基于DSMM的工業(yè)企業(yè)數(shù)據(jù)安全能力體系建設(shè)研究

摘要：數(shù)據(jù)作為工業(yè)企業(yè)至關(guān)重要的核心資產(chǎn)，已逐漸演化為推動(dòng)工業(yè)行業(yè)發(fā)展的前沿生產(chǎn)資源。為有效提升工業(yè)企業(yè)的數(shù)據(jù)安全管理水平，文章基于數(shù)據(jù)安全能力成熟度模型DSMM，結(jié)合國家對(duì)工業(yè)行業(yè)的發(fā)展規(guī)劃、數(shù)據(jù)安全相關(guān)法規(guī)以及工業(yè)領(lǐng)域數(shù)據(jù)的相關(guān)特點(diǎn)，設(shè)計(jì)工業(yè)企業(yè)數(shù)據(jù)安全體系框架，旨在指導(dǎo)企業(yè)數(shù)據(jù)安全能力體系建設(shè)。

關(guān)鍵詞：工業(yè)領(lǐng)域；企業(yè)；數(shù)據(jù)安全；框架

中圖分類號(hào)：TP3 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2024）22-0089-03

開放科學(xué)（資源服務(wù)）標(biāo)識(shí)碼（OSID）

0 引言

隨著科技的不斷進(jìn)步，工業(yè)領(lǐng)域數(shù)字化、網(wǎng)絡(luò)化和智能化應(yīng)用正迅速蓬勃發(fā)展，推動(dòng)了行業(yè)的轉(zhuǎn)型，也促進(jìn)了工業(yè)數(shù)據(jù)的流通、共享和開發(fā)利用。然而，與此同時(shí)，數(shù)據(jù)泄露、勒索軟件攻擊等安全風(fēng)險(xiǎn)也日益增加，工業(yè)領(lǐng)域數(shù)據(jù)安全問題日益凸顯，為此，工信部逐步出臺(tái)了一系列文件，從2022年12月發(fā)布的《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法（試行）》，到2023年發(fā)布的《工業(yè)和信息化部等十六部門關(guān)于促進(jìn)數(shù)據(jù)安全產(chǎn)業(yè)發(fā)展的指導(dǎo)意見》和《工業(yè)領(lǐng)域數(shù)據(jù)安全標(biāo)準(zhǔn)體系建設(shè)指南（2023版）》，再到2024年2月發(fā)布的《工業(yè)領(lǐng)域數(shù)據(jù)安全能力提升實(shí)施方案（2024—2026年）》。作為實(shí)現(xiàn)工業(yè)經(jīng)濟(jì)全要素、全產(chǎn)業(yè)鏈、全價(jià)值鏈全面連接的關(guān)鍵支撐和重要紐帶，加強(qiáng)工業(yè)企業(yè)的數(shù)據(jù)保護(hù)能力、提高數(shù)據(jù)安全的監(jiān)管水平以及強(qiáng)化數(shù)據(jù)安全產(chǎn)業(yè)的支撐能力，已成為新型工業(yè)化發(fā)展道路上不可或缺的先決條件和重要任務(wù)[1-2]。

1 工業(yè)領(lǐng)域企業(yè)數(shù)據(jù)安全現(xiàn)狀分析

根據(jù)我國每年發(fā)布的工業(yè)信息安全態(tài)勢(shì)報(bào)告，可以觀察到一個(gè)明顯的趨勢(shì)：工業(yè)安全事件的數(shù)量正在逐年上升，這一趨勢(shì)在很大程度上是由于大量防護(hù)薄弱的工業(yè)設(shè)備接入互聯(lián)網(wǎng)所致，其中，工業(yè)終端、控制系統(tǒng)、工業(yè)平臺(tái)、工業(yè)App成為數(shù)據(jù)安全問題頻發(fā)的主要載體，企業(yè)數(shù)據(jù)安全現(xiàn)狀極為嚴(yán)峻。

1.1 普遍忽視數(shù)據(jù)安全基礎(chǔ)與重要性

工業(yè)企業(yè)對(duì)數(shù)據(jù)安全的重要性認(rèn)識(shí)和關(guān)注程度普遍不足。許多企業(yè)尚未認(rèn)識(shí)到數(shù)據(jù)安全的至關(guān)重要性，對(duì)于維護(hù)企業(yè)核心數(shù)據(jù)的價(jià)值以及潛在風(fēng)險(xiǎn)缺乏深入的理解。這種安全意識(shí)的淡薄，導(dǎo)致了在數(shù)據(jù)安全管理方面的投資不足。此外，一線員工在平時(shí)的工作操作中，也可能在不自覺間忽略掉數(shù)據(jù)保護(hù)的關(guān)鍵步驟，從而增加了數(shù)據(jù)泄露和其他相關(guān)安全事件的風(fēng)險(xiǎn)。

1.2 企業(yè)數(shù)據(jù)安全投資相對(duì)較低

企業(yè)對(duì)數(shù)據(jù)安全的投資相對(duì)有限，導(dǎo)致整體的數(shù)據(jù)防護(hù)能力尚顯不足。由于資金和技術(shù)資源的限制，很多企業(yè)尚未能構(gòu)建起一個(gè)有效的數(shù)據(jù)安全防護(hù)系統(tǒng)。再者，針對(duì)工業(yè)數(shù)據(jù)安全的市場(chǎng)產(chǎn)品和服務(wù)供應(yīng)短缺，缺乏成熟的解決方案來滿足企業(yè)的特定需求。這種狀況使得工業(yè)企業(yè)在面對(duì)日益嚴(yán)峻的網(wǎng)絡(luò)安全威脅時(shí)，往往難以實(shí)施有效的防御策略。

1.3 工業(yè)行業(yè)多樣屬性導(dǎo)致安全需求各異

工業(yè)領(lǐng)域覆蓋廣泛的行業(yè)類別，每個(gè)行業(yè)都有其獨(dú)特的特性和數(shù)據(jù)安全需求。這種多樣性為制定和實(shí)施統(tǒng)一的監(jiān)管政策帶來了挑戰(zhàn)，使得監(jiān)管部門在推行數(shù)據(jù)安全規(guī)范的過程中遭遇諸多困難。同時(shí)，不同行業(yè)在技術(shù)標(biāo)準(zhǔn)和管理流程等方面的差異，也給跨行業(yè)的數(shù)據(jù)安全監(jiān)管增添復(fù)雜性和額外挑戰(zhàn)。

為此，本文基于理論研究，嘗試提出一套工業(yè)企業(yè)建設(shè)數(shù)據(jù)安全能力體系框架，探討如何有效地構(gòu)建和提升企業(yè)的數(shù)據(jù)安全能力。

2 工業(yè)企業(yè)數(shù)據(jù)安全能力體系框架概述

2.1 設(shè)計(jì)思路

2.1.1 國家對(duì)工業(yè)行業(yè)發(fā)展的戰(zhàn)略指導(dǎo)

在當(dāng)前全球環(huán)境下，我國經(jīng)濟(jì)發(fā)展正面臨來自發(fā)達(dá)國家和發(fā)展中國家的雙重壓力。我國經(jīng)濟(jì)進(jìn)入新常態(tài)，結(jié)構(gòu)性矛盾突出，改革攻堅(jiān)期到來，須解放和發(fā)展生產(chǎn)力，提高供給質(zhì)量和效率，加快創(chuàng)新驅(qū)動(dòng)轉(zhuǎn)型。為此，政府提出以新一代信息技術(shù)與制造業(yè)深度融合為主線，推進(jìn)智能制造，通過工業(yè)互聯(lián)網(wǎng)實(shí)現(xiàn)制造過程智能化，發(fā)展智能制造裝備和產(chǎn)品，這也是“中國制造2025”的目標(biāo)提出背景——將信息化與工業(yè)化深度融合，打造工業(yè)互聯(lián)網(wǎng)，以實(shí)現(xiàn)高質(zhì)量發(fā)展，并將工業(yè)作為經(jīng)濟(jì)主體和現(xiàn)代化的支柱。

2.1.2 工業(yè)企業(yè)數(shù)據(jù)的關(guān)鍵特點(diǎn)

工業(yè)數(shù)據(jù)是在生產(chǎn)和操作的工業(yè)過程中生成的多種類型的數(shù)據(jù)。這些數(shù)據(jù)大致可以被分類為關(guān)于生產(chǎn)、操作、環(huán)境、物流和能源的數(shù)據(jù)，往往具有以下特征：大量、高速、多樣、高價(jià)值密度、持久性以及與特定環(huán)境相關(guān)的特性，在改善制造流程、提高產(chǎn)品質(zhì)量、減少能源消耗和降低成本等方面扮演著關(guān)鍵角色。

2.1.3 國家數(shù)據(jù)安全法規(guī)與標(biāo)準(zhǔn)框架

在信息技術(shù)飛速發(fā)展的當(dāng)代，數(shù)據(jù)安全已上升為國家級(jí)的戰(zhàn)略要點(diǎn)。我國相繼頒布《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》以及《個(gè)人信息保護(hù)法》等法律文本，從而確立數(shù)據(jù)安全的原則、責(zé)任歸屬、監(jiān)督管理以及違法的處罰機(jī)制。為確保這些法規(guī)的有效執(zhí)行，國家發(fā)布多項(xiàng)信息安全相關(guān)標(biāo)準(zhǔn)。

截至2024年3月2日，以“安全”為關(guān)鍵詞在全國標(biāo)準(zhǔn)信息公共服務(wù)平臺(tái)中查詢，共計(jì)2453項(xiàng)現(xiàn)行國家標(biāo)準(zhǔn)，以“數(shù)據(jù)安全”為關(guān)鍵詞查詢，共計(jì)17項(xiàng)現(xiàn)行國家標(biāo)準(zhǔn)。其中，由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出的數(shù)據(jù)管理能力成熟度評(píng)估（DCMM） 和數(shù)據(jù)安全成熟度模型（DSMM） 為企業(yè)數(shù)據(jù)安全成熟度評(píng)估與管理能力提升提供了科學(xué)參考。為對(duì)數(shù)據(jù)安全開展體系性全面性的管理，從企業(yè)經(jīng)營需要出發(fā)，本文選用數(shù)據(jù)安全能力成熟度模型（DSMM） 作為理論依據(jù)框架，助力企業(yè)建立健全數(shù)據(jù)安全體系，提高整體運(yùn)營安全性。

2.2 理論基礎(chǔ)

數(shù)據(jù)安全能力成熟度模型（DSMM） 是依據(jù)國家標(biāo)準(zhǔn)GB/T 37988-2019《信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型》建立的標(biāo)準(zhǔn)模型，該標(biāo)準(zhǔn)體系性地從管理視角和最終結(jié)果視角描述了數(shù)據(jù)安全能力建設(shè)的關(guān)鍵要素和重要維度，旨在從組織建設(shè)、制度流程、技術(shù)工具、人員能力四個(gè)方面去評(píng)估和改進(jìn)其數(shù)據(jù)安全能力。其中組織建設(shè)涉及數(shù)據(jù)安全治理結(jié)構(gòu)的構(gòu)建，包括組織架構(gòu)的設(shè)計(jì)、職責(zé)的明確分配以及內(nèi)部溝通與協(xié)作機(jī)制的建立。制度流程包括制定并執(zhí)行關(guān)鍵數(shù)據(jù)安全領(lǐng)域的政策規(guī)范和操作流程，確保制度的有效落實(shí)。技術(shù)工具通過采用先進(jìn)的技術(shù)手段和工具產(chǎn)品，將安全措施固化于系統(tǒng)之中或?qū)崿F(xiàn)安全工作流程的自動(dòng)化。人員能力強(qiáng)調(diào)提升從事數(shù)據(jù)安全工作人員的安全意識(shí)和專業(yè)技能，確保其能夠有效地執(zhí)行數(shù)據(jù)安全相關(guān)工作。數(shù)據(jù)安全能力成熟度模型，如圖1所示。

除數(shù)據(jù)安全能力維度外，模型還從能力成熟度等級(jí)、數(shù)據(jù)安全過程維度分別給出了評(píng)估方式及維度，考慮到本文探討的是工業(yè)企業(yè)數(shù)據(jù)安全能力體系建設(shè)框架，因此，僅選取安全能力維度作為探討和分析的主要維度，開展相關(guān)研究。

2.3 框架概述

本文結(jié)合工業(yè)企業(yè)的數(shù)據(jù)安全需求和特性，以工業(yè)服務(wù)層、平臺(tái)層、邊緣層和工業(yè)現(xiàn)場(chǎng)中的數(shù)據(jù)流轉(zhuǎn)為著眼點(diǎn)，沿用DSMM的組織建設(shè)、技術(shù)工具、制度流程、人員能力四大方面提出安全能力體系搭建的管理框架，旨在指導(dǎo)管理部門和平臺(tái)運(yùn)營者開展企業(yè)數(shù)據(jù)安全管理，實(shí)現(xiàn)數(shù)據(jù)安全治理的持續(xù)優(yōu)化和合規(guī)性。工業(yè)企業(yè)數(shù)據(jù)安全能力體系框架，如圖2所示。

2.3.1 組織建設(shè)

重要數(shù)據(jù)的處理者，應(yīng)當(dāng)明確數(shù)據(jù)安全負(fù)責(zé)人，成立數(shù)據(jù)安全管理機(jī)構(gòu)。領(lǐng)導(dǎo)者是提升企業(yè)安全防護(hù)水平的先行者和表率，因此，構(gòu)建統(tǒng)籌有力的數(shù)據(jù)安全組織機(jī)構(gòu)，決策層作為安全領(lǐng)導(dǎo)小組的第一責(zé)任人，配備一支完整規(guī)范的數(shù)據(jù)安全團(tuán)隊(duì)，同時(shí)定期接受相關(guān)安全警示培訓(xùn)是提升企業(yè)安全管理水平的一大舉措。其中，數(shù)據(jù)安全團(tuán)隊(duì)?wèi)?yīng)包括但不限于安全主管，安全監(jiān)測(cè)、審核、監(jiān)督員和安全咨詢專家。此外，為確保數(shù)據(jù)安全措施與企業(yè)發(fā)展需求與戰(zhàn)略相吻合，應(yīng)設(shè)立專兼職安全業(yè)務(wù)團(tuán)隊(duì)，聘請(qǐng)專職數(shù)據(jù)安全人員，同時(shí)培養(yǎng)業(yè)務(wù)人員的數(shù)據(jù)安全意識(shí)，使其能在日常工作中關(guān)注數(shù)據(jù)安全，并與數(shù)據(jù)安全團(tuán)隊(duì)合作，促進(jìn)數(shù)據(jù)安全工作的持續(xù)、系統(tǒng)和穩(wěn)健進(jìn)行。工業(yè)企業(yè)數(shù)據(jù)安全組織機(jī)構(gòu)，如圖3所示。

2.3.2 制度流程

數(shù)據(jù)處理機(jī)構(gòu)應(yīng)遵循相關(guān)法律法規(guī)和國家標(biāo)準(zhǔn)的強(qiáng)制性要求，構(gòu)建完善的數(shù)據(jù)安全管理和技術(shù)保護(hù)體系。如圖4所示，工業(yè)企業(yè)可以針對(duì)行業(yè)特點(diǎn)，從數(shù)據(jù)安全戰(zhàn)略、數(shù)據(jù)全生命周期安全制度以及基礎(chǔ)安全制度三個(gè)層面，分級(jí)制定文件清單，建立并執(zhí)行有效的數(shù)據(jù)安全管理體系，確保數(shù)據(jù)安全管理工作得以有效實(shí)施。

2.3.3 技術(shù)工具

首先，搭建完善全面的技術(shù)工具頂層框架。技術(shù)工具是數(shù)據(jù)安全體系構(gòu)建的核心抓手，鑒于工業(yè)互聯(lián)網(wǎng)實(shí)現(xiàn)了設(shè)備、工廠、人員和產(chǎn)品的全面互聯(lián)，其安全防護(hù)體系的建設(shè)必須采取一個(gè)宏觀的視角，確保各個(gè)層面都配備了相應(yīng)的安全防護(hù)措施。這包括結(jié)合入侵檢測(cè)和其他安全技術(shù)，以及安全管理實(shí)踐，以實(shí)現(xiàn)邊界防護(hù)、協(xié)議分析等功能。這些措施共同構(gòu)成一個(gè)完整的工業(yè)互聯(lián)網(wǎng)安全防護(hù)閉環(huán)，涵蓋了監(jiān)測(cè)、報(bào)警、處置、溯源、恢復(fù)和檢查等關(guān)鍵環(huán)節(jié)。

其次，構(gòu)建數(shù)據(jù)全生命周期的安全防護(hù)能力，在工業(yè)行業(yè)平臺(tái)應(yīng)用中，企業(yè)有必要建立從數(shù)據(jù)采集到銷毀的數(shù)據(jù)全生命周期安全管理一體化平臺(tái)。此外，還需要重視常態(tài)化的數(shù)據(jù)安全運(yùn)營，確保數(shù)據(jù)處理者能夠持續(xù)監(jiān)控和管理數(shù)據(jù)安全風(fēng)險(xiǎn)。特別是對(duì)于處理重要數(shù)據(jù)或計(jì)劃在海外上市的企業(yè)，每年至少進(jìn)行一次數(shù)據(jù)安全評(píng)估，以及時(shí)發(fā)現(xiàn)和修復(fù)潛在的安全漏洞，保障數(shù)據(jù)的安全性和完整性。工業(yè)企業(yè)平臺(tái)數(shù)據(jù)安全核心防護(hù)能力概覽圖，如圖5所示。

最后，注重技術(shù)工具的前瞻性。在工業(yè)互聯(lián)網(wǎng)背景下，區(qū)塊鏈技術(shù)的應(yīng)用正日益受到關(guān)注。區(qū)塊鏈通過建立去中心化的信任機(jī)制，能增強(qiáng)數(shù)據(jù)安全性，降低交易成本，加速交易過程，并提高供應(yīng)鏈的效率，有效提升對(duì)工業(yè)企業(yè)大數(shù)據(jù)、工業(yè)產(chǎn)品交易全過程的監(jiān)管能力。因此，加大區(qū)塊鏈技術(shù)的研究和應(yīng)用探索，對(duì)于促進(jìn)工業(yè)互聯(lián)網(wǎng)的發(fā)展具有重要意義。

2.3.4 人員能力

當(dāng)前，我國人才培養(yǎng)體系正朝著T型結(jié)構(gòu)的方向發(fā)展，即要求人才具備廣泛的基礎(chǔ)知識(shí)和深入的專業(yè)技能，然而這種培養(yǎng)模式通常導(dǎo)致人才應(yīng)用領(lǐng)域過于單一。隨著工業(yè)互聯(lián)網(wǎng)的興起，數(shù)據(jù)安全挑戰(zhàn)變得更加復(fù)雜，對(duì)安全專業(yè)人才的基礎(chǔ)能力、跨專業(yè)能力以及業(yè)務(wù)知識(shí)儲(chǔ)備提出了更高要求。為迎接這一挑戰(zhàn)，企業(yè)可以通過建立實(shí)訓(xùn)基地、舉辦攻防競(jìng)賽以及利用網(wǎng)絡(luò)平臺(tái)等方式，開展工業(yè)互聯(lián)數(shù)據(jù)安全防護(hù)演練活動(dòng)和安全大賽，有效培養(yǎng)真正具備實(shí)戰(zhàn)能力的復(fù)合型安全人才。同時(shí)，推進(jìn)人才培養(yǎng)做深做實(shí)，有效落實(shí)《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（征求意見稿）》中對(duì)數(shù)據(jù)處理者、全體技術(shù)和管理人員數(shù)據(jù)安全培訓(xùn)的時(shí)長(zhǎng)要求。

3 未來展望

加強(qiáng)數(shù)據(jù)安全保障是新型工業(yè)化發(fā)展繞不過的坎，是推進(jìn)新型工業(yè)化行穩(wěn)致遠(yuǎn)的基礎(chǔ)和前提。2025年即是“中國制造2025”收官之年，工業(yè)企業(yè)在追求經(jīng)濟(jì)效益的同時(shí)，必須充分認(rèn)識(shí)到數(shù)據(jù)安全體系搭建的重要性。本文基于對(duì)工業(yè)行業(yè)數(shù)據(jù)安全能力建設(shè)的深入研究，提出了一套全面的數(shù)據(jù)安全能力框架，并探討了有效構(gòu)建和增強(qiáng)企業(yè)數(shù)據(jù)安全能力的途徑。展望未來，將進(jìn)一步深化數(shù)據(jù)安全領(lǐng)域的實(shí)踐案例研究，助力工業(yè)數(shù)據(jù)安全保障體系建成。

參考文獻(xiàn)

[1] 中國二重紀(jì)檢監(jiān)察網(wǎng).中國裝備制造業(yè)大而不強(qiáng)全球需求調(diào)整倒逼轉(zhuǎn)型[J].大型鑄鍛件，2014（3）：33.

[2] 徐延發(fā).區(qū)塊鏈技術(shù)在工業(yè)互聯(lián)網(wǎng)安全防護(hù)中的應(yīng)用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2023（8）：96-98.

【通聯(lián)編輯：朱寶貴】