今日頭條
官方微信
官方抖音
案例頻道編者按:
隨著物聯網、云計算、移動互聯網、大數據、人工智能等新技術的飛速發展,以及IT與OT技術的進一步融合,工業制造、城市交通、電力能源、農業等各大行業領域的智慧化發展已成為必然趨勢。推進各領域向智慧化發展是一項復雜而龐大的系統工程,既需要單一技術與裝備的突破應用,還需要系統化的集成創新。智慧系統解決方案是推廣普及智能化技術的關鍵手段,是促進各行業智能化水平提升的核心。
為深化智慧產業發展,進一步提升智慧產業各領域系統解決方案應用水平,現由中國自動化學會、智能制造推進合作創新聯盟、工業控制系統信息安全產業聯盟、邊緣計算產業聯盟、中國儀器儀表行業協會主辦,《自動化博覽》雜志社&控制網(www.miconline.com.cn)承辦的“2019智慧系統解決方案征集”活動已正式啟動,面向全行業公開征集智慧系統解決方案。本刊特開設智慧系統解決方案專欄,刊發其中優秀的解決方案以饗讀者。
1 解決方案的目標和概述
工業互聯網是我國新工業革命的關鍵支撐和智能制造的重要基石,工業數據安全問題的解決是保障工業互聯網良性發展的基礎之一。工業互聯網將為中國工業企業帶來彎道超車的巨大機遇,同時也為工業數據安全管理和保護領域提出了種種挑戰,因此隨著工業互聯網相關技術的進一步發展,工業互聯網數據安全保障體系建設,成為建設和發展工業互聯網的迫切要求。
1.1 解決方案目標
工業互聯網數據安全解決方案建設應遵循國家相關建設標準統一部署的原則,集工業數據分類分級、工業數據庫風險評估于一體,著重建設基于工業數據中心以及云計算的網絡多節點工業數據訪問行為、用戶權限控制、工業數據防泄露、敏感信息清洗、工業數據存儲備份、工業數據安全分析預警展示功能、工業數據安全事件通報預警及處置功能等。
工業數據安全防護體系完成建設后,實現有效減少核心工業數據的破壞和泄漏,能夠加強對工業數據庫的保護,防御違反安全的事件發生,并且及時告警,通知相關負責人,從而有效地減少對核心工業數據的破壞泄漏。
追蹤溯源,便于事后追查原因與界定責任,能夠幫助安全管理人員進行事后追查原因與界定責任。無死角審計,準確追溯事件源頭,通過多層關聯審計技術,保證準確審計事件發生的源頭,包括人、事件、地點、事件、方法;通過工業數據庫審計系統的探針審計功能,保證全面審計通過各種方式(遠程桌面、工業數據庫服務器本地操作、應用系統與其工業數據庫系統部署在同一臺服務器等情況)操作工業數據庫的行為,做到無死角審計。
直觀掌握工業數據庫系統運行狀況,保證工業數據庫系統始終處于穩定健康的運行狀態是一項非常重要工作,對管理部門來說,這一工作會牽扯大量的精力。通過建立工業數據庫監控和風險檢測體系,能夠直觀地反映工業數據庫的運行狀況,為工業數據庫定期體檢,對漏洞進行提前預警,提出優化建議,保障工業數據庫穩定可靠運行。
工業互聯網數據安全項目應具有良好的可擴展性,對覆蓋全國智能工廠生產網和工業管理網網絡節點實現工業數據庫安全加固、工業數據防泄密、工業數據傳輸和交換過程的安全保護以及工業大數據和工業互聯網的工業數據安全。
1.2 解決方案功能及架構
工業互聯網數據安全解決方案針對工業互聯網內重要數據進行數據安全防護,整體建設方案包括三大部分:工業互聯網數據生命周期安全管理體系建設、工業互聯網數據全生命周期安全防護體系建設、工業互聯網數據安全分析與預警平臺建設。
圖1 工業互聯網數據安全方案架構圖
2 解決方案介紹
2.1 工業數據周期安全管理體系建設
工業數據生命周期安全:圍繞工業數據生命周期,提煉出工業互聯網環境下,以工業數據為中心,針對工業數據生命周期各階段建立的相關工業數據安全過程域體系。工業數據生命周期基于工業互聯網環境下工業數據在組織業務中的流轉情況,定義了工業數據的六個生命周期階段,如圖2所示。
圖2 工業數據生命周期
·數據產生:指新的數據產生或現有數據內容發生顯著改變或更新的階段;
·數據存儲:指非動態數據以任何數字格式進行物理存儲的階段;
·數據使用:指組織在內部針對動態數據進行的一系列活動的組合;
·數據傳輸:指數據在組織內部從一個實體通過網絡流動到另一個實體的過程;
·數據共享:指數據經由組織與外部組織及個人產生交互的階段;
·數據銷毀:指利用物理或者技術手段使數據永久或臨時性不可用的過程。
2.2 工業互聯網數據全生命周期安全防護體系建設
項目建設應滿足以下各項原則,具體包括:
(1)統一規劃、分步實施。安全規劃的出發點要考慮工業互聯網生產信息系統、工業管理系統以及智能工廠云平臺和網絡的整體情況,并結合發展的思想,確保工業數據安全規劃能夠指導3~5年的建設,滿足統一規劃分步實施的原則。
(2)自主保護。按照國家相關法規和標準,工業互聯網信息系統自主確定信息系統的安全等級,自行組織實施安全保護。
(3)同步建設。在新建和改擴建時應當同步規劃和設計安全方案,投入一定比例的資金建設工業數據安全設施,保障工業互聯網系統建設與工業數據安全建設相適應。
(4)重點保護。根據工業互聯網各系統的重要程度及業務特點,通過在不同層面上劃分不同安全等級的信息系統,實現不同強度的工業數據安全保護,集中資源優先保護涉及核心業務工業數據庫或關鍵信息資產的信息系統工業數據。
(5)適當調整。要跟蹤工業互聯網數據安全事件和工業數據風險漏洞的變化情況,調整工業數據安全保護監控措施。因為信息系統的應用類型范圍等條件的變化及其他原因,安全等級需要變更的,應當根據等級保護的管理規范和技術標準的要求,重新確定信息系統的工業數據安全等級,根據信息系統工業數據安全等級的調整情況,重新實施安全保護。
(6)避免重復建設。規劃思路要考慮到前期安全建設情況和后期3~5年的發展狀況,積極充分利用已有資源和部署,減少系統中的重復建設情況。
(7)可擴展。針對所有規劃方案要依照系統和網絡的建設規模情況,具有可擴展性。
(8)部署簡單、可實施性強。本次建設方案立足于可實施的目標,針對所有工業數據安全控制措施的部署一方面要滿足安全保護,同時要與實際情況相結合,部署要簡單。
(9)技術與管理并重。在工業互聯網數據安全建設過程中,技術與管理都是安全體系的重要組成部分,疏忽哪方面的工作都會帶來安全風險及安全隱患,因此兩方面工作需要同步建設。項目立足于工業互聯網對信息化和工業數據化的實際需要,利用現代信息技術和科學的管理手段,采用先進的安全設備和前沿的大工業數據分析技術,進行統一的安全規劃,科學實施,建設功能齊備、技術先進、安全穩定、適應安全生產監督各項工作需要的安全保障系統,確保各級安全生產監督管理部門的業務安全性。
2.3 工業互聯網數據安全解決方案建設內容
工業互聯網數據收集、存儲、處理、轉移、刪除等各環節的數層面的數據安全整體支撐體系系統建設,實現數據分級分類管理、統一認證、隱私保護等能力,共由五個子系統構成:數據安全采集傳輸子系統、數據安全交換子系統、數據泄露防護子系統、數據安全審計子系統、數據脫敏子系統。
圖3 數據安全整體支撐體系
(1)數據安全傳輸子系統對于工業互聯網安全風險,工業互聯網數據采集傳輸安全子系統的安全需求如下:
設備網絡協議多種多樣并存在大量漏洞,增加了終端感染病毒、木馬或惡意代碼入侵的渠道,增加了網絡層的導致數據不能安全傳輸的安全風險。
對于工業互聯網接入設備,工業互聯網設備建立身份基線并進行審批,實現工業互聯網設備的仿冒攻擊防護;從網絡層和應用層來實現工業互聯網設備的通信協議管控。
數據安全采集與傳輸安全防護子系統典型部署方式如圖4所示。
圖4 數據安全采集與傳輸安全防護子系統典型部署方式
(2)數據泄露防護子系統
數據泄露防護子系統實現識別工業互聯網機密數據的內容,正確的認識客戶的業務流程,梳理出合理的業務流程保證敏感數據正確的流動為目標。構建完善的可能導致數據泄露各個環節的安全,提供統一解決方案,促進核心業務持續安全運行。
圖5 數據泄露防護子系統架構
(3)數據安全審計子系統
隨著工業互聯網發展進程不斷深入,企業的業務系統變得日益復雜,由內部員工違規操作導致的安全問題變得日益突出起來。防火墻、防病毒、入侵檢測系統等常規的安全產品可以解決一部分安全問題,但對于內部人員的違規操作卻無能為力。
工業互聯網在發展的過程中,因為戰略定位和人力等諸多原因,越來越多的會將非核心業務外包給設備商或者其他專業代維公司。如何有效地監視設備廠商和代維人員的操作行為,并進行嚴格的審計是企業面臨的一個關鍵問題。
數據安全審計子系統是針對企業內網的運維操作和業務訪問行為進行細粒度控制和審計的合規性管理系統。它通過對運維人員和業務用戶的身份進行認證,對各類運維操作和業務訪問行為進行分析、記錄、匯報,以幫助用戶事前認證授權、事中實時監控、事后精確溯源,加強內外部網絡行為監管、促進核心資產(數據庫、服務器、網絡設備等)的正常運行。
圖6 數據安全審計子系統組成
(4)數據脫敏子系統
數據脫敏子系統是數據安全防護全生命周期中的重要環節。工業互聯網中的數據脫敏,對工業互聯網中某些生產、運營、銷售等敏感信息通過脫敏規則進行數據的變形,實現敏感隱私數據的可靠保護。這樣,就可以在開發、測試和其它非生產環境以及外包環境中安全地使用脫敏后的真實數據集。
數據庫脫敏子系統可實現自動識別敏感數據和管理敏感數據,提供靈活的策略和脫敏方案配置。高效可并行的脫敏能力,同時保證數據的有效性和可行性,使脫敏后的數據能夠安全的應用于測試、開發、分析和工業互聯網的第三方使用環境中。
(5)數據安全交換子系統
工業互聯網的典型網絡現狀,是將內部工業生產網絡與外部公共信息通信網絡分開,形成所謂的“內網”和“外網”,有些部門由于業務種類眾多,數據敏感度不一的原因,在內網中還人為隔離幾個不同的網絡,用于處理不同的業務或者存放不同敏感程度的數據。
因此,數據安全交換子系統是數據安全支撐體系中的重要一環。要真正能夠實現信息共享,一定要實現跨網絡、跨安全域的數據交換。但是由于黑客攻擊的大肆蔓延,數據泄密不時發生,用戶對于數據交換過程中的安全非常重視,網絡越復雜,交換數據越敏感,其對安全的重視也就越高。
安全數據交換子系統提供數據庫(支持國內外所有主流數據庫)、文件(支持國內外各種主流文件系統)、流數據安全交換,并提供文件格式檢查、病毒查殺、數據加密、交換審計等安全服務。
數據安全交換子系統架構如圖7所示。
圖7 數據安全交換子系統架構
安全數據交換系統實現跨網絡數據交換最重要的一點是:沒有網絡協議穿透。
(6)工業互聯網數據安全分析與預警平臺建設
工業互聯網數據安全分析與預警平臺是對工業互聯網數據安全威脅、安全狀態整體呈現并對數據安全防護子系統中所有系統數據以及業務數據進行安全關聯分析,對正在發生數據安全事件進行告警,對未來可能出現的數據安全事件提供預警的平臺。
工業互聯網數據安全分析與預警平臺采用機器學習等技術,針對全量數據進行安全分析,既可利用已知知識,同時可對行為識別,利用機器學習等技術發現未知異常情況,通過OODA(觀察-定位-決策-行動)、情報、目標等線索啟動數據安全分析。架構如圖8所示。
圖8 工業互聯網數據安全分析與預警平臺架構
3 解決方案推廣價值
工業互聯網數據安全保障體系建設,促進工業企業建立數據分級分類的管理制度,明確數據的機密性和完整性,以及數據備份恢復等要求,確保數據安全銷毀,防止數據泄露,從而影響工業企業的穩定運行,加強工業互聯網數據安全監督檢查。
在OT與IT融合趨勢下,工業互聯網數據安全保障體系建設確保企業內部重要的生產管理數據、生產操作數據以及工廠外部數據(如用戶數據)等各類數據的安全,進而支持企業生產的穩定運行,實現工業企業彎道超車的發展目標。
工業互聯網數據安全保障體系建設能夠幫助工業企業把客戶的數據遠程采集上來,實現數據分析和故障診斷,可以提高工業企業自身的附加價值,也可以進行工業企業的服務延伸,為工業互聯網數據安全法規標準提供參考,有利于工業互聯網數據安全標準指南的確立。
摘自《自動化博覽》2019年2月刊
北京市公安局海淀分局備案號:11010802023656號