工业数据将是现代工业控制系统的核心

工业数据是现代工业信息化的核心，任何一家工业企业的日常生产运营都对工业数据有着高度的依赖性。对于工业企业来说，诸如生产工艺参数、设备配置文件、设备运行数据、生产数据、控制指令等工业数据是影响企业生产活动的关键业务数据，这些数据的安全性直接关系到企业生产线的稳定运行，数据的篡改、丢失或错误都可能造成整条生产线的停产，直接影响企业生产计划的实施，进而损害企业的经营效益。而对于电力、军工、核能、水务等一些关系国计民生的关键企业，工业数据的泄露甚至会影响国家安全。

企业对于静态存储的重要工业数据进行加密存储或隔离保护，设置访问控制功能，确保静态存储的重要工业数据不被非法访问、删除或修改。静态存储的重要工业数据的使用应经过严格的审批流程，依据相应权限进行访问控制，并保留审批记录。

对动态传输的重要工业数据， 企业应采用加密传输或使用VPN等方式进行保护，确保动态传输过程中重要工业数据的安全性。此外，定期开展风险评估，对数据的安全状况进行评估分析，查找存在的安全漏洞和隐患，根据风险评估结果以及数据的重要性进行数据分类分级，以此为基础建立和完善数据信息管理目录及配套管理制度。

关键业务数据是指对企业生产活动的正常开展具有直接影响的业务数据，如工艺参数、配置文件、设备运行数据、生产数据、控制指令等。关键业务数据是对工业生产环节进行分析和管理的重要依据，同时也是审计和合规性检查的主要对象，应定期进行备份。

应合生产过程的具体需要，确定数据的备份频率和周期。备份方式可采用全备份、增量备份等方式。建立数据备份机制，对备份活动应进行详细的记录，并保留电子版或纸质版备份记录。测试数据主要包括安全评估数据、现场组态开发数据、系统联调数据、现场变更测试数据、应急演练数据等。

对所有测试数据应做好权限管理，应根据权限确定数据分发范围，接触测试数据的人员应签订保密协议，对生成的测试数据应及时回收并处理，避免测试数据泄露和外传。工业企业应结合风险评估结果，根据现有保密办法或数据安全管理规定等，对数据进行分级分类管理。并依据分级分类建立重要数据管理目录，定期对重要数据进行备份。

按数据的存储位置分为服务器端数据、操作员站数据、移动终端数据、控制器数据等。按数据格式可将数据分为数据库、office文档、图片、设计图纸、源代码、纯文本指令文件等。按数据的操作方式可将数据分为在线生产数据和离线生产数据。在线生产数据包括工业控制系统的生产数据和在线生产办公数据，离线生产包括系统导出数据和工控主机终端建立的文档数据等。

部署VPN对数据传输通道进行加密，或者直接在应用系统对数据进行加密。可通过部署数据防泄密系统(DLP) 对重要数据进行加密存储，或采用安全U盘限制重要数据的拷贝和传输。数据防泄密系统的部署示意图下：

在部署数据防泄密系统之前，工业企业应界定敏感信息的范围，并明确需要监控的敏感信息被泄密渠道，如U盘拷贝、打印等文件操作行为，以及文件外发、远程连接等网络行为。同时，综合考虑工业控制系统数据保密性和设备可用性的重要性等级，来选择满足企业业务需求的数据防泄密系统。

通常有两类数据防泄密系统，一是终端数据防泄密系统，二是网络数据防泄密系统。一般夹终端数据防泄密系统直接安装在操作员站、工程师站等工业主机上，其优点是可以控制通过U盘、打印机等渠道的各种泄密行为，不足之处在于可能会与组态软件、防病毒软件冲突。网络数据防泄密系统一般是旁路部署在网络核心节点，对工业主机终端设备性能不造成影响，其缺点是无法检测到未通过网络的泄密数据。