摘要：数据作为工业企业至关重要的核心资产，已逐渐演化为推动工业行业发展的前沿生产资源。为有效提升工业企业的数据安全管理水平，文章基于数据安全能力成熟度模型DSMM，结合国家对工业行业的发展规划、数据安全相关法规以及工业领域数据的相关特点，设计工业企业数据安全体系框架，旨在指导企业数据安全能力体系建设。

关键词：工业领域；企业；数据安全；框架

中图分类号：TP3 文献标识码：A

文章编号：1009-3044（2024）22-0089-03

开放科学（资源服务）标识码（OSID）

0 引言

随着科技的不断进步，工业领域数字化、网络化和智能化应用正迅速蓬勃发展，推动了行业的转型，也促进了工业数据的流通、共享和开发利用。然而，与此同时，数据泄露、勒索软件攻击等安全风险也日益增加，工业领域数据安全问题日益凸显，为此，工信部逐步出台了一系列文件，从2022年12月发布的《工业和信息化领域数据安全管理办法（试行）》，到2023年发布的《工业和信息化部等十六部门关于促进数据安全产业发展的指导意见》和《工业领域数据安全标准体系建设指南（2023版）》，再到2024年2月发布的《工业领域数据安全能力提升实施方案（2024—2026年）》。作为实现工业经济全要素、全产业链、全价值链全面连接的关键支撑和重要纽带，加强工业企业的数据保护能力、提高数据安全的监管水平以及强化数据安全产业的支撑能力，已成为新型工业化发展道路上不可或缺的先决条件和重要任务[1-2]。

1 工业领域企业数据安全现状分析

根据我国每年发布的工业信息安全态势报告，可以观察到一个明显的趋势：工业安全事件的数量正在逐年上升，这一趋势在很大程度上是由于大量防护薄弱的工业设备接入互联网所致，其中，工业终端、控制系统、工业平台、工业App成为数据安全问题频发的主要载体，企业数据安全现状极为严峻。

1.1 普遍忽视数据安全基础与重要性

工业企业对数据安全的重要性认识和关注程度普遍不足。许多企业尚未认识到数据安全的至关重要性，对于维护企业核心数据的价值以及潜在风险缺乏深入的理解。这种安全意识的淡薄，导致了在数据安全管理方面的投资不足。此外，一线员工在平时的工作操作中，也可能在不自觉间忽略掉数据保护的关键步骤，从而增加了数据泄露和其他相关安全事件的风险。

1.2 企业数据安全投资相对较低

企业对数据安全的投资相对有限，导致整体的数据防护能力尚显不足。由于资金和技术资源的限制，很多企业尚未能构建起一个有效的数据安全防护系统。再者，针对工业数据安全的市场产品和服务供应短缺，缺乏成熟的解决方案来满足企业的特定需求。这种状况使得工业企业在面对日益严峻的网络安全威胁时，往往难以实施有效的防御策略。

1.3 工业行业多样属性导致安全需求各异

工业领域覆盖广泛的行业类别，每个行业都有其独特的特性和数据安全需求。这种多样性为制定和实施统一的监管政策带来了挑战，使得监管部门在推行数据安全规范的过程中遭遇诸多困难。同时，不同行业在技术标准和管理流程等方面的差异，也给跨行业的数据安全监管增添复杂性和额外挑战。

为此，本文基于理论研究，尝试提出一套工业企业建设数据安全能力体系框架，探讨如何有效地构建和提升企业的数据安全能力。

2 工业企业数据安全能力体系框架概述

2.1 设计思路

2.1.1 国家对工业行业发展的战略指导

在当前全球环境下，我国经济发展正面临来自发达国家和发展中国家的双重压力。我国经济进入新常态，结构性矛盾突出，改革攻坚期到来，须解放和发展生产力，提高供给质量和效率，加快创新驱动转型。为此，政府提出以新一代信息技术与制造业深度融合为主线，推进智能制造，通过工业互联网实现制造过程智能化，发展智能制造装备和产品，这也是“中国制造2025”的目标提出背景——将信息化与工业化深度融合，打造工业互联网，以实现高质量发展，并将工业作为经济主体和现代化的支柱。

2.1.2 工业企业数据的关键特点

工业数据是在生产和操作的工业过程中生成的多种类型的数据。这些数据大致可以被分类为关于生产、操作、环境、物流和能源的数据，往往具有以下特征：大量、高速、多样、高价值密度、持久性以及与特定环境相关的特性，在改善制造流程、提高产品质量、减少能源消耗和降低成本等方面扮演着关键角色。

2.1.3 国家数据安全法规与标准框架

在信息技术飞速发展的当代，数据安全已上升为国家级的战略要点。我国相继颁布《网络安全法》《数据安全法》以及《个人信息保护法》等法律文本，从而确立数据安全的原则、责任归属、监督管理以及违法的处罚机制。为确保这些法规的有效执行，国家发布多项信息安全相关标准。

截至2024年3月2日，以“安全”为关键词在全国标准信息公共服务平台中查询，共计2453项现行国家标准，以“数据安全”为关键词查询，共计17项现行国家标准。其中，由全国信息安全标准化技术委员会提出的数据管理能力成熟度评估（DCMM） 和数据安全成熟度模型（DSMM） 为企业数据安全成熟度评估与管理能力提升提供了科学参考。为对数据安全开展体系性全面性的管理，从企业经营需要出发，本文选用数据安全能力成熟度模型（DSMM） 作为理论依据框架，助力企业建立健全数据安全体系，提高整体运营安全性。

2.2 理论基础

数据安全能力成熟度模型（DSMM） 是依据国家标准GB/T 37988-2019《信息安全技术 数据安全能力成熟度模型》建立的标准模型，该标准体系性地从管理视角和最终结果视角描述了数据安全能力建设的关键要素和重要维度，旨在从组织建设、制度流程、技术工具、人员能力四个方面去评估和改进其数据安全能力。其中组织建设涉及数据安全治理结构的构建，包括组织架构的设计、职责的明确分配以及内部沟通与协作机制的建立。制度流程包括制定并执行关键数据安全领域的政策规范和操作流程，确保制度的有效落实。技术工具通过采用先进的技术手段和工具产品，将安全措施固化于系统之中或实现安全工作流程的自动化。人员能力强调提升从事数据安全工作人员的安全意识和专业技能，确保其能够有效地执行数据安全相关工作。数据安全能力成熟度模型，如图1所示。

除数据安全能力维度外，模型还从能力成熟度等级、数据安全过程维度分别给出了评估方式及维度，考虑到本文探讨的是工业企业数据安全能力体系建设框架，因此，仅选取安全能力维度作为探讨和分析的主要维度，开展相关研究。

2.3 框架概述

本文结合工业企业的数据安全需求和特性，以工业服务层、平台层、边缘层和工业现场中的数据流转为着眼点，沿用DSMM的组织建设、技术工具、制度流程、人员能力四大方面提出安全能力体系搭建的管理框架，旨在指导管理部门和平台运营者开展企业数据安全管理，实现数据安全治理的持续优化和合规性。工业企业数据安全能力体系框架，如图2所示。

2.3.1 组织建设

重要数据的处理者，应当明确数据安全负责人，成立数据安全管理机构。领导者是提升企业安全防护水平的先行者和表率，因此，构建统筹有力的数据安全组织机构，决策层作为安全领导小组的第一责任人，配备一支完整规范的数据安全团队，同时定期接受相关安全警示培训是提升企业安全管理水平的一大举措。其中，数据安全团队应包括但不限于安全主管，安全监测、审核、监督员和安全咨询专家。此外，为确保数据安全措施与企业发展需求与战略相吻合，应设立专兼职安全业务团队，聘请专职数据安全人员，同时培养业务人员的数据安全意识，使其能在日常工作中关注数据安全，并与数据安全团队合作，促进数据安全工作的持续、系统和稳健进行。工业企业数据安全组织机构，如图3所示。

2.3.2 制度流程

数据处理机构应遵循相关法律法规和国家标准的强制性要求，构建完善的数据安全管理和技术保护体系。如图4所示，工业企业可以针对行业特点，从数据安全战略、数据全生命周期安全制度以及基础安全制度三个层面，分级制定文件清单，建立并执行有效的数据安全管理体系，确保数据安全管理工作得以有效实施。

2.3.3 技术工具

首先，搭建完善全面的技术工具顶层框架。技术工具是数据安全体系构建的核心抓手，鉴于工业互联网实现了设备、工厂、人员和产品的全面互联，其安全防护体系的建设必须采取一个宏观的视角，确保各个层面都配备了相应的安全防护措施。这包括结合入侵检测和其他安全技术，以及安全管理实践，以实现边界防护、协议分析等功能。这些措施共同构成一个完整的工业互联网安全防护闭环，涵盖了监测、报警、处置、溯源、恢复和检查等关键环节。

其次，构建数据全生命周期的安全防护能力，在工业行业平台应用中，企业有必要建立从数据采集到销毁的数据全生命周期安全管理一体化平台。此外，还需要重视常态化的数据安全运营，确保数据处理者能够持续监控和管理数据安全风险。特别是对于处理重要数据或计划在海外上市的企业，每年至少进行一次数据安全评估，以及时发现和修复潜在的安全漏洞，保障数据的安全性和完整性。工业企业平台数据安全核心防护能力概览图，如图5所示。

最后，注重技术工具的前瞻性。在工业互联网背景下，区块链技术的应用正日益受到关注。区块链通过建立去中心化的信任机制，能增强数据安全性，降低交易成本，加速交易过程，并提高供应链的效率，有效提升对工业企业大数据、工业产品交易全过程的监管能力。因此，加大区块链技术的研究和应用探索，对于促进工业互联网的发展具有重要意义。

2.3.4 人员能力

当前，我国人才培养体系正朝着T型结构的方向发展，即要求人才具备广泛的基础知识和深入的专业技能，然而这种培养模式通常导致人才应用领域过于单一。随着工业互联网的兴起，数据安全挑战变得更加复杂，对安全专业人才的基础能力、跨专业能力以及业务知识储备提出了更高要求。为迎接这一挑战，企业可以通过建立实训基地、举办攻防竞赛以及利用网络平台等方式，开展工业互联数据安全防护演练活动和安全大赛，有效培养真正具备实战能力的复合型安全人才。同时，推进人才培养做深做实，有效落实《网络数据安全管理条例（征求意见稿）》中对数据处理者、全体技术和管理人员数据安全培训的时长要求。

3 未来展望

加强数据安全保障是新型工业化发展绕不过的坎，是推进新型工业化行稳致远的基础和前提。2025年即是“中国制造2025”收官之年，工业企业在追求经济效益的同时，必须充分认识到数据安全体系搭建的重要性。本文基于对工业行业数据安全能力建设的深入研究，提出了一套全面的数据安全能力框架，并探讨了有效构建和增强企业数据安全能力的途径。展望未来，将进一步深化数据安全领域的实践案例研究，助力工业数据安全保障体系建成。

参考文献

[1] 中国二重纪检监察网.中国装备制造业大而不强全球需求调整倒逼转型[J].大型铸锻件，2014（3）：33.

[2] 徐延发.区块链技术在工业互联网安全防护中的应用[J].网络安全技术与应用，2023（8）：96-98.

【通联编辑：朱宝贵】