摘要：數(shù)據(jù)作為工業(yè)企業(yè)至關(guān)重要的核心資產(chǎn)，已逐漸演化為推動工業(yè)行業(yè)發(fā)展的前沿生產(chǎn)資源。為有效提升工業(yè)企業(yè)的數(shù)據(jù)安全管理水平，文章基于數(shù)據(jù)安全能力成熟度模型DSMM，結(jié)合國家對工業(yè)行業(yè)的發(fā)展規(guī)劃、數(shù)據(jù)安全相關(guān)法規(guī)以及工業(yè)領(lǐng)域數(shù)據(jù)的相關(guān)特點，設(shè)計工業(yè)企業(yè)數(shù)據(jù)安全體系框架，旨在指導企業(yè)數(shù)據(jù)安全能力體系建設(shè)。

關(guān)鍵詞：工業(yè)領(lǐng)域；企業(yè)；數(shù)據(jù)安全；框架

中圖分類號：TP3 文獻標識碼：A

文章編號：1009-3044（2024）22-0089-03

開放科學（資源服務(wù)）標識碼（OSID）

0 引言

隨著科技的不斷進步，工業(yè)領(lǐng)域數(shù)字化、網(wǎng)絡(luò)化和智能化應(yīng)用正迅速蓬勃發(fā)展，推動了行業(yè)的轉(zhuǎn)型，也促進了工業(yè)數(shù)據(jù)的流通、共享和開發(fā)利用。然而，與此同時，數(shù)據(jù)泄露、勒索軟件攻擊等安全風險也日益增加，工業(yè)領(lǐng)域數(shù)據(jù)安全問題日益凸顯，為此，工信部逐步出臺了一系列文件，從2022年12月發(fā)布的《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法（試行）》，到2023年發(fā)布的《工業(yè)和信息化部等十六部門關(guān)于促進數(shù)據(jù)安全產(chǎn)業(yè)發(fā)展的指導意見》和《工業(yè)領(lǐng)域數(shù)據(jù)安全標準體系建設(shè)指南（2023版）》，再到2024年2月發(fā)布的《工業(yè)領(lǐng)域數(shù)據(jù)安全能力提升實施方案（2024—2026年）》。作為實現(xiàn)工業(yè)經(jīng)濟全要素、全產(chǎn)業(yè)鏈、全價值鏈全面連接的關(guān)鍵支撐和重要紐帶，加強工業(yè)企業(yè)的數(shù)據(jù)保護能力、提高數(shù)據(jù)安全的監(jiān)管水平以及強化數(shù)據(jù)安全產(chǎn)業(yè)的支撐能力，已成為新型工業(yè)化發(fā)展道路上不可或缺的先決條件和重要任務(wù)[1-2]。

1 工業(yè)領(lǐng)域企業(yè)數(shù)據(jù)安全現(xiàn)狀分析

根據(jù)我國每年發(fā)布的工業(yè)信息安全態(tài)勢報告，可以觀察到一個明顯的趨勢：工業(yè)安全事件的數(shù)量正在逐年上升，這一趨勢在很大程度上是由于大量防護薄弱的工業(yè)設(shè)備接入互聯(lián)網(wǎng)所致，其中，工業(yè)終端、控制系統(tǒng)、工業(yè)平臺、工業(yè)App成為數(shù)據(jù)安全問題頻發(fā)的主要載體，企業(yè)數(shù)據(jù)安全現(xiàn)狀極為嚴峻。

1.1 普遍忽視數(shù)據(jù)安全基礎(chǔ)與重要性

工業(yè)企業(yè)對數(shù)據(jù)安全的重要性認識和關(guān)注程度普遍不足。許多企業(yè)尚未認識到數(shù)據(jù)安全的至關(guān)重要性，對于維護企業(yè)核心數(shù)據(jù)的價值以及潛在風險缺乏深入的理解。這種安全意識的淡薄，導致了在數(shù)據(jù)安全管理方面的投資不足。此外，一線員工在平時的工作操作中，也可能在不自覺間忽略掉數(shù)據(jù)保護的關(guān)鍵步驟，從而增加了數(shù)據(jù)泄露和其他相關(guān)安全事件的風險。

1.2 企業(yè)數(shù)據(jù)安全投資相對較低

企業(yè)對數(shù)據(jù)安全的投資相對有限，導致整體的數(shù)據(jù)防護能力尚顯不足。由于資金和技術(shù)資源的限制，很多企業(yè)尚未能構(gòu)建起一個有效的數(shù)據(jù)安全防護系統(tǒng)。再者，針對工業(yè)數(shù)據(jù)安全的市場產(chǎn)品和服務(wù)供應(yīng)短缺，缺乏成熟的解決方案來滿足企業(yè)的特定需求。這種狀況使得工業(yè)企業(yè)在面對日益嚴峻的網(wǎng)絡(luò)安全威脅時，往往難以實施有效的防御策略。

1.3 工業(yè)行業(yè)多樣屬性導致安全需求各異

工業(yè)領(lǐng)域覆蓋廣泛的行業(yè)類別，每個行業(yè)都有其獨特的特性和數(shù)據(jù)安全需求。這種多樣性為制定和實施統(tǒng)一的監(jiān)管政策帶來了挑戰(zhàn)，使得監(jiān)管部門在推行數(shù)據(jù)安全規(guī)范的過程中遭遇諸多困難。同時，不同行業(yè)在技術(shù)標準和管理流程等方面的差異，也給跨行業(yè)的數(shù)據(jù)安全監(jiān)管增添復雜性和額外挑戰(zhàn)。

為此，本文基于理論研究，嘗試提出一套工業(yè)企業(yè)建設(shè)數(shù)據(jù)安全能力體系框架，探討如何有效地構(gòu)建和提升企業(yè)的數(shù)據(jù)安全能力。

2 工業(yè)企業(yè)數(shù)據(jù)安全能力體系框架概述

2.1 設(shè)計思路

2.1.1 國家對工業(yè)行業(yè)發(fā)展的戰(zhàn)略指導

在當前全球環(huán)境下，我國經(jīng)濟發(fā)展正面臨來自發(fā)達國家和發(fā)展中國家的雙重壓力。我國經(jīng)濟進入新常態(tài)，結(jié)構(gòu)性矛盾突出，改革攻堅期到來，須解放和發(fā)展生產(chǎn)力，提高供給質(zhì)量和效率，加快創(chuàng)新驅(qū)動轉(zhuǎn)型。為此，政府提出以新一代信息技術(shù)與制造業(yè)深度融合為主線，推進智能制造，通過工業(yè)互聯(lián)網(wǎng)實現(xiàn)制造過程智能化，發(fā)展智能制造裝備和產(chǎn)品，這也是“中國制造2025”的目標提出背景——將信息化與工業(yè)化深度融合，打造工業(yè)互聯(lián)網(wǎng)，以實現(xiàn)高質(zhì)量發(fā)展，并將工業(yè)作為經(jīng)濟主體和現(xiàn)代化的支柱。

2.1.2 工業(yè)企業(yè)數(shù)據(jù)的關(guān)鍵特點

工業(yè)數(shù)據(jù)是在生產(chǎn)和操作的工業(yè)過程中生成的多種類型的數(shù)據(jù)。這些數(shù)據(jù)大致可以被分類為關(guān)于生產(chǎn)、操作、環(huán)境、物流和能源的數(shù)據(jù)，往往具有以下特征：大量、高速、多樣、高價值密度、持久性以及與特定環(huán)境相關(guān)的特性，在改善制造流程、提高產(chǎn)品質(zhì)量、減少能源消耗和降低成本等方面扮演著關(guān)鍵角色。

2.1.3 國家數(shù)據(jù)安全法規(guī)與標準框架

在信息技術(shù)飛速發(fā)展的當代，數(shù)據(jù)安全已上升為國家級的戰(zhàn)略要點。我國相繼頒布《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》以及《個人信息保護法》等法律文本，從而確立數(shù)據(jù)安全的原則、責任歸屬、監(jiān)督管理以及違法的處罰機制。為確保這些法規(guī)的有效執(zhí)行，國家發(fā)布多項信息安全相關(guān)標準。

截至2024年3月2日，以“安全”為關(guān)鍵詞在全國標準信息公共服務(wù)平臺中查詢，共計2453項現(xiàn)行國家標準，以“數(shù)據(jù)安全”為關(guān)鍵詞查詢，共計17項現(xiàn)行國家標準。其中，由全國信息安全標準化技術(shù)委員會提出的數(shù)據(jù)管理能力成熟度評估（DCMM） 和數(shù)據(jù)安全成熟度模型（DSMM） 為企業(yè)數(shù)據(jù)安全成熟度評估與管理能力提升提供了科學參考。為對數(shù)據(jù)安全開展體系性全面性的管理，從企業(yè)經(jīng)營需要出發(fā)，本文選用數(shù)據(jù)安全能力成熟度模型（DSMM） 作為理論依據(jù)框架，助力企業(yè)建立健全數(shù)據(jù)安全體系，提高整體運營安全性。

2.2 理論基礎(chǔ)

數(shù)據(jù)安全能力成熟度模型（DSMM） 是依據(jù)國家標準GB/T 37988-2019《信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型》建立的標準模型，該標準體系性地從管理視角和最終結(jié)果視角描述了數(shù)據(jù)安全能力建設(shè)的關(guān)鍵要素和重要維度，旨在從組織建設(shè)、制度流程、技術(shù)工具、人員能力四個方面去評估和改進其數(shù)據(jù)安全能力。其中組織建設(shè)涉及數(shù)據(jù)安全治理結(jié)構(gòu)的構(gòu)建，包括組織架構(gòu)的設(shè)計、職責的明確分配以及內(nèi)部溝通與協(xié)作機制的建立。制度流程包括制定并執(zhí)行關(guān)鍵數(shù)據(jù)安全領(lǐng)域的政策規(guī)范和操作流程，確保制度的有效落實。技術(shù)工具通過采用先進的技術(shù)手段和工具產(chǎn)品，將安全措施固化于系統(tǒng)之中或?qū)崿F(xiàn)安全工作流程的自動化。人員能力強調(diào)提升從事數(shù)據(jù)安全工作人員的安全意識和專業(yè)技能，確保其能夠有效地執(zhí)行數(shù)據(jù)安全相關(guān)工作。數(shù)據(jù)安全能力成熟度模型，如圖1所示。

除數(shù)據(jù)安全能力維度外，模型還從能力成熟度等級、數(shù)據(jù)安全過程維度分別給出了評估方式及維度，考慮到本文探討的是工業(yè)企業(yè)數(shù)據(jù)安全能力體系建設(shè)框架，因此，僅選取安全能力維度作為探討和分析的主要維度，開展相關(guān)研究。

2.3 框架概述

本文結(jié)合工業(yè)企業(yè)的數(shù)據(jù)安全需求和特性，以工業(yè)服務(wù)層、平臺層、邊緣層和工業(yè)現(xiàn)場中的數(shù)據(jù)流轉(zhuǎn)為著眼點，沿用DSMM的組織建設(shè)、技術(shù)工具、制度流程、人員能力四大方面提出安全能力體系搭建的管理框架，旨在指導管理部門和平臺運營者開展企業(yè)數(shù)據(jù)安全管理，實現(xiàn)數(shù)據(jù)安全治理的持續(xù)優(yōu)化和合規(guī)性。工業(yè)企業(yè)數(shù)據(jù)安全能力體系框架，如圖2所示。

2.3.1 組織建設(shè)

重要數(shù)據(jù)的處理者，應(yīng)當明確數(shù)據(jù)安全負責人，成立數(shù)據(jù)安全管理機構(gòu)。領(lǐng)導者是提升企業(yè)安全防護水平的先行者和表率，因此，構(gòu)建統(tǒng)籌有力的數(shù)據(jù)安全組織機構(gòu)，決策層作為安全領(lǐng)導小組的第一責任人，配備一支完整規(guī)范的數(shù)據(jù)安全團隊，同時定期接受相關(guān)安全警示培訓是提升企業(yè)安全管理水平的一大舉措。其中，數(shù)據(jù)安全團隊應(yīng)包括但不限于安全主管，安全監(jiān)測、審核、監(jiān)督員和安全咨詢專家。此外，為確保數(shù)據(jù)安全措施與企業(yè)發(fā)展需求與戰(zhàn)略相吻合，應(yīng)設(shè)立專兼職安全業(yè)務(wù)團隊，聘請專職數(shù)據(jù)安全人員，同時培養(yǎng)業(yè)務(wù)人員的數(shù)據(jù)安全意識，使其能在日常工作中關(guān)注數(shù)據(jù)安全，并與數(shù)據(jù)安全團隊合作，促進數(shù)據(jù)安全工作的持續(xù)、系統(tǒng)和穩(wěn)健進行。工業(yè)企業(yè)數(shù)據(jù)安全組織機構(gòu)，如圖3所示。

2.3.2 制度流程

數(shù)據(jù)處理機構(gòu)應(yīng)遵循相關(guān)法律法規(guī)和國家標準的強制性要求，構(gòu)建完善的數(shù)據(jù)安全管理和技術(shù)保護體系。如圖4所示，工業(yè)企業(yè)可以針對行業(yè)特點，從數(shù)據(jù)安全戰(zhàn)略、數(shù)據(jù)全生命周期安全制度以及基礎(chǔ)安全制度三個層面，分級制定文件清單，建立并執(zhí)行有效的數(shù)據(jù)安全管理體系，確保數(shù)據(jù)安全管理工作得以有效實施。

2.3.3 技術(shù)工具

首先，搭建完善全面的技術(shù)工具頂層框架。技術(shù)工具是數(shù)據(jù)安全體系構(gòu)建的核心抓手，鑒于工業(yè)互聯(lián)網(wǎng)實現(xiàn)了設(shè)備、工廠、人員和產(chǎn)品的全面互聯(lián)，其安全防護體系的建設(shè)必須采取一個宏觀的視角，確保各個層面都配備了相應(yīng)的安全防護措施。這包括結(jié)合入侵檢測和其他安全技術(shù)，以及安全管理實踐，以實現(xiàn)邊界防護、協(xié)議分析等功能。這些措施共同構(gòu)成一個完整的工業(yè)互聯(lián)網(wǎng)安全防護閉環(huán)，涵蓋了監(jiān)測、報警、處置、溯源、恢復和檢查等關(guān)鍵環(huán)節(jié)。

其次，構(gòu)建數(shù)據(jù)全生命周期的安全防護能力，在工業(yè)行業(yè)平臺應(yīng)用中，企業(yè)有必要建立從數(shù)據(jù)采集到銷毀的數(shù)據(jù)全生命周期安全管理一體化平臺。此外，還需要重視常態(tài)化的數(shù)據(jù)安全運營，確保數(shù)據(jù)處理者能夠持續(xù)監(jiān)控和管理數(shù)據(jù)安全風險。特別是對于處理重要數(shù)據(jù)或計劃在海外上市的企業(yè)，每年至少進行一次數(shù)據(jù)安全評估，以及時發(fā)現(xiàn)和修復潛在的安全漏洞，保障數(shù)據(jù)的安全性和完整性。工業(yè)企業(yè)平臺數(shù)據(jù)安全核心防護能力概覽圖，如圖5所示。

最后，注重技術(shù)工具的前瞻性。在工業(yè)互聯(lián)網(wǎng)背景下，區(qū)塊鏈技術(shù)的應(yīng)用正日益受到關(guān)注。區(qū)塊鏈通過建立去中心化的信任機制，能增強數(shù)據(jù)安全性，降低交易成本，加速交易過程，并提高供應(yīng)鏈的效率，有效提升對工業(yè)企業(yè)大數(shù)據(jù)、工業(yè)產(chǎn)品交易全過程的監(jiān)管能力。因此，加大區(qū)塊鏈技術(shù)的研究和應(yīng)用探索，對于促進工業(yè)互聯(lián)網(wǎng)的發(fā)展具有重要意義。

2.3.4 人員能力

當前，我國人才培養(yǎng)體系正朝著T型結(jié)構(gòu)的方向發(fā)展，即要求人才具備廣泛的基礎(chǔ)知識和深入的專業(yè)技能，然而這種培養(yǎng)模式通常導致人才應(yīng)用領(lǐng)域過于單一。隨著工業(yè)互聯(lián)網(wǎng)的興起，數(shù)據(jù)安全挑戰(zhàn)變得更加復雜，對安全專業(yè)人才的基礎(chǔ)能力、跨專業(yè)能力以及業(yè)務(wù)知識儲備提出了更高要求。為迎接這一挑戰(zhàn)，企業(yè)可以通過建立實訓基地、舉辦攻防競賽以及利用網(wǎng)絡(luò)平臺等方式，開展工業(yè)互聯(lián)數(shù)據(jù)安全防護演練活動和安全大賽，有效培養(yǎng)真正具備實戰(zhàn)能力的復合型安全人才。同時，推進人才培養(yǎng)做深做實，有效落實《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例（征求意見稿）》中對數(shù)據(jù)處理者、全體技術(shù)和管理人員數(shù)據(jù)安全培訓的時長要求。

3 未來展望

加強數(shù)據(jù)安全保障是新型工業(yè)化發(fā)展繞不過的坎，是推進新型工業(yè)化行穩(wěn)致遠的基礎(chǔ)和前提。2025年即是“中國制造2025”收官之年，工業(yè)企業(yè)在追求經(jīng)濟效益的同時，必須充分認識到數(shù)據(jù)安全體系搭建的重要性。本文基于對工業(yè)行業(yè)數(shù)據(jù)安全能力建設(shè)的深入研究，提出了一套全面的數(shù)據(jù)安全能力框架，并探討了有效構(gòu)建和增強企業(yè)數(shù)據(jù)安全能力的途徑。展望未來，將進一步深化數(shù)據(jù)安全領(lǐng)域的實踐案例研究，助力工業(yè)數(shù)據(jù)安全保障體系建成。

參考文獻

[1] 中國二重紀檢監(jiān)察網(wǎng).中國裝備制造業(yè)大而不強全球需求調(diào)整倒逼轉(zhuǎn)型[J].大型鑄鍛件，2014（3）：33.

[2] 徐延發(fā).區(qū)塊鏈技術(shù)在工業(yè)互聯(lián)網(wǎng)安全防護中的應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2023（8）：96-98.

【通聯(lián)編輯：朱寶貴】