首頁 > 關于我們 > 新聞動態 > 深度解讀

啟明星辰針對工業領域數據安全提出務實建議

發布時間 2022-12-06

導語


隨著工業數據成為經濟社會發展的重要基礎性資源和生產要素,工業數據驅動的創新正成為新發展階段構建新發展格局和實現高質量發展的重要戰略議題,工業數據進入合理開發、高效運用的歷史性機遇期?!稊祿踩ā返膶嵤?、工業企業遭受的雙重勒索攻擊事件、針對數據跨境流動引發數據安全隱憂和國家安全風險評估審查,從法律法規要求、事件應急處置、企業運營合規審查操作不同層面快速推動對工業領域數據安全緊迫性的認知提升,面對如何保護工業數據安全這一關鍵問題,啟明星辰通過對20家工業企業調研數據進行分析,提出務實建議。


在工業領域,數據是貫穿工業互聯網的“血液”,是智改數轉、提質降本增效的關鍵核心要素,在工業生產可用性保證優先原則下,工業領域的數據安全防護工作開展也面臨著操作執行層面的巨大挑戰,包括:

生產數據相關系統資產臺賬不清、數據存儲調取過程復雜不清、數據的依賴關系重要性判斷不清等導致開展數據安全分類分級時比較困難;

在數據庫審計、日志分析等方面技術措施缺乏,存在事件處置分析、人員誤操作快速準確追蹤溯源能力不足的困擾;

安全法律法規、標準體系、行業政策多,安全建設要求項和技術措施復雜,如何確定建設重點和優先順序的困擾;

自建工業互聯網平臺有用戶數據授權使用、數據防泄露、審計、測試數據脫敏等困擾。

自2022年2月以來,啟明星辰緊緊圍繞國家工業和信息化部下發《關于做好工業領域數據安全管理試點工作的通知》,積極與15個試點省份試點工業企業對接溝通,支持推進工業領域數據安全分類分級工作,深入工業企業現場與用戶溝通,了解數據安全防護現狀和存在的問題與挑戰,在此將參與工業領域數據安全分類分級評估調研及支持情況做了統計和匯總,以供其他工業企業借鑒。

啟明星辰技術服務團隊在工業領域數據安全管理試點的前期調研階段,針對工業企業數據安全管理建設和工業數據全生命周期安全保護情況進行摸底。摸底過程采用統一評估表對數據安全管理建設情況分為9個大項共40個打分項,工業數據全生命周期安全保護情況分為10個大項共49個打分項,每個打分項可據實評估為“符合”、“部分符合”、“不符合”、“不適應”四種情況,并賦予相應的分數。

根據《工業企業數據安全防護要求(草案)》,將數據安全管理分為安全管理制度、組織機構、人員保障、權限管理、系統與設備安全管理、供應鏈數據安全管理、安全評估、日志留存和審計,監測預警、信息共享與應急處置10個方面進行評估考量。



抽樣20家工業企業調研數據進行分析,得出如下結論:


亟需加快落實工業企業數據安全管理組織及人員保障

從調研評估分析結果來看:多數工業企業的生產數據涉及多個部門,種類多、來源廣,摸清自身數據資產,理清數據類型、數據級別以及數據的重要程度,建立數據安全全流程管理工作機制,是企業高效安全生產的有力保障。通過總體建設度評估工業領域數據安全管理各個方面的整體建設情況,具體算法為“符合”占“適用”的比例(“適用”=“總計”-“不適用”),如圖1所示。


工業企業數據安全管理總體建設度


使用數據安全管理建設水平方差評估安全管理各個方面在不同工業企業建設情況的波動狀況,如圖2所示,具體使用每一個管理項下不同工業企業中“符合”的方差進行衡量。數據安全管理建設水平方差可以幫助我們了解安全管理的各個方面是在工業領域內建設水平一致還是隨企業的需求變化較大。


如圖2所示:“供應鏈數據安全管理”的方差較小,初步說明在工業領域該方面的建設水平較為持平,再結合圖1中“供應鏈數據安全管理”整體建設度較低,因此可以初步得出“供應鏈數據安全管理”在工業領域普遍建設水平不足的結論。


數據安全管理建設水平方差


圖2 數據安全管理建設水平方差


以工業企業當前現狀和需求為導向設計安全能力建設方案

根據《工業企業數據安全防護要求(草案)》,將工業數據分為“一般數據”“重要數據”和“核心數據”三類。從本次支持調研的企業情況看都不適用“核心數據”評估要求,故在此只對“一般數據”和“重要數據”進行分析。

數據全生命周期分為收集階段、存儲階段、使用階段、傳輸階段、提供階段、公開階段、銷毀階段、出境階段、轉移階段和委托階段。對不同級別的數據將分別展開這十個階段的安全能力建設。


數據全生命周期安全防護建設度


圖3 數據全生命周期安全防護建設度


根據20家工業企業的調研樣本制作其數據全生命周期各階段的安全能力評估方差圖如下圖所示。當前多數工業企業辦公網和生產網均存在數據全生命周期安全防護薄弱,缺少審計(日志審計和數據審計)、監測、加密、脫敏、水印等數據安全技術能力,也未定期開展數據安全風險評估,容易造成數據安全風險事件。同時,在調研過程中明確得知,個別工業企業曾出現過因防護措施不到位而被勒索攻擊的安全事件。因此在方差小的階段,建議工業企業更適合通用的安全能力建設方案,而在方差較大的階段應以企業的需求為導向設計安全能力建設方案。


數據全生命周期安全防護建設水平方差


圖4 數據全生命周期安全防護建設水平方差


期間,啟明星辰技術服務團隊針對工業企業客戶關心的研發設計數據、生產制造數據等的泄露風險,企業經營數據等的勒索風險,流通交易數據等的篡改風險及外部協同數據等的竊取風險等問題一一作答,提供了一企一策針對性的防護建議。

同時,我們也建議有類似現狀的工業企業可以先通過基礎性通用性網絡安全防護措施建設,以保證安全域具備相應等級安全防護能力保障生產網絡獲得初步防護能力,再按照等保三級通用要求和工控拓展要求逐步深化、細化安全防護能力措施落地:

通過對生產網中通訊協議的深度解析、威脅檢測、流量學習等,保證生產網絡中只有安全可信的流量;

通過對工業設備運維人員的統一認證、集中管理,實時阻斷違規、越權的訪問行為,控制運維風險;

通過主被動結合的手段,實時不間斷的采集分析工業網絡中各類設備和應用系統產生的海量日志信息,從而保障網絡、終端和應用系統安全機制的有效性;

對于進行了數據集成整合的企業,通過強化大數據安全管控治理平臺的方式進行集中式賬號、認證、權限、審計等管理舉措,減少數據安全建設復雜性,提升數據安全防護可擴展性。

工業互聯網平臺、工業企業云平臺面臨日益凸顯的數據安全問題

工業互聯網平臺在工業領域的應用實踐,一般由廠站側平臺、中心側平臺與集團側平臺共同組成,實現工業各類信息的采集、匯聚、分析與展示,滿足行業數字化、網絡化、智能化需求。隨著工業互聯網平臺數據安全保護對象的擴展和連接范圍的擴大,協議和數據類型的多樣性,安全事件的破壞更加嚴重,工業互聯網平臺的數據安全技術也將不斷完善。從20家工業企業的調研樣本來看,有7家工業企業的工業互聯網平臺/工業企業云平臺(公有云、私有云、混合云)一直受多租戶數據共享、數據安全傳輸等問題的困擾。

基于此,啟明星辰技術服務團隊從技術、服務、運營三大方面提出針對性建議,即工業領域數據安全建設的第一步是先做好需求調研與合規性分析,制定合適的數據防護思路,第二步是規范組織結構和制度流程,第三步做數據資產梳理以及分類分級,后續根據整體防護里面以身份、數據為中心,落實人員身份識別與權限管理,制定工業領域數據安全策略,實現工業領域數據安全安全態勢呈現。


工業領域數據安全管理試點落地建議


圖5 工業領域數據安全管理試點落地建議


作為較早開展工業互聯網安全研究的信息安全企業,啟明星辰致力于將數據安全能力與舉措融入工業場景中,爭取從工業企業問題解決角度更加有效和更具有針對性,目前已成為山東省、貴州省、海南省、湖南省等多個省份的工業領域數據安全支撐單位,并進入多省發布的工業領域數據安全優秀解決方案公示名單中。


數據安全能力全景圖


圖6 數據安全能力全景圖


此外,在數據安全領域,啟明星辰還推出面向數據的系統屬性、業務屬性、經濟屬性,全方位數據安全體系和能力戰略構建——數據綠洲,至今已形成較完整的數據安全產品體系。數據綠洲融入了集團獨特的場景化思維,以數據生命周期的保護為核心,圍繞數據的收集、存儲、使用、加工、傳輸、提供、公開等環節,構建賦能全場景的安全防護技術與能力體系,實現協同聯動的縱深策略。

啟明星辰將繼續憑借自身專業能力和技術優勢,圍繞工業企業實際生產業務,解決工業領域數據全生命過程中存在的實際安全問題,幫助工業企業有效提升數據安全保障能力,持續在工業領域數據安全方向進行探索與實踐,引領和推動工業領域數據安全市場可持續發展,為數字中國的穩定健康發展保駕護航。


上一篇 下一篇