启明星辰针对工业领域数据安全提出务实建议
发布时间 2022-12-06导语
在工业领域,数据是贯穿工业互联网的“血液”,是智改数转、提质降本增效的关键核心要素,在工业生产可用性保证优先原则下,工业领域的数据安全防护工作开展也面临着操作执行层面的巨大挑战,包括:
生产数据相关系统资产台账不清、数据存储调取过程复杂不清、数据的依赖关系重要性判断不清等导致开展数据安全分类分级时比较困难;
在数据库审计、日志分析等方面技术措施缺乏,存在事件处置分析、人员误操作快速准确追踪溯源能力不足的困扰;
安全法律法规、标准体系、行业政策多,安全建设要求项和技术措施复杂,如何确定建设重点和优先顺序的困扰;
自建工业互联网平台有用户数据授权使用、数据防泄露、审计、测试数据脱敏等困扰。
自2022年2月以来,启明星辰紧紧围绕国家工业和信息化部下发《关于做好工业领域数据安全管理试点工作的通知》,积极与15个试点省份试点工业企业对接沟通,支持推进工业领域数据安全分类分级工作,深入工业企业现场与用户沟通,了解数据安全防护现状和存在的问题与挑战,在此将参与工业领域数据安全分类分级评估调研及支持情况做了统计和汇总,以供其他工业企业借鉴。
启明星辰技术服务团队在工业领域数据安全管理试点的前期调研阶段,针对工业企业数据安全管理建设和工业数据全生命周期安全保护情况进行摸底。摸底过程采用统一评估表对数据安全管理建设情况分为9个大项共40个打分项,工业数据全生命周期安全保护情况分为10个大项共49个打分项,每个打分项可据实评估为“符合”、“部分符合”、“不符合”、“不适应”四种情况,并赋予相应的分数。
根据《工业企业数据安全防护要求(草案)》,将数据安全管理分为安全管理制度、组织机构、人员保障、权限管理、系统与设备安全管理、供应链数据安全管理、安全评估、日志留存和审计,监测预警、信息共享与应急处置10个方面进行评估考量。
抽样20家工业企业调研数据进行分析,得出如下结论:
亟需加快落实工业企业数据安全管理组织及人员保障
从调研评估分析结果来看:多数工业企业的生产数据涉及多个部门,种类多、来源广,摸清自身数据资产,理清数据类型、数据级别以及数据的重要程度,建立数据安全全流程管理工作机制,是企业高效安全生产的有力保障。通过总体建设度评估工业领域数据安全管理各个方面的整体建设情况,具体算法为“符合”占“适用”的比例(“适用”=“总计”-“不适用”),如图1所示。
使用数据安全管理建设水平方差评估安全管理各个方面在不同工业企业建设情况的波动状况,如图2所示,具体使用每一个管理项下不同工业企业中“符合”的方差进行衡量。数据安全管理建设水平方差可以帮助我们了解安全管理的各个方面是在工业领域内建设水平一致还是随企业的需求变化较大。
如图2所示:“供应链数据安全管理”的方差较小,初步说明在工业领域该方面的建设水平较为持平,再结合图1中“供应链数据安全管理”整体建设度较低,因此可以初步得出“供应链数据安全管理”在工业领域普遍建设水平不足的结论。
图2 数据安全管理建设水平方差
以工业企业当前现状和需求为导向设计安全能力建设方案
根据《工业企业数据安全防护要求(草案)》,将工业数据分为“一般数据”“重要数据”和“核心数据”三类。从本次支持调研的企业情况看都不适用“核心数据”评估要求,故在此只对“一般数据”和“重要数据”进行分析。
数据全生命周期分为收集阶段、存储阶段、使用阶段、传输阶段、提供阶段、公开阶段、销毁阶段、出境阶段、转移阶段和委托阶段。对不同级别的数据将分别展开这十个阶段的安全能力建设。
图3 数据全生命周期安全防护建设度
根据20家工业企业的调研样本制作其数据全生命周期各阶段的安全能力评估方差图如下图所示。当前多数工业企业办公网和生产网均存在数据全生命周期安全防护薄弱,缺少审计(日志审计和数据审计)、监测、加密、脱敏、水印等数据安全技术能力,也未定期开展数据安全风险评估,容易造成数据安全风险事件。同时,在调研过程中明确得知,个别工业企业曾出现过因防护措施不到位而被勒索攻击的安全事件。因此在方差小的阶段,建议工业企业更适合通用的安全能力建设方案,而在方差较大的阶段应以企业的需求为导向设计安全能力建设方案。
图4 数据全生命周期安全防护建设水平方差
期间,启明星辰技术服务团队针对工业企业客户关心的研发设计数据、生产制造数据等的泄露风险,企业经营数据等的勒索风险,流通交易数据等的篡改风险及外部协同数据等的窃取风险等问题一一作答,提供了一企一策针对性的防护建议。
同时,我们也建议有类似现状的工业企业可以先通过基础性通用性网络安全防护措施建设,以保证安全域具备相应等级安全防护能力保障生产网络获得初步防护能力,再按照等保三级通用要求和工控拓展要求逐步深化、细化安全防护能力措施落地:
通过对生产网中通讯协议的深度解析、威胁检测、流量学习等,保证生产网络中只有安全可信的流量;
通过对工业设备运维人员的统一认证、集中管理,实时阻断违规、越权的访问行为,控制运维风险;
通过主被动结合的手段,实时不间断的采集分析工业网络中各类设备和应用系统产生的海量日志信息,从而保障网络、终端和应用系统安全机制的有效性;
对于进行了数据集成整合的企业,通过强化大数据安全管控治理平台的方式进行集中式账号、认证、权限、审计等管理举措,减少数据安全建设复杂性,提升数据安全防护可扩展性。
工业互联网平台、工业企业云平台面临日益凸显的数据安全问题
工业互联网平台在工业领域的应用实践,一般由厂站侧平台、中心侧平台与集团侧平台共同组成,实现工业各类信息的采集、汇聚、分析与展示,满足行业数字化、网络化、智能化需求。随着工业互联网平台数据安全保护对象的扩展和连接范围的扩大,协议和数据类型的多样性,安全事件的破坏更加严重,工业互联网平台的数据安全技术也将不断完善。从20家工业企业的调研样本来看,有7家工业企业的工业互联网平台/工业企业云平台(公有云、私有云、混合云)一直受多租户数据共享、数据安全传输等问题的困扰。
基于此,启明星辰技术服务团队从技术、服务、运营三大方面提出针对性建议,即工业领域数据安全建设的第一步是先做好需求调研与合规性分析,制定合适的数据防护思路,第二步是规范组织结构和制度流程,第三步做数据资产梳理以及分类分级,后续根据整体防护里面以身份、数据为中心,落实人员身份识别与权限管理,制定工业领域数据安全策略,实现工业领域数据安全安全态势呈现。
图5 工业领域数据安全管理试点落地建议
作为较早开展工业互联网安全研究的信息安全企业,启明星辰致力于将数据安全能力与举措融入工业场景中,争取从工业企业问题解决角度更加有效和更具有针对性,目前已成为山东省、贵州省、海南省、湖南省等多个省份的工业领域数据安全支撑单位,并进入多省发布的工业领域数据安全优秀解决方案公示名单中。
图6 数据安全能力全景图
此外,在数据安全领域,启明星辰还推出面向数据的系统属性、业务属性、经济属性,全方位数据安全体系和能力战略构建——数据绿洲,至今已形成较完整的数据安全产品体系。数据绿洲融入了集团独特的场景化思维,以数据生命周期的保护为核心,围绕数据的收集、存储、使用、加工、传输、提供、公开等环节,构建赋能全场景的安全防护技术与能力体系,实现协同联动的纵深策略。
启明星辰将继续凭借自身专业能力和技术优势,围绕工业企业实际生产业务,解决工业领域数据全生命过程中存在的实际安全问题,帮助工业企业有效提升数据安全保障能力,持续在工业领域数据安全方向进行探索与实践,引领和推动工业领域数据安全市场可持续发展,为数字中国的稳定健康发展保驾护航。
京公网安备11010802024551号