本文提出一套集管理、技術(shù)、運營為一體的工業(yè)數(shù)據(jù)安全治理參考框架，治理框架如圖1所示。在法律法規(guī)、國家標準、行業(yè)標準的框架下，融合DSMM成熟度模型理論，圍繞數(shù)據(jù)采集、傳輸、存儲、處理、交換以及銷毀等各個階段的全生命周期，分別從數(shù)據(jù)安全管理能力、技術(shù)能力以及安全運營能力等方面進行全面治理。

數(shù)據(jù)安全管理能力

組織治理

工業(yè)數(shù)據(jù)安全治理離不開組織和人力資源的投入。首先建立覆蓋本企業(yè)相關(guān)部門的數(shù)據(jù)安全工作體系，明確數(shù)據(jù)安全負責(zé)人和管理機構(gòu)，建立常態(tài)化溝通與協(xié)作機制。企業(yè)法定代表人或者主要負責(zé)人是數(shù)據(jù)安全第一責(zé)任人，領(lǐng)導(dǎo)團隊中分管數(shù)據(jù)安全的成員是直接責(zé)任人；明確數(shù)據(jù)處理關(guān)鍵崗位和崗位職責(zé)，并要求關(guān)鍵崗位人員簽署數(shù)據(jù)安全責(zé)任書。

其次在開展組織建設(shè)時，需要設(shè)計、研發(fā)、測試、生產(chǎn)科、儀表科、數(shù)據(jù)科、信息中心、財務(wù)、審計、人力等相關(guān)部門參加到數(shù)據(jù)安全治理工作中，確保數(shù)據(jù)安全管理方針、戰(zhàn)略、政策等制度得以落地執(zhí)行。

工業(yè)企業(yè)數(shù)據(jù)安全治理組織可采取5層組織結(jié)構(gòu)，即決策層、管理層、執(zhí)行層、監(jiān)督層和參與層。組織治理結(jié)構(gòu)如圖2所示。

決策層，主要由工業(yè)企業(yè)高層領(lǐng)導(dǎo)參與，構(gòu)成數(shù)據(jù)安全治理領(lǐng)導(dǎo)小組，領(lǐng)導(dǎo)小組不少于2人，總體負責(zé)工業(yè)數(shù)據(jù)安全治理工作的統(tǒng)籌組織、指導(dǎo)推進和協(xié)調(diào)落實，明確數(shù)據(jù)安全管理部門，協(xié)調(diào)機構(gòu)內(nèi)部數(shù)據(jù)安全管理資源調(diào)配，包括制定目標、方針、意愿，發(fā)布策略、規(guī)劃、制度規(guī)范，提供資源保障和重大事件協(xié)調(diào)管理。

管理層，主要由工業(yè)企業(yè)的設(shè)計、研發(fā)、測試、生產(chǎn)科、儀表科、數(shù)據(jù)科、信息中心、財務(wù)、人力等部門的主要負責(zé)人參與，構(gòu)成數(shù)據(jù)安全治理管理小組，主要負責(zé)工業(yè)數(shù)據(jù)安全治理的相關(guān)管理工作、相關(guān)政策和制度的制定評審，保障數(shù)據(jù)安全工作所需資源，并設(shè)立數(shù)據(jù)安全管理專職崗位。包括制定規(guī)范、界定職責(zé)、開展評估、監(jiān)督檢測、保障運作、組織培訓(xùn)、受理投訴、持續(xù)管理。

執(zhí)行層，主要由工業(yè)企業(yè)的設(shè)計、研發(fā)、測試、生產(chǎn)科、儀表科、數(shù)據(jù)科、信息中心、財務(wù)、人力等相關(guān)部門落實數(shù)據(jù)安全執(zhí)行的人員組成，構(gòu)成數(shù)據(jù)安全治理技術(shù)小組，主要負責(zé)具體數(shù)據(jù)安全治理相關(guān)的技術(shù)及管理措施的落實，包括政策、制度、規(guī)范的執(zhí)行，數(shù)據(jù)安全產(chǎn)品部署及運維，安全事件監(jiān)控與處置，漏洞排查與修復(fù)等日常工作。

監(jiān)督層，主要由工業(yè)企業(yè)內(nèi)部安全審計、督察稽核、法務(wù)等部門人員構(gòu)成，定期對管理層團隊、執(zhí)行層團隊、參與層團隊在數(shù)據(jù)安全建設(shè)和管理過程中，對于策略和管理要求的執(zhí)行情況進行監(jiān)督審核，并向決策層匯報。包括制度落地監(jiān)督、數(shù)據(jù)安全工具有效性監(jiān)督、風(fēng)險評估、風(fēng)險監(jiān)控與審計。

參與層，主要由工業(yè)企業(yè)內(nèi)部全部員工及外部合作伙伴參與、配合，遵守企業(yè)內(nèi)部數(shù)據(jù)安全治理相關(guān)要求。

制度規(guī)范治理

制度規(guī)范治理，需要建立數(shù)據(jù)全生命周期安全管理制度，針對不同級別數(shù)據(jù)，制定數(shù)據(jù)收集、存儲、使用、加工、傳輸、提供、公開等環(huán)節(jié)的具體分級防護要求和操作規(guī)程。

數(shù)據(jù)安全制度規(guī)范體系主要從4個層面進行建設(shè)，包括：一級文件的數(shù)據(jù)安全方針、戰(zhàn)略；二級文件的數(shù)據(jù)安全管理制度、辦法；三級文件的操作流程、規(guī)范、作業(yè)指導(dǎo)書、模板等；四級文件的各類表單、記錄日志、報告等。數(shù)據(jù)安全制度規(guī)范體系框架如圖3所示。

一級文件，是企業(yè)數(shù)據(jù)安全方針、戰(zhàn)略，屬于綱領(lǐng)性的文件，包括數(shù)據(jù)安全治理的目標、適用范圍、治理意義以及指導(dǎo)原則，數(shù)據(jù)安全各個方面所應(yīng)遵守的原則方法和指導(dǎo)策略。

二級文件，是從安全方針、戰(zhàn)略中規(guī)定的安全各個方面所應(yīng)遵守的原則方法和指導(dǎo)策略引出的具體管理規(guī)定、管理辦法和實施辦法，具有可操作性和落地性。

三級文件，是根據(jù)二級文件制定的各個階段的具體操作流程、規(guī)范指南、作業(yè)指導(dǎo)書、模板文件等。

四級文件，主要是落地執(zhí)行三級文件產(chǎn)生的各類記錄表單，包括運行日志、檢查記錄、日志文件、報告等。

數(shù)據(jù)安全規(guī)范治理

工業(yè)企業(yè)應(yīng)將數(shù)據(jù)安全管理要求貫徹到從數(shù)據(jù)采集、傳輸、存儲、使用、分享、銷毀的各個階段，各業(yè)務(wù)部門提出各自的數(shù)據(jù)安全需求，由數(shù)據(jù)科牽頭制定數(shù)據(jù)安全規(guī)范，如《主數(shù)據(jù)規(guī)范》《數(shù)據(jù)資產(chǎn)識別規(guī)范》《數(shù)據(jù)分類分級規(guī)范》《重要數(shù)據(jù)識別規(guī)范》《核心數(shù)據(jù)識別規(guī)范》《敏感數(shù)據(jù)識別規(guī)范》《數(shù)據(jù)使用場景規(guī)范》等。

?數(shù)據(jù)安全技術(shù)能力

數(shù)據(jù)安全技術(shù)能力治理主要是對技術(shù)措施的建設(shè)，圍繞工業(yè)數(shù)據(jù)全生命周期的各個階段采取相應(yīng)的安全防護措施，包括智能識別、分類分級、數(shù)據(jù)庫審計、加密傳輸、數(shù)據(jù)防泄漏、數(shù)據(jù)脫敏、數(shù)據(jù)水印、用戶行為分析、知識圖譜等。

?數(shù)據(jù)資產(chǎn)識別

通過數(shù)據(jù)資產(chǎn)識別技術(shù)，圍繞研發(fā)、設(shè)計、生產(chǎn)、采購、銷售、交付、售后、運維、報廢等工業(yè)生產(chǎn)經(jīng)營環(huán)節(jié)和過程，對所產(chǎn)生、采集、傳輸、存儲、使用、共享以及銷毀的數(shù)據(jù)進行全面智能識別，包括結(jié)構(gòu)化的數(shù)據(jù)(如設(shè)備運行狀態(tài))、非結(jié)構(gòu)化數(shù)據(jù)(如設(shè)計圖紙)，形成數(shù)據(jù)資產(chǎn)清單和數(shù)據(jù)資產(chǎn)分布地圖，然后進行數(shù)據(jù)分類分級，識別重要數(shù)據(jù)和核心數(shù)據(jù)。同時，對重要數(shù)據(jù)、核心數(shù)據(jù)目錄進行備案，備案內(nèi)容包括但不限于數(shù)據(jù)類別、級別、規(guī)模、處理目的和方式、使用范圍、責(zé)任主體、對外共享、跨境傳輸、安全保護措施等。

?分類分級

依據(jù)識別出的數(shù)據(jù)資產(chǎn)清單，按照《工業(yè)數(shù)據(jù)分類分級指南(試行)》要求，結(jié)合企業(yè)的生產(chǎn)制造模式、服務(wù)運營模式以及行業(yè)屬性、使用場景、數(shù)據(jù)流通程度等實際情況，對工業(yè)數(shù)據(jù)進行分類。另一方面，根據(jù)工業(yè)數(shù)據(jù)遭破壞后，對工業(yè)生產(chǎn)經(jīng)營、公共利益、國家安全等造成的后果，采用“就高不就低”原則，即同一場景下存在多種數(shù)據(jù)級別的情況下，按照最高級別進行定級，最終形成分類分級清單，為下一步分級定措提供依據(jù)。

加密傳輸

避免重要工業(yè)數(shù)據(jù)在三網(wǎng)(生產(chǎn)網(wǎng)、信息網(wǎng)、視頻網(wǎng))混合中傳輸，必要時通過IPSecVPN技術(shù)進行隧道加密傳輸。利用密碼技術(shù)(如SM3、SM4、SM9等)，對重要數(shù)據(jù)傳輸時進行完整性校驗，對數(shù)據(jù)傳輸雙方身份進行身份鑒別。必要時采用工業(yè)專用加密傳輸協(xié)議(如MODBUS Plus、S7 comm Plus等)或安全傳輸協(xié)議服務(wù)(如TLS、DTLS、HTTPS等)，對傳輸?shù)臄?shù)據(jù)進行保護，避免來自利用協(xié)議脆弱性的破壞攻擊。

數(shù)據(jù)防泄漏

根據(jù)工業(yè)數(shù)據(jù)分類分級清單，定義敏感數(shù)據(jù)，形成工業(yè)敏感數(shù)據(jù)清單和重要數(shù)據(jù)、核心數(shù)據(jù)保護清單。在網(wǎng)絡(luò)、終端主機、郵件服務(wù)器、存儲服務(wù)器等出口邊界部署對應(yīng)的數(shù)據(jù)防泄漏產(chǎn)品，對含有工業(yè)敏感數(shù)據(jù)的外發(fā)進行監(jiān)控與防護。

?數(shù)據(jù)脫敏

通過數(shù)據(jù)脫敏技術(shù)，對工業(yè)企業(yè)濫用敏感數(shù)據(jù)進行治理，防止敏感數(shù)據(jù)在未經(jīng)脫敏的情況下從企業(yè)流出。既要滿足企業(yè)保護敏感數(shù)據(jù)，同時又滿足行業(yè)監(jiān)管的合規(guī)性。

靜態(tài)脫敏通過算法將原始數(shù)據(jù)庫中的敏感數(shù)據(jù)處理成非敏感數(shù)據(jù)存儲至其他位置，供數(shù)據(jù)訪問者直接訪問和使用，主要應(yīng)用在非生產(chǎn)環(huán)境，如：系統(tǒng)開發(fā)、測試、數(shù)據(jù)分析等。動態(tài)脫敏是在不改變原始數(shù)據(jù)的情況下，訪問者訪問敏感數(shù)據(jù)時，實時對每次訪問的數(shù)據(jù)進行脫敏，防止敏感數(shù)據(jù)泄露，主要應(yīng)用在生產(chǎn)環(huán)境，比如大屏展示、運維人員工具直連數(shù)據(jù)庫等。同時，也可對脫敏后的數(shù)據(jù)添加水印，當(dāng)數(shù)據(jù)泄露后，根據(jù)水印信息來追溯數(shù)據(jù)泄露的源頭。

?數(shù)據(jù)庫審計

通過工業(yè)數(shù)據(jù)庫審計技術(shù)，對諸如Siemens的SIMATIC-IT-Historian、Honeywell公司的PHD、Rockwell的RSSQL、北京和利時HiRIS、浙江中控ESP-iSYS、北京亞控KingRDB、三維力控pSpace等工業(yè)實時數(shù)據(jù)庫以及Oracle、MySQL、SQLServer、DB2等關(guān)系數(shù)據(jù)庫進行審計。識別出關(guān)鍵操作行為、違規(guī)行為，對用戶訪問數(shù)據(jù)庫行為進行記錄、分析和匯報、事故追根溯源。

?用戶行為分析

通過對于全流量進行采集和分析，利用機器自學(xué)習(xí)技術(shù)對用戶日常操作行為進行建模，建立起用戶行為基線與數(shù)據(jù)資產(chǎn)映射，形成用戶行為數(shù)據(jù)資產(chǎn)畫像。

?知識圖譜

利用知識圖譜技術(shù)，將零散分布的多源異構(gòu)的工業(yè)數(shù)據(jù)組織起來，對數(shù)據(jù)資產(chǎn)和物理資產(chǎn)的耦合關(guān)系進行深度解析，實現(xiàn)“決策制定、風(fēng)險預(yù)判、事故分析、攻擊識別”等能力的智能化輔助和自動化處理，為數(shù)據(jù)安全的威脅建模、風(fēng)險分析、攻擊推理等提供支持。

?數(shù)據(jù)安全運營能力

資產(chǎn)安全運營

基于數(shù)據(jù)資產(chǎn)識別工具，對工業(yè)數(shù)據(jù)進行全面測繪，形成數(shù)據(jù)資產(chǎn)清單和資產(chǎn)分布地圖，通過內(nèi)置行業(yè)分類分級策略模板，將識別出的工業(yè)數(shù)據(jù)進行分類分級，并基于行業(yè)屬性、業(yè)務(wù)屬性、使用場景對重要數(shù)據(jù)和敏感數(shù)據(jù)進行識別，建立起重要數(shù)據(jù)和敏感數(shù)據(jù)清單，按照敏感級別進行差異化的安全防護，并通過數(shù)據(jù)安全運營平臺進行持續(xù)監(jiān)控運營。

?常態(tài)化運營

數(shù)據(jù)資產(chǎn)的安全，需要持續(xù)運營才可以保證。利用數(shù)據(jù)安全運營平臺，從數(shù)據(jù)合規(guī)監(jiān)管、數(shù)據(jù)資產(chǎn)、業(yè)務(wù)場景、數(shù)據(jù)風(fēng)險等多個維度進行監(jiān)測、評估分析、健康指標打分。對運營人員進行實訓(xùn)演練，提升人員技能水平，助力常態(tài)化運營持續(xù)有效執(zhí)行。

安全風(fēng)險運營

安全風(fēng)險運營的主要內(nèi)容：基于數(shù)據(jù)資產(chǎn)、安全漏洞、脆弱性、威脅情報等進行大數(shù)據(jù)關(guān)聯(lián)分析、態(tài)勢感知；對特定的人群(如業(yè)務(wù)人員、第三方運維人員等)，涉敏接口建立敏感數(shù)據(jù)流動基線，監(jiān)測數(shù)據(jù)訪問異常行為。特別要加強成套進口設(shè)備、國外遠程運維、設(shè)備預(yù)測診斷等環(huán)節(jié)的數(shù)據(jù)出境風(fēng)險的監(jiān)控。直接從工業(yè)現(xiàn)場設(shè)備、主機、網(wǎng)絡(luò)、系統(tǒng)等采集的數(shù)據(jù)被稱為“一次數(shù)據(jù)”；對“一次數(shù)據(jù)”進行處理、統(tǒng)計、分析、應(yīng)用所產(chǎn)生的數(shù)據(jù)被稱為“二次數(shù)據(jù)”。二次數(shù)據(jù)更能夠清晰地表達出工業(yè)企業(yè)數(shù)據(jù)的核心內(nèi)容，往往比一次數(shù)據(jù)更有價值。

因此，特別要加強二次數(shù)據(jù)的保護力度，對發(fā)現(xiàn)數(shù)據(jù)盜取、破壞、篡改等行為及時告警，并進行通報預(yù)警；對發(fā)現(xiàn)的安全事件進行應(yīng)急響應(yīng)、處置、溯源分析，形成數(shù)據(jù)安全的閉環(huán)。文章來源地址http://www.zghlxwxcb.cn/news/detail-440460.html

到了這里，關(guān)于工業(yè)數(shù)據(jù)安全治理探索的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！