IT与OT融合,工业企业面临的安全挑战
工业数据发展机遇与安全挑战并存,数据上云是工业企业上云的紧迫挑战,工业数据安全隐患来自于企业自身意识和进口软件等多个方面。
工业信息安全包括工业控制系统信息安全、工业互联网安全、工业大数据安全、工业云安全、工业电子商务安全等。根据企业对云服务的不同需求,企业上云的内容可分为基础设施上云、企业平台系统上云、企业业务系统上云等三部分,工业数据上云安全即涉及到以上3个部分所产生的的数据。
造成我国工业数据上云安全隐患的原因有内因也有外因:
从企业内部来看,数据安全风险贯穿于工业互联网大数据的产生、采集、存储、传输、处理、销毁等全生命周期,工业信息安全工控系统在发展之初相对封闭和独立,老旧工厂设备零散化、碎片化问题突出,难以匹配新的数据安全防护需求,工厂数据安全防护能力严重不足,为OT恶意软件提供了传播滋生的空间。
另外,大部分中小企业缺乏安全意识,自身工业IT系统升级和修护不及时,内部员工将源代码、设计图纸等非结构化数据共享在百度文库、GitHub、百度网盘等文档共享或代码托管平台,采用U盘/光盘/移动硬盘等接口进行工作传输等操作不规范的现象频发。
另一方面,我国多数工业高端装备受制于人,装备漏洞、“后门”严重威胁工业数据安全。部分企业自身不具备工业进口高端装备的自主运维管理能力,由设备厂商提供的远程诊断服务容易导致数据泄露和违规出境。
国家工信安全中心监测发现,暴露在互联网上的工控系统及设备数量与日俱增,成为世界各国工业信息安全软肋,我国超半数工控系统曾遭攻击。勒索病毒已成工业数据安全首要威胁,窃取数据是勒索攻击惯用手段,工业数据上云、出境等风险加剧。
工业数据上云安全面临的问题和需求多种多样,主要涉及网络安全和信息安全。
云计算、物联网、移动通信等新一代信息技术在智能制造领域广泛应用产生大量的工业互联网数据,并成为提升企业生产力、竞争力、创新力的关键要素。工业互联网数据具有很高的商业价值,关系企业的生产经营,一旦遭到泄露或篡改,将可能影响生产经营安全、国计民生甚至国家安全。然而,工业企业类型多样,工业互联网数据更是海量多态,给数据安全防护带来了困难和挑战。
虎嗅智库通过调研了解到工业数据上云面临的安全需求多种多样,如:
a.工业现场大量采用专有协议,无安全认证和加密;
b.面对IT/OT网络边界安全问题,厂内各网络层级、生产系统边界缺乏有效隔离防护措施;
c.需要解决操作站随意使用U盘、光盘、移动硬盘等移动存储介质带来的风险;
d.生产网络中因监控系统执行逻辑与常规恶意代码检测、防护措施存在冲突,无法有效应用通用恶意代码防范能力;
e.网络安全工作处于被动应付状态,在网络安全事件发生之前不能及时有效的监测预警;
f.需要对第三方人员在运维过程中的操作行为进行管控,合理分配账户权限;
而工业互联网平台数据上云,也需要解决诸多的问题:平台体系大、技术复杂、安全建设难度大的问题;云计算厂商和安全厂商生态适配难的问题;大数据环境下的数据动态脱敏过程中需要实时进行的问题;工业互联网的安全防护与传统工业互联网安全风险防护差异大的问题。
归根结底,主要涉及两大类问题:网络安全和信息安全。
网络安全层面,链路侧的安全,加密和认证。网络数据传递过程的常见网络威胁(如拒绝服务、中间人攻击等),网络传输链路上的硬件和软件安全(如软件漏洞、配置不合理等),无线网络技术使用带来的网络防护边界模糊等。
信息安全层面,已经到云上的数据安全管理和云平台本身的安全管理。常见有数据泄露、配置错误和变更控制不足、缺乏云安全架构和策略、身份、凭证、访问和密钥管理不足等。总的来说,缺乏系统安全保障能力,防范黑客和恶意代码的攻击;缺乏安全防范机制,防止工业主机感染病毒、木马等。
工业企业类型多样,工业互联网数据海量多态,给工业数据安全防护带来了诸多困难和挑战。
图:工业数据安全防护难点
工业数据上云安全保护的逻辑
我国工业数据安全管理问题的难点在于工业领域行业门类多样,数据安全监管实施情况复杂、难度较大,这就导致难以用一套标尺实施标准化的重要数据和核心数据识别与防护。
对数据安全保护的最终目的是保障数据得到有效保护和合法利用,并持续处于安全状态。在工业领域数据安全管理工作中,需有重点的保护海量工业数据、筑牢安全底座促进数据安全有序流动、及时发现并有效处置风险。
图:工业数据安全防护的认知和内涵
落实到工业数据上云安全保护的具体实践上,应聚焦数据实时性、稳定性、级联性等特征,分场景加快构建覆盖“数据分类分级识别、分级防护、安全评估、风险处置”等全流程工业领域数据安全管理闭环工作体系。
图:工业数据全生命周期安全防护
工业数据安全厂商及全链路实践案例
工业数据上云安全实践路线将数据全生命周期视为一个闭环。
在产业链中,各类企业结合多领域、新技术涌现出一批工业互联网数据安全解决方案,围绕工业设备、控制、网络、平台、工业APP、数据等多方面网络安全问题,构建涵盖工业全系统的安全防护体系,通过监测预警、应急响应、检测评估、功能测试等手段,打造满足工业需求的安全技术体系和相应管理机制,识别和抵御来自内外部的安全威胁,化解各种安全风险,为制造业智能发展提供安全可信保障。
从国内来看,目前能够给工业企业提供工业网络安全产品和解决方案的厂商,主要分为三类:
表:工业安全厂商类型及特征
从产品和服务类型来看,工业安全服务主要包括咨询服务、实施服务和运营服务,工业数据安全产品结构主要分为防护和管理两大类。从技术防护的角度,工业数据安全防护类产品主要包括边界安全产品、终端安全产品及监测审计类产品;工业安全管理类产品具体包括安全合规管理、安全运营管理、身份认证管理等。
图:工业数据安全产品结构
图:工业数据安全产品
工业数据上云安全的治理目标是合规保障、风险管理、开发利用,数据上云安全实践路线以“工业上云数据为中心”,将数据全生命周期视为一个闭环进行全流程保护。同时,制定工业数据安全战略、搭建数据安全基础设施。
工业数据上云安全管理技术从数据保护、数据加密、密钥管理3个重要技术工作入手,通过RAMACL控制细粒度的数据访问权限;采用敏感数据保护技术、数据脱敏系统、数据分级分类技术工具,同时结合用户主密钥、自带密钥加密数据能力,配合采用第三方服务技术的密钥/密文管理系统。、
天融信-工业企业数字上云安全实践案例
天融信依托多年的网络安全和工业领域的实践经验,秉承“一个中心,三重防护”的核心理念,构建集安全防护、安全计算、安全监测、安全检查、安全服务和安全管理为一体的工业网络安全整体解决方案。方案由安全运营分析体系、安全防护检测体系和安全服务体系组成。安全运营分析体系作为整体方案的“指挥中心”,承担了整个工控网络安全风险分析及处理能力;安全防护检测体系承担核心业务的安全防护和检测能力;安全服务体系主要以工业安全服务需求为出发点,提供契合工业生产环境特点的定制化安全服务。
图:工业信息安全整体方案
某工业生产型企业产生三个维度的数据:企业信息网的数据、工业控制网的数据、工业互联网平台上的数据,硬件方面涉及工业设备所产生的数据,软件方面涉及平台数据,包括企业内部的工控数据库数据,数据价值整体较高。
表:企业上云数据类型及特征
该企业在进行数据上云安全治理之前,存在较多的风险,其中数据泄露最为严重。具体遇到的数据安全隐患有:平台将采集的数据进行集中存储和管理,一旦发生安全事件可能造成海量数据泄露;存储、计算资源的虚拟化带来了数据权限分离、网络边界模糊等安全问题;平台应用的多款开源软件,安全功能相对缺乏,安全防护能力远远滞后业务发展;企业敏感数据跨系统留存,任何系统安全防护措施不当都可能发生敏感数据泄露。
对与该工业企业而言,由于具有安全隐患的数据类型较广,且普遍价值比较高,所以在对数据安全防护和治理的需求虽然复杂但是也更为清晰。一方面,企业需要构建综合安全防御体系,防范平台可能面临的各类网络攻击、虚拟机逃逸、镜像篡改、数据窃取、敏感信息泄露等安全威胁。另一方面,以数据为核心,构建工业互联网数据安全保障能力,对工业数据产生、存储、使用、传输、共享、销毁等全生命周期进行防护。
针对企业内部信息管理以及跨空间数据流通的安全需求,天融信为其设计了并建设了一整套数据安全防护体系,具体建设内容如下:
①数据泄露防护安全能力建设。采取专业的数据防泄漏手段,基于深度内容识别技术,预防并阻止有意或无意的数据泄漏行为。
②敏感信息防护安全能力建设。应用数据脱敏技术手段,对访问敏感数据的用户进行鉴权,对敏感数据进行细粒度脱敏,全面保护敏感数据安全。
③大数据防护安全能力建设。应用大数据安全防护技术手段,对所有访问数据库服务器的行为进行检测和控制,防范对大数据的外来攻击行为。
④数据监测审计安全能力建设。应用数据监测审计技术手段,实现工业数据实时监控、威胁检测、风险预警、事件溯源等安全能力。
⑤基于数据字典的控制过程数据安全能力建设。通过识别还原控制行为的数据内容,形成数据字典,基于数据行为与数据内容的双重安全防护技术手段,确保生产控制过程数据的安全性与合法性。
图:数据安全保护建设的架构体系
数据安全治理方案落地实施之后,在数据安全体系、技术、合规等方面都补足了企业在数据安全防护领域的空白,同时,通过安全防御体系的实施还直接助力了企业安全生产。
图:项目应用价值
在这个项目中,数据安全保护体系建设采用了两个数据安全关键技术,分别是基于人工智能的敏感数据检测和防护技术、基于人员画像和知识图谱的数据泄漏取证技术。
而基于人员画像和知识图谱的数据泄漏取证技术的用途,除了发现和应对数据泄露,还可以利用知识图谱技术分析、识别和应对网络攻击。除此之外,通过人员画像和知识图谱技术,对数据进行追踪和溯源、备份和恢复,可以及时防范和应对数据篡改,确保数据的安全性和完整性。这也使得企业可以从根源上保护个人隐私,避免隐私泄露带来的不良影响。
该项目落地实施的过程中实现了两项创新,从产品结构的完整性来看,采用了基于业务的三维一体的数据安全治理结构;从技术的创新性来看,采用基于机器学习的数据分类分级方法,对该企业的数据进行清晰的分级和分类。
1.创新采用基于业务的数据安全治理架构,一是以实现数据安全风险全面管控,达到持续安全的状态,包括对产品服务、业务、业务场景、业务行为活动的全面管控;二是基于业务场景保障整个产品和服务的数据安全,其中制定了战略方针,改善了组织建设、管理制度,还利用了新型技术工具组合,实现了所有环节的常态运营;三是确保数据采集、传输、存储、处理、交换、销毁全生命周期安全。最终实现通过与大数据环境下的各种接口适配,保障工业大数据环境下的数据安全。
2.创新采用基于机器学习的数据分类分级方法,精准高效地梳理并标识数据资产,建立数据分类分级清单。在IT层面,帮助企业识别数据对组织的具体价值,通过对工业数据进行分类分级、标签管理,加强接数据溯源和风险管控,保护数据的完整性、保密性和可用性。
图:工业企业数据的分级分类
威努特-工厂数据上云安全实践案例
威努特是国内工控安全领域的先锋,率先提出工业“白环境”理念,即通过建立主机运行白名单库,在白名单里的软件或可执行文件才能正常运行。以防护和检测两大类完善的产品线和多行业解决方案,构筑了工控安全防护体系。威努特工控安全产品有五大类,即网络安全(包括工业防火墙、工业网闸、工业单向隔离等产品)、主机安全(包括主机应用程序白名单和主机加固产品)、数据安全(数据库防泄密产品)、应用安全和安全管理运维。
某生产型3C制造企业逐渐从劳动密集型转向技术密集型,工厂内应用了大量的自动化设备和先进的机器人,在生产网络化、智能化的同时也引入了一定的网络安全风险,勒索病毒、数据泄露、数据篡改和损坏、数据丢失等一系列的数据安全问题为企业的安全生产带来了严重的影响。
在数据上云的过程中需要采取加强数据加密和身份验证、建立安全审计和监控机制、备份数据、定期评估和更新安全措施、加密敏感数据、定期进行安全审计和漏洞扫描以及建立应急响应计划等安全措施来确保数据的安全性。
为了解决这些数据安全问题,威努特工业数据安全项目整体方案共设计了三大板块:工业资产梳理,对各类工业数据资源目录进行梳理、更新,形成重要和核心数据清单;工业数据安全评估,通过数据安全评估,为后续开展的资产梳理和数据安全运营提供支撑,同时为数据安全治理管理体系和技术体系的建设提供重要依据;工业数据安全防护,以工业数据安全标准规范为指导,结合生产控制系统实际业务情况,从数据安全管理体系、数据安全技术体系、数据安全服务体系三个大板块进行数据安全防护建设。
图:工业数据安全项目整体建设思路
工厂内数据上云安全技术体系设计以实现厂内的工业数据安全可视、安全可控、安全可管为目标,结合自身网络现状及业务情况进行全面纵深防御建设。首先,从数据安全基础环境开始建设,保障整个数据流所处网络环境安全可信;其次,对于重要及核心数据进行细致化的防护建设,防止数据破坏、数据泄漏等事件的发生;最后,通过搭建工业数据安全运营中心,对整个企业的基础环境态势、数据安全态势进行可视化展示,切实提升全厂安全指挥调度和应急响应能力。
图:以网络安全建设为主体的数据安全基础防护体系建设
具体技术方案的实施针对工业控制系统的数据采集、存储、加工、传输、提供、销毁等各个阶段提供安全防护,为工业数据全生命周期提供全方位的保护。
数据采集阶段2项防护技术
网络层安全接入防护技术。针对工业数据采集过程中可能存在的网络层攻击的数据安全风险,通过设备准入控制和可信接入保障接入安全性。
主机审计与防护技术。针对生产数据采集过程中存在敏感信息流出以及违规外联造成的数据泄露风险,对移动存储介质写入不同控制权限及功能的标签进行标签化管理,区分内部介质和外部介质,确保主机数据的安全性。
数据存储、加工阶段3项防护技术
定期备份存储数据。对生产网络中存储的业务数据和生产工艺数据进行周期性备份,通过备份系统对文件、数据库进行定时或实时的备份,针对部分核心生产控制系统数据进行容灾保护。
多种数据全面审计。针对生产系统数据库中存储着重要的业务信息,通过数据库协议自动识别技术,结合灵活的审计策略,可对数据库的数据进行全面审计。
存储数据访问控制。通过对生产控制系统的访问进行访问权限控制,并在具体操作时进行指令审计和图像化的记录。一方面采用数据库访问控制技术实现工业数据访问的实时监控、识别、告警、阻断针对数据库的安全威胁,最终实现数据库的行为特征分析、访问行为监控和危险操作阻断。另一方面采用敏感数据过滤的方式对检索结果以及报表中的敏感信息进行防护。
数据传输阶段2项防护技术
安全可信传输技术。对工业网关、工业交换机、工业控制器等可联网的通信设备进行升级改造以支持可信网络连接,从设备的网络特征和网络行为建立对设备的身份认证和设备行为的安全认证,实现设备间通信、设备与平台通信时对通信端身份、安全策略、安全状态的双向鉴别,建立数据安全传输信道,能保证工业网络通信的安全性。
数据提供阶段1项防护技术
数据销毁阶段1项防护技术
方案的落地实施,帮助客户解决合规免责问题,为客户制定了符合趋势要求的安全技术体系,也实现了在业务管理和生产过程中的安全可控。同时,通过这些措施降低潜在的安全风险并保护了企业的核心利益。
趋势要求:符合3C制造业自动化、智能化和网络化等行业新趋势、新技术的发展要求;
风险可控:深度结合业务应用,重点加强生产主机恶意代码防范,降低安全运营风险;
业务保障:与业务系统深度结合,采用适度保护政策,保障业务可靠性和安全性。
云安全产品服务为工业企业阻断安全风险,保障安全生产
工业网络安全防护体系的建设和实施可以提高工业生产控制网络的数据安全防护等级,保障生产系统免受外部网络攻击,降低网络安全入侵的发生概率,确保企业生产业务的可用性、连续性和稳定性。
企业内部建立的数据安全防护等级体系,对重要数据信息的流转、存储介质的接入和使用进行严格的管控,对异常流量和违规操作实时监控及时报警,规范企业生产控制网络中的访问行为,提高安全事件响应效率,能够降低运维升本,提升企业安全生产水平。
数据安全治理技术仍然匮乏,加强数据分类分级保护势在必行
工业数据成为高价值勒索目标,工业数据安全保护技术市场空缺较大,现有安全厂商的现有产品无法系统性解决勒索问题。企业遭遇文件加密、系统加密、数据窃取、屏幕锁定等攻击行为,传统杀毒软件基本无用武之地。
因此,在工业据安全管理方面,企业只有落实数据分类分级保护,对列入重要数据和核心数据目录的数据进行重点保护,定期开展工业领域的数据安全评估和监测,开展工业领域数据安全风险信息报送与共享,才能够有效的将工业数据全生命周期安全防护的目标达成。
工业数据上云安全处理需要各界共建良好秩序
监管层面,全面加快构建工业数据安全工作体系,完善工业数据应急处置工作机制。工业企业从组织管理、制度人员、数据标识、数据分类分级、数据的安全审计与追溯、数据生命周期的安全防护、数据风险评估建立纵深的数据安全防御体系。安全厂商协助建立完整的数据安全管理体系和数据全生命周期安全保护体系,完善工业互联网数据安全监管及运营实践过程,进一步推动数据安全治理的可持续发展。