工业数据安全治理探索

本文提出一套集管理、技术、运营为一体的工业数据安全治理参考框架，治理框架如图1所示。在法律法规、国家标准、行业标准的框架下，融合DSMM成熟度模型理论，围绕数据采集、传输、存储、处理、交换以及销毁等各个阶段的全生命周期，分别从数据安全管理能力、技术能力以及安全运营能力等方面进行全面治理。

数据安全管理能力

组织治理

工业数据安全治理离不开组织和人力资源的投入。首先建立覆盖本企业相关部门的数据安全工作体系，明确数据安全负责人和管理机构，建立常态化沟通与协作机制。企业法定代表人或者主要负责人是数据安全第一责任人，领导团队中分管数据安全的成员是直接责任人；明确数据处理关键岗位和岗位职责，并要求关键岗位人员签署数据安全责任书。

其次在开展组织建设时，需要设计、研发、测试、生产科、仪表科、数据科、信息中心、财务、审计、人力等相关部门参加到数据安全治理工作中，确保数据安全管理方针、战略、政策等制度得以落地执行。

工业企业数据安全治理组织可采取5层组织结构，即决策层、管理层、执行层、监督层和参与层。组织治理结构如图2所示。

决策层，主要由工业企业高层领导参与，构成数据安全治理领导小组，领导小组不少于2人，总体负责工业数据安全治理工作的统筹组织、指导推进和协调落实，明确数据安全管理部门，协调机构内部数据安全管理资源调配，包括制定目标、方针、意愿，发布策略、规划、制度规范，提供资源保障和重大事件协调管理。

管理层，主要由工业企业的设计、研发、测试、生产科、仪表科、数据科、信息中心、财务、人力等部门的主要负责人参与，构成数据安全治理管理小组，主要负责工业数据安全治理的相关管理工作、相关政策和制度的制定评审，保障数据安全工作所需资源，并设立数据安全管理专职岗位。包括制定规范、界定职责、开展评估、监督检测、保障运作、组织培训、受理投诉、持续管理。

执行层，主要由工业企业的设计、研发、测试、生产科、仪表科、数据科、信息中心、财务、人力等相关部门落实数据安全执行的人员组成，构成数据安全治理技术小组，主要负责具体数据安全治理相关的技术及管理措施的落实，包括政策、制度、规范的执行，数据安全产品部署及运维，安全事件监控与处置，漏洞排查与修复等日常工作。

监督层，主要由工业企业内部安全审计、督察稽核、法务等部门人员构成，定期对管理层团队、执行层团队、参与层团队在数据安全建设和管理过程中，对于策略和管理要求的执行情况进行监督审核，并向决策层汇报。包括制度落地监督、数据安全工具有效性监督、风险评估、风险监控与审计。

参与层，主要由工业企业内部全部员工及外部合作伙伴参与、配合，遵守企业内部数据安全治理相关要求。

制度规范治理

制度规范治理，需要建立数据全生命周期安全管理制度，针对不同级别数据，制定数据收集、存储、使用、加工、传输、提供、公开等环节的具体分级防护要求和操作规程。

数据安全制度规范体系主要从4个层面进行建设，包括：一级文件的数据安全方针、战略；二级文件的数据安全管理制度、办法；三级文件的操作流程、规范、作业指导书、模板等；四级文件的各类表单、记录日志、报告等。数据安全制度规范体系框架如图3所示。

一级文件，是企业数据安全方针、战略，属于纲领性的文件，包括数据安全治理的目标、适用范围、治理意义以及指导原则，数据安全各个方面所应遵守的原则方法和指导策略。

二级文件，是从安全方针、战略中规定的安全各个方面所应遵守的原则方法和指导策略引出的具体管理规定、管理办法和实施办法，具有可操作性和落地性。

三级文件，是根据二级文件制定的各个阶段的具体操作流程、规范指南、作业指导书、模板文件等。

四级文件，主要是落地执行三级文件产生的各类记录表单，包括运行日志、检查记录、日志文件、报告等。

数据安全规范治理

工业企业应将数据安全管理要求贯彻到从数据采集、传输、存储、使用、分享、销毁的各个阶段，各业务部门提出各自的数据安全需求，由数据科牵头制定数据安全规范，如《主数据规范》《数据资产识别规范》《数据分类分级规范》《重要数据识别规范》《核心数据识别规范》《敏感数据识别规范》《数据使用场景规范》等。

 数据安全技术能力

数据安全技术能力治理主要是对技术措施的建设，围绕工业数据全生命周期的各个阶段采取相应的安全防护措施，包括智能识别、分类分级、数据库审计、加密传输、数据防泄漏、数据脱敏、数据水印、用户行为分析、知识图谱等。

 数据资产识别

通过数据资产识别技术，围绕研发、设计、生产、采购、销售、交付、售后、运维、报废等工业生产经营环节和过程，对所产生、采集、传输、存储、使用、共享以及销毁的数据进行全面智能识别，包括结构化的数据(如设备运行状态)、非结构化数据(如设计图纸)，形成数据资产清单和数据资产分布地图，然后进行数据分类分级，识别重要数据和核心数据。同时，对重要数据、核心数据目录进行备案，备案内容包括但不限于数据类别、级别、规模、处理目的和方式、使用范围、责任主体、对外共享、跨境传输、安全保护措施等。

 分类分级

依据识别出的数据资产清单，按照《工业数据分类分级指南(试行)》要求，结合企业的生产制造模式、服务运营模式以及行业属性、使用场景、数据流通程度等实际情况，对工业数据进行分类。另一方面，根据工业数据遭破坏后，对工业生产经营、公共利益、国家安全等造成的后果，采用“就高不就低”原则，即同一场景下存在多种数据级别的情况下，按照最高级别进行定级，最终形成分类分级清单，为下一步分级定措提供依据。

加密传输

避免重要工业数据在三网(生产网、信息网、视频网)混合中传输，必要时通过IPSecVPN技术进行隧道加密传输。利用密码技术(如SM3、SM4、SM9等)，对重要数据传输时进行完整性校验，对数据传输双方身份进行身份鉴别。必要时采用工业专用加密传输协议(如MODBUS Plus、S7 comm Plus等)或安全传输协议服务(如TLS、DTLS、HTTPS等)，对传输的数据进行保护，避免来自利用协议脆弱性的破坏攻击。

数据防泄漏

根据工业数据分类分级清单，定义敏感数据，形成工业敏感数据清单和重要数据、核心数据保护清单。在网络、终端主机、邮件服务器、存储服务器等出口边界部署对应的数据防泄漏产品，对含有工业敏感数据的外发进行监控与防护。

 数据脱敏

通过数据脱敏技术，对工业企业滥用敏感数据进行治理，防止敏感数据在未经脱敏的情况下从企业流出。既要满足企业保护敏感数据，同时又满足行业监管的合规性。

静态脱敏通过算法将原始数据库中的敏感数据处理成非敏感数据存储至其他位置，供数据访问者直接访问和使用，主要应用在非生产环境，如：系统开发、测试、数据分析等。动态脱敏是在不改变原始数据的情况下，访问者访问敏感数据时，实时对每次访问的数据进行脱敏，防止敏感数据泄露，主要应用在生产环境，比如大屏展示、运维人员工具直连数据库等。同时，也可对脱敏后的数据添加水印，当数据泄露后，根据水印信息来追溯数据泄露的源头。

 数据库审计

通过工业数据库审计技术，对诸如Siemens的SIMATIC-IT-Historian、Honeywell公司的PHD、Rockwell的RSSQL、北京和利时HiRIS、浙江中控ESP-iSYS、北京亚控KingRDB、三维力控pSpace等工业实时数据库以及Oracle、MySQL、SQLServer、DB2等关系数据库进行审计。识别出关键操作行为、违规行为，对用户访问数据库行为进行记录、分析和汇报、事故追根溯源。

 用户行为分析

通过对于全流量进行采集和分析，利用机器自学习技术对用户日常操作行为进行建模，建立起用户行为基线与数据资产映射，形成用户行为数据资产画像。

 知识图谱

利用知识图谱技术，将零散分布的多源异构的工业数据组织起来，对数据资产和物理资产的耦合关系进行深度解析，实现“决策制定、风险预判、事故分析、攻击识别”等能力的智能化辅助和自动化处理，为数据安全的威胁建模、风险分析、攻击推理等提供支持。

 数据安全运营能力

资产安全运营

基于数据资产识别工具，对工业数据进行全面测绘，形成数据资产清单和资产分布地图，通过内置行业分类分级策略模板，将识别出的工业数据进行分类分级，并基于行业属性、业务属性、使用场景对重要数据和敏感数据进行识别，建立起重要数据和敏感数据清单，按照敏感级别进行差异化的安全防护，并通过数据安全运营平台进行持续监控运营。

 常态化运营

数据资产的安全，需要持续运营才可以保证。利用数据安全运营平台，从数据合规监管、数据资产、业务场景、数据风险等多个维度进行监测、评估分析、健康指标打分。对运营人员进行实训演练，提升人员技能水平，助力常态化运营持续有效执行。

安全风险运营

安全风险运营的主要内容：基于数据资产、安全漏洞、脆弱性、威胁情报等进行大数据关联分析、态势感知；对特定的人群(如业务人员、第三方运维人员等)，涉敏接口建立敏感数据流动基线，监测数据访问异常行为。特别要加强成套进口设备、国外远程运维、设备预测诊断等环节的数据出境风险的监控。直接从工业现场设备、主机、网络、系统等采集的数据被称为“一次数据”；对“一次数据”进行处理、统计、分析、应用所产生的数据被称为“二次数据”。二次数据更能够清晰地表达出工业企业数据的核心内容，往往比一次数据更有价值。

因此，特别要加强二次数据的保护力度，对发现数据盗取、破坏、篡改等行为及时告警，并进行通报预警；对发现的安全事件进行应急响应、处置、溯源分析，形成数据安全的闭环。