呂 波

（石化盈科信息技術(shù)有限責(zé)任公司，北京 100007）

隨著我國(guó)數(shù)字化戰(zhàn)略在石油化工方面的快速推進(jìn)，海量工業(yè)數(shù)據(jù)產(chǎn)生。這些數(shù)據(jù)充分描述了石油化工在各方面的發(fā)展歷程，匯集石化企業(yè)長(zhǎng)期以來(lái)積累的科研和生產(chǎn)管理經(jīng)驗(yàn)，是石化企業(yè)的重要核心資產(chǎn)，具有重大的技術(shù)經(jīng)濟(jì)價(jià)值。作為新的生產(chǎn)要素，數(shù)據(jù)是數(shù)字經(jīng)濟(jì)的核心關(guān)鍵，充分挖掘油氣生產(chǎn)過(guò)程的數(shù)據(jù)，是現(xiàn)階段石化企業(yè)的重要工作，有助于加速數(shù)字化轉(zhuǎn)型進(jìn)程，提升企業(yè)的生產(chǎn)決策能力。對(duì)數(shù)據(jù)進(jìn)行有效的分類分級(jí)，是實(shí)現(xiàn)數(shù)據(jù)保護(hù)以及數(shù)據(jù)利用的重要條件。

1 油化數(shù)據(jù)分類分級(jí)現(xiàn)狀和方法

隨著石化企業(yè)數(shù)字化轉(zhuǎn)型，各種石化數(shù)據(jù)成指數(shù)增長(zhǎng)，傳統(tǒng)的數(shù)據(jù)分類分級(jí)手段無(wú)法有效處理勘探、煉采、轉(zhuǎn)儲(chǔ)等生產(chǎn)環(huán)節(jié)的數(shù)據(jù)，難以為數(shù)據(jù)的保護(hù)工作提供有效支撐。因此，深入研究油化數(shù)據(jù)的特點(diǎn)，開(kāi)展數(shù)據(jù)分類分級(jí)工作，對(duì)消除“數(shù)據(jù)孤島”，促進(jìn)生產(chǎn)協(xié)同，實(shí)現(xiàn)能源大數(shù)據(jù)的更高價(jià)值，提升數(shù)據(jù)安全性、有效性與易用性具有重要意義。

油化數(shù)據(jù)的分類分級(jí)是一項(xiàng)復(fù)雜的、充滿挑戰(zhàn)的系統(tǒng)工程，需要充分了解勘探開(kāi)發(fā)、煉化運(yùn)輸?shù)雀魃a(chǎn)環(huán)節(jié)產(chǎn)生的IT數(shù)據(jù)、OT數(shù)據(jù)，在制定標(biāo)準(zhǔn)、規(guī)范流程、定義屬性、分類分級(jí)等方面開(kāi)展工作。在數(shù)字化、智能化的背景下，細(xì)致完成數(shù)據(jù)分類分級(jí)工作，讓數(shù)據(jù)充分發(fā)揮要素價(jià)值的同時(shí)，可以更好更精細(xì)地制定管控措施，切實(shí)保障油化數(shù)據(jù)安全。

1.1 按業(yè)務(wù)屬性分類

石油化工行業(yè)生產(chǎn)和經(jīng)營(yíng)管理活動(dòng)中產(chǎn)生、采集、加工、使用或管理的各類數(shù)據(jù)，包括但不限于以下：

油氣勘探開(kāi)發(fā)過(guò)程中產(chǎn)生和獲取的相關(guān)數(shù)據(jù)，如物化探數(shù)據(jù)、地質(zhì)油藏?cái)?shù)據(jù)、井筒工程數(shù)據(jù)等；企業(yè)生產(chǎn)過(guò)程中產(chǎn)生和獲取的相關(guān)業(yè)務(wù)數(shù)據(jù)，如供應(yīng)鏈管理數(shù)據(jù)、設(shè)備管理數(shù)據(jù)、生產(chǎn)管控?cái)?shù)據(jù)等；企業(yè)經(jīng)營(yíng)管理過(guò)程中產(chǎn)生和獲取的相關(guān)數(shù)據(jù)，如財(cái)務(wù)數(shù)據(jù)、資產(chǎn)數(shù)據(jù)、人力資源數(shù)據(jù)等；通過(guò)付費(fèi)或數(shù)據(jù)共享等方式有償獲得的第三方數(shù)據(jù)，如勘探開(kāi)發(fā)地質(zhì)數(shù)據(jù)、氣象數(shù)據(jù)、海況數(shù)據(jù)等；其他生產(chǎn)經(jīng)營(yíng)活動(dòng)需要的數(shù)據(jù)，如地理信息數(shù)據(jù)、人文數(shù)據(jù)等。

1.2 按數(shù)據(jù)類型分類

石油化工行業(yè)數(shù)據(jù)按照數(shù)據(jù)類型包括結(jié)構(gòu)化數(shù)據(jù)、非結(jié)構(gòu)化數(shù)據(jù)及半結(jié)構(gòu)化數(shù)據(jù)。

結(jié)構(gòu)化數(shù)據(jù)，由明確定義數(shù)據(jù)類型的數(shù)據(jù)元素組成，數(shù)據(jù)元素之間具有統(tǒng)一且確定關(guān)系。非結(jié)構(gòu)化數(shù)據(jù)，是由沒(méi)有統(tǒng)一和確定關(guān)系的數(shù)據(jù)元素組成。數(shù)據(jù)元素之間具有不同的內(nèi)部結(jié)構(gòu)，無(wú)法預(yù)定義統(tǒng)一的數(shù)據(jù)模型或模式進(jìn)行表達(dá)和存儲(chǔ)，如各種圖形圖像數(shù)據(jù)、時(shí)間序列數(shù)據(jù)、體數(shù)據(jù)、音視頻數(shù)據(jù)、日志數(shù)據(jù)、地理信息數(shù)據(jù)、社交網(wǎng)絡(luò)數(shù)據(jù)和三維模型數(shù)據(jù)等。非結(jié)構(gòu)化數(shù)據(jù)在企業(yè)全部數(shù)據(jù)的占比較大，約在80%以上。半結(jié)構(gòu)化數(shù)據(jù)，是指數(shù)據(jù)元素之間的關(guān)系介于結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)之間，具有非關(guān)系模型、基本固定結(jié)構(gòu)模式的數(shù)據(jù)，包括日志文件、XML文檔、JSON文檔、E-mail等。

2 油化數(shù)據(jù)分類分級(jí)工作的需求分析與挑戰(zhàn)

2.1 油化數(shù)據(jù)分類分級(jí)工作的需求分析

1）落實(shí)法律法規(guī)的需要。國(guó)家對(duì)數(shù)據(jù)資源十分重視，近年來(lái)陸續(xù)頒布實(shí)施《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》等一系列法律法規(guī)，旨在建立、推動(dòng)數(shù)據(jù)安全的上層架構(gòu)，在法律法規(guī)中也明確規(guī)定了要建立數(shù)據(jù)分類分級(jí)制度。

2）貫徹國(guó)家數(shù)字經(jīng)濟(jì)發(fā)展戰(zhàn)略的需要。2022年1月，國(guó)務(wù)院印發(fā)的《“十四五”數(shù)字經(jīng)濟(jì)發(fā)展規(guī)劃》提出，到2025年初步建立數(shù)據(jù)要素市場(chǎng)體系。充分發(fā)揮數(shù)據(jù)要素作用，建立數(shù)據(jù)資源產(chǎn)權(quán)、交易流通、跨境傳輸和安全保護(hù)等基礎(chǔ)制度和標(biāo)準(zhǔn)規(guī)范，推動(dòng)數(shù)據(jù)資源開(kāi)發(fā)利用，數(shù)據(jù)分類分級(jí)工作勢(shì)在必行。

3）數(shù)據(jù)協(xié)同的需要。油化數(shù)據(jù)是我國(guó)工業(yè)重要的基礎(chǔ)數(shù)據(jù)之一，涉及多專業(yè)、多設(shè)備的參與，對(duì)提升工業(yè)價(jià)值、促進(jìn)工業(yè)創(chuàng)新具有重要意義。但由于在油化生產(chǎn)的勘探、煉采、儲(chǔ)運(yùn)、銷售等各環(huán)節(jié)形成了結(jié)構(gòu)化、非結(jié)構(gòu)化、半結(jié)構(gòu)化的數(shù)據(jù)格式，需要建立一套切實(shí)有效的數(shù)據(jù)分級(jí)分類標(biāo)準(zhǔn)、原則、制度、流程、平臺(tái)等手段，壓實(shí)基礎(chǔ)，能夠更好地體現(xiàn)油化數(shù)據(jù)的價(jià)值。

4）數(shù)據(jù)安全的需要。貫徹落實(shí)國(guó)家層面法律法規(guī)，依據(jù)工業(yè)和信息化指導(dǎo)文件，落實(shí)數(shù)據(jù)安全防護(hù)工作，加強(qiáng)數(shù)據(jù)分類分級(jí)管理、安全防護(hù)、安全評(píng)估、安全監(jiān)測(cè)等能力，提升行業(yè)數(shù)據(jù)安全防護(hù)水平，建設(shè)滿足現(xiàn)有需求同時(shí)能夠可持續(xù)發(fā)展的數(shù)據(jù)安全防護(hù)體系是數(shù)字化轉(zhuǎn)型的基礎(chǔ)工作之一。

2.2 油化數(shù)據(jù)分類分級(jí)工作的挑戰(zhàn)

1）數(shù)據(jù)源不清晰。由于數(shù)據(jù)散落在各個(gè)異構(gòu)系統(tǒng)中，數(shù)據(jù)結(jié)構(gòu)、數(shù)據(jù)類型、存儲(chǔ)形式、敏感級(jí)別、重要程度各不相同，分級(jí)分類條理模糊。企業(yè)對(duì)數(shù)據(jù)資產(chǎn)的記錄可能隨著時(shí)間流逝、人員變動(dòng)等原因產(chǎn)生梳理盲點(diǎn)的情況，可以采用技術(shù)掃描資產(chǎn)信息、人工配合的形式來(lái)盡量達(dá)到數(shù)據(jù)源的全覆蓋。

2）數(shù)據(jù)分類維度確定。數(shù)據(jù)分類的目的是要便于數(shù)據(jù)的管理、利用，基本原則是分類合理。建議先根據(jù)數(shù)據(jù)的管理歸屬以及業(yè)務(wù)情況對(duì)數(shù)據(jù)進(jìn)行大類劃分，再依據(jù)數(shù)據(jù)屬性劃分出子類，為了保證后續(xù)分級(jí)的準(zhǔn)確性，最后根據(jù)自身情況對(duì)數(shù)據(jù)子類再次進(jìn)行更細(xì)致分類。

3）數(shù)據(jù)復(fù)雜且海量。通過(guò)AI技術(shù)對(duì)海量數(shù)據(jù)進(jìn)行數(shù)據(jù)分類分級(jí)，一方面可有效規(guī)避人工方式出錯(cuò)率高的風(fēng)險(xiǎn)，另一方面可降低人工分類分級(jí)的成本，同時(shí)可實(shí)現(xiàn)全天候分類，增加分類分級(jí)的持續(xù)性和迭代性。在此基礎(chǔ)上，結(jié)合人工決策，為系統(tǒng)數(shù)據(jù)分類分級(jí)策略配置和結(jié)果進(jìn)行甄別調(diào)整。

4）數(shù)據(jù)分類分級(jí)的持續(xù)性。數(shù)據(jù)是動(dòng)態(tài)和流動(dòng)的，業(yè)務(wù)也是不斷新增和發(fā)展的，分類分級(jí)清單也會(huì)不斷變化。《工業(yè)企業(yè)數(shù)據(jù)安全防護(hù)要求（草案）》給出了工業(yè)企業(yè)數(shù)據(jù)安全防護(hù)的管理要求和全生命周期保護(hù)要求，重點(diǎn)針對(duì)不同安全級(jí)別的工業(yè)數(shù)據(jù)提出分級(jí)防護(hù)要求。建議企業(yè)要保持?jǐn)?shù)據(jù)分類分級(jí)的持續(xù)性，并強(qiáng)化數(shù)據(jù)全生命周期的安全保障。

3 石油化工行業(yè)數(shù)據(jù)分類分級(jí)工作的落地建議

3.1 組織架構(gòu)保障

數(shù)據(jù)分類分級(jí)工作的開(kāi)展應(yīng)具備組織保障，設(shè)立并明確有關(guān)部門（或組織）及其職責(zé)。決策層負(fù)責(zé)制定企業(yè)數(shù)據(jù)戰(zhàn)略、審批或授權(quán)，全面協(xié)調(diào)、指導(dǎo)和推進(jìn)企業(yè)的數(shù)據(jù)分類分級(jí)工作；管理層主要負(fù)責(zé)建立企業(yè)數(shù)據(jù)分類分級(jí)的完整體系，制定實(shí)施計(jì)劃，統(tǒng)籌資源配置、建立數(shù)據(jù)分類分級(jí)常態(tài)化管理機(jī)制，組織評(píng)估數(shù)據(jù)分類分級(jí)工作的有效性和執(zhí)行情況，制定并實(shí)施問(wèn)責(zé)和激勵(lì)機(jī)制；執(zhí)行層在管理層的統(tǒng)籌安排下，根據(jù)相關(guān)制度規(guī)范的要求，具體執(zhí)行各項(xiàng)工作。

3.2 制度規(guī)范保障

數(shù)據(jù)分類分級(jí)工作的開(kāi)展應(yīng)具備制度保障，明確并落實(shí)相關(guān)工作要求。包括但不限于：數(shù)據(jù)分類分級(jí)的目標(biāo)和原則；數(shù)據(jù)分類分級(jí)工作涉及的角色、部門及相關(guān)職責(zé)；數(shù)據(jù)分類分級(jí)的方法和具體要求；數(shù)據(jù)分類分級(jí)的日常管理流程和操作規(guī)程，以及分類分級(jí)結(jié)果的確定、評(píng)審、批準(zhǔn)、發(fā)布和變更機(jī)制；數(shù)據(jù)分類分級(jí)管理相關(guān)績(jī)效考評(píng)和評(píng)價(jià)機(jī)制；數(shù)據(jù)分類分級(jí)結(jié)果的發(fā)布、備案和管理的相關(guān)規(guī)定。

3.3 數(shù)據(jù)安全防范思路

對(duì)于石油化工領(lǐng)域的數(shù)據(jù)安全管理和能力建設(shè)，應(yīng)聚焦業(yè)務(wù)領(lǐng)域數(shù)據(jù)的內(nèi)容、特征，緊貼業(yè)務(wù)應(yīng)用場(chǎng)景，以分類分級(jí)為基礎(chǔ)，圍繞重要數(shù)據(jù)、核心數(shù)據(jù)，開(kāi)展分級(jí)防護(hù)與精細(xì)化管控、安全能力評(píng)估并持續(xù)運(yùn)營(yíng)。

3.3.1 以數(shù)據(jù)分類分級(jí)為基礎(chǔ)，識(shí)別重要數(shù)據(jù)資產(chǎn)

石油化工行業(yè)各生產(chǎn)環(huán)節(jié)中產(chǎn)生和使用的數(shù)據(jù)類型眾多、數(shù)據(jù)來(lái)源復(fù)雜、體量大，將數(shù)據(jù)分類分級(jí)管理和開(kāi)展工作賦能到工業(yè)企業(yè)相關(guān)業(yè)務(wù)條線，識(shí)別重點(diǎn)保護(hù)的數(shù)據(jù)類型，并進(jìn)行常態(tài)化管理是一種必然。為此應(yīng)至少做到以下幾點(diǎn)：

1）識(shí)別并對(duì)石油化工企業(yè)各個(gè)業(yè)務(wù)條線數(shù)據(jù)的敏感性進(jìn)行評(píng)價(jià)，識(shí)別出具有業(yè)務(wù)成果性、關(guān)鍵性、重要性、核心性數(shù)據(jù)，區(qū)分敏感數(shù)據(jù)類型，并進(jìn)行數(shù)據(jù)安全類型和數(shù)據(jù)安全級(jí)別的標(biāo)記。

2）按照工業(yè)和信息化領(lǐng)域的相關(guān)要求，需識(shí)別出對(duì)國(guó)家安全、行業(yè)發(fā)展（安全管控、經(jīng)濟(jì)運(yùn)行、行業(yè)競(jìng)爭(zhēng)）、行業(yè)特色、出庫(kù)管制、供應(yīng)鏈安全等相關(guān)的重要數(shù)據(jù)和核心數(shù)據(jù)，并按照要求完成其備案管理工作。

3.3.2 識(shí)別主要業(yè)務(wù)場(chǎng)景，強(qiáng)化基礎(chǔ)安全防護(hù)能力

不同業(yè)務(wù)場(chǎng)景下面對(duì)的數(shù)據(jù)安全風(fēng)險(xiǎn)不同，每段業(yè)務(wù)流程中對(duì)數(shù)據(jù)的安全訪問(wèn)與數(shù)據(jù)的級(jí)別、類別、數(shù)據(jù)全生命周期無(wú)法做到一一對(duì)應(yīng)，在業(yè)務(wù)場(chǎng)景中根據(jù)數(shù)據(jù)全生命周期的邏輯而落地技術(shù)保護(hù)措施難度較大。因此，針對(duì)于數(shù)據(jù)量大、數(shù)據(jù)來(lái)源復(fù)雜、數(shù)據(jù)業(yè)務(wù)場(chǎng)景眾多的情況，要從識(shí)別業(yè)務(wù)場(chǎng)景出發(fā)，構(gòu)建數(shù)據(jù)安全能力。

1）典型業(yè)務(wù)場(chǎng)景識(shí)別：在工業(yè)企業(yè)的眾多業(yè)務(wù)場(chǎng)景中，在不同的工業(yè)業(yè)務(wù)信息系統(tǒng)中，數(shù)據(jù)的類型、敏感性存在差異化。厘清并識(shí)別出工業(yè)企業(yè)關(guān)鍵性、核心性業(yè)務(wù)場(chǎng)景，是做數(shù)據(jù)安全風(fēng)險(xiǎn)識(shí)別的先決條件。

2）數(shù)據(jù)安全風(fēng)險(xiǎn)識(shí)別：選擇典型的業(yè)務(wù)應(yīng)用場(chǎng)景，圍繞敏感數(shù)據(jù)（含重要數(shù)據(jù)、核心數(shù)據(jù)），通過(guò)開(kāi)展數(shù)據(jù)安全維度的威脅建模、風(fēng)險(xiǎn)分析，從而暴露出典型業(yè)務(wù)場(chǎng)景中的數(shù)據(jù)安全風(fēng)險(xiǎn)問(wèn)題。

3）數(shù)據(jù)安全能力持續(xù)：圍繞識(shí)別的數(shù)據(jù)安全風(fēng)險(xiǎn)，通過(guò)其暴露的安全問(wèn)題，選取針對(duì)性的數(shù)據(jù)安全能力，并落地技術(shù)防護(hù)措施，在支撐企業(yè)業(yè)務(wù)正常開(kāi)展的同時(shí)，確保典型業(yè)務(wù)場(chǎng)景下數(shù)據(jù)安全使用和數(shù)據(jù)安全能力的可持續(xù)。

3.3.3 基于數(shù)據(jù)分類分級(jí)結(jié)果實(shí)施分級(jí)管控與防護(hù)策略

數(shù)據(jù)安全管理的主要職責(zé)需要從企業(yè)全局和實(shí)際現(xiàn)狀考慮，在構(gòu)筑數(shù)據(jù)安全管理體系時(shí)應(yīng)充分考慮現(xiàn)有企業(yè)的相關(guān)管理體系、組織結(jié)構(gòu)和人員組成等情況，確定各相關(guān)方的數(shù)據(jù)安全管理職責(zé)。企業(yè)數(shù)據(jù)安全管理體系的構(gòu)建需要做到以下幾點(diǎn)：

1）優(yōu)化數(shù)據(jù)安全管理體系，在企業(yè)原有相關(guān)的安全體系下構(gòu)建數(shù)據(jù)安全管理體系，優(yōu)化數(shù)據(jù)安全管理組織架構(gòu)。

2）明確數(shù)據(jù)安全組織職能分工，確定數(shù)據(jù)安全主管部門（信息化部或數(shù)字化部）各相關(guān)方職責(zé)。其中各相關(guān)方包含采購(gòu)、人力、研發(fā)設(shè)計(jì)、生產(chǎn)制造、運(yùn)營(yíng)維護(hù)、銷售營(yíng)銷、法務(wù)、審計(jì)等。

3）明確數(shù)據(jù)安全崗位職責(zé)與說(shuō)明，通過(guò)數(shù)據(jù)安全相關(guān)管理制度明確具體內(nèi)容。數(shù)據(jù)安全管理制度包括但不限于數(shù)據(jù)安全管理辦法、數(shù)據(jù)分類分級(jí)規(guī)范、數(shù)據(jù)安全審計(jì)規(guī)范、數(shù)據(jù)安全評(píng)估辦法、數(shù)據(jù)安全應(yīng)急管理制度、數(shù)據(jù)內(nèi)部登記審批制度等。

相關(guān)企業(yè)在開(kāi)展業(yè)務(wù)時(shí)，對(duì)數(shù)據(jù)訪問(wèn)、使用等環(huán)節(jié)應(yīng)基于業(yè)務(wù)視角，對(duì)數(shù)據(jù)類型、數(shù)據(jù)流轉(zhuǎn)的系統(tǒng)與載體、流轉(zhuǎn)的數(shù)據(jù)量級(jí)、流轉(zhuǎn)目的、數(shù)據(jù)存儲(chǔ)位置、數(shù)據(jù)的消費(fèi)方、數(shù)據(jù)使用方式等內(nèi)容進(jìn)行梳理，并結(jié)合數(shù)據(jù)分類分級(jí)結(jié)果，構(gòu)建精細(xì)化的數(shù)據(jù)安全防護(hù)策略，其中包含但不限于：

1）分級(jí)防護(hù)策略：結(jié)合數(shù)據(jù)分類分級(jí)結(jié)果、數(shù)據(jù)全生命周期維度，從數(shù)據(jù)安全管理、數(shù)據(jù)安全技術(shù)防護(hù)視角構(gòu)建數(shù)據(jù)安全防護(hù)策略。

2）精細(xì)化訪問(wèn)控制策略：從業(yè)務(wù)訪問(wèn)數(shù)據(jù)資源的需求出發(fā)，制定可落地的訪問(wèn)控制策略或技術(shù)措施，保護(hù)訪問(wèn)角色、系統(tǒng)賬戶密碼安全，做到數(shù)據(jù)資產(chǎn)統(tǒng)一訪問(wèn)納管。

3）場(chǎng)景化防護(hù)策略：圍繞業(yè)務(wù)場(chǎng)景和數(shù)據(jù)流轉(zhuǎn)，梳理數(shù)據(jù)脈絡(luò)，識(shí)別數(shù)據(jù)的訪問(wèn)關(guān)系，制定貼合業(yè)務(wù)場(chǎng)景的數(shù)據(jù)安全防護(hù)策略。

3.3.4 持續(xù)數(shù)據(jù)安全能力評(píng)估，加強(qiáng)數(shù)據(jù)安全事件運(yùn)營(yíng)

開(kāi)展數(shù)據(jù)安全能力評(píng)估是從綜合評(píng)價(jià)的角度，運(yùn)用科學(xué)的方法和手段，系統(tǒng)地分析和診斷工業(yè)數(shù)據(jù)所面臨的威脅及其存在的脆弱性，以此來(lái)評(píng)估企業(yè)數(shù)據(jù)安全防護(hù)水平，發(fā)現(xiàn)數(shù)據(jù)安全能力的弱項(xiàng)和短板，及時(shí)查漏補(bǔ)缺，提升自身的數(shù)據(jù)安全能力，通過(guò)持續(xù)的數(shù)據(jù)安全能力評(píng)估活動(dòng)，使企業(yè)在自身數(shù)據(jù)安全全方位能力建設(shè)過(guò)程中夯實(shí)基礎(chǔ)、穩(wěn)扎穩(wěn)打。數(shù)據(jù)安全能力評(píng)估主要參照《工業(yè)數(shù)據(jù)安全評(píng)估指南（草案）》規(guī)定的104項(xiàng)數(shù)據(jù)安全能力進(jìn)行評(píng)估，從評(píng)估結(jié)果得分確定工業(yè)企業(yè)數(shù)據(jù)安全能力的強(qiáng)弱，其中包含：

1）通用性數(shù)據(jù)安全管理能力評(píng)估，包含評(píng)估數(shù)據(jù)安全管理制度、組織機(jī)構(gòu)、人員保障、權(quán)限管理、系統(tǒng)與設(shè)備安全管理、供應(yīng)鏈數(shù)據(jù)安全管理、安全評(píng)估、日志留存和審計(jì)、監(jiān)測(cè)預(yù)警、信息共享和應(yīng)急處置等通用性的數(shù)據(jù)安全能力。

2）分級(jí)防護(hù)能力評(píng)估，通過(guò)對(duì)不同等級(jí)的數(shù)據(jù)，在數(shù)據(jù)使用和管理等各個(gè)環(huán)境，進(jìn)行全生命周期的差異化分析和評(píng)估，從而制定合理有效的防護(hù)策略。在數(shù)據(jù)安全監(jiān)測(cè)環(huán)節(jié)，需要合理利用工具，保障數(shù)據(jù)安全防護(hù)的持續(xù)、有效運(yùn)營(yíng)。

數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)的重點(diǎn)是數(shù)據(jù)風(fēng)險(xiǎn)的發(fā)現(xiàn)和控制，通過(guò)技術(shù)手段識(shí)別、規(guī)避和緩釋業(yè)務(wù)各個(gè)環(huán)節(jié)上的數(shù)據(jù)安全風(fēng)險(xiǎn)，建立數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估機(jī)制，通過(guò)對(duì)數(shù)據(jù)風(fēng)險(xiǎn)的發(fā)生概率、影響對(duì)象以及影響程度進(jìn)行綜合性分析，按照系統(tǒng)化、及時(shí)掌握石化企業(yè)數(shù)據(jù)安全風(fēng)險(xiǎn)態(tài)勢(shì)，科學(xué)化管理思想，分析研判可能發(fā)生重大數(shù)據(jù)安全事件風(fēng)險(xiǎn)的情況。

圍繞數(shù)據(jù)流動(dòng)監(jiān)測(cè)、數(shù)據(jù)風(fēng)險(xiǎn)管理、數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估等能力，實(shí)現(xiàn)對(duì)數(shù)據(jù)安全風(fēng)險(xiǎn)的態(tài)勢(shì)、數(shù)據(jù)安全事件溯源的感知。具體包括，對(duì)單位時(shí)間段內(nèi)的數(shù)據(jù)資產(chǎn)分布、敏感數(shù)據(jù)量、敏感數(shù)據(jù)類型等指標(biāo)進(jìn)行統(tǒng)計(jì)分析與趨勢(shì)預(yù)測(cè)；對(duì)數(shù)據(jù)資產(chǎn)流動(dòng)的程序和載體，如數(shù)據(jù)庫(kù)、應(yīng)用、API等涉敏對(duì)象采取敏感數(shù)據(jù)量、敏感數(shù)據(jù)類型等指標(biāo)進(jìn)行統(tǒng)計(jì)分析與趨勢(shì)預(yù)測(cè)；對(duì)分布在不同位置、不同時(shí)間、不同類別、不同級(jí)別的數(shù)據(jù)資產(chǎn)的安全告警、事件處置等指標(biāo)進(jìn)行統(tǒng)計(jì)分析與趨勢(shì)預(yù)測(cè)。圍繞數(shù)據(jù)分布、流動(dòng)、風(fēng)險(xiǎn)3個(gè)維度，為運(yùn)營(yíng)人員構(gòu)建清晰的宏觀視圖。對(duì)于安全事件溯源能力，應(yīng)通過(guò)對(duì)數(shù)據(jù)資產(chǎn)內(nèi)容和相關(guān)方溯源，將可疑的“人”“數(shù)”“證據(jù)”等信息按時(shí)間順序組織成為事件鏈，為運(yùn)營(yíng)人員構(gòu)建細(xì)致的微觀視圖。