经过多个行业客户现场数据安全风险评估总结，我们发现工业企业在数据安全现状方面存在以下三个特点：

1.工业网络结构复杂

一方面，工业网络层级多，通常包括现场层、控制层、监控层和管理层等多个层级。每个层级都有其特定的功能和数据传输需求，层级之间的通信和数据交换也增加了网络结构的复杂性。另一方面，工业网络结构类型多，如现场总线、工业以太网、无线网络等。这些网络相互交织，形成了复杂的网络拓扑结构。不同类型的网络在传输速度、覆盖范围、可靠性等方面均存在差异，极大程度上增加了网络管理的难度。同时这些设备可能来自不同的制造商，具有不同的通信协议和数据格式，增加了数据安全建设工作时网络兼容性和互操作性的挑战，难以实施有效的整体安全防护。

2.工业数据来源多样

工业数据种类繁多、数量庞大、涉及范围广，其主要来源于工业现场的传感器、可编程控制器、数控机床、仪器仪表和专用设备，以及企业经营、财务、供应链的数据。这些数据面临来源分散、环境恶劣、流转途径多样、业务场景复杂、处理环节粗放相关问题，这导致工业数据在实时性、时序性、稳定性、连续性、结构化等方面存在较大差异。倘若在这些数据在采集、传输、存储等环节缺少必要的防护，则会大大增加被不法分子利用、攻击的风险。

3.工业企业数据安全建设工作无从下手

近年来，在各方政府组织的大力推动下，我国工业企业网络安全建设工作取得一定成效。但是数据安全意识仍较为薄弱，对数据安全保护缺乏全面认识，整体上来看，数据安全建设工作推进缓慢。主要原因包括，一方面，企业在数据安全建设方面投入还比较低，保护能力尚处在初步建设阶段。另一方面，工业数据安全管理相关技术和专业人员缺乏，数据安全管理体系的积累较少，也难以实现工业数据安全的有效防护。

工业企业的数据来源于生产制造、研发设计、供应链采购、销售管理、人事行政、财务等多个部门，不仅数据交互频繁，且数据量巨大，数据安全风险贯穿于数据的采集、传输、存储、使用和销毁等各个阶段，从工业数据的全生命周期来看，具体可存在的风险如下：

1.数据采集环节

数据采集是数据生命周期的第一步，也是最基础的环节。核心业务系统的数据来源多样，包含了各类智能设备、可编程控制器、分布式控制系统等采集的工业现场数据，销售、库存、采购等企业内部产生的各种业务数据及行业数据、政府数据等其他外部数据。由于数据来源的多样性，难以实施有效的整体防护，数据采集环节所面临的最主要风险是数据污染与数据篡改，如果数据采集的安全环境无法保障，后面的所有安全防护措施都将失去意义。

2.数据传输环节

数据传输过程通常指从数据采集层向数据应用层传输的过程。这个过程普遍依赖互联网传输协议，但由于工业数据实时性强，传统的加密传输技术已无法满足安全需求，因此数据传输过程中存在着数据泄露、被窃听或篡改的多重风险。未加密的网络传输、中间人攻击等都可能导致数据被窃听或篡改。

3.数据存储环节

数据存储是数据生命周期的一个重要环节，数据存储面临着多种数据安全风险。例如，数据存储介质的不当使用引起的数据泄露风险，不完善的认证鉴权、日志管理、访问控制制度引发的逻辑存储安全风险，数据库系统崩溃未及时进行备份与恢复引发的安全风险等。

4.数据使用和处理环节

数据的使用和加工处理是数据生命周期的核心环节，但是数据使用和加工过程中也存在着敏感数据被误用或泄露的风险。员工滥用权限、未经授权的数据访问等都可能导致敏感数据的误用或泄露。

5.数据交换和共享环节

数据交换指的是不同系统、应用程序、组织或者个人之间进行数据的共享和传递。但是数据交换过程中也存在着数据被滥用或泄露的风险。不当的数据发布、未经授权的第三方访问、数据共享协议违规等都可能导致数据的滥用或泄露。

6.数据销毁环节

数据销毁是数据生命周期的最后一个环节，但是数据销毁过程中也存在着数据被恶意删除或恢复的风险。未完全销毁的数据备份、数据恢复工具的滥用等都可能导致数据的恶意删除或恢复。通常，对重要数据的销毁要进行合理性和必要性评估及会议评审，还要在销毁时进行监督管理，确保数据销毁符合要求。销毁时根据数据分类分级，结合业务和数据重要性，采用不同的数据销毁方法，比如覆写法、消磁法、删除、硬盘格式化、文件粉碎等。

在数据安全建设中，加强数据安全管理和数据安全技术两方面建设都至关重要，两者共同构成了数据安全防护的坚固屏障。针对上述总结的工业企业数据安全现状和数据安全问题，结合在工业企业数据安全建设中的实践经验，我们提出以下工业企业数据安全建设思路供企业参考。

1.以数据安全风险评估引导数据安全建设工作

数据安全风险评估是数据安全建设的重要组成部分，依据《工业和信息化领域数据安全管理办法》和《工业和信息化领域数据安全风险评估实施细则》等相关文件进行评估检查，可有效反映企业整体数据安全能力水平，评估结果可以作为企业完善数据安全运营管理制度、提升数据安全技术能力的依据。同时，通过数据安全评估，企业可以了解自身在数据安全方面的优势和不足，有针对性地制定和改进数据安全策略和措施，提高数据安全建设能力水平。

2.加强工业数据安全防护产品与新技术引入

安全技术是管理手段的具体实现和支撑。工业数据安全保护，应以企业自身的业务为基础，核心业务系统为主要阵地，围绕数据的全生命周期，加强工业数据安全防护产品与新技术引入，以实现数据的安全可视、可控、可管。具体可包括如下：

• 采用先进的数据加密技术。对敏感数据进行加密存储和传输，确保数据在传输过程中不被窃取或篡改。

  
  

• 采用数据脱敏与匿名化技术。对非必要公开的敏感数据进行脱敏或匿名化处理，降低数据泄露的风险。确保脱敏或匿名化处理后的数据仍能满足业务需求。

  
  

• 实施严格的访问控制。根据数据的敏感程度和业务需求，实施基于角色的访问控制或基于属性的访问控制。并定期对访问权限进行审查和更新，确保只有授权人员才能访问相关数据。

  
  

• 建立数据安全监测与预警系统。部署数据安全监测系统，实时监测数据的安全状态，及时发现潜在的安全威胁。设置预警阈值和报警机制，当监测到异常行为或潜在威胁时，及时发出预警信息。

  
  

• 加强数据备份与恢复能力。建立完善的数据备份机制，定期对重要数据进行备份。制定详细的数据恢复计划，确保在数据丢失或损坏时能够及时恢复业务运行。

3.建立完善的工业数据安全管理体系

建立完善的数据安全管理体系需要全面考虑数据相关的管理组织、管理制度、运行环境、监督检查和专业人员能力等多方面，并且需要不断更新和改进，以适应不断变化的数据安全威胁和需求。具体可包括如下：

• 确立数据安全目标。根据组织的业务需求和安全要求，明确数据安全建设的目标，如防止数据泄露、保护数据完整性等。

  
  

• 明确数据安全责任体系。明确各部门、各岗位在数据安全方面的责任和义务。设立数据安全责任人，负责监督数据安全措施的实施和效果评估。

  
  

• 建立完善的数据安全管理制度。制定涵盖数据分类分级、加密、访问控制、备份与恢复等方面的数据安全管理制度。确保制度内容符合相关法律法规和行业标准的要求。

  
  

• 落实数据分类分级管理工作。制定企业自身适用的分类分级指南及管理制度，通过科学的分类分级方法，识别和保护数据中的关键信息，确保数据安全可控。

  
  

• 加强数据安全审计和风险评估。定期对数据安全状况进行审计和风险评估，及时发现和处置潜在的安全威胁。根据审计和评估结果，调整和完善数据安全管理制度和措施。

  
  

• 开展数据安全培训。定期对员工进行数据安全培训，增强员工的安全意识、提高其操作技能。培训内容应包括数据安全政策、数据分类分级保护、数据泄露的防范措施等。

秉持“让数据更好用，让流通更高效，让安全更简单”的理念，威斯尼斯人wns2299cn深入企业数据安全建设实际需求场景，打造以“咨询筑底+技术赋能”的新模式，通过数据安全产品及服务能力，帮助企业应对内外部数据安全风险问题，提升数据安全防护能力。咨询为技术筑底，技术赋能运营，从根本上解决数据安全合规合法治理问题。

1.工业企业数据安全风险评估服务

长扬工业企业安全风险评估服务依据国家、行业等有关数据安全技术与管理标准，从风险管理的角度，对数据资产的重要程度进行分析，确定重点评估对象，识别评估对象所涉及的各类应用场景，评估数据资产在各应用场景面临的威胁及威胁利用脆弱性导致的安全事件的可能性，分析计算数据资产的风险值，并结合组织实际情况，给出合理化数据资产风险处置建议。提高数据安全工作的效率，降低数据安全工作的投入成本，实现企业数据安全工作降本增效。

2.工业企业数据分类分级服务

长扬工业企业数据分类分级服务以“咨询为主，工具为辅”的形式，通过盘点、梳理不同类型的数据，将数据划分至不同的安全级别，判断不同级别的数据适用的流动范围，从而配置差异化的安全策略，实现对数据的精细化保护，辅以自动化数据分类分级产品工具，通过“平台+服务”的一体化解决方案，打通业务、系统壁垒，优化组织数据管理生态，提升数据安全协同能力。为客户交付数据分类分级服务能够在数据安全治理中起到承上启下的“抓手”作用，为数据安全治理筑牢基础。 

3.数据安全全生命周期防护产品体系

威斯尼斯人wns2299cn拥有一套完整的数据安全产品体系及一个独立的数据安全技术研发团队，产品线覆盖数据全生命周期安全防护，既可解决数据库审计、主机防护/防勒索等单一场景需求，也有零信任访问控制系统为用户提供工业互联网场景下的零信任解决方案，同时面对用户数据资产管理、数据要素流通安全的需求，威斯尼斯人wns2299cn研发的数盾数据安全管控平台、数据资产安全管理平台帮助用户保障数字化应用场景的数据安全。

图：数据安全全生命周期防护产品体系

数盾数据安全管控平台：由数据访问控制系统、数据安全脱敏系统和数据加密存储系统等多个模块组成，采用“一套标准、一组策略、一个平台”的理念，让正确的人，基于合理的目的，采用合适的方式，访问已授权的数据。适用于工业企业BI数据分析和运维、DevOps开发测试、跨组织数据共享等多业务场景，持续保护数据流动与使用安全，助力企业的数字化转型与数据安全体系建设。

图：数据安全管控平台架构图

4.数据安全培训服务

威斯尼斯人wns2299cn以丰富的项目实践经验为基础，依托专业的数据安全技术能力，面向工业企业开展关于数据安全培训服务，帮助企业获取数据安全保护落实所需的基础知识与技能，培养具备处理各类数据安全问题、能够适应于组织数据安全保障需求的实践型人才。

图：威斯尼斯人wns2299cn数据安全培训课程体系

在数字中国战略下，数据作为新质生产力之新要素，在促进工业数据流通共享和开发利用的同时，伴随而来的数据安全风险形势日趋严峻。数据安全风险评估工作对工业领域各企业开展工业数据安全防护能力建设具有理清风险、引导规范的重要意义。未来，威斯尼斯人wns2299cn将持续发挥自身在工业互联网安全领域的优势和综合实力，积极投身于工业领域数据安全建设，不断创新推出高质量的产品、服务与综合解决方案，助力工业企业高质量发展，为完善数据要素开发利用生态奠基，为数字经济健康快速发展护航。

下一期文章为《工业领域数据安全风险评估政策解读连载—问答篇》，我们将在下期内容中给大家分享在开展工业领域数据安全风险评估实践工作中常见的问题总结，详情请锁定“威斯尼斯人wns2299cn”公众号。

更多精彩，敬请期待。