陶耀東:構建全生命週期的工業大資料安全防護體系
9 月1 4 日,由中國電子學會、江蘇省科學技術學會、江蘇省經信委、無錫市人民政府、浪潮集團共同主辦的世界物聯網博覽會·中國大資料創新發展高峰論壇在無錫召開。本屆論壇以“跨界融合,智慧創新”為主題,共同研討大資料與製造業創新融合與未來發展趨勢。3 60 企業安全部集團副總工程師、工業控制系統安全國家聯合工程實驗室 主任 陶耀東受邀出席,並發表題為《智慧互聯時代工業大資料安全防護體系與關鍵能力》的演講。
獨特的工業大資料
大資料的安全問題由來已久,但凡哪一行哪一業,就要用上了大資料,安全問題就如影隨形。從大面上來看,工業大資料並沒有什麼特別的。
但就資料和流程本身,工業大資料有自己的獨特之處。“不論是流程製造還是離散製造,任何工業領域都有非常強的專業性,如果資料分析師沒有很強的專業背景幾乎無從下手。”陶耀東在演講中強調,“一般意義上的大資料要求資料量儘可能大,但工業大資料並不一味追求總量,但要求樣本儘可能全面,並且還需要分析資料之間的物理邏輯關係。”
陶耀東總結了工業大資料的四個特點:第一,工業大資料需要精準預測,一旦結果偏差較大,對製造過程本身影響非常大;第二,注重資料的全面性和實效性;第三,關注資料背後的物理邏輯和特徵;第四,資料主要來源於工控裝置的運轉。
全生命週期的工業大資料安全
而隨著工業資訊化的發展,工業大資料在也在扮演越來越重要的角色。這些蘊含巨大價值的資料,成為了各類不法分子眼中的“香餑餑”。
就在今年七月的時候, 100 多家車廠的機密資料被 曝出發生 洩露,包括通用汽車、菲亞特克萊斯勒、福特、特斯拉、豐田、大眾等 ,涉及機密檔案4 7000 個 。 這是這些年工業資料洩露的真實寫照,我們已經沒辦法把自己當成把頭埋進沙子裡的鴕鳥了。
陶耀東在演講中提出了以資料資產為核心,構建全生命週期的工業大資料安全防護思路,並且遵守資料採集最小化原則、使用授權最小化原則、責任不隨資料轉移原則、分級分類保護原則、受控審批原則和可審計原則,囊括資料採集安全、資料傳輸安全、資料儲存安全、資料處理安全、資料交換安全和資料銷燬安全等各個環節。
舉個例子。在上文提到的車企資料洩露的案例中,所有資料洩露事件都指向了一家伺服器提供商 Level One Robotics and Controls ,這家公司為這些車企提供資料管理服務。研究人員發現,這家公司 在使用遠端資料同步工具rsync處理資料時,備份伺服器沒有限制使用者的IP地址,並且未設定身份驗證等使用者訪問許可權,因此任何人都能直接通過rsync訪問備份伺服器,這是導致事故發生的主要原因。
這是一次資料使用授權過大造成資料洩露的典型案例。未來隨著工業網際網路、大資料、物聯網等技術的進一步發展,越來越多類似於 Level One Robotics and Controls 的第三方服務商需要獲取訪問許可權,可以預見的是,工業大資料的安全任重而道遠。
面向實戰的大資料安全體系
陶耀東認為,在設計安全體系時,需要面向實戰。實戰就是解決問題,任何不解決問題的方案,說句笑話就是耍流氓。
所以陶耀東提出了四步戰略:第一步, 摸清資料資產。 想清楚自己有多少資料, 資料存在 哪裡,重要級別如何 , 哪些資料是敏感資料 。 資料資產可見是整個安全策略的基礎。
第二步, 梳理資料使用。誰在使用資料,什麼場景使用資料,用什麼方法使用。 如果有人在 沒有業務需求的場景下使用了資料,是否合規合法?
第三步, 管控資料的風險。 大量的風險來源於資料的使用和流動,那麼怎麼消除資料流動過程中的風險?脫敏、加密傳輸是否有效? 風險真的消除了嗎?
第四部, 強化安全運營。 資料在流動過程中一旦出現異常,就要針對解決,並且設定一個完整的應急響應體系,萬一出現數據洩露,要吧損失控制在最小。尤其是要注意,工業大資料的處理對於人的依賴遠比消費大資料要更強,因此企業需要更加重視人的運營。
工業大資料安全的新方案建議
在大資料安全四步走戰略的基礎上,陶耀東針對工業大資料的特性提出了四點新建議:
第一, 資料視覺化。 這裡又分為三種: (1)資料的資產分佈圖, 看清資料的分佈 (2)資料的熱力分佈圖, 看清資料的價值 (3)資料資產流轉圖 ,看清資料的流轉動向 。
第二, 使用者行為分析。 我們需要利用U EBA 等技術,建立使用者畫像, 從使用者行為角度分析,是否是正常使用者行為。
第三, 隱私保護。 在智慧製造、網路化協同、個性化定製、服務化延伸等富含大量個人資料的行業將重點關注隱私和機密保護,採用資料脫敏、分級、分類等功能。
第四,伴隨著 雲端計算、物聯網 在工業領域的大規模應用,資料防洩漏技術將應用於特定的雲基礎設施和應用程式中 , 同時在各個端點裝置、移動裝置、不同的雲應用中使用統一的DLP策略。
另外值得關注的是,3 60 企業安全在展區也展示了工業安全運營中心、工業安全閘道器、工控主機防護、工業安全審計等多款工業安全裝置,提供涵蓋裝置安全、控制安全、網路安全和大資料安全的多層次安全防護能力。
未來,3 60 企業安全集團還將加大對技術研發和成果轉化的支撐力度,建立與工業網際網路發展相匹配的安全防護能力。
宣告:本文來自安全內參,版權歸作者所有。文章內容僅代表作者獨立觀點,不代表安全內參立場,轉載目的在於傳遞更多資訊。如需轉載,請聯絡原作者獲取授權。