新基建時代,如何構建工業網際網路資料安全體系?

綠盟科技發表於2020-07-16

4月20日,國家發改委明確新基建範圍,新基礎設施涵蓋5G、物聯網、工業網際網路等通訊網路基礎設施,其中工業網際網路作為數字化基建之一,融合雲端計算、物聯網、大資料、5G通訊、邊緣計算等新一代資訊通訊技術,多元技術融合也帶來隱患,工業網際網路從平臺到具體應用都離不開安全保障。新基建帶來新的發展機遇,也對網路空間安全帶來全新挑戰。

一、疫情為工業網際網路帶來新機遇,"新基建"為資料安全建設帶來"新挑戰"

今年年初全國疫情爆發,在疫情危機之下數字經濟蓬勃發展,而"新基建"作為產業數字化、數字產業化的基礎設施,迎來了前所未有的發展機遇。隨著"新基建"被廣泛關注和熱議,一些業內人士同時也提出了其發展過程中應該注意的安全問題。大資料是"新基建"的核心和靈魂,包括資料濫用、資料偷竊、資料被越權使用、資料洩露等在內的資料安全問題都會影響發展"新基建"的效果。除了要注重來源於網路側的安全問題外,更加需要注重對工業網際網路企業資料安全的保護。

工業網際網路是工業企業以智慧化、網際網路化、工業資料化為核心生產要素的工業數字化新型產業驅動模式。新基建政策將工業網際網路作為新型基礎設施建設的重要組成部分,就是要激發工業資料的流通和使用,極大地促進工業資料轉化成生產力。在此背景下,工信部多次就工業網際網路出臺相關規定,討論工業網際網路下企業如何管理資料,如何在保證工業網際網路網路安全的前提下充分利用工業資料。

二、國內資料安全現狀

2019年勒索病毒在全球範圍內呈現週期性的爆發。在我國有多家醫院、臺積電曾遭遇攻擊。2020年年初曝出的某企業刪庫事件,由於企業員工的個人行為,直接導致該企業瞬間蒸發近10億市值,此次事件為資料安全再次敲響了警鐘。同時,今年6月初,某汽車企業也曾遭遇過勒索軟體攻擊。透過以上的種種資料安全事件,可以看出現今各個企業從賬號安全、資料使用安全、資料庫安全、資料備份、IT運維等方面都暴露出各種內外部安全風險。

可以預見,伴隨著“新基建”的開展,需要重點保護的基礎設施將大規模增加,所涉及到的高新技術產業面臨的挑戰將不僅包括技術本身的挑戰,除了需要考慮到網路攻擊將從數字空間延伸到物理空間,還需要考慮到,從技術安全建設擴充套件到資料安全管理及人員安全培訓。在“新基建”浪潮下的工業網際網路行業資料安全威脅將再度升級。

三、工業網際網路資料安全需求

工業網際網路資料種類多樣,資料流動方向和路徑複雜,分佈在大資料平臺、生產終端、工業網際網路平臺、設計伺服器等多種設施上,僅依託單點、離散的資料保護措施難以有效保護工業網際網路中流動的工業資料安全。

從上述問題可以看出,現今工業網際網路企業普遍缺乏對其資料進行系統防護。當前我國工業企業、工業網際網路平臺企業等仍然存在重發展輕安全的問題。對於開展工業網際網路資料安全防護建設等相關工作,由於缺乏經驗或由於資訊化建設程度較差,很多企業感到無從下手或者力不從心,特別是在面對海量多樣的工業網際網路資料時,對如何開展資料安全分類分級和安全防護缺少思路。

因此,加快推動工業網際網路資料安全分類分級、實行差異化資料安全防護是當前工業網際網路資料安全保障的重點工作,也是落實企業主體責任的重要舉措,亦是強化資料安全監管的重要抓手,更是促進數字經濟健康發展、維護國家資料主權的重要保障。

綠盟科技在工業資料分類分級遵循2020年2月27日工業和資訊化部辦公廳關於印發《工業資料分類分級指南(試行)》(下文簡稱《指南》)所制定的相關要求:

3.1工業網際網路資料分級

根據不同類別工業資料遭篡改、破壞、洩露或非法利用後,可能對工業生產、經濟效益等帶來的潛在影響,將工業資料分為一級、二級、三級等3個級別。

1.一級資料:潛在影響符合下列條件之一的資料為一級資料。

· 對工業控制系統及裝置、工業網際網路平臺等的正常生產執行影響較小;

·給企業造成負面影響較小,或直接經濟損失較小;

·受影響的使用者和企業數量較少、生產生活區域範圍較小、持續時間較短;

·恢復工業資料或消除負面影響所需付出的代價較小。

2.二級資料:潛在影響符合下列條件之一的資料為二級資料。

·易引發較大或重大生產安全事故或突發環境事件,給企業造成較大負面影響,或直接經濟損失較大;

·引發的級聯效應明顯,影響範圍涉及多個行業、區域或者行業內多個企業,或影響持續時間長,或可導致大量供應商、客戶資源被非法獲取或大量個人資訊洩露;

·恢復工業資料或消除負面影響所需付出的代價較大。

3.三級資料:潛在影響符合下列條件之一的資料為三級資料。

·易引發特別重大生產安全事故或突發環境事件,或造成直接經濟損失特別巨大;

·對國民經濟、行業發展、公眾利益、社會秩序乃至國家安全造成嚴重影響。

3.2工業網際網路資料分類

工業資料是工業領域產品或服務全生命週期產生和應用的資料,包括但不限於工業企業在研發設計、生產製造、經營管理、運維服務等環節中生成和使用的資料,以及工業網際網路平臺企業在裝置接入、平臺執行、工業APP應用等過程中生成和使用的資料。

根據《指南》中相關內容,並結合工業企業的生產製造模式和平臺企業的服務運營模式,可將工業資料劃分為五大類,主要從工業系統的研發到外部資料的管理均有分類,具體分類如下:

1.研發資料域

研發類資料是工業企業在研發工業系統時產生的設計資料、開發測試資料,研發類資料對於企業來說極具商業秘密價值,將研發類資料納入工業系統網路安全的保護範圍意在保護工業企業的研發商業秘密,降低因工業網際網路網路安全風險而導致企業核心研發商業秘密洩露的可能。

2.生產資料域

生產類資料是指基於工業網際網路系統在生產過程中產生的控制資訊、工業生產狀況資訊、生產工藝引數資訊、工業網際網路系統生產記錄日誌資訊等。

3.運維資料域

運維資料是指在產品生產完成或交付後產生的物流資料、產品售後服務資料等運營資料。

4.管理資料域

管理資料是指標對系統裝置資產資訊、客戶與產品資訊、產品供應鏈資料、業務統計資料等,管理資料的產生主要是基於系統裝置、客戶及產品而產生的產品和供應鏈業務資訊,將管理資料域作為獨立的工業資料類別有助於幫助企業更好的利用業務管理資料,提高對客戶、產品的精準管理。

5.外部資料域

外部資料主要是指與其他主體共享的資料或者從第三方獲得的資料,該類資料單另成類主要目的是為了將工業企業自身工業資料與其他主體的工業資料區別開來,確保工業企業自身資料與第三方資料不發生混同的情況出現。

小結:以上五種工業資料分類,可以概括為兩種維度的分類:

1.基於平臺運營的資料域,包括但不限於物聯網採集的資料、研發資料、知識庫模型庫資料等;

2.企業管理資料,包括但不限於客戶資料、業務合作資料、人事財務資料等。

以上五種分類是基於企業的行業要求、業務規模、資料複雜程度等實際情況,對工業資料進行分類梳理和標識,可以幫助企業形成企業工業網際網路資料分類清單。

3.3等保2.0資料安全相關要求

1. 訪問控制

訪問控制的粒度應達到主體為使用者級或程式級,客體為檔案、資料庫表級;資料庫表級的訪問控制必須透過資料庫防火牆產品來實現,這意味著資料庫防火牆將是等保三級的一個必須產品。(注意在等保1.0中只有四級以上系統才有資料庫表級的訪問控制要求);對檔案的訪問控制則可以透過資料防洩漏產品或其它文件安全產品來實現。

2. 安全審計

本項要求包括:

1)應啟用安全審計功能,審計覆蓋到每個使用者,對重要的使用者行為和重要安全事件進行審計;

2)審計記錄應包括事件的日期和時間、使用者、事件型別、事件是否成功及其他不審計相關的資訊;

3)應對審計記錄進行保護,定期備份,避免受到未預期的刪除、修改或覆蓋等;

4)應對審計程式進行保護,防止未經授權的中斷。

根據GB/T 28448-2019《等保測評標準》:以上條款的評測物件包括:終端和伺服器等裝置中的作業系統(包括宿主機和虛擬機器作業系統)、網路裝置(包括虛擬機器網路裝置)、安全裝置(包括虛擬機器安全裝置)、移動終端、移動終端管理系統、移動終端管理客戶端、感知節點裝置、閘道器節點裝置、控制裝置、業務應用系統、資料庫管理系統、中介軟體和系統管理軟體及系統設計文件等。因此,涉及到資料庫、文件等資料安全審計的,需要資料庫審計、資料防洩漏等產品來進行滿足。

3.資料完整性

應採用校驗技術或密碼技術保證重要資料在儲存過程中的完整性,包括但不限於鑑別資料、重要業務資料、重要審計資料、重要配置資料、重要影片資料和重要個人資訊等。

以上條款的測評物件包括:業務應用系統、資料庫管理系統、中介軟體、系統管理軟體及系統設計文件、資料安全保護系統、終端和伺服器等裝置中的作業系統及網路裝置和安全裝置等。

4.資料保密性

應採用密碼技術保證重要資料在儲存過程中的保密性,包括但不限於鑑別資料、重要業務資料和重要個人資訊等。

以上條款的測評物件包括:業務應用系統、資料庫管理系統、中介軟體、系統管理軟體及系統設計文件、資料安全保護系統、終端和伺服器等裝置中的作業系統及網路裝置和安全裝置中的重要配置資料。

5.資料備份恢復

本項要求包括:

·應提供重要資料的本地資料備份不恢復功能;

·應提供異地實時備份功能,利用通訊網路將重要資料實時備份至備份場地;

·應提供重要資料處理系統的熱冗餘,保證系統的高可用性。

·以上條款的測評物件包括:配置資料和業務資料、以及重要資料處理系統。透過容災備份系統可以滿足本項要求。

6.剩餘資訊保護

本項要求包括:

1)應保證鑑別資訊所在的儲存空間被釋放或重新分配前得到完全清除;

2)應保證存有敏感資料的儲存空間被釋放或重新分配前得到完全清除。

7.個人資訊保護

本項要求包括:

1)應僅採集和儲存業務必需的使用者個人資訊;

2)應禁止未授權訪問和非法使用使用者個人資訊。

本項測評物件包括:業務應用系統和資料庫管理系統等。本項的測評要求如下:

1)應核查採集的使用者個人資訊是否是業務應用必需的;

2)應核查是否採用技術措施限制對使用者個人資訊的訪問和使用;

3)應核查是否制定了有關使用者個人資訊保護的管理制度和流程。

對於業務應用非必須的個人資訊資料,可以透過資料庫脫敏來進行匿名化處理,從而滿足等保要求。

3.4資料風險識別

1.安全挑戰

資料庫安全事件頻繁發生,與資料庫管理面臨的安全挑戰密切相關。概括起來資料庫面臨的安全挑戰可以分為以下三個方面:

·管理層面:主要表現為人員職責定位不清晰、流程有待完善,內部員工的日常操作有待規範,第三方維護人員的操作缺乏有效監控等等,致使安全事件發生時,無法追責到人。

·技術層面:資料庫內部操作不明晰,無法透過傳統的外部安全工具(比如:防火牆、IDS、IPS等)來阻止內部使用者的惡意操作、資源濫用和敏感歇息洩露等違規行為。

·審計層面:現有的依賴於資料庫日誌檔案的審計方法,存在諸多的弊端,比如:資料庫審計功能的開啟會影響資料庫本身的效能、資料庫日誌檔案本身存在被篡改的風險,難以體現審計資訊的真實性。

2.法規遵從

客戶面臨資料安全挑戰的同時,還面臨著法規遵從的要求。對資料庫安全管理及審計的相關法規要求如下:

計算機資訊系統安全等級保護要求

GBT22239-2019《資訊保安技術網路安全等級保護基本要求》《計算機資訊系統安全等級保護資料庫管理技術要求》是計算機資訊系統安全等級保護技術要求系列標準之一,詳細說明了計算機資訊系統為實現GB17859所提出的安全等級保護要求,對資料庫管理系統提出的安全技術要求,以及確保這些安全技術所實現的安全功能達到其應有的安全性而採取的保證措施。

《計算機資訊系統安全等級保護資料庫管理技術要求》第四章“資料庫管理系統安全技術要求”中第四節“資料庫安全審計”中明確提出:資料庫管理系統的安全審計應建立獨立的安全審計系統;定義與資料庫安全相關的審計事件;設定專門的安全審計員;設定專門用於儲存資料庫系統審計資料的安全審計庫;提供適用於資料庫系統的安全審計設定、分析和查閱的工具。

3.業務需求分析

面對嚴峻的資料庫安全挑戰,以及法規遵從的要求,客戶迫切需要能夠切實解決上述難題的專業資料庫審計產品。那麼,作為一款專業的資料庫審計產品,應該具備以下特點:

1)全面審計

應該具備全面審計的特點,即資料庫訪問審計日誌的要素要儘量全面而詳細、相容各種資料庫訪問協議、支援三層資料庫部署環境中的各種中介軟體,方便管理員全面掌握資料庫訪問情況。

2)準確定位

應該具備準確定位的特點,即能夠準確識別具體的操作物件、能夠準確地進行引數關聯、能夠準確地把後端資料庫的SQL操作與前端Web應用的使用者進行關聯,便於管理員對所有的資料庫訪問進行精準定位、責任到人。

3)高效分析

應該具備高效分析的特點,即在海量日誌中能夠快速檢索,幫助管理員快速檢索、聚焦到關鍵的訪問日誌上。

4)風險告警

應該具備風險告警的功能特性,在進行資料庫訪問審計的同時,能夠有效識別針對資料庫漏洞的各種攻擊行為、有效區分SQL隱碼攻擊與正常的訪問,全面降低資料庫安全風險。

四、工業網際網路資料安全體系建設

根據國家和工信部《指南》相關要求,依照工業網際網路資料業務特點,綠盟科技結合自身多年工業網際網路安全研究經驗,整合多類資料安全技術,建設一套統一的資料安全管理體系,支援資料安全裝置的統一接入與管控,並透過相關流量、日誌分析綜合分析工業網際網路資料安全風險,進行資料資產梳理和資料安全風險管控和態勢展現和支援工業網際網路資料安全測評業務,其統一資料安全管理系統總統架構如下圖所示:

新基建時代,如何構建工業網際網路資料安全體系?新基建時代,如何構建工業網際網路資料安全體系?

圖 1 工業網際網路資料安全管理系統架構

資料安全建設應覆蓋資料流轉的全過程、針對資料採集、傳輸、儲存、使用、共享、銷燬的全生命週期進行針對性防護。

針對工業網際網路面臨的主要資料安全風險優先重點建設以下能力:

1、建設敏感資料資產的梳理能力和資料平臺弱點發現能力,透過工具對敏感資料進行梳理,及時識別和掌握敏感資料資產的分佈,並對其進行分類分級,以便進行針對性防護。同時基於木桶效應,利用工具對儲存資料平臺的弱點進行識別。並及時修復,確保資料儲存平臺的基礎安全並滿足相關等保合規要求。

2、建設全面覆蓋的資料防洩漏能力。利用相關工具,建設資料洩漏防護系統,打造一個安全、可信、規範的工作環境,實現對資料的安全管控及洩漏防護保障。提供以下資料安全防洩漏能力杜絕主機漏洞隱患:

·複製敏感內容到USB裝置時資料自動加密,確保介質使用可管、可控、可查;

·在終端上識別和發現敏感內容;

·針對發現的敏感內容檔案進行分類、分級和統計;

·針對發現的敏感內容外發事件做記錄和警示;

·禁止敏感文件透過外設埠外傳洩密。

3、提供對洩密行為的主動防禦能力,並可進行事後審計。

4、建設有效的資料安全風險識別能力。利用資料探勘、UEBA、AI、機器學習技術,對相關係統產生的應用日誌和資料庫審計裝置的審計日誌進行針對性分析和風險建模。從海量的日誌和告警中及時識別出資料安全高風險事件,並進行告警和事後回溯。

5、建設靈活的資料安全運營與聯動防護能力。當檢出資料安全風險後,應確保在及時告警的同時支援聯動相關防護裝置如防火牆、資料防洩漏裝置進行防護,確保相關風險能過及時處理,避免資料的洩漏和惡意利用。

相關文章