斷工業數據所面臨的威脅及其存在的脆弱性來評估工業企業數據安全防護水平。開展數據安全能力評估的目的是通過數據安全防護評估，讓工業企業發現自己的數據安全能力的弱項和短板，及時查漏補缺，提升工業企業自身的數據安全能力，通過不斷且持續的數據安全能力評估活動，使工業企業在數據安全能力建設過程中穩扎穩打，勒實基礎。評估工業企業的數據安全能力，主要參照《工業數據安全評估指南》規定的104項數據安全能力進行評估，從評估結果得分確定工業企業數據安全能力的強弱，其中包含：

　　a） 通用性數據安全管理能力評估，包含評估數據安全管理制度、組織機構、人員保障、權限管理、系統與設備安全管理、供應鏈數據安全管理、安全評估、日志留存和審計、監測預警、信息共享和應急處置等通用性的數據安全能力進行評估；

　　b） 分級防護能力評估，通過對一般數據、重要數據、核心數據在數據全生命周期中差異化的數據安全防護能力方面進行數據安全能力評估。

　　采取有效的數據安全監測工具，是維護數據安全風險持續安全運營的有效手段。

　　數據安全風險監測需要關注對數據風險的發現和控制能力，數據安全管理人員需要考慮如何去發現和識別業務上的數據風險，怎么去對產生的數據風險進行治理和糾正，怎么在以后的運營環節中規避這種數據風險，怎么對發現數據的風險進行評估，可以對數據風險的發生概率、影響對象以及影響程度進行綜合分析，按照系統化、科學化管理思想，及時掌握工業企業數據安全風險態勢，研判分析可能發生重大數據安全事件風險的情況。

　　針對數據安全風險持續運營，應采取切實可行、能力完善的技術工具及時發現數據安全風險事件，對數據安全事件持續監測。圍繞對數據資產的管理、數據流動監測、數據風險管理、數據風險評估等能力，實現對數據安全風險的態勢、數據安全事件溯源的感知能力。對于數據安全風險等態勢感知能力，通過對單位時間段內的數據資產分布、敏感數據量、敏感數據類型等指標進行統計分析與趨勢預測；對數據資產流動的程序和載體，如數據庫、應用、API等涉敏對象采取敏感數據量、敏感數據類型等指標進行統計分析與趨勢預測；對分布在不同位置、不同時間、不同類別、不同級別的數據資產的安全告警、事件處置等指標進行統計分析與趨勢預測。三大安全態勢圍繞數據從分布、流動、風險三個維度為運營人員構建了清晰的宏觀視圖。對于安全事件溯源能力，應通過對數據資產內容和相關方的溯源能力，將可疑的“人”、“數”、證據等信息按時間順序組織成為事件鏈，為運營人員構建細致的微觀視圖。

　　三、總結

　　工業領域相關企業開展數據安全能力建設，需要把握四個方面：

　　首先要切換視角，圍繞“保護重要數據資產”為目的，去梳理業務、識別典型業務場景，梳理數據資產，做好分類分級，識別重要的數據資產，摸清現有的管理及技術防護的現狀，盤清家底。

　　然后，圍繞重要的數據資產，重新審視已有的安全措施是否有效并覆蓋到了對重要數據資產的保護，加強基礎安全能力建設，補足短板。

　　同時，以數據分類分級為基礎，去規劃設計數據安全防護體系， 結合業務的場景化以及迫切性，有序建設，逐步補全安全能力，將數據安全能力全面覆蓋數據在流轉過程中的各階段，涉及數據采集、傳輸、存儲、處理、交換和銷毀等各環節，使安全能力內生于業務系統以及數據信息化基礎環境建設中，在業務流程中按需調用，靈活配置安全能力，達到深度融合、全面覆蓋。

　　最后，定期開展數據安全能力評估，不斷優化和提升數據安全能力，持續運營，只有不斷完善、不斷改進，數據安全道路才能越走越遠。

更多信息可以來這里獲取==>>電子技術應用-AET<<