一、工业互联网数据安全趋势
随着“云、大、物、移、智”等新一代信息技术与制造业的融合发展,数字化生产、网络化协同、个性化定制、服务化延伸等生产运营模式逐渐成为常态,工业互联网数据不断走向开放流动。但原本封闭在工业现场的数据上网上云会带来敏感数据泄露、违规传输、非法跨境、恶意篡改等工业互联网数据安全风险。
随着《数据安全法》,《个人信息保护法》以及《关键信息基础设施保护条例》等数据安全法律法规的颁布,工业企业在面临空前的数据安全威胁的同时,也面临着国家和行业的数据安全合规监管。
根据工信部发布的《工业信息化领域数据安全管理办法》(二次征求意见稿),以及工信部发布要求各工业企业推进《数据管理能力成熟度评估模型》(GB /T36073 — 2018)的通知,当前工业互联网基础设施运营商、工业企业、工业互联网平台企业开展工业互联网数据安全监测,形成工业互联网数据资产识别、数据安全风险监测预警、数据安全威胁溯源处置等技术能力,实现工业互联网数据安全风险与威胁可感、可知、可处置、可追溯等能力,成为各工业企业以及工业互联网运营平台企业亟待解决的问题。
二、典型安全需求分析
当前,工业互联网数据安全普遍存在以下问题:
(1)工业互联网数据资产数量、种类、级别、分布位置不明了,数据分类分级识别分析缺乏技术手段;
(2)工业互联网数据存在跨网域、跨平台、跨区域、跨境等流转需求,但对于敏感数据没有明确统一的定义和管理规范,在网络流量中捕捉敏感数据难度大,存在敏感数据违规传输、泄露等现象;
(3)工业互联网数据访问、存储、共享、披露、删除等缺少全流程安全规范,存在非法访问、无序存储、违规共享、恶意披露与删除等问题。
针对上述安全需求,需要一个工业互联网数据安全监测预警方案,实现对工业互联网数据跨网、跨域、跨实体流转的动态数据监控,安全威胁检测和预警,以及数据安全事件溯源审计,可以有效解决上述安全问题。
三、解决方案
1.方案架构
工业互联网数据监测和预警方案综合采用大网环境下的工业互联网数据安全监测分析作为基本思路,提供多源数据采集、数据识别、流量监测、人工智能分析、数据安全风险分析、数据安全溯源、数据安全风向评估和威胁溯源仿真技术等一站式解决方案,形成面向工业互联网数据安全监测预警的整体解决方案。
方案架构图如下:
解决方案主要由以下几部分组成:
数据源层
通过针对工业企业、工业互联网平台和基础运营商等数据源进行数据采集,构建工业互联网数据安全检测响应和溯源的数据基础。
数据采集、监测层
支持对数据源数据采集汇聚、捕获、匹配、识别筛选、数据包深度检测、数据安全分析等,进行“用户,设备,应用,数据”等与数据安全相关信息的的提取,对工业互联网数据进行类别级别标识、标记;把获取的数据安全相关信息向上层平台安全传递。
数据分析管理层
对数据进行分类分级存储、实现数据安全画像和数据处理场景和应用场景识别,建立安全基线,实现异常检测,数据流动路径分析、数据安全风险评估、安全事件溯源、威胁溯源分析等。
数据安全感知控制层
实现数据资产梳理、数据分类分级、数据安全态势可视化展示,以及数据查询、系统管理、配置管理、策略管理、预警发布、报表导出等功能。
2.方案部署
工业互联网数据安全监测和预警方案采用分布式部署方式:
以省一级工业互联网数据安全监测预警方案为例说明部署模式:
STEP 1: 在各个工业互联网数据源,如:工业企业出口,运营商IDC数据中心等位置,部署全息数据采集器,对全省工业互联网数据进行采集,通过采集器内置的多种分析引擎支持工业协议的解析、工业设备指纹提取、数据特征识别等,对接入的流量进行预处理,完成多源异构数据汇聚整合,然后发送给数据分析平台;
STEP 2:各地的全息采集器与全息数据分析平台(HV)通过加密的数据监控网进行数据传输,数据监控网建议采用5G网络实现低延迟,多数据流的传输,由于网流量在数据采集器上已经经过预处理,经网络传输的是数据安全信息(日志),而不是采集到的原始网络流量,因而可以大大降低网络的带宽需求,并具备实时检测能力。
STEP 3:在省工信厅网安处部署全息数据分析平台(HV)实现数据安全日的集中、统一存储,实现全局的数据画像和关联分析,对全业务数据分析研判层通过多引擎协作分析,结合人工智能等技术,对数据安全事件、数据资产、工控漏洞等方面进行监测分析,并通过可视化技术实现工业互联网数据安全态势综合可视化展示。
具体到每个工业企业,数据采集器采用两种部署模式,分别应对不同的网络流量的数据采集场景:
采集器A:针对到互联网的SSL加密流量进行采集,采用网关模式透明部署,支持SSL加密流量的数据采集。
采集器B:针对企业工业互联网应用系统进行数据采集,采用旁路模式,通过对交换机镜像或者TAP设备分流的流量进行数据采集。
上述两种采集模式可以支持企业典型的工业互联网数据采集场景。
四、方案优势
采用全息数据安全风险态势感知系统实现工业互联网数据安全监测和预警解决方案的优势如下:
(1)高安全性和可靠性设计的工业互联网数据安全监测系统
全息数据采集器采用定制化硬件设计,加固的安全操作系统,支持硬件、软件Bypass功能,在架构上保证数据采集的可靠性,稳定性和安全性,无感知部署,不会对企业的工业互联网应用产生影响;全息数据分析平台支持集群化部署,具备横向扩展能力,确保数据存储可靠,系统支持7×24小时稳定运行。系统部署采用微服务模块的概念,由一个或多个具有内在业务联系的服务组件构成,每个模块是独立部署的单元, 可根据业务需要通过重新部署新的模块裁剪现有业务逻辑, 而不影响其它模块。部署中具有极大便利性,便于提 升系统部署的灵活性,以及系统的稳定性和安全性。
(2)主动与被动相结合的工业互联网数据识别发现和安全监测能力
采用被动流量监测还原与主动扫描探测相结合的方式,实现工业互联网资产、漏洞、安全事件的监测分析,弥补了单一技术识别发现能力的局限性,全面提高工业互联网领域数据安全监测能力。其中,主动发现能力可弥补被动流量还原通信信息的有限性,被动流量还原可弥补主动发现资产范围的不确定性。
(3)兼具广度和深度的工业互联网数据安全监测预警能力
该解决方案的覆盖范围涵盖工业云平台、工业APP、企业内网、企业外网、省级网络等节点,集成云端、网络侧、终端的纵深空间数据安全监测与防护能力。通过云、网、端范围的全局监测,结合主动与被动发现的技术手段,形成数据安 全监测预警在工业互联网相关行业领域的广覆盖。