首頁 > 關于我們 > 新聞動態 > 深度解讀

以場景化安全服務,助力工業領域數據安全能力提升

發布時間 2024-03-01
編者按:

工業領域數字化、網絡化、智能化加速提質升級,在促進工業領域數據流通共享和開發利用的同時,伴隨而來的大規模數據泄露、勒索攻擊等風險形勢日趨嚴峻。本文基于《工業領域數據安全能力提升實施方案(2024—2026年)》要求,結合行業數據安全與治理經驗,提出針對工業應用場景化的工業領域數據安全能力提升建設思路,助力工業企業快速提高數據安全治理能力,促進工業領域數據要素安全有序流動和價值釋放。


近日,工信部印發《工業領域數據安全能力提升實施方案(2024—2026年)》(以下簡稱《方案》),提出到2026年底,我國工業領域數據安全保障體系基本建立,數據安全保護意識普遍提高,重點企業數據安全主體責任落實到位,重點場景數據保護水平大幅提升,重大風險得到有效防控。


工業領域數據作為具有生產效益的數字要素,已成為工業新型化發展的關鍵。而隨著數據的采集、存儲、整合、呈現與使用、分析與應用、歸檔和銷毀各個階段的特定應用場景變化而發生改變,工業領域數據也產生了獨特的屬性:


①海量與異構:工業生產流程化、生產工藝復雜性、生產過程連續性等屬性,使工業領域數據呈現種類多、海量且異構的特點,如配方數據、設計數據、歷史維修數據、工藝調優與整定數據等。


②價值高:工業領域重要數據與關鍵基礎設施建設、環境保護、能源消耗、生產工藝、經營管理等密切相關,數據要素化價值高。


③流動快:工業領域生產數據實時性強,運行數據在采集、處理、存儲等方面要求快速、高效。


④閉環性:工業生產以閉環場景為主,根據數據動態持續調整生產閉環場景,實現反饋控制。


⑤級聯性:單個環節的數據破壞,會造成整個生產數據受到破壞的級聯影響,影響范圍大。


工業領域數據安全面臨的風險與挑戰


隨著工業企業數字化轉型深入,工業領域數據規模定會呈爆發式增長,泛在化流動,并且向平臺化集中。同時,隨著業務系統上云、數據交互和流通(甚至跨境傳輸)需求的增加,工業領域數據安全形式復雜且日益嚴峻,主要表現為:


1、工業領域數據可用性與安全性之間的挑戰


工業領域數據與網絡承載著工藝生產與控制實時執行、流程閉環的場景化需求使命,數據的安全性與可用性、安全措施與實時性等之間存在巨大挑戰。因此,需要結合不同的應用場景,統籌工業領域數據安全防護的整體策略,進行策略性控制、平衡安全性與可用性、實施符合生產連續性及實時性硬性要求的分類施策、分級管控。


2、工業領域數據安全與數據應用之間的挑戰工業領域數據的真正價值在于通過采集、傳輸、分析和應用等環節,將數據轉化為可操作的流程和工藝決策,實現提質增效和創新推動。因此,為適應復雜的工業應用場景,工業領域數據安全能力建設應從數據使用安全著手,同時兼顧完整性和隱私保護、安全彈性和功能安全。


工業領域數據安全能力提升的五大原則


《方案》明確指出:工業企業必須制定契合工業企業數字化轉型以及工藝流程的數據安全要求的制度流程體系,滿足數據安全合規要求,形成制度流程運營機制。


而工業領域數據屬性的特殊性,要求其安全防護策略要以保障生產安全為前提,在數據、網絡安全一體化統籌規劃的基礎上,依據《方案》要求進行具體的方案設計,原則如下:


1、最小化原則


在保證業務功能實現的基礎上,限定業務應用系統數據活動中各角色最小的操作權限和最小數據集,制定數據訪問授權審批流程,限制特權賬號。


2、全程可控原則


對業務系統數據進行安全分級,通過實施與數據安全級別相匹配的安全管控機制和技術措施,確保工業領域數據在全生命周期各階段的安全性,避免未授權訪問、破壞、篡改、泄露或丟失等。


3、動態控制原則


對業務應用系統數據的安全控制策略和防護措施,基于業務需求、安全環境屬性、系統操作行為等因素進行實時和動態調整。


4、可審計原則

實現對應用系統業務各環節的數據安全審計,記錄數據活動中各項操作的相關信息,確保記錄可追溯。


5、分級管控原則


對工業應用系統數據進行安全分級,區分數據的重要性和敏感度差異,根據不同級別數據采取相應的數據和管理措施。


以場景化思維提升工業領域數據安全能力


鑒于工業領域數據要素繁多、流程復雜等特性,工業領域數據與應用流程、工藝控制以及系統優化等密切關聯,差異于較為成熟的、傳統的、自上而下的數據安全治理模式,應采用基于業務場景的、自下而上的數據安全治理思路,準確捕捉工業數據安全實際需求,形成細粒度的指導文件,緩解管理要求與技術現狀不匹配的脫鉤問題。


首先基于工業業務連續性特點,從單個業務場景出發,根據實際數據安全需求,小范圍快速落地工業領域數據安全能力點,再由點及面擴展至全部業務場景,緩解體系化建設的長期性對業務開展的影響;其次基于實際業務場景的技術落地實踐,總結輸出顆粒度較細、實際指導意義較強的數據安全執行規范,并作為當前管理制度體系的補充,指導相似場景的安全治理。


1、與工控網絡安全統籌規劃與實施、分域分區、精準防護工業領域數據安全與工業領域網絡安全二者相輔相成,為實現工業領域數據安全精準防護,必須與工控網絡安全統籌規劃、一體化設計與實現,對工業數據與工業網絡同步進行分區分域管理。如整體劃分為IT側和OT側。IT側分為互聯網接入與服務區、DMZ區、OA區、核心交換區、安全管理中心等;OT側分為安全網絡、調控中心、安全管理中心、安全主機等區域。


在分區分域的基礎上,結合數據分類在不同區域實施分級安全管控技術措施,如在互聯網服務區部署數據庫加密機、服務器密碼機等;在OA區進行主機防護;在核心交換區部署基于超級SIM的零信任策略的數據安全措施;在OT安全網絡部署工業防火墻、數據隔離與交互系統;在OT安全管理中心采用工業入侵監測、運維模塊與審計、日志管理與分析等實現安全防護。


2、以創新供給模式提升工業領域數據安全能力《方案》明確要求:開展工業數據智能分類分級、工業數據庫審計,圍繞工業數據泄露、竊取、篡改等風險,以“產品+服務”供給模式創新,提升流量異常監測、攻擊行為識別、事件追溯和處置等工業數據安全能力。


● 構建工業領域數據安全智能分析平臺工業領域數據安全能力包括數據資產自動發現與識別能力、數據訪問權限控制策略統一管控能力、數據安全風險監控能力與數據安全運營能力。工業領域數據安全運營能力包括數據資產盤點、數據庫&大數據平臺漏洞管理、數據安全風險事件閉環處理等,需要通過高度集中化的數據分析平臺實現數據安全能力的體系化集成,統一匯集圍繞數據的資產管理、流動監測、風險分析、事件溯源、風險評估能力,構建合規有序、有效保護、高效運營的工業領域數據安全體系。


將啟明星辰數據安全治理管控平臺(DSMP)作為工業企業的安全一體化監測平臺,結合內置的工業領域數據源嗅探接入引擎、敏感數據識別引擎、日志接入解析引擎等實現對數據資產的發現與管理、數據資產分類分級、數據安全監控,并通過全景態勢多維度展示數據資產信息。同時,融合傳統的靜態數據安全,包括數據庫審計、數據庫運維、數據庫防火墻、漏洞掃描、數據防勒索、數據庫加密等,并形成聯動機制,進一步保障工業領域數據安全。


● 加強工業應用API接口安全能力建設在工業領域數據安全能力建設中,API成為重大的安全隱患。因此需要在全域主動發現并構建API資產清單,實現應用環境API資產全面盤點,消除僵尸、影子資產;同時對API流轉數據實時監測,自動化繪制API資產畫像及API資產訪問路徑。


啟明星辰數據API流轉監測系統,通過結合工業協議DPI功能,實現包括口令認證類、數據暴露類、訪問權限類、接口權限類、安全規范類的API脆弱性檢測,依托風險監測引擎,對API本身安全性漏洞進行風險檢測,發現各類API攻擊、敏感數據竊取、賬號接口異常訪問等風險,保障工業企業在數字化轉型中的工業領域數據安全。


● 基于“工具+服務”供給創新場景化工業數據安全服務工業領域數據與工藝、應用以及控制系統密切相關,工業領域數據在不同的應用系統中傳遞不同的控制指令、工藝參數,構成不同的工業應用場景,因此工業領域數據安全能力建設需從工業場景化角度切入,基于不同的工業業務場景開展數據安全與治理。


在工業領域數據分類分級基礎上,圍繞各業務場景細化管理制度的安全要求,敏捷落地相關數據安全能力點,以快速滿足業務場景的數據安全需求,降低數據安全治理的長期性對業務開展的影響,緩解數據安全管理與技術的脫鉤問題。通過工業領域數據資產、數據分布地圖,形成分類分級清單、敏感數據清單、重要數據保護目錄清單,并進行分級定措施防護,建立數據安全運營平臺,開展人才培養、實戰化運營。


①工業領域數據安全能力建設路徑:結合DSMP數據安全管理模型,通過對生產業務和組織架構的梳理,制定有針對性的數據資產管理要求、管理辦法以及工業領域數據分類分級規范;利用DSMP平臺能力,結合人工效驗模式,實現半自動化的工業數據識別與分類分級;基于數據資產和其關聯的應用場景進行分析,發現風險與安全需求,來達到數據風險評估的效果,全面了解數據資產安全狀況。


②工業領域數據安全風險評估服務:結合工業場景化數據分域分區管理、數據資源重要程度、面臨的數據安全威脅等因素,梳理工業領域數據流動過程的風險點,分析數據安全風險等級,指導工業企業側根據實際情況開展整改工作。


③場景化安全防護能力建設:在數據采集環節,通過部署數據庫審計、API監測系統,以第三方視角對數據源采集過程進行監測。在數據存儲環節,通過部署數據庫加密或運用云平臺的加密能力,建立數據存儲加密保護能力,并利用DSMP平臺數據資產識別與分類分級能力,對靜態存儲數據進行資產探測,掌握數據資產分布情況,建立數據資產分類分級清單。在數據使用、加工環節,通過部署頁面水印和頁面脫敏系統、核心信息管控系統系統,解決數據中臺業務訪問、后臺數據加工處理過程可能存在的數據安全風險。在數據提供、公開環節,通過部署API監測系統,實現數據共享的安全監測;在數據刪除環節,依托云平臺的機制建立數據刪除安全保護能力。


④全域數據安全統一管理:通過部署DSMP,全面掌握全域敏感數據資產分類分級及分布情況,并對核心信息管控系統、頁面水印與頁面脫敏系統、API監測系統、數據庫審計、數據庫加密、靜態脫敏、動態脫敏、數據防泄漏等能力組件,進行集中化數據安全管控策略管理,收集組件安全日志信息,監測數據分布、流轉、訪問過程的狀態,對數據風險進行識別和態勢分析,為工業領域數據安全運營工作提供支撐。


當前,工業領域數據安全內外形勢日益嚴峻,工業領域數據安全建設與能力提升迫在眉睫。啟明星辰將以工業企業數據使用具體場景化安全需求為核心,開展數據安全治理與風險評估,設計和落地安全控制措施與服務,打造完整的工業領域數據安全建設框架,幫助企業提升數據產生價值同時提升數據安全管控能力。

上一篇 下一篇