背景

随着工业数据成为经济社会发展的重要基础性资源和生产要素，在工业领域智改数推进的背景下，数据已经是工业企业提质、降本、增效的关键核心要素，在《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》中首次将数据要素纳入进来，强调了数据作为生产要素的重要性，数据与土地、劳动力、资本、技术一起组成五大生产要素。工业数据驱动的创新正成为新阶段构建新发展格局和实现高质量发展的重要战略议题，工业数据进入合理开发、高效运用的历史性机遇期。

问题挑战

围绕数据安全防护能力建设，一方面随着《网络安全法》、《数据安全法》、《个人信息保护法》、《密码法》等法律法规的发布实施，工业企业对数据安全合规性的建设要求和建设内容愈加清晰可见，另一方面工业企业实际面对的数据安全攻击形势愈发严峻，其中因生产服务器、现场工作站等被勒索攻击而导致生产数据被加密、无法正常生产甚至连续几天停产事件频发，勒索软件攻击已成为影响工业企业连续生产运营最严重的一种攻击方式。

在工业生产可用性保障优先原则下，工业领域的数据安全防护建设开展也面临着执行层面的巨大挑战，结合网御星云在用户调研沟通与项目建设的实际经验，突出问题与挑战包括以下几个方面：

（1）在数据安全管理上企业决策层不够重视，数据安全的管理制度体系、人员意识、应急响应处置预案和实践处置流程&能力等方面亟须完善。

（2）对工业场景中的生产数据相关系统资产台账不清、数据存储调取过程复杂不清、数据的依赖关系重要性判断不清等导致开展数据安全分类分级比较困难。

（3）数据安全防护措施不到位，不仅存在工厂现场工控安全防护基础工作不到位，更是在工厂环境中以数据资产为核心的安全防护规划和技术措施上存在严重缺位的问题，导致围绕核心数据的监测审计预警能力存在缺失，例如没有基础的数据库审计、日志分析等数据安全监测与审计技术措施，没有对事件处置分析、人员误操作等数据安全事件的快速定位和追踪溯源能力。

（4）对数据安全相关法律法规了解不足，当前数据安全法律法规的不断完善，为工业企业开展数据安全防护能力建设提供了合规依据和建设指南，但从工业企业实际操作层面看，往往并未受到重视。同时，市场上关于工业企业行业属性和场景化特点之下的数据安全规划与项目建设能力研究较少，导致企业在梳理建设重点和选择优先顺序时面临困扰。

（5）平台性工业企业，会面临工业互联网平台自身数据安全管理、防护能力、资质证明等挑战，而平台是否具有对用户数据全生命周期安全管理和防护能力，直接影响服务对象对该平台和服务购买持续性的选择倾向。

相关建议

工业企业开展数据安全建设首先需要“知己”，“知己”包括但不限于企业在数据安全管理方面的整体策略方针、对内对外管理制度、管理组织架构设立、人员岗位职责确定、日常管理流程和监督执行等，还包含具体的企业生产网络架构、数据资产分类和重要性确认、出现过的数据安全相关事件应对能力、当前所具备的数据安全技术防护措施和防护能力，以及对曾经出现的数据安全事件处置能力和处置效果等。

结合网御星云在2022年支持工业和信息化部门数据安全分类分级工作经验和自身数据安全项目经验，我们根据《工业企业数据安全防护要求（草案）》，对于当前工业企业数据安全做了如下统计和汇总。将数据安全管理分为安全管理制度、组织机构、人员保障、权限管理、系统与设备安全管理、供应链数据安全管理、安全评估、日志留存和审计、监测预警、信息共享与应急处置等10个方面进行评估考量。

1、亟需加快落实工业企业数据安全管理组织及人员保障

从统计结果来看：多数工业企业的生产数据涉及多个部门，种类多、来源广，摸清自身数据资产，通过总体建设度评估工业领域数据安全管理各方面的整体建设情况。在“知己”方面工业企业需要优先理清数据类型、数据级别以及数据的重要程度，这也是建立数据安全全流程管理工作机制，开展数据安全建设的有效前提保障。

图1：工业企业数据安全管理总体建设度

使用数据安全管理建设水平方差评估安全管理各个方面在不同工业企业建设情况的波动状况，如图所示，具体使用每一个管理项下不同工业企业中“符合”的方差进行衡量。数据安全管理建设水平方差可以帮助我们了解安全管理的各个方面是在工业领域内建设水平一致还是随企业的需求变化较大。

如图2所示：“供应链数据安全管理”的方差较小，初步说明在工业领域该项建设水平较为持平，再结合图1中“供应链数据安全管理”整体建设度较低，因此可初步得出“供应链数据安全管理”在工业领域普遍建设水平不足的结论。

图2 数据安全管理建设水平方差

2、以工业企业当前现状和需求为导向设计安全能力建设方案

工业企业数据可分为“一般数据”“重要数据”和“核心数据”三类，但企业将数据定为核心数据的情况非常少，围绕“一般数据”和“重要数据”，将数据全生命周期分为收集阶段、存储阶段、使用阶段、传输阶段、提供阶段、公开阶段、销毁阶段、出境阶段、转移阶段和委托阶段，对不同级别的数据将分别展开这十个阶段的安全能力建设情况。

图3 数据全生命周期安全防护建设度

当前多数工业企业办公网和生产网均存在数据全生命周期安全防护薄弱，缺少具体的防护、审计（日志审计和数据审计）、监测、加密、脱敏、水印等数据安全技术能力，也未定期开展数据安全风险评估，在数据安全攻击面前缺乏检测及防护能力，也不具备开展事后审计分析的能力。从调研统计的整体情况来看，很多工业企业在基本生产网络防护措施缺乏的情况下被勒索攻击，最终通过交付赎金方式恢复生产。因此在方差小的阶段，建议工业企业使用通用的安全能力建设方案，而在方差较大的阶段应以企业的需求为导向设计安全能力建设方案。

图4 数据全生命周期安全防护建设水平方差

针对工业企业客户关心的研发设计数据、生产制造数据等泄露风险，企业经营数据勒索风险，流通交易数据篡改风险及外部协同数据窃取风险等问题，开展数据安全防护能力建设。

我们也建议有类似现状的工业企业优先通过分区分域开展基础性工控安全防护措施建设，降低被渗透扫描的风险，通过分区分域边界防护快速提升特定安全区域的防护能力，保障生产网络获得初步检测防护能力，之后再按照等保三级通用要求和工控拓展要求逐步深化、细化安全防护能力措施落地：

(1) 通过对生产网中通讯协议的深度解析、威胁检测、流量学习等，保证生产网络中只允许安全可信的流量通过，同时对病毒攻击事件进行实时检测分析预警；

(2) 通过对工业设备运维人员的统一认证、集中管理，实时阻断违规、越权的访问行为，提升安全运维审计能力，降低运维控制操作风险；

(3) 通过主被动结合的手段，实时不间断的采集分析工业网络中各类设备和应用系统产生的海量日志信息，进行安全审计，检验网络、终端和应用系统安全机制的有效性；

(4) 对于进行了数据集成整合（数据大集中）的企业，通过建设大数据安全管控治理平台的方式进行集中式账号、认证、权限、审计等管理举措，减少数据安全建设复杂性，提升数据安全综合防护审计能力，并使之具有可扩展性；

(5) 积极开展数据安全风险评估，对工业数据资产台账进行阶段性梳理、分类分级，开展安全风险评估，提供安全规划调整和紧急数据安全项目落地的参考依据。

3、工业互联网平台、工业企业云平台面临日益凸显的数据安全问题

工业互联网平台在工业领域的应用实践，一般由厂站侧平台、中心侧平台与集团侧平台共同组成，实现工业各类信息的采集、汇聚、分析与展示，满足行业数字化、网络化、智能化需求。随着工业互联网平台数据安全保护对象的扩展和连接范围的扩大，协议和数据类型种类繁多，安全事件的破坏更加严重，工业互联网平台的数据安全技术也将不断完善。从实际调研分析情况来看，多家工业企业的工业互联网平台/工业企业云平台（公有云、私有云、混合云）一直受多租户数据共享、数据安全传输等问题的困扰。

基于此，建议平台企业从技术、服务、运营三大方面开展针对性工作，即工业领域数据安全建设的第一步是先做好需求调研与合规性分析，制定合适的数据防护思路，第二步是规范组织结构和制度流程，第三步做数据资产梳理以及分类分级，后续根据整体防护以身份、数据为中心，落实人员身份识别与权限管理，制定工业领域数据安全策略，实现工业领域数据安全态势呈现。

结语

作为较早开展工业互联网安全研究的网络安全企业，网御星云致力于将数据安全能力与举措融入工业场景中，从解决工业企业存在的问题出发，以数据生命周期的保护为核心，围绕数据的收集、存储、使用、加工、传输、提供、公开等环节，构建赋能全场景的安全防护技术与能力体系，实现协同联动的纵深策略，通过行业化、场景化数据安全服务和解决方案能力为工业企业数字化转型升级提供安全能力保障。