楊梓濤，王尊

（國家工業(yè)信息安全發(fā)展研究中心，北京 100040）

0 引言

工業(yè)安全是關(guān)鍵信息基礎(chǔ)設(shè)施安全的重要組成部分，伴隨著我國工業(yè)和信息化的深度融合發(fā)展，黨中央、國務(wù)院和相關(guān)部委高度重視數(shù)據(jù)在推動我國數(shù)字經(jīng)濟發(fā)展中的作用。在工業(yè)和信息化領(lǐng)域，工業(yè)數(shù)據(jù)作為貫穿工業(yè)產(chǎn)品和服務(wù)全生命周期的重要數(shù)據(jù)，在支撐供給側(cè)結(jié)構(gòu)性改革、驅(qū)動制造業(yè)轉(zhuǎn)型升級的作用日益顯現(xiàn)，是支撐構(gòu)建以數(shù)字驅(qū)動的工業(yè)新生態(tài)的重要因素。

1 我國工業(yè)領(lǐng)域數(shù)據(jù)安全保護相關(guān)文件

“安全是發(fā)展的前提，發(fā)展是安全的保障”，為加強對數(shù)據(jù)安全的保障，歷年來，我國陸續(xù)出臺《中華人民共和國網(wǎng)絡(luò)安全法》《促進大數(shù)據(jù)發(fā)展行動綱要》《大數(shù)據(jù)產(chǎn)業(yè)發(fā)展規(guī)劃（2016-2020年）》等法律法規(guī)和政策文件。2021年6月，《中華人民共和國數(shù)據(jù)安全法》表決通過，已于今年9月1日起施行，用于指導和規(guī)范在我國范圍內(nèi)的數(shù)據(jù)處理活動，在促進數(shù)據(jù)開發(fā)利用的同時，著力保障數(shù)據(jù)安全。在我國“十四五”規(guī)劃中，數(shù)據(jù)安全的相關(guān)內(nèi)容被多次提及和強調(diào)：在做好統(tǒng)籌數(shù)據(jù)開發(fā)利用的同時，要持續(xù)加強涉及國家利益、商業(yè)秘密和個人隱私等方面數(shù)據(jù)的保護；在法律法規(guī)政策文件制定方面，加快推進數(shù)據(jù)安全、個人信息保護等領(lǐng)域基礎(chǔ)性立法，加快在數(shù)據(jù)資源產(chǎn)權(quán)、交易流通、跨境傳輸和安全保護等方面的基礎(chǔ)制度和標準規(guī)范建立，強化數(shù)據(jù)資源全生命周期安全保護，進一步完善適用于大數(shù)據(jù)環(huán)境下的數(shù)據(jù)分類分級保護制度；在監(jiān)督管理方面，持續(xù)加強數(shù)據(jù)安全評估工作，推動數(shù)據(jù)跨境安全有序流動[1-3]。

在工業(yè)領(lǐng)域，我國陸續(xù)出臺了《關(guān)于深化“互聯(lián)網(wǎng)+先進制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導意見》《數(shù)據(jù)管理能力成熟度評估模型》（GB/T 36073-2018）《工業(yè)控制系統(tǒng)信息安全防護指南》《加強工業(yè)互聯(lián)網(wǎng)安全工作的指導意見》《工業(yè)數(shù)據(jù)分類分級指南（試行）》等國家標準和指導性文件中，都明確提出了加強數(shù)據(jù)安全的相關(guān)要求，指導工業(yè)企業(yè)不僅要實現(xiàn)工業(yè)數(shù)據(jù)管理能力提升，促進工業(yè)數(shù)據(jù)的使用、流動與共享，同時也要加強對數(shù)據(jù)安全的全方位防護。

2 工業(yè)企業(yè)工業(yè)數(shù)據(jù)安全保護突出問題

工業(yè)數(shù)據(jù)是工業(yè)企業(yè)的“血液”，是工業(yè)企業(yè)增強自身生產(chǎn)力、競爭力、創(chuàng)新力的核心動力，加強工業(yè)數(shù)據(jù)安全保護工作對于促進和保障工業(yè)行業(yè)的平穩(wěn)健康發(fā)展至關(guān)重要，但由于諸多因素制約，我國工業(yè)企業(yè)工業(yè)數(shù)據(jù)安全保護工作仍存在著一系列突出問題[4]。

2.1 未落實工業(yè)數(shù)據(jù)安全主體責任

當前部分工業(yè)企業(yè)自身工業(yè)數(shù)據(jù)安全主體責任仍不明確，工業(yè)數(shù)據(jù)安全管理機制存在不同程度的缺失，工業(yè)數(shù)據(jù)安全保護責任人及其崗位職責模糊不清，更多的工業(yè)企業(yè)高層僅關(guān)注工業(yè)企業(yè)安全生產(chǎn)和生產(chǎn)效率保障，缺乏對工業(yè)控制系統(tǒng)安全、工業(yè)數(shù)據(jù)安全等難以直觀看到回報的“隱性投資”的支持和重視，致使相關(guān)人員在開展工業(yè)數(shù)據(jù)安全保護工作的過程中難以及時獲得工業(yè)企業(yè)最高管理者的充分支持和資源傾斜，推進工作難以施行和落地。

2.2 未建立工業(yè)數(shù)據(jù)安全管理體系

當前部分工業(yè)企業(yè)在工業(yè)數(shù)據(jù)安全保護方面仍未做到與發(fā)展同步規(guī)劃、同步建設(shè)、同步運行，在工業(yè)數(shù)據(jù)的整體規(guī)劃、安全管理、使用機制、流動共享、監(jiān)督檢查、問責通報和應(yīng)急處置等方面存在管理缺失，缺失工業(yè)數(shù)據(jù)安全保護綱領(lǐng)文件，工業(yè)數(shù)據(jù)安全管理制度類型和內(nèi)容缺失工業(yè)企業(yè)工業(yè)數(shù)據(jù)的全生命周期中的部分環(huán)節(jié)。在工業(yè)數(shù)據(jù)分類分級管理方面，工業(yè)企業(yè)尚未依據(jù)工業(yè)數(shù)據(jù)分類分級管理相關(guān)要求，形成各級完善的工業(yè)數(shù)據(jù)清單；在工業(yè)數(shù)據(jù)全生命周期管理方面，工業(yè)企業(yè)當前工業(yè)數(shù)據(jù)安全管理體系存在疏漏，未涵蓋在研發(fā)設(shè)計、生產(chǎn)制造、經(jīng)營管理、運維服務(wù)等工業(yè)領(lǐng)域產(chǎn)品和服務(wù)全生命周期中生成和使用的數(shù)據(jù)，以及工業(yè)互聯(lián)網(wǎng)平臺企業(yè)在設(shè)備接入、平臺運行、工業(yè)APP應(yīng)用等過程中生成和使用的數(shù)據(jù)；在工業(yè)數(shù)據(jù)安全保護監(jiān)測和應(yīng)急處理方面，企業(yè)不同程度上缺失針對不同階段的各類各級工業(yè)數(shù)據(jù)制定相應(yīng)的安全保護管理制度和事件應(yīng)急處置預(yù)案；在工業(yè)數(shù)據(jù)安全供應(yīng)鏈保護方面，工業(yè)企業(yè)未明確劃分自身與服務(wù)商各自承擔的工業(yè)數(shù)據(jù)安全保護的責任和義務(wù)；在工業(yè)數(shù)據(jù)安全風險評估方面，工業(yè)企業(yè)未定期自行或委托專業(yè)測評機構(gòu)開展數(shù)據(jù)安全風險評估，掌握自身工業(yè)數(shù)據(jù)安全風險現(xiàn)狀[5-7]。

2.3 未采取工業(yè)數(shù)據(jù)安全防護措施

在工業(yè)數(shù)據(jù)存儲和傳輸方面，當前部分工業(yè)企業(yè)在數(shù)據(jù)庫、存儲介質(zhì)中靜態(tài)存儲的工業(yè)數(shù)據(jù)以明文形式存儲，未通過技術(shù)手段進行加密保護，在網(wǎng)絡(luò)層動態(tài)傳輸?shù)墓I(yè)數(shù)據(jù)以明文形式傳輸，此類現(xiàn)象極易被攻擊者通過簡單的攻擊手段獲取數(shù)據(jù)內(nèi)容；在工業(yè)數(shù)據(jù)分類分級安全防護方面，企業(yè)尚未依據(jù)國家相關(guān)文件要求對自身涉及的工業(yè)數(shù)據(jù)進行分類分級，對不同類型不同級別的數(shù)據(jù)采取的安全防護手段落實不到位；在工業(yè)數(shù)據(jù)安全備份管理方面，企業(yè)未定期對工藝參數(shù)、配置文件、設(shè)備運行數(shù)據(jù)、生產(chǎn)數(shù)據(jù)、控制指令等關(guān)鍵業(yè)務(wù)數(shù)據(jù)進行備份，對相關(guān)數(shù)據(jù)進行統(tǒng)一收集、保護和管理的手段不足，數(shù)據(jù)僅在各自系統(tǒng)或設(shè)備本地留存；在工業(yè)測試數(shù)據(jù)安全管理方面，未對安全評估數(shù)據(jù)、現(xiàn)場組態(tài)開發(fā)數(shù)據(jù)、系統(tǒng)聯(lián)調(diào)數(shù)據(jù)、現(xiàn)場變更測試數(shù)據(jù)、應(yīng)急演練數(shù)據(jù)等測試數(shù)據(jù)采取授權(quán)訪問、加密存儲、加密傳輸、定期備份、風險監(jiān)測等保護措施[8-13]。

2.4 未配備工業(yè)數(shù)據(jù)安全專業(yè)人才

當前大多數(shù)工業(yè)企業(yè)存在工業(yè)數(shù)據(jù)安全管理人才、團隊和技術(shù)手段無法滿足自身實際需求的突出問題，企業(yè)工業(yè)數(shù)據(jù)安全管理的人、財、物力支持和投入不高，缺乏完善的專業(yè)人才的引進、培養(yǎng)、考核機制，忽視對工業(yè)數(shù)據(jù)安全管理人才的培養(yǎng)和選拔、管理隊伍的建設(shè)、相關(guān)人員的培訓與考核，難以吸引具備一定專業(yè)能力的復合型人才。企業(yè)內(nèi)部人員缺少對國家、行業(yè)或業(yè)界相關(guān)活動或?qū)I(yè)領(lǐng)域知識的關(guān)注，不具備相關(guān)專業(yè)領(lǐng)域的基本知識。

3 淺談工業(yè)企業(yè)工業(yè)數(shù)據(jù)安全保護建議

3.1 謀劃工業(yè)數(shù)據(jù)安全管理頂層設(shè)計

工業(yè)企業(yè)應(yīng)進一步強化落實自身工業(yè)數(shù)據(jù)安全管理主體責任，持續(xù)貫徹落實《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《關(guān)于深化“互聯(lián)網(wǎng)+先進制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導意見》《關(guān)于工業(yè)大數(shù)據(jù)發(fā)展的指導意見》《工業(yè)控制系統(tǒng)信息安全行動計劃（2018-2020年）》《工業(yè)控制系統(tǒng)信息安全防護能力評估工作管理辦法》《工業(yè)數(shù)據(jù)分類分級指南（試行）》《工業(yè)控制系統(tǒng)信息安全事件應(yīng)急管理工作指南》《工業(yè)控制系統(tǒng)信息安全防護指南》等國家網(wǎng)絡(luò)安全法律法規(guī)和政策文件精神，穩(wěn)步推動工業(yè)數(shù)據(jù)安全保護方面陸續(xù)出臺的國家標準、行業(yè)標準等各類標準文件落地施行，建立符合工業(yè)企業(yè)自身特點和發(fā)展現(xiàn)狀的工業(yè)數(shù)據(jù)安全保護管理體系，明確工業(yè)數(shù)據(jù)安全保護責任人及其崗位職責，嚴格遵循國家法律法規(guī)和相關(guān)指導性文件，明確各崗位在各自職責范圍應(yīng)履行的工業(yè)數(shù)據(jù)安全保護義務(wù)和應(yīng)承擔的工業(yè)數(shù)據(jù)安全保護責任，建設(shè)涵蓋工業(yè)數(shù)據(jù)安全的整體規(guī)劃、安全管理、使用機制、流動共享、供應(yīng)鏈管理、監(jiān)督檢查、培訓教育、問責通報和應(yīng)急處置等多方面的管理制度，建立健全工業(yè)數(shù)據(jù)分類分級管理、工業(yè)數(shù)據(jù)訪問權(quán)限管理、工業(yè)數(shù)據(jù)安全合規(guī)性評估、工業(yè)數(shù)據(jù)全生命周期管理、工業(yè)數(shù)據(jù)合作方管理、工業(yè)數(shù)據(jù)安全應(yīng)急響應(yīng)等全流程工業(yè)數(shù)據(jù)安全管理制度[14-16]。

3.2 推進工業(yè)數(shù)據(jù)安全防護手段建設(shè)

工業(yè)企業(yè)應(yīng)在工業(yè)控制系統(tǒng)設(shè)計、選型、建設(shè)、測試、運行、檢修、廢棄等全生命周期各階段建設(shè)相應(yīng)的工業(yè)數(shù)據(jù)安全防護軟硬件設(shè)施，將工業(yè)數(shù)據(jù)安全保護資金投入納入企業(yè)總體支出范疇進行全局考慮，保證工業(yè)數(shù)據(jù)安全保護資金投入與企業(yè)當前現(xiàn)狀相匹配，形成涵蓋網(wǎng)絡(luò)層安全防護、主機層安全防護、應(yīng)用層安全防護、物理層安全防護安全、管理體系安全防護等方面的整體型工業(yè)數(shù)據(jù)安全保護能力，依據(jù)工業(yè)企業(yè)自身工業(yè)數(shù)據(jù)分類分級管理制度，對工業(yè)數(shù)據(jù)進行分類分級管理，采取相應(yīng)級別的安全防護措施。

3.3 定期開展工業(yè)數(shù)據(jù)安全風險評估

工業(yè)企業(yè)應(yīng)定期自行開展或委托第三方專業(yè)測評機構(gòu)開展工業(yè)數(shù)據(jù)安全風險評估工作，及時掌握自身工業(yè)數(shù)據(jù)安全風險現(xiàn)狀，對評估中發(fā)現(xiàn)的問題及時整改，確保自身工業(yè)數(shù)據(jù)滿足分類分級保護要求，確保當前采取的安全防護措施切實有效，形成覆蓋工業(yè)數(shù)據(jù)全生命周期管理的“事前防范、事中監(jiān)測、事后應(yīng)急”的全方位安全防護機制[17-18]。

3.4 加強工業(yè)數(shù)據(jù)安全人才隊伍建設(shè)

工業(yè)企業(yè)應(yīng)積極加強與政府相關(guān)部門、各類院校、專業(yè)機構(gòu)合作，建立安全人才的培養(yǎng)、獎勵、引進全方位機制，通過人才引進、人才培養(yǎng)、人才選拔等多種方式，借助定期開展培訓教育、技能考核、交流學習等手段，打造一支具備數(shù)據(jù)安全保護知識、掌握數(shù)據(jù)安全防護技術(shù)、了解國家數(shù)據(jù)安全保護總體形勢，并具備一定程度的實際操作能力的復合型人才隊伍，以“小核心，大外圍”的模式為工業(yè)數(shù)據(jù)安全戰(zhàn)略部署、規(guī)劃制定、決策咨詢、重大問題等提供智力支持和技術(shù)支撐。