以数字技术和智能技术为代表的新工业革命发展迅速，工业物理世界和数字世界的边界越来越模糊，推动产业结构不断演进变迁。工业互联网将人、机、物全面互联，以数据作为连接连接生产过程全要素、全产业链信息，建立数据驱动的新型生产制造和服务体系。

 

工业互联网数据面临的安全风险日益突出，制造企业数据成为重点攻击目标，数据安全成为工业企业普遍关注重点，总结下主要有以下问题：

 

1、数据库外部风险防御能力缺失，导致数据窃取、拖库等；

2、终端管控、上网行为管控缺失，引发数据外泄，权限控制缺失，导致数据滥用；

3、特权账号管理薄弱，造成权限滥用，弱口令普遍存在，导致数据泄露；

4、数据资产不清，数据等级不明，大量数据未进行分类分级管理，数据安全风险缺少监测，导致安全事件已发生还不知情。

 

工业数据安全解决方案以“数据、人、场景”为核心，结合工业实际业务场景进行规划和设计，通过数据安全管理、数据安全技术和数据安全运营三个体系的服务内容，实现数据防泄漏、防篡改、防滥用。数据安全统一管控平台链接各数据安全产品和特性，围绕“识别-保护-侦测”，保护云管端数据安全，实现数据全生命周期的安全覆盖。通过结合技术工具和安全运营、安全评测等专业服务，建立事前强管控、事中全留痕、事后可追溯的监管运营机制，及时发现处置数据安全风险。

 

工业企业建设数据安全体系能力，应分析场景需求，结合风险评估，制定数据分类分级标准，为管理、技术、运营能力建设提供指导。

 

1、数据安全风险评估：对系统中存在的数据安全风险进行相应的评估，识别风险，出具评估报告，并对风险处置给出建议。开展安全现场调研，对数据进行综合分析，最终确定组织信息资产存在的问题，并在此基础上确定信息资产的风险级别。根据收集的信息编写风险评估报告，说明评估结论、证据及使用的方法等，使相关参与方充分理解信息系统潜在风险。风险评估之后，明确企业/机构自身真正的安全需求，制定并落实各项风险处置计划。

 

2、数据分类分级：数据分类级是数据安全能力建设中的一个关键部分，是建立统一、准确、完善的数据架构的基础，是实现集中化、专业化、标准化数据管理的基础。数据分类分级可以全面清晰地厘清数据资产，确定应采取的数据安全防护策略和管控措施，在保证数据安全的基础上促进数据开放共享。分类分级将基础信息与工具内置分类分级规则进行匹配与数据打标，形成数据分类分级清单，可应用于可视化展示、与大数据平台应用对接、与安全产品对接等。

 

3、数据安全管理能力建设：数据安全管理能力建设要从顶层规划、组织建设、制度流程、技术工具、人员能力这 5 个方面开展。顶层规划是数据安全建设工作能够有条不紊的开展的前提，可以按照现状分析、方案规划、方案论证的环节顺序推进。明晰的组织体系是保障数据安全工作顺利开展的首要条件，涉及数据安全决策、管理、执行层等不同参与团队。制度流程作为数据安全防护要求、管理策略、操作规程等的集合，从业务数据安全需求、数据安全风险控制需要等几个方面进行梳理。技术工具和人员能力是落实各项安全管理要求的有效手段，人才能力应从数据安全意识提升、数据安全能力培训、数据安全能力考核三方面进行培养。

 

数据安全是系统工程，安全体系在任何流程节点被突破，都将造成不可挽回的损失。数据全生命周期流程包括数据采集、数据传输、数据存储、数据使用、数据共享和数据销毁等不同环节，均需设计安全防护流程和技术体系，下面简要介绍如下：

 

1、数据采集安全：数据采集阶段，核心是要做好数据的分类分级梳理，从海量、流动的数据中识别发现保护对象，根据策略规则和算法定义敏感数据与非敏感数据，对结构化数据和非结构化数据进行扫描、分类、分级，建立数据资产清单，并根据结果做进一步的安全防护。同时，做好数据源的身份认证和恶意数据检测；

 

2、数据传输安全：数据在传输阶段面临被窃取、被破坏篡改等风险，应使用传输加密、专属物理通道等技术手段保护数据在传输过程中的安全。一般而言，可以采用传输加密、独享物理通道等方式实现，传输加密提供从网络层到应用层的全栈传输加密能力，如使用基于 HTTPS 协议提供外部业务访问，将基于明文传输的HTTP调整为加密的HTTPS方式，保证远程终端节点访问云内资源的安全性。

 

3、数据存储安全：数据存储安全主要是指数据在存储的过程中保持完整性、机密性和可用性的能力。为解决数据存储阶段的风险问题，应基于数据分级分类标准对数据进行加密存储和分级保护，应根据不同的存储类型采取适当的加密手段，如 DWS MRS OBS存储加密、数据库加密、应用对接专属加密等，为解决密钥管理的风险问题，所有的加密密钥应对接密钥管理服务 KMS 统一管理。

 

4、数据使用安全：数据在加工处理的过程中，同样面临着泄露、篡改、滥用等风险。在数据使用过程中，应基于数据分类分级的情况，采用相应的数据保护措施，结合数据脱敏、数据库审计、数据访问控制和综合日志审计等多种技术手段，有效管控数据在使用过程中存在的风险，最大程度地降低数据泄露的风险，全程审计用户对数据的操作行为，并满足溯源追踪的能力。

 

5、数据共享安全：为了在数据共享流通环节更好的保护数据，可以依据数据分类分级的结果，同时根据用户行为、情况动态进行数据授权，对用户、应用等访问数据的行为进行权限管控、分析和审计，检测数据泄露的风险，同时对敏感数据进行数据脱敏和隐藏，防止信息扩散和信息泄露事件的发生。此外，可结合数据水印技术，在泄露事件发生后可进行追踪溯源。

 

6、数据销毁安全：应对介质失窃、返修、利旧重新分配用途等场景下引入的数据泄密风险。支持密钥销毁、数据擦除和物理销毁三种方式。密钥销毁通过销毁数据卷的加密秘钥，快速销毁整个卷的数据。可实现秒级销毁大批量数据。数据擦除主要是索引擦除和数据副本删除。物理销毁通过物理消磁、粉碎方式彻底销毁存储介质。

 

对数据安全方案感兴趣的企业，请直接在线咨询，或注册账号申请专家服务现场支持。