工業(yè)數(shù)據(jù)是現(xiàn)代工業(yè)信息化的核心，任何一家工業(yè)企業(yè)的日常生產(chǎn)運營都對工業(yè)數(shù)據(jù)有著高度的依賴性。對于工業(yè)企業(yè)來說，諸如生產(chǎn)工藝參數(shù)、設備配置文件、設備運行數(shù)據(jù)、生產(chǎn)數(shù)據(jù)、控制指令等工業(yè)數(shù)據(jù)是影響企業(yè)生產(chǎn)活動的關鍵業(yè)務數(shù)據(jù)，這些數(shù)據(jù)的安全性直接關系到企業(yè)生產(chǎn)線的穩(wěn)定運行，數(shù)據(jù)的篡改、丟失或錯誤都可能造成整條生產(chǎn)線的停產(chǎn)，直接影響企業(yè)生產(chǎn)計劃的實施，進而損害企業(yè)的經(jīng)營效益。而對于電力、軍工、核能、水務等一些關系國計民生的關鍵企業(yè)，工業(yè)數(shù)據(jù)的泄露甚至會影響國家安全。

企業(yè)對于靜態(tài)存儲的重要工業(yè)數(shù)據(jù)進行加密存儲或隔離保護，設置訪問控制功能，確保靜態(tài)存儲的重要工業(yè)數(shù)據(jù)不被非法訪問、刪除或修改。靜態(tài)存儲的重要工業(yè)數(shù)據(jù)的使用應經(jīng)過嚴格的審批流程，依據(jù)相應權(quán)限進行訪問控制，并保留審批記錄。

對動態(tài)傳輸?shù)闹匾I(yè)數(shù)據(jù)， 企業(yè)應采用加密傳輸或使用VPN等方式進行保護，確保動態(tài)傳輸過程中重要工業(yè)數(shù)據(jù)的安全性。此外，定期開展風險評估，對數(shù)據(jù)的安全狀況進行評估分析，查找存在的安全漏洞和隱患，根據(jù)風險評估結(jié)果以及數(shù)據(jù)的重要性進行數(shù)據(jù)分類分級，以此為基礎建立和完善數(shù)據(jù)信息管理目錄及配套管理制度。

關鍵業(yè)務數(shù)據(jù)是指對企業(yè)生產(chǎn)活動的正常開展具有直接影響的業(yè)務數(shù)據(jù)，如工藝參數(shù)、配置文件、設備運行數(shù)據(jù)、生產(chǎn)數(shù)據(jù)、控制指令等。關鍵業(yè)務數(shù)據(jù)是對工業(yè)生產(chǎn)環(huán)節(jié)進行分析和管理的重要依據(jù)，同時也是審計和合規(guī)性檢查的主要對象，應定期進行備份。

應合生產(chǎn)過程的具體需要，確定數(shù)據(jù)的備份頻率和周期。備份方式可采用全備份、增量備份等方式。建立數(shù)據(jù)備份機制，對備份活動應進行詳細的記錄，并保留電子版或紙質(zhì)版?zhèn)浞萦涗洝?u>測試數(shù)據(jù)主要包括安全評估數(shù)據(jù)、現(xiàn)場組態(tài)開發(fā)數(shù)據(jù)、系統(tǒng)聯(lián)調(diào)數(shù)據(jù)、現(xiàn)場變更測試數(shù)據(jù)、應急演練數(shù)據(jù)等。

對所有測試數(shù)據(jù)應做好權(quán)限管理，應根據(jù)權(quán)限確定數(shù)據(jù)分發(fā)范圍，接觸測試數(shù)據(jù)的人員應簽訂保密協(xié)議，對生成的測試數(shù)據(jù)應及時回收并處理，避免測試數(shù)據(jù)泄露和外傳。工業(yè)企業(yè)應結(jié)合風險評估結(jié)果，根據(jù)現(xiàn)有保密辦法或數(shù)據(jù)安全管理規(guī)定等，對數(shù)據(jù)進行分級分類管理。并依據(jù)分級分類建立重要數(shù)據(jù)管理目錄，定期對重要數(shù)據(jù)進行備份。

按數(shù)據(jù)的存儲位置分為服務器端數(shù)據(jù)、操作員站數(shù)據(jù)、移動終端數(shù)據(jù)、控制器數(shù)據(jù)等。按數(shù)據(jù)格式可將數(shù)據(jù)分為數(shù)據(jù)庫、office文檔、圖片、設計圖紙、源代碼、純文本指令文件等。按數(shù)據(jù)的操作方式可將數(shù)據(jù)分為在線生產(chǎn)數(shù)據(jù)和離線生產(chǎn)數(shù)據(jù)。在線生產(chǎn)數(shù)據(jù)包括工業(yè)控制系統(tǒng)的生產(chǎn)數(shù)據(jù)和在線生產(chǎn)辦公數(shù)據(jù)，離線生產(chǎn)包括系統(tǒng)導出數(shù)據(jù)和工控主機終端建立的文檔數(shù)據(jù)等。

部署VPN對數(shù)據(jù)傳輸通道進行加密，或者直接在應用系統(tǒng)對數(shù)據(jù)進行加密?？赏ㄟ^部署數(shù)據(jù)防泄密系統(tǒng)(DLP) 對重要數(shù)據(jù)進行加密存儲，或采用安全U盤限制重要數(shù)據(jù)的拷貝和傳輸。數(shù)據(jù)防泄密系統(tǒng)的部署示意圖下：

在部署數(shù)據(jù)防泄密系統(tǒng)之前，工業(yè)企業(yè)應界定敏感信息的范圍，并明確需要監(jiān)控的敏感信息被泄密渠道，如U盤拷貝、打印等文件操作行為，以及文件外發(fā)、遠程連接等網(wǎng)絡行為。同時，綜合考慮工業(yè)控制系統(tǒng)數(shù)據(jù)保密性和設備可用性的重要性等級，來選擇滿足企業(yè)業(yè)務需求的數(shù)據(jù)防泄密系統(tǒng)。

通常有兩類數(shù)據(jù)防泄密系統(tǒng)，一是終端數(shù)據(jù)防泄密系統(tǒng)，二是網(wǎng)絡數(shù)據(jù)防泄密系統(tǒng)。一般夾終端數(shù)據(jù)防泄密系統(tǒng)直接安裝在操作員站、工程師站等工業(yè)主機上，其優(yōu)點是可以控制通過U盤、打印機等渠道的各種泄密行為，不足之處在于可能會與組態(tài)軟件、防病毒軟件沖突。網(wǎng)絡數(shù)據(jù)防泄密系統(tǒng)一般是旁路部署在網(wǎng)絡核心節(jié)點，對工業(yè)主機終端設備性能不造成影響，其缺點是無法檢測到未通過網(wǎng)絡的泄密數(shù)據(jù)。