我們將軟件定義安全的理念貫穿數(shù)據(jù)安全的全生命周期，實(shí)現(xiàn)安全需求集約化、安全能力組件化，賦能工業(yè)數(shù)據(jù)安全發(fā)展。

—北京明朝萬(wàn)達(dá)科技股份有限公司高級(jí)副總裁&首席技術(shù)官喻波

新基建和工業(yè)數(shù)字化轉(zhuǎn)型以及數(shù)據(jù)防護(hù)之間是什么關(guān)系？我們認(rèn)為新基建賦能工業(yè)數(shù)字化轉(zhuǎn)型，同時(shí)也為安全防護(hù)賦能。工業(yè)對(duì)數(shù)據(jù)安全提出新要求，數(shù)據(jù)安全為工業(yè)提供保障。

新基建是指人工智能、工業(yè)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等新型基礎(chǔ)設(shè)施建設(shè)，所謂的“新”實(shí)際上是和傳統(tǒng)相對(duì)應(yīng)的。結(jié)合新一輪數(shù)字科技革命以及產(chǎn)業(yè)變革的特征，新基建一共劃分為七個(gè)領(lǐng)域，這七個(gè)領(lǐng)域可以分為三個(gè)不同的類別。第一個(gè)類別是新一代信息技術(shù)深化形成的基礎(chǔ)設(shè)施，比如通信基礎(chǔ)設(shè)施、5G等新一代技術(shù)基礎(chǔ)設(shè)施和區(qū)塊鏈等算力基礎(chǔ)設(shè)施。第二個(gè)類別是支撐傳統(tǒng)基礎(chǔ)設(shè)施轉(zhuǎn)型升級(jí)形成的融合類基礎(chǔ)設(shè)施，比如智能交通、智能能源等。第三個(gè)類別是支撐科學(xué)研究、技術(shù)開(kāi)發(fā)、產(chǎn)品研制的具有公益屬性的基礎(chǔ)設(shè)施，如衛(wèi)星通信、基礎(chǔ)教育等。

新基建的本質(zhì)是促進(jìn)產(chǎn)業(yè)結(jié)構(gòu)的變革，推動(dòng)信息技術(shù)的大規(guī)模應(yīng)用。從信息技術(shù)來(lái)看，信息技術(shù)的應(yīng)用最開(kāi)始從第二產(chǎn)業(yè)發(fā)展起來(lái)，如政府、軍事、制造、能源、金融等行業(yè)，等這些應(yīng)用發(fā)展到成熟以后，才引入第一和第三產(chǎn)業(yè)中。新基建與此類似，新基建的發(fā)展首先在政府、軍事、制造等第二產(chǎn)業(yè)，等到新基建的相關(guān)技術(shù)穩(wěn)定、建設(shè)和發(fā)展成本下降以后才會(huì)對(duì)第一、第三產(chǎn)業(yè)產(chǎn)生影響。

工業(yè)數(shù)字化轉(zhuǎn)型以后的數(shù)據(jù)和以前不一樣，簡(jiǎn)單來(lái)說(shuō)，大量的設(shè)備入網(wǎng)使得數(shù)據(jù)源頭更加豐富。隨著企業(yè)應(yīng)用的增加和企業(yè)間聯(lián)系的增多，數(shù)據(jù)流轉(zhuǎn)范圍會(huì)擴(kuò)大;隨著產(chǎn)業(yè)的數(shù)字化轉(zhuǎn)型，數(shù)據(jù)流轉(zhuǎn)效率也會(huì)提高，數(shù)據(jù)從之前的IT產(chǎn)業(yè)附屬品變成了重要的生產(chǎn)要素。隨著數(shù)據(jù)角色的變化，我們從設(shè)備層、邊緣層再到產(chǎn)業(yè)層、管理層，都面臨安全層面的問(wèn)題。

而對(duì)于管理層來(lái)講，最核心的問(wèn)題是安全需求的分散和安全需求相對(duì)混亂。同樣的數(shù)據(jù)，進(jìn)入不同環(huán)節(jié)的時(shí)候要求是完全不同的，傳統(tǒng)的方案是將安全系統(tǒng)和業(yè)務(wù)系統(tǒng)直接對(duì)接，也就是說(shuō)對(duì)業(yè)務(wù)系統(tǒng)提出需求，安全系統(tǒng)進(jìn)行響應(yīng)，而隨著數(shù)據(jù)流轉(zhuǎn)范圍變大，這樣做的難度逐漸增大。

為了應(yīng)對(duì)這種情況，我們提出了一個(gè)簡(jiǎn)單的解決方案，我們認(rèn)為軟件定義安全是可以賦能工業(yè)數(shù)據(jù)安全的。

保護(hù)工業(yè)數(shù)據(jù)安全實(shí)際上是數(shù)據(jù)安全對(duì)采集、傳輸、存儲(chǔ)、處理到交換的全生命周期的保護(hù)，這個(gè)過(guò)程非常復(fù)雜，我們要面對(duì)不同的數(shù)據(jù)，如實(shí)時(shí)數(shù)據(jù)、非實(shí)時(shí)數(shù)據(jù)、企業(yè)或互聯(lián)網(wǎng)平臺(tái)里的數(shù)據(jù)或者IT、OT網(wǎng)絡(luò)上的數(shù)據(jù)。這些數(shù)據(jù)范圍、特質(zhì)都不一樣，我們?cè)撊绾翁幚砟兀?/p>

我們對(duì)業(yè)務(wù)和安全進(jìn)行解耦，業(yè)務(wù)提出來(lái)的是安全需求，我們把安全需求集約化。而安全本身是一種能力，我們把安全能力組件化，通過(guò)模型連接起來(lái)，通過(guò)軟件定義安全的方式滿足不同的安全需求。

這里提到了一個(gè)方案，傳統(tǒng)的方案是安全和業(yè)務(wù)系統(tǒng)直接對(duì)接，現(xiàn)在的方案中需要通過(guò)一個(gè)安全模型過(guò)渡，也就是說(shuō)業(yè)務(wù)系統(tǒng)將訴求提交給安全模型，再通過(guò)模型把安全需求提交給不同的安全系統(tǒng)，由各個(gè)安全系統(tǒng)來(lái)滿足需求。

參考工業(yè)互聯(lián)網(wǎng)的信息模型，我們提出了一個(gè)工業(yè)數(shù)據(jù)安全模型的概念，這個(gè)工業(yè)數(shù)據(jù)安全模型分為兩類：一類是安全需求模型，分為設(shè)備層數(shù)據(jù)安全模型、邊緣層數(shù)據(jù)安全模型、企業(yè)層數(shù)據(jù)安全模型、產(chǎn)業(yè)層數(shù)據(jù)安全模型;另一類是安全防護(hù)模型，分為用戶身份認(rèn)證模型、現(xiàn)場(chǎng)設(shè)備接入認(rèn)證模型、外設(shè)管控模型、密碼應(yīng)用模型。我們把這兩種安全模型通過(guò)軟件定義安全的方式連接起來(lái)，這樣就完成了安全需求和安全防護(hù)之間的關(guān)聯(lián)。

然后，我們需要對(duì)生產(chǎn)工藝數(shù)據(jù)和物料數(shù)據(jù)分類，才能進(jìn)一步做安全管控，所以需求提出來(lái)以后，會(huì)通過(guò)數(shù)據(jù)分類模型來(lái)滿足需求，數(shù)據(jù)分類模型對(duì)接數(shù)據(jù)分類系統(tǒng)，能夠?qū)?shù)據(jù)進(jìn)行分類服務(wù)。完成分類服務(wù)以后才會(huì)對(duì)安全需求的其他部分進(jìn)行響應(yīng)，比如說(shuō)傳輸外網(wǎng)應(yīng)該怎么做，數(shù)據(jù)存儲(chǔ)應(yīng)該怎么做，這個(gè)時(shí)候會(huì)有不同的安全模型響應(yīng)安全需求。這樣就相當(dāng)于把需求和安全的模型聯(lián)系起來(lái)了。

舉一個(gè)簡(jiǎn)單的例子，抽象化的智能工廠模型中的現(xiàn)場(chǎng)設(shè)備會(huì)對(duì)上層的ERP、CRM提出不同的需求，比如對(duì)數(shù)據(jù)進(jìn)行分類分級(jí)、對(duì)高敏感數(shù)據(jù)采取一些措施禁止其被傳到外網(wǎng)，例如進(jìn)行加密存儲(chǔ)等。這個(gè)時(shí)候我們會(huì)建立數(shù)據(jù)安全的模型，定義標(biāo)識(shí)和類型并提出它的要求，比如用戶登錄身份要求、外設(shè)管控的要求、上下傳輸數(shù)據(jù)的簽名要求、現(xiàn)場(chǎng)設(shè)備接入認(rèn)證的要求等，我們會(huì)把要求分解成不同的安全模型來(lái)應(yīng)對(duì)。安全模型一旦確定之后，我們會(huì)把要求提交給認(rèn)證設(shè)備，比如說(shuō)指紋設(shè)備，這樣就把安全需求模型與安全設(shè)備連接了起來(lái)。

也就是說(shuō)，數(shù)據(jù)安全的發(fā)展方向是通過(guò)工業(yè)數(shù)據(jù)的安全模型實(shí)現(xiàn)工業(yè)數(shù)據(jù)安全防護(hù)的模型化和體系化，從而進(jìn)一步與安全產(chǎn)品進(jìn)行對(duì)應(yīng)，實(shí)現(xiàn)對(duì)數(shù)據(jù)安全的統(tǒng)一管理、對(duì)安全能力的動(dòng)態(tài)配置。

（根據(jù)演講內(nèi)容整理，未經(jīng)本人審核）