我们将软件定义安全的理念贯穿数据安全的全生命周期，实现安全需求集约化、安全能力组件化，赋能工业数据安全发展。

—北京明朝万达科技股份有限公司高级副总裁&首席技术官喻波

新基建和工业数字化转型以及数据防护之间是什么关系？我们认为新基建赋能工业数字化转型，同时也为安全防护赋能。工业对数据安全提出新要求，数据安全为工业提供保障。

新基建是指人工智能、工业互联网、物联网等新型基础设施建设，所谓的“新”实际上是和传统相对应的。结合新一轮数字科技革命以及产业变革的特征，新基建一共划分为七个领域，这七个领域可以分为三个不同的类别。第一个类别是新一代信息技术深化形成的基础设施，比如通信基础设施、5G等新一代技术基础设施和区块链等算力基础设施。第二个类别是支撑传统基础设施转型升级形成的融合类基础设施，比如智能交通、智能能源等。第三个类别是支撑科学研究、技术开发、产品研制的具有公益属性的基础设施，如卫星通信、基础教育等。

新基建的本质是促进产业结构的变革，推动信息技术的大规模应用。从信息技术来看，信息技术的应用最开始从第二产业发展起来，如政府、军事、制造、能源、金融等行业，等这些应用发展到成熟以后，才引入第一和第三产业中。新基建与此类似，新基建的发展首先在政府、军事、制造等第二产业，等到新基建的相关技术稳定、建设和发展成本下降以后才会对第一、第三产业产生影响。

工业数字化转型以后的数据和以前不一样，简单来说，大量的设备入网使得数据源头更加丰富。随着企业应用的增加和企业间联系的增多，数据流转范围会扩大;随着产业的数字化转型，数据流转效率也会提高，数据从之前的IT产业附属品变成了重要的生产要素。随着数据角色的变化，我们从设备层、边缘层再到产业层、管理层，都面临安全层面的问题。

而对于管理层来讲，最核心的问题是安全需求的分散和安全需求相对混乱。同样的数据，进入不同环节的时候要求是完全不同的，传统的方案是将安全系统和业务系统直接对接，也就是说对业务系统提出需求，安全系统进行响应，而随着数据流转范围变大，这样做的难度逐渐增大。

为了应对这种情况，我们提出了一个简单的解决方案，我们认为软件定义安全是可以赋能工业数据安全的。

保护工业数据安全实际上是数据安全对采集、传输、存储、处理到交换的全生命周期的保护，这个过程非常复杂，我们要面对不同的数据，如实时数据、非实时数据、企业或互联网平台里的数据或者IT、OT网络上的数据。这些数据范围、特质都不一样，我们该如何处理呢？

我们对业务和安全进行解耦，业务提出来的是安全需求，我们把安全需求集约化。而安全本身是一种能力，我们把安全能力组件化，通过模型连接起来，通过软件定义安全的方式满足不同的安全需求。

这里提到了一个方案，传统的方案是安全和业务系统直接对接，现在的方案中需要通过一个安全模型过渡，也就是说业务系统将诉求提交给安全模型，再通过模型把安全需求提交给不同的安全系统，由各个安全系统来满足需求。

参考工业互联网的信息模型，我们提出了一个工业数据安全模型的概念，这个工业数据安全模型分为两类：一类是安全需求模型，分为设备层数据安全模型、边缘层数据安全模型、企业层数据安全模型、产业层数据安全模型;另一类是安全防护模型，分为用户身份认证模型、现场设备接入认证模型、外设管控模型、密码应用模型。我们把这两种安全模型通过软件定义安全的方式连接起来，这样就完成了安全需求和安全防护之间的关联。

然后，我们需要对生产工艺数据和物料数据分类，才能进一步做安全管控，所以需求提出来以后，会通过数据分类模型来满足需求，数据分类模型对接数据分类系统，能够对数据进行分类服务。完成分类服务以后才会对安全需求的其他部分进行响应，比如说传输外网应该怎么做，数据存储应该怎么做，这个时候会有不同的安全模型响应安全需求。这样就相当于把需求和安全的模型联系起来了。

举一个简单的例子，抽象化的智能工厂模型中的现场设备会对上层的ERP、CRM提出不同的需求，比如对数据进行分类分级、对高敏感数据采取一些措施禁止其被传到外网，例如进行加密存儲等。这个时候我们会建立数据安全的模型，定义标识和类型并提出它的要求，比如用户登录身份要求、外设管控的要求、上下传输数据的签名要求、现场设备接入认证的要求等，我们会把要求分解成不同的安全模型来应对。安全模型一旦确定之后，我们会把要求提交给认证设备，比如说指纹设备，这样就把安全需求模型与安全设备连接了起来。

也就是说，数据安全的发展方向是通过工业数据的安全模型实现工业数据安全防护的模型化和体系化，从而进一步与安全产品进行对应，实现对数据安全的统一管理、对安全能力的动态配置。

（根据演讲内容整理，未经本人审核）