在大数据时代,数据的影响已经渗透到经济、社会、生活的方方面面,工业数据也不例外,如何充分保护和利用工业数据也逐渐成为焦点话题。为了规范和推动工业数据安全的梳理和防护工作,工信部在2022年也在全国开展了工业数据安全的试点试行工作,并发布了《工业数据分类分级指南(试行)》、《工业数据安全评估指南(试行)》、《工业领域重要数据和核心数据识别指南(试行)》等规范,进一步推动了工业数据安全的分类分级工作。保障组织的工业数据安全、促进数据合理有序流动、助力数字经济高质量发展提供有力支撑。在充分考虑政策风险、业务风险、技术风险、安全现状,建设满足现状同时具有可持续发展的数据安全防护体系是必要并急迫的。随着工业企业信息化的普及以及工业互联网的快速发展,工业企业对于数据安全管理重要性的认识已逐步提高,但实际落地情况却不尽人意,多数企业尚未制定数据管理和安全相关战略规划,数据安全管理未成为信息化的常规性、基础性工作。主要问题有以下几点:1.数据安全管理基于项目级别进行管理,没有形成整体规划的思路和方向,数据安全管理缺少全局性、整体性、战略性规划。2.需要按照工信部《工业和信息化领域数据安全管理办法(试行)》的要求进行工业数据的分类分级,但是工业数据分类分级千头万绪,不知道从什么地方抓起。3.工艺及相关自动化设备全部依赖国外自动化厂商维护,核心、重要等敏感数据的分布情况不知道、不清楚、不确定,重要、核心的数据流向和传输情况更不得而知。4.缺少必要的工业数据安全防护的策略和手段,导致形成了各种数据安全防护缺口:如行为管理缺口、数据安全可见性缺口、防护控制缺口、应急响应时间缺口等。工业数据的安全防护工作,主要包含工业数据资产梳理、工业数据安全的评估及数据安全防护几个部分,其中工业数据资产的梳理是基础,工业数安全状况评估是前提,工业数据安全防护是最终目标。
工业数据资产的梳理是整个工业数据安全建设的基础,通过对各类工业数据资源目录进行梳理、更新,形成重要和核心数据清单,明确敏感数据所处的位置,发现潜在数据资产,清晰地识别出各种数据资产之前的关系,明确数据资产的来源、用途和保护要求,从而更好地管理和保护数据资产,同时为打造全面、标准的数据安全治理体系提供建设基础。整体梳理思路和步骤如下所示:图1 工业数据安全梳理的思路和步骤
工业数据资产的梳理主要依据《工业领域重要数据和核心数据识别指南(实行)》中的相关规定和要求,根据系统建设、升级、变更、维护等情况,梳理和更新系统业务数据清单,对梳理完成的数据清单进行正确性与规范性核查,并按照数据分类标准,对数据资源目录中已归集的数据进行分类梳理,形成数据分类清单。数据资产梳理清单包含数据资产基础性梳理、数据流向梳理以及重要数据核心数据的识别。3.1.1 数据资产基础性梳理
数据资产基础性梳理包含系统业务系统基础梳理、数据基础信息、数据生命周期防护手段、数据使用人员。
业务系统基础梳理包含:系统名称、系统IP、系统简介、主要功能、关键业务路径、关联系统、数据安全偏好等内容。数据基础信息包含:数据库类型及版本、数据库IP及端口、数据库名、数据库大小等内容。数据生命周期防护手段包含:采集、传输、存储、使用、共享、交换、销毁、通用基础下的技术防护能力。数据使用人员包含:数据所有者、数据管理者、数据使用者、数据处理者、数据创建者。3.1.2 数据流向梳理
数据流向梳理以输入、输出、控制三个方面。
输入包含:数据库基础信息、输入内容、敏感数据信息、敏感数据等级、数据安全偏好、数据操作者及操作类型。输出包含:数据库基础信息、输入内容、敏感数据信息、敏感数据等级、数据安全偏好、数据操作者及操作类型。3.1.3 重要数据和核心数据的识别
按照《工业领域重要数据和核心数据识别指南(试行)》中的分类规则要求,在进行工业领域数据识别时,重要数据的识别主要包含以下几个类别:
(二)与行业竞争性或产业核心竞争力、行业供应链、行业经济运行、行业安全管控、行业能耗环保相关;(三)工业领域出口管制设计的核心技术、方案、工艺、源码等数据;(四)与工业细分行业相关的行业数据。如钢铁的中低端特钢成分体系、生产工艺、知识图谱、大宗原材料信息,有色金属行业的开采技术、分离冶炼技术、军民两用的金属材料数据、有色金属战略储备等数据。以及与石化化工、装备工业、消费品工业、电子信息产业等相关行业领域的部分数据、以及收集和产生达到一定数量级别和影响范围的个人信息都属于工业领域的重要数据。对于工业领域核心数据的识别,一般分为以下几个类别:(一)“两重点一重大”涉及到存储位置、运输路线、产品流向等数据;(二)反映工业领域国家关键信息基础设施系统配置信息、网络拓扑、网络与数据安全防护信息、规划建设信息、运行维护信息等数据;(三)钢铁、有色、化工、装备制造、电子信息等行业骨干、特大支柱型企业的工作秘密,以及与行业相关的核心数据。如高端特优钢、未公开的粗钢等大宗产品产能数据、高端有色产品供给和工艺技术数据,特种工程塑料、高性能膜材料、光刻胶的生产工艺等;通过借鉴工信部发布的《工业领域重要数据和核心数据识别指南(试行)》,基于研发数据域(研发设计数据、开发测试数据等)、生产数据域(控制信息、工况状态、工艺参数、系统日志等)、运维数据域(物流数据、产品售后服务数据等)、管理数据域(系统设备资产信息、客户与产品信息、产品供应链数据、业务统计数据等)、外部数据域(与其他主体共享的数据等)等工业数据分类思路进行自定义分类分级规则。具体实施时可以基于数据标识、关键字、正则表达式、词典、脚本、文件类型、文件大小等进行分类分级,再通过手动与自动化、智能化(采用数据安全专有设备)的手段识别相结合的方式,结合企业生产制造模式,分析梳理业务流程和系统设备,考虑行业要求、业务规模、数据复杂程度等实际情况,对企业工业数据进行分类梳理和标识,形成企业数据分类清单。工业数据安全评估结合企业组织机构、管理制度、技术能力防护等情况,通过对标我国数据安全相关政策法规和国家标准等要求,可以完整识别组织机构数据安全保护措施不到位情况,分析提出可能导致的数据安全风险,进而提出综合性和可操作性的防范对策、安全措施和改进建议,可以为数据的安全治理方案提供重要的基础。通过数据安全评估,为后续开展的资产梳理和数据安全运营提供支撑,同时为数据安全治理管理体系和技术体系的建设提供重要依据。3.2.1 数据安全评估流程
数据安全评估工作程序如下图所示。主要包括受理评估申请、组建评估技术队伍、制定评估工作计划、开展现场评估工作、现场评估情况反馈、企业自行整改、开展复评估工作和形成评估结论八个部分。
其中形成评估结论部分,利用依据法律法规及规范、技术标准、政策要求形成的度量指标与识别安全现状结果进行对标分析,形成安全评估报告,在对标分析过程中要保持客观性、独立性,真实性、完整性,一致性、谨慎性,条理清楚及判断准备。在编制安全评估报告过程中要具有科学性、系统性,延伸线、兼容性及具有综合实用性。图2 数据安全评估流程图
3.2.2 数据安全评估矩阵
参考以下法律法规,按照以下行业政策规范要求,编制评估矩阵。
《中华人民共和国网络安全法》
《中华人民共和国数据安全法》
《工业领域重要数据和核心数据识别规则》(草案)
《工业数据安全评估指南》(草案)
一般情况下,数据安全评估包含数据安全管理要求(安全管理制度、组织机构、人员保障、权限管理、系统与设备安全管理、供应链数据安全管理、安全评估、日志留存和审计、监测预警、信息共享与应急处置)、数据不同安全分级防护评估(数据收集安全、数据存储安全、数据使用加工安全、数据传输安全、数据提供安全、数据公开安全、数据销毁安全、数据出境安全、数据转移安全、数据委托处理安全)两大维度,其中安全分级,按照一般重要、重要数据和核心数据开展。
3.2.3 数据安全评估报告
根据现场评估和复评估工作情况,评估项目组形成企业数据安全防护能力评估结论,并编制《数据安全防护能力评估报告》。评估报告由评估机构盖章出具并由评估项目组组长、责任审核人签字。评估报告应准确、清晰地描述评估活动的主要内容,并附必要的证明相关事实的证据或记录。
在数据安全梳理、评估服务结束时,我们将会为企业提供完整的《工业数据资产清单》、《工业数据分类分级目录表》《工业数据风险评估报告》、《数据安全建设规划方案》、《数据安全管理制度》、《数据安全人员管理规范》等过程和结果文件,并进入到具体的工业数据安全防护的建设和落实工作中。
工业数据安全项目整体建设以工业数据安全标准规范为指导,结合生产控制系统实际业务情况,从数据安全管理体系、数据安全技术体系、数据安全服务体系三个大方面。其中,数据安全服务体系包含数据安全评估、数据资产管理以及数据安全运营三个方面。图3 总体建设思路
3.3.1 管理体系建设架构
数据安全管理体系是技术体系真正有效发挥保护作用的重要保障,管理体系的设计立足于总体工业数据安全策略,并与安全技术体系相互配合,增强技术防护体系的效率和效果,同时也弥补当前技术无法完全解决的安全缺陷。
将数据安全战略与合规管理有效整合,形成整体的安全管理体系,既要满足安全战略,又要满足合规管理要求。数据安全战略由国家战略及行业战略综合考量形成。合规管理由网络安全法、数据安全法、工业企业数据安全防护要求等相关标准规范形成。
图4 安全体系架构
3.3.2 工业数据安全技术体系设计
工业数据安全技术体系设计,以自身网络现状及业务情况为基础进行全面纵深防御建设,以实现厂内的工业数据安全可视、安全可控、安全可管。首先,从数据安全基础环境开始建设,保障整个数据流所处网络环境安全可信;其次,对于重要及核心数据进行细致化的防护建设,防止数据破坏、数据泄漏等事件的发生;最后,通过搭建工业数据安全运营中心,对整个企业的基础环境态势、数据安全态势进行可视化展示,切实提升全厂安全指挥调度和应急响应能力。
另一方面,该方案设计以《工业企业数据安全防护要求》为依据,针对工业控制系统的数据采集、存储、加工、传输、提供、销毁等各个阶段提供安全防护,为工业数据全生命周期提供全方位的保护。具体防护示意图如下所示:
图5 以网络安全建设为主体的数据安全基础防护体系建设
图6 以数据安全防护建设为主体的进阶防护体系建设
针对工业数据采集过程中可能存在的网络层攻击的数据安全风险,通过设备准入控制和可信接入保障接入安全性。一方面,通过对各工业生产系统边界防护设备持续监控网络上流量的类型,识别工业协议,进行安全行为分析,为设备标注标签,快速的检测生产控制网与数据采集网之间、生产控制网各系统之间可能存在的攻击。另一方面,工业生产网一般不轻易更换设备,也不允许接入非授权设备,确实设备接入的需求应在网络接入与物理端口接入的预绑定和准入控制,对于接入的设备进行强制校验后才能进行通信。针对生产数据采集过程中存在敏感信息流出以及违规外联造成的数据泄露风险,需要具备的技术防护能力。通过对移动存储介质写入不同控制权限及功能的标签,对移动存储设备进行标签化管理,区分内部介质和外部介质。并对制定范围内的终端授权,通过策略与标签的配合来实现对移动存储介质的控制。另外,通过对主机的打印、文件操作、非法外联访问等行为进行控制,实现主机自身安全防护和检测,确保主机主机数据的安全性。针对生产网络中存储的业务数据和生产工艺数据进行周期性备份,通过备份系统对文件、数据库进行定时或实时的备份。同时,基于生产数据的重要性,针对部分核心生产控制系统数据进行容灾保护,通过可以捕获或跟踪数据的变化,将其独立存放在异地,以确保核心生产数据可以恢复到过去的任意时间点。针对生产系统数据库中存储着重要的业务信息,通过数据库协议自动识别技术,结合灵活的审计策略,可对数据库的数据进行全面审计。通过监控数据库的多重状态和通信内容,不仅能准确评估数据库所面临的风险,而且可以通过日志记录提供事后追查机制。及时发现数据库自身及访问过程中存在的问题,确保生产网数据存储及加工阶段的安全性。工业行业数据泄漏的事件的发生,很大一部分是由于内部人员非法访问并恶意操作导致。通过对生产控制系统的访问进行访问权限控制,并在具体操作时进行指令审计和图像化的记录。数据库访问控制技术一般是通过数据库通讯协议解析、身份鉴别和行为分析等技术手段,实现工业数据访问的实时监控、识别、告警、阻断针对数据库的安全威胁,最终实现数据库的行为特征分析、访问行为监控和危险操作阻断。另外,针对敏感数据的使用和防护,一般采用敏感数据过滤的方式进行防护,通过其它内容代替检索结果以及报表中的敏感信息,在结果中会显示遮蔽后的内容。可以进行正则式的配置,如符合身份证正则式的信息全部替换为ABC,则显示结果中凡是身份证号全部替换为ABC。数据传输过程中需保证数据对外传输的安全性,防止生产系统相关的敏感数据对外泄漏,基于网络数据捕获还原和内容识别技术,融合自然语言、数字指纹、智能学习、图像识别等技术,对网络流转数据进行跟踪监控,对数据传输风险进行持续监测评估,自动梳理网络及API接口中的敏感数据流并生成敏感数据映射,在确保个人隐私数据、工业数据共享流转过程中安全合规性的同时,全面评估业务系统、数据接口、数据分类的数据安全风险。在生产数据传输过程中不仅需要保障数据传输内容的安全,还要确保传输链路本身是否可信,如果不法分子通过入侵攻击控制传输线路,在链路中通过工控协议传输非法指令和恶意代码,则整个传输过程将是不可信的。工业网络当前存在较多私有协议如OPC、Modbus等,一般采用明文传输数据,缺乏认证机制、权限区分、广播抑制等安全机制,难以应对网络攻击。对工业网关、工业交换机、工业控制器等可联网的通信设备进行升级改造以支持可信网络连接,从设备的网络特征和网络行为建立对设备的身份认证和设备行为的安全认证,实现设备间通信、设备与平台通信时对通信端身份、安全策略、安全状态的双向鉴别,建立数据安全传输信道,能保证工业网络通信的安全性。数据传输过程中需保证数据对外传输的安全性,防止生产系统相关的敏感数据对外泄漏,通过关键字检测、正则表达式检测、数据标识符检测 ,以及非结构化数据、结构化数据、图片指纹检测等技术实现数据内容的深度识别。在实现数据内容的识别后,针对生产数据交互过程中存在重要级别、核心级别的敏感数据,根据自定义的脱敏数据域或提前设置好的敏感数据特征,在执行任务的进程中对抽取的数据进行自动识别,并推荐除哪些数据需要进行脱敏,并实现自动根据规则对发现的敏感数据进行脱敏处理。为了避免攻击者可能通过恶意恢复被销毁的数据,从而造成敏感数据泄露事件的发生,在条件允许的情况下,组织机构应该设立数据销毁安全管理部门,并招募相关的管理人员和技术人员,负责为公司的数据销毁处理提供必要的技术支持,为组织机构制定整体的数据销毁处置策略和管理制度,为技术人员建立规范的数据销毁流程和审批机制,并推动相关要求在组织机构中切实可靠地执行。除此之外,数据销毁安全管理部门还需要为业务团队提供技术支持,以对不同数据销毁场景的风险进行评估,并制定针对数据销毁进行审批和监督的流程,为数据销毁审批人员(技术人员)进行专门的安全意识培训,确保其可以按照国家的相关法律法规和标准销毁个人信息、重要数据等敏感信息。能够安全有效地销毁常见的本地存储介质中的数据,如光盘,磁盘,U盘等。如通过数据覆写、消磁、物理粉碎等技术手段确保数据不能被恢复使用。能够安全有效地销毁网络存储中的数据,并且具备一定的技术措施,如通过加密,过期机制等来确保网络数据不能被恢复使用。能够安全有效地控制和管理数据销毁处置的过程,并记录全过程信息以供追责溯源。数据安全能力建设是一个长期持续的过程,需要在组织内持续性的落实数据安全的相关制度和流程,并基于组织的业务变化和技术发展不断的调整和优化,安全也是一个不断螺旋上升的过程,通过持续对数据生命周期内安全风险的监测,评估组织现有数据安全控制措施的有效性进行识别和判断,再回归到优化改进制度及策略上,结合完善的IT运维管理体系,完成闭环的持续化运营。
北京威努特技术有限公司(简称:威努特)是国内工控安全行业领军者,是中国国有资本风险投资基金旗下企业。凭借卓越的技术创新能力成为全球六家荣获国际自动化协会ISASecure 认证企业之一和首批国家级专精特新“小巨人”企业。
威努特依托率先独创的工业网络“白环境”核心技术理念,以自主研发的全系列工控安全产品为基础,为电力、轨道交通、石油石化、市政、烟草、智能制造、军工等国家重要行业用户提供全生命周期纵深防御解决方案和专业化的安全服务,迄今已为国内及“一带一路”沿线国家的6000多家行业客户实现了业务安全合规运行。
作为中国工控安全国家队,威努特积极推动产业集群建设构建生态圈发展,牵头和参与工控安全领域国家、行业标准制定和重大活动网络安全保障工作,始终以保护我国关键信息基础设施安全为己任,致力成为建设网络强国的中坚力量!
渠道合作咨询 田先生 15611262709
稿件合作 微信:shushu12121
还没有评论,来说两句吧...