以场景化安全服务,助力工业领域数据安全能力提升

发布时间 2024-03-01
编者按:

工业领域数字化、网络化、智能化加速提质升级,在促进工业领域数据流通共享和开发利用的同时,伴随而来的大规模数据泄露、勒索攻击等风险形势日趋严峻。本文基于《工业领域数据安全能力提升实施方案(2024—2026年)》要求,结合行业数据安全与治理经验,提出针对工业应用场景化的工业领域数据安全能力提升建设思路,助力工业企业快速提高数据安全治理能力,促进工业领域数据要素安全有序流动和价值释放。


近日,工信部印发《工业领域数据安全能力提升实施方案(2024—2026年)》(以下简称《方案》),提出到2026年底,我国工业领域数据安全保障体系基本建立,数据安全保护意识普遍提高,重点企业数据安全主体责任落实到位,重点场景数据保护水平大幅提升,重大风险得到有效防控。


工业领域数据作为具有生产效益的数字要素,已成为工业新型化发展的关键。而随着数据的采集、存储、整合、呈现与使用、分析与应用、归档和销毁各个阶段的特定应用场景变化而发生改变,工业领域数据也产生了独特的属性:


①海量与异构:工业生产流程化、生产工艺复杂性、生产过程连续性等属性,使工业领域数据呈现种类多、海量且异构的特点,如配方数据、设计数据、历史维修数据、工艺调优与整定数据等。


②价值高:工业领域重要数据与关键基础设施建设、环境保护、能源消耗、生产工艺、经营管理等密切相关,数据要素化价值高。


③流动快:工业领域生产数据实时性强,运行数据在采集、处理、存储等方面要求快速、高效。


④闭环性:工业生产以闭环场景为主,根据数据动态持续调整生产闭环场景,实现反馈控制。


⑤级联性:单个环节的数据破坏,会造成整个生产数据受到破坏的级联影响,影响范围大。


工业领域数据安全面临的风险与挑战


随着工业企业数字化转型深入,工业领域数据规模定会呈爆发式增长,泛在化流动,并且向平台化集中。同时,随着业务系统上云、数据交互和流通(甚至跨境传输)需求的增加,工业领域数据安全形式复杂且日益严峻,主要表现为:


1、工业领域数据可用性与安全性之间的挑战


工业领域数据与网络承载着工艺生产与控制实时执行、流程闭环的场景化需求使命,数据的安全性与可用性、安全措施与实时性等之间存在巨大挑战。因此,需要结合不同的应用场景,统筹工业领域数据安全防护的整体策略,进行策略性控制、平衡安全性与可用性、实施符合生产连续性及实时性硬性要求的分类施策、分级管控。


2、工业领域数据安全与数据应用之间的挑战工业领域数据的真正价值在于通过采集、传输、分析和应用等环节,将数据转化为可操作的流程和工艺决策,实现提质增效和创新推动。因此,为适应复杂的工业应用场景,工业领域数据安全能力建设应从数据使用安全着手,同时兼顾完整性和隐私保护、安全弹性和功能安全。


工业领域数据安全能力提升的五大原则


《方案》明确指出:工业企业必须制定契合工业企业数字化转型以及工艺流程的数据安全要求的制度流程体系,满足数据安全合规要求,形成制度流程运营机制。


而工业领域数据属性的特殊性,要求其安全防护策略要以保障生产安全为前提,在数据、网络安全一体化统筹规划的基础上,依据《方案》要求进行具体的方案设计,原则如下:


1、最小化原则


在保证业务功能实现的基础上,限定业务应用系统数据活动中各角色最小的操作权限和最小数据集,制定数据访问授权审批流程,限制特权账号。


2、全程可控原则


对业务系统数据进行安全分级,通过实施与数据安全级别相匹配的安全管控机制和技术措施,确保工业领域数据在全生命周期各阶段的安全性,避免未授权访问、破坏、篡改、泄露或丢失等。


3、动态控制原则


对业务应用系统数据的安全控制策略和防护措施,基于业务需求、安全环境属性、系统操作行为等因素进行实时和动态调整。


4、可审计原则

实现对应用系统业务各环节的数据安全审计,记录数据活动中各项操作的相关信息,确保记录可追溯。


5、分级管控原则


对工业应用系统数据进行安全分级,区分数据的重要性和敏感度差异,根据不同级别数据采取相应的数据和管理措施。


以场景化思维提升工业领域数据安全能力


鉴于工业领域数据要素繁多、流程复杂等特性,工业领域数据与应用流程、工艺控制以及系统优化等密切关联,差异于较为成熟的、传统的、自上而下的数据安全治理模式,应采用基于业务场景的、自下而上的数据安全治理思路,准确捕捉工业数据安全实际需求,形成细粒度的指导文件,缓解管理要求与技术现状不匹配的脱钩问题。


首先基于工业业务连续性特点,从单个业务场景出发,根据实际数据安全需求,小范围快速落地工业领域数据安全能力点,再由点及面扩展至全部业务场景,缓解体系化建设的长期性对业务开展的影响;其次基于实际业务场景的技术落地实践,总结输出颗粒度较细、实际指导意义较强的数据安全执行规范,并作为当前管理制度体系的补充,指导相似场景的安全治理。


1、与工控网络安全统筹规划与实施、分域分区、精准防护工业领域数据安全与工业领域网络安全二者相辅相成,为实现工业领域数据安全精准防护,必须与工控网络安全统筹规划、一体化设计与实现,对工业数据与工业网络同步进行分区分域管理。如整体划分为IT侧和OT侧。IT侧分为互联网接入与服务区、DMZ区、OA区、核心交换区、安全管理中心等;OT侧分为安全网络、调控中心、安全管理中心、安全主机等区域。


在分区分域的基础上,结合数据分类在不同区域实施分级安全管控技术措施,如在互联网服务区部署数据库加密机、服务器密码机等;在OA区进行主机防护;在核心交换区部署基于超级SIM的零信任策略的数据安全措施;在OT安全网络部署工业防火墙、数据隔离与交互系统;在OT安全管理中心采用工业入侵监测、运维模块与审计、日志管理与分析等实现安全防护。


2、以创新供给模式提升工业领域数据安全能力《方案》明确要求:开展工业数据智能分类分级、工业数据库审计,围绕工业数据泄露、窃取、篡改等风险,以“产品+服务”供给模式创新,提升流量异常监测、攻击行为识别、事件追溯和处置等工业数据安全能力。


● 构建工业领域数据安全智能分析平台工业领域数据安全能力包括数据资产自动发现与识别能力、数据访问权限控制策略统一管控能力、数据安全风险监控能力与数据安全运营能力。工业领域数据安全运营能力包括数据资产盘点、数据库&大数据平台漏洞管理、数据安全风险事件闭环处理等,需要通过高度集中化的数据分析平台实现数据安全能力的体系化集成,统一汇集围绕数据的资产管理、流动监测、风险分析、事件溯源、风险评估能力,构建合规有序、有效保护、高效运营的工业领域数据安全体系。


将新澳门新葡萄娱乐数据安全治理管控平台(DSMP)作为工业企业的安全一体化监测平台,结合内置的工业领域数据源嗅探接入引擎、敏感数据识别引擎、日志接入解析引擎等实现对数据资产的发现与管理、数据资产分类分级、数据安全监控,并通过全景态势多维度展示数据资产信息。同时,融合传统的静态数据安全,包括数据库审计、数据库运维、数据库防火墙、漏洞扫描、数据防勒索、数据库加密等,并形成联动机制,进一步保障工业领域数据安全。


● 加强工业应用API接口安全能力建设在工业领域数据安全能力建设中,API成为重大的安全隐患。因此需要在全域主动发现并构建API资产清单,实现应用环境API资产全面盘点,消除僵尸、影子资产;同时对API流转数据实时监测,自动化绘制API资产画像及API资产访问路径。


新澳门新葡萄娱乐数据API流转监测系统,通过结合工业协议DPI功能,实现包括口令认证类、数据暴露类、访问权限类、接口权限类、安全规范类的API脆弱性检测,依托风险监测引擎,对API本身安全性漏洞进行风险检测,发现各类API攻击、敏感数据窃取、账号接口异常访问等风险,保障工业企业在数字化转型中的工业领域数据安全。


● 基于“工具+服务”供给创新场景化工业数据安全服务工业领域数据与工艺、应用以及控制系统密切相关,工业领域数据在不同的应用系统中传递不同的控制指令、工艺参数,构成不同的工业应用场景,因此工业领域数据安全能力建设需从工业场景化角度切入,基于不同的工业业务场景开展数据安全与治理。


在工业领域数据分类分级基础上,围绕各业务场景细化管理制度的安全要求,敏捷落地相关数据安全能力点,以快速满足业务场景的数据安全需求,降低数据安全治理的长期性对业务开展的影响,缓解数据安全管理与技术的脱钩问题。通过工业领域数据资产、数据分布地图,形成分类分级清单、敏感数据清单、重要数据保护目录清单,并进行分级定措施防护,建立数据安全运营平台,开展人才培养、实战化运营。


①工业领域数据安全能力建设路径:结合DSMP数据安全管理模型,通过对生产业务和组织架构的梳理,制定有针对性的数据资产管理要求、管理办法以及工业领域数据分类分级规范;利用DSMP平台能力,结合人工效验模式,实现半自动化的工业数据识别与分类分级;基于数据资产和其关联的应用场景进行分析,发现风险与安全需求,来达到数据风险评估的效果,全面了解数据资产安全状况。


②工业领域数据安全风险评估服务:结合工业场景化数据分域分区管理、数据资源重要程度、面临的数据安全威胁等因素,梳理工业领域数据流动过程的风险点,分析数据安全风险等级,指导工业企业侧根据实际情况开展整改工作。


③场景化安全防护能力建设:在数据采集环节,通过部署数据库审计、API监测系统,以第三方视角对数据源采集过程进行监测。在数据存储环节,通过部署数据库加密或运用云平台的加密能力,建立数据存储加密保护能力,并利用DSMP平台数据资产识别与分类分级能力,对静态存储数据进行资产探测,掌握数据资产分布情况,建立数据资产分类分级清单。在数据使用、加工环节,通过部署页面水印和页面脱敏系统、核心信息管控系统系统,解决数据中台业务访问、后台数据加工处理过程可能存在的数据安全风险。在数据提供、公开环节,通过部署API监测系统,实现数据共享的安全监测;在数据删除环节,依托云平台的机制建立数据删除安全保护能力。


④全域数据安全统一管理:通过部署DSMP,全面掌握全域敏感数据资产分类分级及分布情况,并对核心信息管控系统、页面水印与页面脱敏系统、API监测系统、数据库审计、数据库加密、静态脱敏、动态脱敏、数据防泄漏等能力组件,进行集中化数据安全管控策略管理,收集组件安全日志信息,监测数据分布、流转、访问过程的状态,对数据风险进行识别和态势分析,为工业领域数据安全运营工作提供支撑。


当前,工业领域数据安全内外形势日益严峻,工业领域数据安全建设与能力提升迫在眉睫。新澳门新葡萄娱乐将以工业企业数据使用具体场景化安全需求为核心,开展数据安全治理与风险评估,设计和落地安全控制措施与服务,打造完整的工业领域数据安全建设框架,帮助企业提升数据产生价值同时提升数据安全管控能力。