Sec Hotspot 首页  排行榜  收藏本站  技术博客  RSS
统计信息
已收录文章数量:17562 篇
已收录公众号数量:91 个
本站文章为爬虫采集,如有侵权请告知
已收录微信公众号
阿里云先知 网安寻路人 网信中国 区块链大本营 白说区块链 区块链投资家 区块链官微 区块链铅笔Blockchain HACK学习呀 二道情报贩子 合天智汇 小白帽学习之路 小米安全中心 弥天安全实验室 SAINTSEC SecPulse安全脉搏 TideSec安全团队 360安全卫士 游侠安全网 计算机与网络安全 安全祖师爷 安全学习那些事 腾讯安全联合实验室 黑客技术与网络安全 安全圈 腾讯御见威胁情报中心 Python开发者 Python之禅 编程派 Python那些事 Python程序员 安全威胁情报 吾爱破解论坛 行长叠报 安在 i春秋 嘶吼专业版 E安全 MottoIN 网信防务 网安杂谈 数说安全 互联网安全内参 漏洞战争 安全分析与研究 邑安全 ChaMd5安全团队 天融信阿尔法实验室 安全牛 SecWiki 安全学术圈 信安之路 漏洞感知 浅黑科技 Secquan圈子社区 奇安信集团 奇安信 CERT 国舜股份 雷神众测 盘古实验室 美团安全应急响应中心 瓜子安全应急响应中心 顺丰安全应急响应中心 蚂蚁金服安全响应中心 携程安全应急响应中心 滴滴安全应急响应中心 字节跳动安全中心 百度安全应急响应中心 腾讯安全应急响应中心 网易安全应急响应中心 OPPO安全应急响应中心 京东安全应急响应中心 Bypass CNNVD安全动态 安恒应急响应中心 天融信每日安全简报 奇安信威胁情报中心 看雪学院 黑白之道 水滴安全实验室 安全客 木星安全实验室 云鼎实验室 绿盟科技安全预警 白帽汇 深信服千里目安全实验室 腾讯玄武实验室 长亭安全课堂 FreeBuf 绿盟科技 nmask
这道工业互联网安全“必答题”,如何才能得满分?
本文来自公众号:绿盟科技   2020.11.12 17:52:38


作为国家推进新基建的战略举措之一,工业互联网的热度不断升高。工业互联网下企业如何管理数据,如何在保证工业互联网网络安全的前提下充分利用工业数据,成为制造业转型升级的“必答题”。


1. 工业互联网数据安全政策与风险分析

近几年来,数据安全法律及规范逐渐完善,2020年6月28日,《数据安全法(草案)》提请十三届全国人大常委会第二十次会议初次审议,按照总体国家安全观的要求,确立数据安全保护管理各项基本制度,提升国家数据安全保障能力。

随着技术的不断发展,组织数据安全面临内外部双重风险:

• 内部人员出于经济、个人等多方因素,非法保存、破坏组织数据资产。

• 外部不法人员利用系统漏洞、爬虫等手段非法窃取组织数据资产。


根据IBM的调研结果显示,数据泄露平均成本从2017年的362万美元上升到386万美元,平均每条失窃记录的成本从2019年的141美元上升为148美元,而未来两年发生重大数据泄露的可能性也略有上升。全球范围内只有15%的公司实现了安全自动化,而这些公司在面临数据安全问题时,损失比未实现安全自动化的公司低了35%。

2. 新基建下工业互联网数据安全面临的挑战

工业互联网数据具有鲜明的特征和个性化要求,工业生产过程的复杂性、多样性、重要性,也直接体现在工业互联网数据中,数据的多元性、多样性、海量性也决定了工业互联网数据安全在传统的解决方案体系之外,还需要寻找更加具有针对性的思路及具体防护措施。作为数据安全从业者,应进一步体系化研究工业互联网全局性、结构性、针对性的安全防护策略,让数据更好支撑工业发展。在现今我国新基建快速发展的大环境下,工业互联网数据安全面临着以下挑战:

1) 数据汇聚

• 工业大数据基础平台安全控制措施薄弱。

• 工业核心敏感数据大量集中,缺乏有效分级保护。

• 多方复杂工业数据加工过程,缺乏细粒度审计授权、防泄漏机制。


2) 数据共享

• 工业数据管理权与使用权分离。

• 工业数据跨部门、系统留存,安全策略不一致。

• 不当授权或第三方滥用,缺乏有效监管跟踪。

• 存在内部人员不正当利用数据牟利现象。


3) 数据开放

• 未有效评估数据开放的安全影响。

• 数据接口安全机制不完备。

• 缺乏有效的隐私保护如审计、权限控制、防泄漏脱敏机制。


3. 工业互联网数据安全场景与需求分析

1) 工业信息共享(大数据)安全风险分析

2)工业互联网数据共享交换通用场景风险与需求分析


4. 工业互联网数据安全建设内容

1) 工业互联网数据安全方法论

Gartner 提出了以数据为中心的审计与保护的理论,即DCAP(Data-Centric Audit and Protection)。基于DCAP的理念,面向广泛行业场景下的数据安全,需要提炼了一套以行业数据为核心,构筑敏感数据管理、审计、保护为一体的数据安全技术防护体系。

数据安全策略:

• 数据发现和分类

• 数据安全权限控制

数据活动监控:

• 用户角色和权限的评估和监控

• 用户监控和审计

数据安全实施:

• 行为分析、告警和报告

• 数据保护


2) 工业互联网数据安全生命周期

• 数据采集阶段

数据采集是以时间为基础,利用外部手段,收集内部新生成数据的行为。

(1)一个是由支撑工业生产的各类信息化系统产生的数据,如:ERP、CRM、MES等,主要以关系型数据为主。

(2)生产过程中产生的数据,包括生产线上各类设备、仪器仪表以及产品运行数据等。

面临风险: 劫持、篡改控制命令、传感器失效导致数据失真等风险。


• 数据传输

数据传输是以工业现场总线、工业以太网、无线网络为载体,将一个实体数据传输至另一个实体的过程。

面临风险: 明文传输、内容嗅探、内容截取、内容篡改等风险。


• 数据存储

数据存储是指数据以任何数字格式进行持久化的过程。在工业互联网中,数据的载体可以是具备存储功能的任何设备,包括传感器、PCL、工业PC、服务器、网络设备、安全设备等。工业互联网中数据可分为模拟信号(电流或频率、电压)和数字信号(二进制、八进制、十六进制)。

面临风险: 包括未授权访问、数据窃取、数据破坏及篡改、明文存储等风险。


• 数据处理

数据处理是指组织内部对数据进行再加工的过程,包括计算、分析、可视化等操作的阶段。

面临风险: 未经授权的使用、查看、篡改伪造等。


• 数据交换

数据交换是组织机构内部、外部或人员进行数据交互的过程。工业互联网数据本身具有多元性、多样性,同时工业互联网的定位又决定了资源间的泛在连接和高频需求,所以,保障数据交换过程中的安全,是组织面临的挑战之一。

面临风险: 括未授权访问,敏感数据外泄,数据防护不足等风险。


• 数据销毁

数据销毁是指对数据及数据存储介质,采用不同强度的技术方法(如不可检索、删除文件、多次复写、不可恢复等)进行相应的操作手段。数据销毁是数据管理的终点,也是构成闭环的重要阶段。

面临风险: 数据刻意恢复、销毁不彻底、销毁流程不规范等风险。


3) 工业互联网数据安全管理体系

4) 工业互联网数据安全防护

数据安全建设关键点在于防护技术、部署位置、解决哪些过程问题三个层面,三个层面如果不能清晰明确,安全防护效果将存在缺陷。


将数据安全防护手段、数据生命周期及企业数据流转架构进行融合,形成整体的映射关系,从多角度且更加清晰展示工业互联网的安全技术、安全位置、数据周期节点间关联关系,利用不同的安全手段,解决企业不同位置上的安全问题,企业不同位置应对数据生命周期哪些过程进行安全防护。


5) 工业互联网数据 分级 、分类

工业互联网数据分级

一级:

• 对工业控制系统及设备、工业互联网平台等的正常生产运行影响较小;

• 给企业造成负面影响较小,或直接经济损失较小;

• 受影响的用户和企业数量较少、生产生活区域范围较小、持续时间较短;

• 恢复工业数据或消除负面影响所需付出的代价较小。


二级:

• 易引发较大或重大生产安全事故或突发环境事件,给企业造成较大负面影响,或直接经济损失较大;

• 引发的级联效应明显,影响范围涉及多个行业、区域或者行业内多个企业,或影响持续时间长,或可导致大量供应商、客户资源被非法获取或大量个人信息泄露;

• 恢复工业数据或消除负面影响所需付出的代价较大。


三级:

• 易引发特别重大生产安全事故或突发环境事件,或造成直接经济损失特别巨大;

• 对国民经济、行业发展、公众利益、社会秩序乃至国家安全造成严重影响。


工业互联网数据分类

研发数据域: 研发工业系统时产生的设计数据、开发测试数据,研发类数据对于企业来说极具商业秘密价值。


生产数据域: 基于工业互联网系统在生产过程中产生的控制信息、工业生产状况信息、生产工艺参数信息、工业互联网系统生产记录日志信息等。


管理数据域: 设备资产信息、客户与产品信息、产品供应链数据、业务统计数据等,管理数据的产生主要是基于系统设备、客户及产品而产生的产品和供应链业务信息。


运维数据域: 产品生产完成或交付后产生的物流数据、产品售后服务数据等运营数据。


外部数据域 :与其他主体共享的数据或者从第三方获得的数据,该类数据单另成类主要目的是为了将工业企业自身工业数据与其他主体的工业数据区别开来。


以上数据分类维度可总结为以下两个维度:

• 基于平台运营的数据域,包括但不限于物联网采集的数据、研发数据、知识库模型库数据等;

• 企业管理数据,包括但不限于客户数据、业务合作数据、人事财务数据等。

6) 数据安全生命周期技术防护体系

7) 工业互联网数据安全防护架构

8) 工业互联网数据安全运营能力建设