一、发展历程和趋势
从图中可以看出各阶段推出的重要政策文件,以《中华人民共和国网络安全法》为里程碑的起点,为网络安全及数据安全的治理铺平了道路;然后GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》的实施全面推进了网络安全建设和落地,为后续工业行业数据安全发展提供有力支撑;而《关键信息基础设施安全保护条例》公布和实施使得工业领域的网络安全及数据安全建设全方位上了一个台阶;与此同时《中华人民共和国数据安全法》推出,进一步将数据要素的发展与安全统筹起来,为工业领域数据安全的发展及数据安全管理试点提供了强大的支撑。
《中华人民共和国网络安全法》
2017年6月1日,随着我国对网络安全的重视程度不断提高,《中华人民共和国网络安全法》(以下简称“《网络安全法》”)应运而生。经历一年多的立法过程,《网络安全法》于2016年10月31日由全国人大表决通过,11月7日正式发布,并在2017年6月1日正式生效。《网络安全法》是我国第一部全面规范网络空间安全管理方面问题的基础性法律,是我国网络空间法治建设的重要里程碑,是依法治网、化解网络风险的法律重器。《网络安全法》是落实国家总体安全观的重要举措,也是适应我国网络安全工作新形势、新任务,落实中央决策部署,保障网络安全和发展利益的重大举措。
针对数据相关安全,《网络安全法》做出了较多的说明,主要体现在以下几条:
第十条:建设、运营网络或者通过网络提供服务,应当依照法律、行政法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性。
第十八条:国家鼓励开发网络数据安全保护和利用技术,促进公共数据资源开放,推动技术创新和经济社会发展。”
第二十一条:国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
第二十七条:任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;
第三十七条:关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。
《信息安全技术 网络安全等级保护基本要求》
2008年,GB/T 22239-2008《信息系统安全等级保护基本要求》(简称“等保1.0”)正式发布,标志着信息安全等级保护作为国家信息系统安全保障基本制度、基本策略、基本方法,有了落地的技术标准,在技术层面诠释了开展网络安全等级保护工作是保护信息化发展、维护国家网络安全的根本保障。为适应新技术发展,解决云计算、物联网、移动互联、工业控制、大数据等领域的信息系统等级保护工作需要,2019年12月1日,GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》2.0版本(简称“等保2.0”)正式实施。等保2.0相对于等保1.0具有更明确的安全责任主体,更合理的规范划分以及更广的适用范围。等保2.0的实施,是我国实行网络安全等级保护制度过程中的一件大事,对于各领域的网络安全建设具有里程碑意义。工业控制系统作为一个单独的扩展要求提出,明确的体现了国家对工业领域安全建设的重视,为后续工业互联网行业网络安全发展提供了有力的支撑。
针对数据相关安全,等保2.0提出了较多要求,相关说明如下:
--内容引自《信息安全技术 网络安全等级保护基本要求》
《关键信息基础设施安全保护条例》
2021年8月27日,李克强签署国务院令,公布《关键信息基础设施安全保护条例》,自2021年9月1日起施行。关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重,党中央、国务院也高度重视关键信息基础设施安全保护工作。工业领域包含大量关键信息基础设施,《关键信息基础设施安全保护条例》的出台无疑为推动工业领域关键信息基础设施安全向法治化、体系化、科学化发展指明了方向,由此使得工业领域的网络安全及数据安全建设全方位上了一个台阶。
针对数据安全的相关条例说明如下:
第六条:运营者依照本条例和有关法律、行政法规的规定以及国家标准的强制性要求,在网络安全等级保护的基础上,采取技术保护措施和其他必要措施,应对网络安全事件,防范网络攻击和违法犯罪活动,保障关键信息基础设施安全稳定运行,维护数据的完整性、保密性和可用性。
第十五条:专门安全管理机构具体负责本单位的关键信息基础设施安全保护工作,履行下列职责:
(六) 履行个人信息和数据安全保护责任,建立健全个人信息和数据安全保护制度。
第十八条:发生关键信息基础设施整体中断运行或者主要功能故障、国家基础信息以及其他重要数据泄露、较大规模个人信息泄露、造成较大经济损失、违法信息较大范围传播等特别重大网络安全事件或者发现特别重大网络安全威胁时,保护工作部门应当在收到报告后,及时向国家网信部门、国务院公安部门报告。
--内容引自《关键信息基础设施安全保护条例》
《中华人民共和国数据安全法》
基于上述政策法律的出台,2021年9月1日,作为我国关于数据安全的首部律法,《中华人民共和国数据安全法》经历了三次审议与修改,重磅推出。《数据安全法》以数据安全为核心,涉及数据利用与安全发展,规定了数据安全工作机制、职责与保护制度,兼顾政务数据安全与开放,是我国首部比较全面的、效力层级较高的、专门针对数据的法律,标志我国在数据安全领域有法可依,为各行业数据安全提供监管依据。数据是国家基础性战略资源,工业数据更是工业互联网的“血液”,加强工业互联网数据安全防护对于工业互联网的健康发展至关重要。《数据安全法》基于总体国家安全观,将数据主权纳入国家主权范畴,并进一步将数据要素的发展与安全统筹起来,为后续工业领域数据安全管理试点的开展提供了强大的支撑。
--内容引自《数据安全法》
二、安全试点工作的重点
自从《网络安全法》颁布实施后,我国网络安全建设进程的不断加快,医疗、传媒、金融、交通等传统行业的网络安全防护能力得到大幅度的提升。而另一方面随着新基建逐步深入,互联网+、大数据、云计算等新一代信息技术与工业生产进一步深度融合,工业控制系统作为工业领域“神经中枢”,呈现互联互通趋势,在享受新一代信息技术的成果的同时,工业控制系统的安全性问题愈发突出,工业互联网也更为突出的成为了黑客攻击和网络战的重要目标。因此,工业和信息化部对于工业领域的网络安全重视程度提到了前所未有的高度。
2021年12月14日,工业和信息化部办公厅发布《工业和信息化部办公厅关于组织开展工业领域数据安全管理试点工作的通知》(工信厅网安函〔2021〕295号,以下简称《通知》),此《通知》提出本次工业数据安全管理试点的主要目的是为了探索构建工业领域数据安全管理体系,有效保障数据安全,推动数字经济高质量发展。从具体上讲,本次试点也可以督促企业落实数据安全主体责任,加强数据分类分级管理、安全防护、安全评估、安全监测等工作,进而提升数据安全防护能力。
《通知》提出试点对象涵盖原材料工业、装备工业、消费品工业、电子信息制造业、软件和信息技术服务业等领域。而试点内容则可分为必选和可选两部分,其中必选部分包括数据安全管理、数据安全防护和数据安全评估三个方面,可选部分包括安全产品和应用的推广、数据安全的监测和数据出境三个方面。可以看出,工业和信息化部考虑工业领域安全建设需要时顾及到本身业务的运行稳定,不能一次性全面铺开,而是采用分布推进的方式先将最为重要的安全管理、技术防护和安全评估三个作为必选项,积累一定经验后再进行全面试点的思路。另外,三个可选项相对来说具有一定的发展性和前瞻性,本次试点从三个可选项中挑选一个即可。
必选内容
工业领域数据安全管理。试点企业按照《工业数据分类分级指南(试行)》《工业领域重要数据和核心数据识别规则(草案)》开展数据分类分级,制定重要数据清单,并向主管部门报备。省级工业和信息化主管部门建立工业领域省、市、企业数据分类分级安全管理机制,组织制定重要数据目录,对重要数据目录进行备案管理,探索建立工业领域数据安全全流程管理工作机制。
工业领域数据安全防护。试点企业按照《工业企业数据安全防护要求(草案)》等标准规范,联合安全企业、支撑单位制定数据安全防护方案,加强数据安全分级防护措施,提升数据全生命周期安全保护能力。
工业领域数据安全评估。试点企业根据《工业数据安全评估指南(草案)》等标准规范进行自评估,及时整改相关安全问题,并将评估结果报省级工业和信息化主管部门。省级工业和信息化主管部门对企业自评估情况进行督导检查,视情组织支撑单位进行远程检测和现场评估。
首先,是对工业领域数据按照《工业数据分类分级指南(试行)》《工业领域重要数据和核心数据识别规则(草案)》开展数据分类分级,在数据的基础上探索工业领域数据安全全流程管理工作机制。其中,数据安全管理的建设包括了政策方针、流程制度、组织结构等方面的内容,是后续数据安全防护和数据安全评估的基础。
其次,按照《工业企业数据安全防护要求(草案)》等标准规范,以数据的分类分级为核心进行安全防护,不同的数据等级提供不同的防护措施。作为整个工业数据安全试点工作的最重要环节之一,在安全防护建设的时候首先需要考虑网络和系统大环境的安全,只有整个企业工业数据网络和系统安全可信,才有可能保障工业数据的安全可信。考虑到工业场景的特殊性,大环境的安全可信可以参照“基于白环境的纵深防御体系”来进行设计。在大环境可信的基础上,再依照数据的采集、存储、加工、传输、提供、公开、销毁等全生命周期流程进行针对性的安全建设,从而全方位的提高企业工业数据安全的防护能力。
最后,根据《工业数据安全评估指南(草案)》等标准规范进行常态化评估并根据评估结果及时整改。该《评估指南》是以监管的视角进行检测,从评估的受理、组织队伍评估、制定评估计划到开展评估工作、评估反馈再到评估整改和复评,最后形成一个评估结论上报工信部网安局。整个流程的评估目的是为了使企业的安全建设更全面可靠,能够为企业工业数据安全提供真实的价值。
可选内容
工业领域数据安全产品应用推广。安全企业加强数据安全产品创新及在工业领域的适配应用,提升产业侧供给能力。省级工业和信息化主管部门组织开展工业领域数据安全产品、技术、服务宣贯培训,遴选优秀产品应用案例和解决方案,加强行业推广应用,促进供需对接。
工业领域数据安全监测。试点企业建设部署企业侧数据安全监测系统,并将监测结果上报省级工业数据安全监测平台和省级信息安全管理系统。省级工业和信息化主管部门建设省级工业数据安全监测平台,并将监测结果同步接入国家工业数据安全监测平台,构建部、省、企业三级联动的工业数据安全监测体系;建立省级工业领域数据安全事件通报响应机制,组织开展工业数据安全风险监测、威胁预警和事件处置等工作。网络安全管理局依托全国信息安全管理系统和国家工业数据安全监测平台,协调开展跨地区工业数据安全风险监测、分析和处置工作。
工业领域数据出境安全管理。省级工业和信息化主管部门配合网信部门探索建立工业领域数据出境安全评估工作模式和方法,研究制定安全评估要点,指导试点企业开展数据出境安全评估和备案工作。试点企业结合业务需要,开展数据出境安全自评估、第三方评估和备案等工作。
针对可选内容,是在必选内容基础上的扩展和延伸。
工业领域数据安全产品应用推广,不仅是基于已有的安全产品的使用和宣传,更应注重创新产品和创新技术的开发。一方面,该项试点内容可作为将工业数据安全推广到全行业的加速剂,促进安全厂商与工业企业客户共同磨合打造安全产品;另一方面,需要通过评选优秀产品和解决方案作为标杆示范,全面复制到其他企业。
工业领域数据安全监测,具有全局视角和发展眼光,站在企业集团及行业主管单位的角度进行考虑,为后续由点到面构建部、省、企业三级联动的工业数据安全监测体系全景图提供有力支撑。当然,全局监测和查看仅是手段而不是目的,该项能力可更好的发现风险、威胁进行快速预警,从而提高部级、省级企业级的响应速度。
工业领域数据出境安全管理,是站在行业和国家的角度考虑,具有一定前瞻性。随着我国工业制造能力不断强大,对外输出能力也将得到长足的进步,因此对于数据的出境安全考虑也会变得越来越重要。对于数据出境的安全评估方法和模式也应该尽早探索、尽早落实。
三、工业数据安全建设思路
工业和信息化部办公厅提出工业数据安全管理试点的主要目的是为了探索构建工业领域数据安全防护体系,整体解决方案以工业数据安全标准规范为指导,结合生产控制系统实际业务情况,从数据安全管理体系、数据安全技术体系、数据安全服务体系三个大方面进行考虑,建立立体防护体系,全面提升数据可用性、完整性及保密性,总体设计思路如下图所示:
四、工业数据安全建设三大体系
4.1
数据安全管理体系
数据安全管理体系建设是技术体系有效发挥保护作用的保障,管理体系设计立足于总体工业数据安全策略,并与安全技术体系相互配合,增强技术防护体系的效率和效果,同时也可弥补当前技术无法完全解决的安全缺陷。将安全战略与合规管理有效整合,形成整体的安全管理体系,既能满足安全战略,又能满足合规管理要求。数据安全管理体系架构如下所示:
从内容上看,数据安全管理体系总共分为四级,每一级是上级的支撑文件。其中,第一级为管理总纲,主要面向组织层面安全管理的顶层方针、策略、基本原则和总的管理要求; 第二级为组织架构和管理制度,主要从人员配备和制度规定两个方面实现第一层的管理目标,主要包括安全管理机构职责、制度管理规定、人员管理规定等;第三级为操作指南,主要包括系统中涉及到的安全管理中心操作手册、终端操作手册、服务器操作手册、网络设备操作手册、安全设备操作手册、分类分级操作指南等; 第四级为指执行安全管理制度产生的相应计划、表格、报告、各种运行/检查记录、日志文件等文件。建设内容如下所示:
4.2
数据安全服务体系
工业数据安全服务体系是作为支撑安全技术体系落地的前提和保障,包含工业数据安全资产梳理、工业数据安全评估及工业数据安全运营三个部分。通过对企业数据安全资产进行全面梳理发现并识别重要数据和核心数据并以目录的形式展示;工业数据安全评估对已识别的工业数据安全防护能力从技术角度、管理角度多个方面进行评估,对于具有风险的地方提出改进建议;而工业数据安全运营则从数据防护的视角提供日常维护、巡检和应急支持,确保数据安全技术防护体系的落地可靠。
4.2.1 工业数据安全资产梳理
数据资产梳理是数据资产安全防护的前提,只有数据资产梳理清楚了,才能有针对性的进行防护。数据资产梳理需要对基础信息进行梳理,然后对梳理的数据进行分类分级处理。具体资产梳理过程如下图所示:
数据资产梳理基础信息梳理包含数据资产基本信息梳理以及数据资产流向梳理两部分,其中基本信息梳理包括资产名称、资产类型、物理位置、型号、所属系统等信息;数据资产流向则以数据生产为起点跟踪数据的传输、加工、使用、销毁等过程。工业数据的资产梳理,还是应利用基于数据资产识别工具,对工业资产、数据进行全面测绘,形成资产、数据清单和资产分布地图,通过内置行业分类分级策略模板,将识别出的工业数据进行分类分级,并基于行业属性、业务属性、使用场景对重要数据和敏感数据进行识别,建立起重要数据和敏感数据清单,按照敏感级别进行差异化的安全防护,同时为后续的工业数据安全持续运营提供基础数据。
在基础信息梳理好后,需要参照《工业领域重要数据和核心数据识别规则》以及《工控行业重要数据与核心数据分类分级清单》对数据资产进行分类分级体系建设。数据分类分级涵盖的数据包括但不限于企业在研发设计、生产制造、经营管理、运维服务等环节中生成和使用的数据。
4.2.2 工业数据安全风险评估
工业数据安全评估是参照《工业企业数据安全防护要求(草案)》从综合评价的角度,运用科学的方法和手段,系统地分析和诊断工业数据所面临的威胁及其存在的脆弱性,评估工业数据安全防护水平,提出有针对性的抵御威胁的防护对策和整改措施。
安全风险评估的主要范围和内容:基于数据的资产、漏洞、脆弱性、威胁情报等进行数据关联分析和感知;对业务人员、第三方运维人员等人员监测其数据访问异常行为。特别要加强进口关键控制设备、通过VPN从国外进行远程运维、故障预测诊断等环节数据的监测与安全风险评估。整个评估的工作程序如下图所示:
整个评估会对照《工业企业数据安全防护要求(草案)》内容,从工业数据分类分级、通用防护、一般数据防护、重要数据防护、核心数据防护5个方面的37个大项,104个小项依次进行现场评估。评估工作组在完成现场评估工作后,会及时对评估过程及记录进行梳理总结,并对存在的安全问题进行分类整理,并对存在的安全问题提供相应的整改咨询。
4.2.3 工业数据安全持续运营
工业数据安全运营通过持续对数据生命周期内安全风险的监测,对组织现有数据安全控制措施的有效性进行识别和判断,再回归到优化改进制度及策略上,从而保障数据安全技术体系建设的稳定可靠。数据资产的安全,需要持续运营才可以保证。利用安全管理平台和基于数据的态势感知平台,从数据合规监管、数据资产、业务场景、数据风险等多个维度进行监测、评估分析、健康指标打分。对运营人员进行实训演练,提升人员技能水平,助力常态化运营持续有效执行。
首先,需要进行定期运维巡检,促进数据安全运营闭环。数据安全运维巡检内容包括定期对数据安全设备、数据日志记录情况及数据告警情况、数据安全特征库更新、数据安全事件处置、数据安全策略配置及相关资料更新完善等。安全巡检服务分为三个阶段,分别是巡检准备、数据安全巡检、制定巡检报告,流程图如下所示:
其次,对于突发安全事件需要具有应急响应机制。依据信息安全应急响应工作中的PDCERF应急响应模型,立即采取处置措施,从而保障业务在突发情况下的持续运营。PDCERF应急响应流程共包括6个阶段,分别是准备阶段、检测阶段、抑制阶段、根除阶段、恢复阶段、总结阶段。根据应急响应总体策略为每个阶段定义需完成的目标、实施人员角色以及各阶段的结果输出,应急响应流程如下图所示:
4.3
数据安全技术体系
工业数据安全技术体系防护按照先进行数据安全基础环境建设,再进行工业数据安全深化防护的思路进行,整体建设分为工业数据安全的环境治理和工业数据的安全管控两个阶段,防护思路如下图所示:
4.3.1 工业数据安全环境治理
工业数据安全离不开所处基础环境的安全,因此对基础环境的治理是保障企业工业数据安全的基石。我司根据工业企业工控系统运行环境相对稳定、系统更新频率较低的特点,结合工业和信息化部印发的《工业控制系统网络安全防护指南》及《工业企业数据安全防护要求(草案)》的要求,采用基于“白名单”机制的工业控制系统网络安全“白环境”解决方案,形成了“一个中心、三重防护”的纵深安全防护体系。通过对工控设备接入、工控网络流量、工控主机状态等进行监控,收集并分析工业数据环境的整体状态,建立工控系统正常工作环境下的安全状态基线和模型,进而构筑工业数据基础环境的安全,为后续工业数据的安全管控打下坚实的基础。具体建设上可以依据“安全分区、纵深防护、统一监控”的原则执行:
“安全分区”:根据工业企业生产过程,将生产相关配套工业控制系统按照板块进行安全分区。板块内部再根据不同控制系统进行安全分域。根据划分的安全区、安全域制定区间、域间防护措施。
“纵深防护”:结合安全区、安全域划分结果,在制定区、域边界防护措施的同时,也要在安全区、安全域内部部署异常行为、恶意代码的检测和防护措施。
“统一监控”:针对各安全区、安全域的防护措施、检测及审计措施建立统一的、分级的监控系统,统一监控业控制系统的安全状况。将各业务板块的工业控制系统安全风险进行集中的展示,以风险等级的方式给出不同工业控制系统的安全风险级别,全面了解并掌握系统动态。
4.3.2 工业数据安全技术管控
在工业数据所处基础环境安全防护的前提下,对工业数据进行细致化和差异化的安全管控。经过对工业数据资产的梳理可以比较清晰的了解企业内部的数据基本信息、数据流以及数据的重要程度,参照《工业企业数据安全防护要求(草案)》的要求,需要针对重要数据及核心数据提供更严格的技术防护措施和管理要求,包括数据访问控制、数据去标识化处理、数据安全溯源、数据安全监督监测、数据安全运营等方面措施。通过差异化的技术手段和管理策略实现工业数据采集、传输、存储、使用、开放及销毁全生命周期的安全防护。工业数据安全差异化管控如下图所示:
五、工业数据安全建设四个建设路径
1.以标准要求为基础,识别重要数据资产,“摸清家底,精准识别”;
2.分析不同业务场景,围绕各自重要数据资产,“补其短板,强化能力”;
3.基于已建设的安全能力,实施体系化管理与细颗粒的管控,“构建体系,精准管控”;
4.持续评估数据安全能力,持续性对数据安全事件运营,“查漏补缺,持续运营”。
六、总结
从工业数据安全实践的角度上看,由于工业领域场景稳定性要求高、工业协议复杂等特殊性,其数据安全的落地比传统IT安全的建设需要考虑更多因素,也面临更多挑战。威努特凭借对工业领域的多年积累,一方面,秉承业界首创的工业网络“白环境”纵深安全防护技术体系,通过对工业环境边界、网络通信环境以及主机系统进行层层防护,全面搭建工业场景基础环境的安全防护体系,保障工业数据本身所处环境的安全;另一方面,站在工业数据采集、存储、加工、提供、公开、销毁全生命周期的角度进行全方位针对性防护,从而细化了数据安全防护策略,实现了深层次的数据安全防护。
总的来说,随着大数据、5G、人工智能等工业互联网技术的快速发展,针对工业数据的攻击也会越来越多,工业领域数据安全建设和落地任重而道远。正因如此,工业领域数据安全管理试点工作正在积极的推进,该试点工作必然会促进以工业数据为核心的安全体系的发展。相信经过各工业领域企业、工业和信息化部相关单位以及各工业领域安全厂商的共同努力,工业领域数据安全的防护能力一定能得到更快的提升,工业数据资源也将会迸发出更强的活力。
北京威努特技术有限公司(简称:威努特)是国内工控安全行业领军者,是中国国有资本风险投资基金旗下企业。凭借卓越的技术创新能力成为全球六家荣获国际自动化协会ISASecure 认证企业之一和首批国家级专精特新“小巨人”企业。
威努特依托率先独创的工业网络“白环境”核心技术理念,以自主研发的全系列工控安全产品为基础,为电力、轨道交通、石油石化、市政、烟草、智能制造、军工等国家重要行业用户提供全生命周期纵深防御解决方案和专业化的安全服务,迄今已为国内及“一带一路”沿线国家的4000多家行业客户实现了业务安全合规运行。
作为中国工控安全国家队,威努特积极推动产业集群建设构建生态圈发展,牵头和参与工控安全领域国家、行业标准制定和重大活动网络安全保障工作,始终以保护我国关键信息基础设施网络空间安全为己任,致力成为建设网络强国的中坚力量!
渠道合作咨询 陈女士 15611262709
稿件合作 微信:shushu12121
原文始发于微信公众号(威努特工控安全):工业企业数据安全的三大建设体系与四个建设路径
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论