新基建时代,如何构建工业互联网数据安全体系?
2020-07-16
4月20日,国家发改委明确新基建范围,新基础设施涵盖5G、物联网、工业互联网等通信网络基础设施,其中工业互联网作为数字化基建之一,融合云计算、物联网、大数据、5G通信、边缘计算等新一代信息通信技术,多元技术融合也带来隐患,工业互联网从平台到具体应用都离不开安全保障。新基建带来新的发展机遇,也对网络空间安全带来全新挑战。
一、疫情为工业互联网带来新机遇,"新基建"为数据安全建设带来"新挑战"
今年年初全国疫情爆发,在疫情危机之下数字经济蓬勃发展,而"新基建"作为产业数字化、数字产业化的基础设施,迎来了前所未有的发展机遇。随着"新基建"被广泛关注和热议,一些业内人士同时也提出了其发展过程中应该注意的安全问题。大数据是"新基建"的核心和灵魂,包括数据滥用、数据偷窃、数据被越权使用、数据泄露等在内的数据安全问题都会影响发展"新基建"的效果。除了要注重来源于网络侧的安全问题外,更加需要注重对工业互联网企业数据安全的保护。
工业互联网是工业企业以智能化、互联网化、工业数据化为核心生产要素的工业数字化新型产业驱动模式。新基建政策将工业互联网作为新型基础设施建设的重要组成部分,就是要激发工业数据的流通和使用,极大地促进工业数据转化成生产力。在此背景下,工信部多次就工业互联网出台相关规定,讨论工业互联网下企业如何管理数据,如何在保证工业互联网网络安全的前提下充分利用工业数据。
二、国内数据安全现状
2019年勒索病毒在全球范围内呈现周期性的爆发。在我国有多家医院、台积电曾遭遇攻击。2020年年初曝出的某企业删库事件,由于企业员工的个人行为,直接导致该企业瞬间蒸发近10亿市值,此次事件为数据安全再次敲响了警钟。同时,今年6月初,某汽车企业也曾遭遇过勒索软件攻击。通过以上的种种数据安全事件,可以看出现今各个企业从账号安全、数据使用安全、数据库安全、数据备份、IT运维等方面都暴露出各种内外部安全风险。
可以预见,伴随着“新基建”的开展,需要重点保护的基础设施将大规模增加,所涉及到的高新技术产业面临的挑战将不仅包括技术本身的挑战,除了需要考虑到网络攻击将从数字空间延伸到物理空间,还需要考虑到,从技术安全建设扩展到数据安全管理及人员安全培训。在“新基建”浪潮下的工业互联网行业数据安全威胁将再度升级。
三、工业互联网数据安全需求
工业互联网数据种类多样,数据流动方向和路径复杂,分布在大数据平台、生产终端、工业互联网平台、设计服务器等多种设施上,仅依托单点、离散的数据保护措施难以有效保护工业互联网中流动的工业数据安全。
从上述问题可以看出,现今工业互联网企业普遍缺乏对其数据进行系统防护。当前我国工业企业、工业互联网平台企业等仍然存在重发展轻安全的问题。对于开展工业互联网数据安全防护建设等相关工作,由于缺乏经验或由于信息化建设程度较差,很多企业感到无从下手或者力不从心,特别是在面对海量多样的工业互联网数据时,对如何开展数据安全分类分级和安全防护缺少思路。
因此,加快推动工业互联网数据安全分类分级、实行差异化数据安全防护是当前工业互联网数据安全保障的重点工作,也是落实企业主体责任的重要举措,亦是强化数据安全监管的重要抓手,更是促进数字经济健康发展、维护国家数据主权的重要保障。
bbin宝盈集团科技在工业数据分类分级遵循2020年2月27日工业和信息化部办公厅关于印发《工业数据分类分级指南(试行)》(下文简称《指南》)所制定的相关要求:
3.1工业互联网数据分级
根据不同类别工业数据遭篡改、破坏、泄露或非法利用后,可能对工业生产、经济效益等带来的潜在影响,将工业数据分为一级、二级、三级等3个级别。
1.一级数据:潜在影响符合下列条件之一的数据为一级数据。
l 对工业控制系统及设备、工业互联网平台等的正常生产运行影响较小;
l 给企业造成负面影响较小,或直接经济损失较小;
l 受影响的用户和企业数量较少、生产生活区域范围较小、持续时间较短;
l 恢复工业数据或消除负面影响所需付出的代价较小。
2.二级数据:潜在影响符合下列条件之一的数据为二级数据。
l 易引发较大或重大生产安全事故或突发环境事件,给企业造成较大负面影响,或直接经济损失较大;
l 引发的级联效应明显,影响范围涉及多个行业、区域或者行业内多个企业,或影响持续时间长,或可导致大量供应商、客户资源被非法获取或大量个人信息泄露;
l 恢复工业数据或消除负面影响所需付出的代价较大。
3.三级数据:潜在影响符合下列条件之一的数据为三级数据。
l 易引发特别重大生产安全事故或突发环境事件,或造成直接经济损失特别巨大;
l 对国民经济、行业发展、公众利益、社会秩序乃至国家安全造成严重影响。
3.2工业互联网数据分类
工业数据是工业领域产品或服务全生命周期产生和应用的数据,包括但不限于工业企业在研发设计、生产制造、经营管理、运维服务等环节中生成和使用的数据,以及工业互联网平台企业在设备接入、平台运行、工业APP应用等过程中生成和使用的数据。
根据《指南》中相关内容,并结合工业企业的生产制造模式和平台企业的服务运营模式,可将工业数据划分为五大类,主要从工业系统的研发到外部数据的管理均有分类,具体分类如下:
1.研发数据域
研发类数据是工业企业在研发工业系统时产生的设计数据、开发测试数据,研发类数据对于企业来说极具商业秘密价值,将研发类数据纳入工业系统网络安全的保护范围意在保护工业企业的研发商业秘密,降低因工业互联网网络安全风险而导致企业核心研发商业秘密泄露的可能。
2.生产数据域
生产类数据是指基于工业互联网系统在生产过程中产生的控制信息、工业生产状况信息、生产工艺参数信息、工业互联网系统生产记录日志信息等。
3.运维数据域
运维数据是指在产品生产完成或交付后产生的物流数据、产品售后服务数据等运营数据。
4.管理数据域
管理数据是指针对系统设备资产信息、客户与产品信息、产品供应链数据、业务统计数据等,管理数据的产生主要是基于系统设备、客户及产品而产生的产品和供应链业务信息,将管理数据域作为独立的工业数据类别有助于帮助企业更好的利用业务管理数据,提高对客户、产品的精准管理。
5.外部数据域
外部数据主要是指与其他主体共享的数据或者从第三方获得的数据,该类数据单另成类主要目的是为了将工业企业自身工业数据与其他主体的工业数据区别开来,确保工业企业自身数据与第三方数据不发生混同的情况出现。
小结:以上五种工业数据分类,可以概括为两种维度的分类:
1.基于平台运营的数据域,包括但不限于物联网采集的数据、研发数据、知识库模型库数据等;
2.企业管理数据,包括但不限于客户数据、业务合作数据、人事财务数据等。
以上五种分类是基于企业的行业要求、业务规模、数据复杂程度等实际情况,对工业数据进行分类梳理和标识,可以帮助企业形成企业工业互联网数据分类清单。
3.3等保2.0数据安全相关要求
1. 访问控制
访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级;数据库表级的访问控制必须通过数据库防火墙产品来实现,这意味着数据库防火墙将是等保三级的一个必须产品。(注意在等保1.0中只有四级以上系统才有数据库表级的访问控制要求);对文件的访问控制则可以通过数据防泄漏产品或其它文档安全产品来实现。
2. 安全审计
本项要求包括:
1)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;
2)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他不审计相关的信息;
3)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;
4)应对审计进程进行保护,防止未经授权的中断。
根据GB/T 28448-2019《等保测评标准》:以上条款的评测对象包括:终端和服务器等设备中的操作系统(包括宿主机和虚拟机操作系统)、网络设备(包括虚拟机网络设备)、安全设备(包括虚拟机安全设备)、移动终端、移动终端管理系统、移动终端管理客户端、感知节点设备、网关节点设备、控制设备、业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计文档等。因此,涉及到数据库、文档等数据安全审计的,需要数据库审计、数据防泄漏等产品来进行满足。
3.数据完整性
应采用校验技术或密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。
以上条款的测评对象包括:业务应用系统、数据库管理系统、中间件、系统管理软件及系统设计文档、数据安全保护系统、终端和服务器等设备中的操作系统及网络设备和安全设备等。
4.数据保密性
应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等。
以上条款的测评对象包括:业务应用系统、数据库管理系统、中间件、系统管理软件及系统设计文档、数据安全保护系统、终端和服务器等设备中的操作系统及网络设备和安全设备中的重要配置数据。
5.数据备份恢复
本项要求包括:
l 应提供重要数据的本地数据备份不恢复功能;
l 应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地;
l 应提供重要数据处理系统的热冗余,保证系统的高可用性。
l 以上条款的测评对象包括:配置数据和业务数据、以及重要数据处理系统。通过容灾备份系统可以满足本项要求。
6.剩余信息保护
本项要求包括:
1)应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除;
2)应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除。
7.个人信息保护
本项要求包括:
1)应仅采集和保存业务必需的用户个人信息;
2)应禁止未授权访问和非法使用用户个人信息。
本项测评对象包括:业务应用系统和数据库管理系统等。本项的测评要求如下:
1)应核查采集的用户个人信息是否是业务应用必需的;
2)应核查是否采用技术措施限制对用户个人信息的访问和使用;
3)应核查是否制定了有关用户个人信息保护的管理制度和流程。
对于业务应用非必须的个人信息数据,可以通过数据库脱敏来进行匿名化处理,从而满足等保要求。
3.4数据风险识别
1.安全挑战
数据库安全事件频繁发生,与数据库管理面临的安全挑战密切相关。概括起来数据库面临的安全挑战可以分为以下三个方面:
l 管理层面:主要表现为人员职责定位不清晰、流程有待完善,内部员工的日常操作有待规范,第三方维护人员的操作缺乏有效监控等等,致使安全事件发生时,无法追责到人。
l 技术层面:数据库内部操作不明晰,无法通过传统的外部安全工具(比如:防火墙、IDS、IPS等)来阻止内部用户的恶意操作、资源滥用和敏感歇息泄露等违规行为。
l 审计层面:现有的依赖于数据库日志文件的审计方法,存在诸多的弊端,比如:数据库审计功能的开启会影响数据库本身的性能、数据库日志文件本身存在被篡改的风险,难以体现审计信息的真实性。
2.法规遵从
客户面临数据安全挑战的同时,还面临着法规遵从的要求。对数据库安全管理及审计的相关法规要求如下:
计算机信息系统安全等级保护要求
GBT22239-2019《信息安全技术网络安全等级保护基本要求》《计算机信息系统安全等级保护数据库管理技术要求》是计算机信息系统安全等级保护技术要求系列标准之一,详细说明了计算机信息系统为实现GB17859所提出的安全等级保护要求,对数据库管理系统提出的安全技术要求,以及确保这些安全技术所实现的安全功能达到其应有的安全性而采取的保证措施。
《计算机信息系统安全等级保护数据库管理技术要求》第四章“数据库管理系统安全技术要求”中第四节“数据库安全审计”中明确提出:数据库管理系统的安全审计应建立独立的安全审计系统;定义与数据库安全相关的审计事件;设置专门的安全审计员;设置专门用于存储数据库系统审计数据的安全审计库;提供适用于数据库系统的安全审计设置、分析和查阅的工具。
3.业务需求分析
面对严峻的数据库安全挑战,以及法规遵从的要求,客户迫切需要能够切实解决上述难题的专业数据库审计产品。那么,作为一款专业的数据库审计产品,应该具备以下特点:
1)全面审计
应该具备全面审计的特点,即数据库访问审计日志的要素要尽量全面而详细、兼容各种数据库访问协议、支持三层数据库部署环境中的各种中间件,方便管理员全面掌握数据库访问情况。
2)准确定位
应该具备准确定位的特点,即能够准确识别具体的操作对象、能够准确地进行参数关联、能够准确地把后端数据库的SQL操作与前端Web应用的用户进行关联,便于管理员对所有的数据库访问进行精准定位、责任到人。
3)高效分析
应该具备高效分析的特点,即在海量日志中能够快速检索,帮助管理员快速检索、聚焦到关键的访问日志上。
4)风险告警
应该具备风险告警的功能特性,在进行数据库访问审计的同时,能够有效识别针对数据库漏洞的各种攻击行为、有效区分SQL注入与正常的访问,全面降低数据库安全风险。
四、工业互联网数据安全体系建设
根据国家和工信部《指南》相关要求,依照工业互联网数据业务特点,bbin宝盈集团科技结合自身多年工业互联网安全研究经验,整合多类数据安全技术,建设一套统一的数据安全管理体系,支持数据安全设备的统一接入与管控,并通过相关流量、日志分析综合分析工业互联网数据安全风险,进行数据资产梳理和数据安全风险管控和态势展现和支持工业互联网数据安全测评业务,其统一数据安全管理系统总统架构如下图所示:
图 1 工业互联网数据安全管理系统架构
数据安全建设应覆盖数据流转的全过程、针对数据采集、传输、存储、使用、共享、销毁的全生命周期进行针对性防护。
针对工业互联网面临的主要数据安全风险优先重点建设以下能力:
1、建设敏感数据资产的梳理能力和数据平台弱点发现能力,通过工具对敏感数据进行梳理,及时识别和掌握敏感数据资产的分布,并对其进行分类分级,以便进行针对性防护。同时基于木桶效应,利用工具对存储数据平台的弱点进行识别。并及时修复,确保数据存储平台的基础安全并满足相关等保合规要求。
2、建设全面覆盖的数据防泄漏能力。利用相关工具,建设数据泄漏防护系统,打造一个安全、可信、规范的工作环境,实现对数据的安全管控及泄漏防护保障。提供以下数据安全防泄漏能力杜绝主机漏洞隐患:
l 拷贝敏感内容到USB设备时数据自动加密,确保介质使用可管、可控、可查;
l 在终端上识别和发现敏感内容;
l 针对发现的敏感内容文件进行分类、分级和统计;
l 针对发现的敏感内容外发事件做记录和警示;
l 禁止敏感文档通过外设端口外传泄密。
3、提供对泄密行为的主动防御能力,并可进行事后审计。
4、建设有效的数据安全风险识别能力。利用数据挖掘、UEBA、AI、机器学习技术,对相关系统产生的应用日志和数据库审计设备的审计日志进行针对性分析和风险建模。从海量的日志和告警中及时识别出数据安全高风险事件,并进行告警和事后回溯。
5、建设灵活的数据安全运营与联动防护能力。当检出数据安全风险后,应确保在及时告警的同时支持联动相关防护设备如防火墙、数据防泄漏设备进行防护,确保相关风险能过及时处理,避免数据的泄漏和恶意利用。