工業(yè)數(shù)據(jù)是現(xiàn)代工業(yè)信息化的核心，任何一家工業(yè)企業(yè)的日常生產(chǎn)運(yùn)營都對(duì)工業(yè)數(shù)據(jù)有著高度的依賴性。對(duì)于工業(yè)企業(yè)來說，諸如生產(chǎn)工藝參數(shù)、設(shè)備配置文件、設(shè)備運(yùn)行數(shù)據(jù)、生產(chǎn)數(shù)據(jù)、控制指令等工業(yè)數(shù)據(jù)是影響企業(yè)生產(chǎn)活動(dòng)的關(guān)鍵業(yè)務(wù)數(shù)據(jù)，這些數(shù)據(jù)的安全性直接關(guān)系到企業(yè)生產(chǎn)線的穩(wěn)定運(yùn)行，數(shù)據(jù)的篡改、丟失或錯(cuò)誤都可能造成整條生產(chǎn)線的停產(chǎn)，直接影響企業(yè)生產(chǎn)計(jì)劃的實(shí)施，進(jìn)而損害企業(yè)的經(jīng)營效益。而對(duì)于電力、軍工、核能、水務(wù)等一些關(guān)系國計(jì)民生的關(guān)鍵企業(yè)，工業(yè)數(shù)據(jù)的泄露甚至?xí)绊憞野踩?/p>

企業(yè)對(duì)于靜態(tài)存儲(chǔ)的重要工業(yè)數(shù)據(jù)進(jìn)行加密存儲(chǔ)或隔離保護(hù)，設(shè)置訪問控制功能，確保靜態(tài)存儲(chǔ)的重要工業(yè)數(shù)據(jù)不被非法訪問、刪除或修改。靜態(tài)存儲(chǔ)的重要工業(yè)數(shù)據(jù)的使用應(yīng)經(jīng)過嚴(yán)格的審批流程，依據(jù)相應(yīng)權(quán)限進(jìn)行訪問控制，并保留審批記錄。

對(duì)動(dòng)態(tài)傳輸?shù)闹匾I(yè)數(shù)據(jù)， 企業(yè)應(yīng)采用加密傳輸或使用VPN等方式進(jìn)行保護(hù)，確保動(dòng)態(tài)傳輸過程中重要工業(yè)數(shù)據(jù)的安全性。此外，定期開展風(fēng)險(xiǎn)評(píng)估，對(duì)數(shù)據(jù)的安全狀況進(jìn)行評(píng)估分析，查找存在的安全漏洞和隱患，根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果以及數(shù)據(jù)的重要性進(jìn)行數(shù)據(jù)分類分級(jí)，以此為基礎(chǔ)建立和完善數(shù)據(jù)信息管理目錄及配套管理制度。

關(guān)鍵業(yè)務(wù)數(shù)據(jù)是指對(duì)企業(yè)生產(chǎn)活動(dòng)的正常開展具有直接影響的業(yè)務(wù)數(shù)據(jù)，如工藝參數(shù)、配置文件、設(shè)備運(yùn)行數(shù)據(jù)、生產(chǎn)數(shù)據(jù)、控制指令等。關(guān)鍵業(yè)務(wù)數(shù)據(jù)是對(duì)工業(yè)生產(chǎn)環(huán)節(jié)進(jìn)行分析和管理的重要依據(jù)，同時(shí)也是審計(jì)和合規(guī)性檢查的主要對(duì)象，應(yīng)定期進(jìn)行備份。

應(yīng)合生產(chǎn)過程的具體需要，確定數(shù)據(jù)的備份頻率和周期。備份方式可采用全備份、增量備份等方式。建立數(shù)據(jù)備份機(jī)制，對(duì)備份活動(dòng)應(yīng)進(jìn)行詳細(xì)的記錄，并保留電子版或紙質(zhì)版?zhèn)浞萦涗洝?u>測試數(shù)據(jù)主要包括安全評(píng)估數(shù)據(jù)、現(xiàn)場組態(tài)開發(fā)數(shù)據(jù)、系統(tǒng)聯(lián)調(diào)數(shù)據(jù)、現(xiàn)場變更測試數(shù)據(jù)、應(yīng)急演練數(shù)據(jù)等。

對(duì)所有測試數(shù)據(jù)應(yīng)做好權(quán)限管理，應(yīng)根據(jù)權(quán)限確定數(shù)據(jù)分發(fā)范圍，接觸測試數(shù)據(jù)的人員應(yīng)簽訂保密協(xié)議，對(duì)生成的測試數(shù)據(jù)應(yīng)及時(shí)回收并處理，避免測試數(shù)據(jù)泄露和外傳。工業(yè)企業(yè)應(yīng)結(jié)合風(fēng)險(xiǎn)評(píng)估結(jié)果，根據(jù)現(xiàn)有保密辦法或數(shù)據(jù)安全管理規(guī)定等，對(duì)數(shù)據(jù)進(jìn)行分級(jí)分類管理。并依據(jù)分級(jí)分類建立重要數(shù)據(jù)管理目錄，定期對(duì)重要數(shù)據(jù)進(jìn)行備份。

按數(shù)據(jù)的存儲(chǔ)位置分為服務(wù)器端數(shù)據(jù)、操作員站數(shù)據(jù)、移動(dòng)終端數(shù)據(jù)、控制器數(shù)據(jù)等。按數(shù)據(jù)格式可將數(shù)據(jù)分為數(shù)據(jù)庫、office文檔、圖片、設(shè)計(jì)圖紙、源代碼、純文本指令文件等。按數(shù)據(jù)的操作方式可將數(shù)據(jù)分為在線生產(chǎn)數(shù)據(jù)和離線生產(chǎn)數(shù)據(jù)。在線生產(chǎn)數(shù)據(jù)包括工業(yè)控制系統(tǒng)的生產(chǎn)數(shù)據(jù)和在線生產(chǎn)辦公數(shù)據(jù)，離線生產(chǎn)包括系統(tǒng)導(dǎo)出數(shù)據(jù)和工控主機(jī)終端建立的文檔數(shù)據(jù)等。

部署VPN對(duì)數(shù)據(jù)傳輸通道進(jìn)行加密，或者直接在應(yīng)用系統(tǒng)對(duì)數(shù)據(jù)進(jìn)行加密?？赏ㄟ^部署數(shù)據(jù)防泄密系統(tǒng)(DLP) 對(duì)重要數(shù)據(jù)進(jìn)行加密存儲(chǔ)，或采用安全U盤限制重要數(shù)據(jù)的拷貝和傳輸。數(shù)據(jù)防泄密系統(tǒng)的部署示意圖下：

在部署數(shù)據(jù)防泄密系統(tǒng)之前，工業(yè)企業(yè)應(yīng)界定敏感信息的范圍，并明確需要監(jiān)控的敏感信息被泄密渠道，如U盤拷貝、打印等文件操作行為，以及文件外發(fā)、遠(yuǎn)程連接等網(wǎng)絡(luò)行為。同時(shí)，綜合考慮工業(yè)控制系統(tǒng)數(shù)據(jù)保密性和設(shè)備可用性的重要性等級(jí)，來選擇滿足企業(yè)業(yè)務(wù)需求的數(shù)據(jù)防泄密系統(tǒng)。

通常有兩類數(shù)據(jù)防泄密系統(tǒng)，一是終端數(shù)據(jù)防泄密系統(tǒng)，二是網(wǎng)絡(luò)數(shù)據(jù)防泄密系統(tǒng)。一般夾終端數(shù)據(jù)防泄密系統(tǒng)直接安裝在操作員站、工程師站等工業(yè)主機(jī)上，其優(yōu)點(diǎn)是可以控制通過U盤、打印機(jī)等渠道的各種泄密行為，不足之處在于可能會(huì)與組態(tài)軟件、防病毒軟件沖突。網(wǎng)絡(luò)數(shù)據(jù)防泄密系統(tǒng)一般是旁路部署在網(wǎng)絡(luò)核心節(jié)點(diǎn)，對(duì)工業(yè)主機(jī)終端設(shè)備性能不造成影響，其缺點(diǎn)是無法檢測到未通過網(wǎng)絡(luò)的泄密數(shù)據(jù)。