知难才能行易：助力工业领域数据安全能力提升的绿盟智慧

本着标准先行的理念，工信部自2020年以来依据《网络安全法》《数据安全法》《个人信息保护法》和新型工业化要求等，制定和发行多项数据安全相关的政策文件，使工业领域数据安全有法可依、有章可循。

《实施方案》明确提出，到2026年底，我国工业领域数据安全体系基本建立，明确了指导思想、基本原则和总体目标。围绕提升工业企业数据保护、数据安全监管、数据安全产业支撑三类能力，提出11项任务：提升工业企业数据保护能力，任务包括：增强安全意识、开展重要数据保护、强化重点企业管理、深化重点场景保护4项；提升数据安全监管能力，任务包括：完善政策标准、加强风险防控、推进技术手段建设、锻造监管执法能力4项；提升数据安全产业支撑能力，任务包括：加大技术产品和服务供给、促进应用推广和供需对接、健全人才培养体系3项。

• 基本实现各工业行业规上企业数据安全要求宣贯全覆盖。

• 开展数据分类分级保护的企业超 4.5 万家，至少覆盖年营收在各省（区、市）行业排名前 10%的规上工业企业。

• 立项研制数据安全国家、行业、团体等标准规范不少于 100 项。

• 遴选数据安全典型案例不少于 200 个，覆盖行业不少于 10 个。

• 数据安全培训覆盖 3 万人次，培养工业数据安全人才超 5000 人。

可见，在工业数据安全能力提升过程中，数据安全影响涉及范围广。工业数据打破了传统工业时期相对封闭可信的环境，安全攻击可直达一线。网络设备的爆发式增加和工业互联网的广泛应用，使网络攻击面持续扩大。数据安全事件造成影响大。工业数据涉及制造业、能源等实体经济领域，一旦发生安全攻击、破坏行为、数据泄露，安全事件影响严重，重则影响国家安全。数据安全防护能力基础弱。目前我国广大工业企业数据安全意识、数据保护能力仍然薄弱，整体安全保障能力有待进一步提升。

落地过程中，必须警惕工业数据安全建设的陷阱：

数据安全与网络安全质的区别在于，数据安全所有的响应动作均是基于数据内容的扫描识别，不同安全等级的数据，给予不同的安全管控动作，不能片面地依靠简单的设备堆叠解决工业数据安全的问题。

在规划、建设和运行中，割裂整体安全的框架，无法从设施安全、数据安全、内容安全、行为安全、智能安全的完整的数字安全屏障维度统筹建设。

在数据安全能力建设时，只关注边界安全，而没有充分考虑云管边端智等多维度的安全。

制度停留在了纸上、系统部署好之后策略没有迭代更新，没有把数据安全能力作用于新型工业化建设的全过程。

一直以来，绿盟科技持续关注工业领域信息安全的整体进度，立足强大的研发能力，在工业领域网络安全、工控安全、数据安全等维度持续实践，积累了大量的经验。特别是2020年以来，多次与地方工信部门、工研院合作，推进工业领域数据安全建设工作，取得了多项成果。总结形成了完整的工业数据安全建设方案：

工业数据安全能力的提升，必须结合工业企业现有的业务实际、管理实际、数据实际，对标法律法规和工业数据安全相关要求规范。数据安全咨询评估就为工业数据安全整体方案的规划提供良好的基础依据，包括工业数据安全组织架构的完善、管理制度流程的形成、数据分类分级等，以及数据安全风险评估、个人信息安全影响评估等。

通过咨询评估等服务，明确工业企业数据安全现状，梳理数据安全对标依据，完善相应的组织架构、制度流程等软实力后，形成完整的工业数据安全体系建设规划。体系化规划、场景化落地，由点到面、由简到难、由边沿到中心，逐步建成工业数据安全的管理体系、技术体系、运营体系。

工业数据安全能力的价值，在于为业务赋能，为数据要素场景化创新应用、数据价值挖掘变现等提供安全保障。在实践中，我们注意到数据安全运营、网络安全运营、工控安全运营等，多头管理、多平台和多体系运营，给工业企业的信息安全管理工作质效造成了极大的困扰。提出了数网融合、统一运营的理念。包括工业企业的物理安全、终端安全、网络安全、系统安全、应用安全和数据安全，形成覆盖事前、事中、事后的统一运营方案。

工业领域是我国数字经济的主阵地，工业4.0时代，工业数据的重要性不言而喻，工业数据的资源化、资产化、资本化需要以安全为基础。绿盟科技深耕网络安全、工控安全、数据安全多年，在工业领域积累了深厚的服务能力、产品能力和运营能力，以及监管能力。在工业数据安全实践过程中，勇于创新，以期为我国工业数据安全能力建设贡献更大的力量。