数据安全，护航钢铁产业高质量发展

 　　四周热浪阵阵，火红的铁水在罐内翻滚，在中天钢铁第三炼钢厂钢坯轧制车间内，不需要靠近1000摄氏度的高温，主操工只需坐在主控室内敲打键盘，就能完成初轧、精轧、打包等流程。工作效率与环境双提升，背后不仅有数字化改造的推动，更有以数据安全管控将风险隔离在外的技术高墙。

　　降低风险，打造数据安全管控平台

　　冷成型用钢、结构用钢、汽车结构用钢、耐腐蚀结构用钢、焊接气瓶用钢、石油天然气输送管用钢、直缝焊套管用钢、锅炉结构钢、花纹板，能够生产出9大系列共56个产品的上海梅山钢铁股份有限公司（下称梅钢），目前通过实施高炉、炼钢、热轧三大技改项目，已具备年产850万吨钢的生产能力，拥有钢铁行业典型的应用场景。其数据安全体系的建设实施，在工业领域具备典型代表性。

　　据悉，梅钢制造管理系统、铁区L3系统、炼钢L3 系统等均部署在大数据平台，在网络安全、边界安全方面由大数据平台提供防护能力，也设置对应管理组织，具备一定的保障能力。梅钢企划部信息规划经理陈宗仁告诉记者，为了强化落实数据安全法和《工业领域数据安全管理办法》，梅钢全面梳理了公司业务现状和数据应用场景，联合江苏省信息安全测评中心，从组织、管理、技术、运营等维度，结合数据全生命周期对工业数据安全进行详细评估。

　　针对存在的数据安全风险，梅钢积极建设工业数据安全管控平台，根据总体业务框架进行部署实施。“该平台的核心功能有数据资产梳理及分类分级、工业数据安全防护、数据库和工控协议深度支持。”陈宗仁介绍，平台能够通过自动发现技术，静态或动态梳理数据资产，有效地实现数据资产、敏感数据资产、核心重要数据资产地图测绘。通过实施数据安全管控平台、工业数据防火墙、工业数据库审计、工业数据脱敏、数据加密、漏洞扫描等产品单元，为数据全生命周期提供防护技术手段。此外，平台的数据安全技术体系创新性地采用了工业数据库审计、数据库防火墙、数据脱敏、数据水印、数据安全态势感知产品来实现数据安全技防。

　　建设系统，提升数据资源管理能力

　　据了解，目前我国是全世界唯一拥有联合国产业分类中所列全部工业门类41个工业大类、207 个工业中类、666个工业小类的国家，但细分行业仍缺乏有效指导企业开展重要数据和核心数据识别及分类分级的指导规范，钢铁行业亦是如此。近年来，中天钢铁集团有限公司不断摸索并加大网络安全投入，投入300 多万元用于开展信息安全风险评估、网络安全等级保护测评、工业互联网安全生态运营平台建设，进一步夯实企业信息安全技术防护水平。

　　“中天钢铁已全面构建起集信息数据安全、物理环境边界安全、设备运行安全于一体的数字化综合安全防护平台。但目前仍面临数据资源管理难度大、安全风险不自知等问题。”中天钢铁信息安全技术总监占向阳表示，为满足企业自身运营要求，集团围绕数据分类分级、合规检查、风险评估进行数据安全建设工作，建设了一套数据安全分类分级与风险合规系统，重点打造数据源统一管理、数据分类分级、安全合规检查、安全风险评估等能力。

　　目前，数据安全、隐私保护已成为中天钢铁安全能力建设的重要环节。“中天钢铁内部网络环境、数据存储架构复杂，数据隐私保护依赖数据发现、管理、分类等多环节的技术支撑。多部门数据协作共享，须通过数据的关联、聚合分析才能更合理地发现隐私泄露隐患。”占向阳表示， 应对这些挑战需要专业的、自动化的管理流程和技术方案的支持，数据安全分类分级与风险合规系统的建设让企业杂乱的数据变得清晰可视，帮助梳理资产，为后续数据安全防护提供基础和依据。

　　对症下药，开展常态化保护工作

　　宽敞明亮的工作间内，技术人员坐在显示屏前，仔细观察着屏幕上跳动的数字，对数据安全风险进行评估。工作人员向记者演示了数据分类分级平台，根据分类分级的标准进行快速识别，对数据进行分类分级标记，形成分类分级结果清单。通过数据安全综合治理平台的总效果图可以看到，平台正以全网数据资产安全为核心，收集各能力单元日志信息，智能分析、统一展示全网数据资产安全态势、风险态势、脆弱性态势、健康态势等，形成全网数据安全联控联防、合成作战的目标。

　　据Verizon发布的《2021年数据泄露调查报告》统计，2021年全球数据泄露事件多达3950起，同比增长96%，受影响行业排名前三依次为医疗保障、金融保险和制造业。“随着集团信息化建设的逐步完善，组织内数据资源越来越庞大，组织开展数据分类分级工作以人工方式为主，缺少对重要数据和核心数据进行自动识别的工具，无法满足组织内数据日益增长的需求，可能会造成数据资源管理不到位、数据资源无法充分利用、数据泄露等安全风险。 ”占向阳告诉记者。

　　当然，面临数据安全对于企业来说并不是个例。“公司目前仍然存在网络传输、网络边界的安全风险，自动化管控平台和工具支撑不足，导致数据安全无法做到精准可视、安全可控。此外，应用数据安全体系规划不足，企业及所属行业没有完善的数据安全管理组织体系，缺乏专门负责推动开展数据安全治理的团队。”对后续开展常态化网络与数据安全防护管理工作，陈宗仁表示，要持续优化组织体系和管理体系，并设置数据安全运营的量化指标，形成定期数据安全运营报告。通过数据安全技术手段，对数据采集、使用、存储、交换全生命进行监控、审计、防护，及时发现风险，提高数据资产的安全性。建立精准的数据安全保护策略，提高数据安全管理能力 。