以数字技术和智能技术为代表的新工业革命发展迅速,工业物理世界和数字世界的边界越来越模糊,推动产业结构不断演进变迁。工业互联网将人、机、物全面互联,以数据作为连接连接生产过程全要素、全产业链信息,建立数据驱动的新型生产制造和服务体系。

 

工业互联网数据面临的安全风险日益突出,制造企业数据成为重点攻击目标,数据安全成为工业企业普遍关注重点,总结下主要有以下问题:

 

1数据库外部风险防御能力缺失,导致数据窃取、拖库等;

2终端管控、上网行为管控缺失,引发数据外泄,权限控制缺失,导致数据滥用;

3特权账号管理薄弱,造成权限滥用,弱口令普遍存在,导致数据泄露;

4数据资产不清,数据等级不明,大量数据未进行分类分级管理,数据安全风险缺少监测,导致安全事件已发生还不知情。

 

工业数据安全解决方案以“数据、人、场景”为核心,结合工业实际业务场景进行规划和设计,通过数据安全管理、数据安全技术和数据安全运营三个体系的服务内容,实现数据防泄漏、防篡改、防滥用。数据安全统一管控平台链接各数据安全产品和特性,围绕“识别-保护-侦测”,保护云管端数据安全,实现数据全生命周期的安全覆盖。通过结合技术工具和安全运营、安全评测等专业服务,建立事前强管控、事中全留痕、事后可追溯的监管运营机制,及时发现处置数据安全风险。

 

工业企业建设数据安全体系能力,应分析场景需求,结合风险评估,制定数据分类分级标准,为管理、技术、运营能力建设提供指导。

 

1数据安全风险评估:对系统中存在的数据安全风险进行相应的评估,识别风险,出具评估报告,并对风险处置给出建议。开展安全现场调研,对数据进行综合分析,最终确定组织信息资产存在的问题,并在此基础上确定信息资产的风险级别。根据收集的信息编写风险评估报告,说明评估结论、证据及使用的方法等,使相关参与方充分理解信息系统潜在风险。风险评估之后,明确企业/机构自身真正的安全需求,制定并落实各项风险处置计划。

 

2数据分类分级:数据分类级是数据安全能力建设中的一个关键部分,是建立统一、准确、完善的数据架构的基础,是实现集中化、专业化、标准化数据管理的基础。数据分类分级可以全面清晰地厘清数据资产,确定应采取的数据安全防护策略和管控措施,在保证数据安全的基础上促进数据开放共享。分类分级将基础信息与工具内置分类分级规则进行匹配与数据打标,形成数据分类分级清单,可应用于可视化展示、与大数据平台应用对接、与安全产品对接等。

 

3数据安全管理能力建设:数据安全管理能力建设要从顶层规划、组织建设、制度流程、技术工具、人员能力这 5 个方面开展。顶层规划是数据安全建设工作能够有条不紊的开展的前提,可以按照现状分析、方案规划、方案论证的环节顺序推进。明晰的组织体系是保障数据安全工作顺利开展的首要条件,涉及数据安全决策、管理、执行层等不同参与团队。制度流程作为数据安全防护要求、管理策略、操作规程等的集合,从业务数据安全需求、数据安全风险控制需要等几个方面进行梳理。技术工具和人员能力是落实各项安全管理要求的有效手段,人才能力应从数据安全意识提升、数据安全能力培训、数据安全能力考核三方面进行培养。

 

数据安全是系统工程,安全体系在任何流程节点被突破,都将造成不可挽回的损失。数据全生命周期流程包括数据采集、数据传输、数据存储、数据使用、数据共享和数据销毁等不同环节,均需设计安全防护流程和技术体系,下面简要介绍如下:

 

1数据采集安全:数据采集阶段,核心是要做好数据的分类分级梳理,从海量、流动的数据中识别发现保护对象,根据策略规则和算法定义敏感数据与非敏感数据,对结构化数据和非结构化数据进行扫描、分类、分级,建立数据资产清单,并根据结果做进一步的安全防护。同时,做好数据源的身份认证和恶意数据检测;

 

2数据传输安全:数据在传输阶段面临被窃取、被破坏篡改等风险,应使用传输加密、专属物理通道等技术手段保护数据在传输过程中的安全。一般而言,可以采用传输加密、独享物理通道等方式实现,传输加密提供从网络层到应用层的全栈传输加密能力,如使用基于 HTTPS 协议提供外部业务访问,将基于明文传输的HTTP调整为加密的HTTPS方式,保证远程终端节点访问云内资源的安全性。

 

3数据存储安全:数据存储安全主要是指数据在存储的过程中保持完整性、机密性和可用性的能力。为解决数据存储阶段的风险问题,应基于数据分级分类标准对数据进行加密存储和分级保护,应根据不同的存储类型采取适当的加密手段,如 DWS MRS OBS存储加密、数据库加密、应用对接专属加密等,为解决密钥管理的风险问题,所有的加密密钥应对接密钥管理服务 KMS 统一管理。

 

4数据使用安全:数据在加工处理的过程中,同样面临着泄露、篡改、滥用等风险。在数据使用过程中,应基于数据分类分级的情况,采用相应的数据保护措施,结合数据脱敏、数据库审计、数据访问控制和综合日志审计等多种技术手段,有效管控数据在使用过程中存在的风险,最大程度地降低数据泄露的风险,全程审计用户对数据的操作行为,并满足溯源追踪的能力。

 

5数据共享安全:为了在数据共享流通环节更好的保护数据,可以依据数据分类分级的结果,同时根据用户行为、情况动态进行数据授权,对用户、应用等访问数据的行为进行权限管控、分析和审计,检测数据泄露的风险,同时对敏感数据进行数据脱敏和隐藏,防止信息扩散和信息泄露事件的发生。此外,可结合数据水印技术,在泄露事件发生后可进行追踪溯源。

 

6数据销毁安全:应对介质失窃、返修、利旧重新分配用途等场景下引入的数据泄密风险。支持密钥销毁、数据擦除和物理销毁三种方式。密钥销毁通过销毁数据卷的加密秘钥,快速销毁整个卷的数据。可实现秒级销毁大批量数据。数据擦除主要是索引擦除和数据副本删除。物理销毁通过物理消磁、粉碎方式彻底销毁存储介质。

 

对数据安全方案感兴趣的企业,请直接在线咨询,或注册账号申请专家服务现场支持。

Logo

助力广东及东莞地区开发者,代码托管、在线学习与竞赛、技术交流与分享、资源共享、职业发展,成为松山湖开发者首选的工作与学习平台

更多推荐