欢迎您访问工业控制系统信息安全产业联盟网!
用户名:  密码:
控制网会员可直接登录

国利网安团队解读《工业数据分类分级指南(试行)》指导下的工业安全防护

  点击数:104  发布时间:2020-03-17 16:06
为贯彻《促进大数据发展行动纲要》《大数据产业发展规划(2016-2020年)》有关要求,更好推动《数据管理能力成熟度评估模型》(GB/T 36073-2018)贯标和《工业控制系统信息安全防护指南》落实,指导企业提升工业数据管理能力,促进工业数据的使用、流动与共享,释放数据潜在价值,赋能制造业高质量发展,2020年2月27日,工业和信息化部印发《工业数据分类分级指南(试行)》。本期特邀浙江国利网安科技有限公司王迎、许剑新撰文解读《工业数据分类分级指南(试行)》指导下的工业安全防护。

导读

为贯彻《促进大数据发展行动纲要》《大数据产业发展规划(2016-2020年)》有关要求,更好推动《数据管理能力成熟度评估模型》(GB/T 36073-2018)贯标和《工业控制系统信息安全防护指南》落实,指导企业提升工业数据管理能力,促进工业数据的使用、流动与共享,释放数据潜在价值,赋能制造业高质量发展,2020年2月27日,工业和信息化部印发《工业数据分类分级指南(试行)》。本期特邀浙江国利网安科技有限公司王迎、许剑新撰文解读《工业数据分类分级指南(试行)》指导下的工业安全防护。

1  前言

工业数据是工业数字化进程的重要媒介,也是工业企业数字化转型的重要资产,因此工业数据既具有流通作用,又具有投资价值,尤其是在工业互联网基础设施建设关键阶段、全面的工业信息安全防护落地阶段,试行并实施《工业数据分类分级指南(试行)》(以下简称“《指南》”),对工业企业、地方政府主管部门、工业互联网平台企业、工业安全企业具有重要的指导意义,有利于各方通力合作,共同维护好各级工业数据的应用管理和保护工作。

《指南》的“第一章(第一条~第四条)”从工业数据的定义、类型以及适用范围等方面进行了诠释,宏观上阐明了工业数据分类分级和管理的目标、意义和原则,并提出了数据分类分级的原则和措施,明确了工业数据的管理主体,以及需要进一步落实和完善的工作内容。

本文重点针对《指南》中分级管理的数据安全保护角度,结合工业企业及平台企业信息与网络安全防护实施的具体需求和情况,解读和分析工业数据分类分级和保护的工作内容,并对工业安全服务企业应发挥的作用和扮演的角色提出一些建议。

2  分类分级需注重工业数据“平衡保护”

工业数据的分类分级是为了对数据进行更为科学合理的保护,对企业而言,通过分级保护措施有助于工业安全防护建设投入成本,获得更高的数据保护投资收益。

《指南》的“第二章(第五条~第七条)”将工业数据按照工业企业的生产制造和平台企业的服务运营进行划分,并分别从不同的维度对数据分类进行了指导,数据类型覆盖了工业领域产品和服务全生命周期,保证了工业数据分类的完备性。

《指南》的“第三章(第八条~第十一条)”则是从工业数据的影响程度对其进行了分级,其实质是“影响级别”,定级参考影响范围(可理解为局部影响、相继影响、整体影响等三级)、持续时间(可理解为时间短、时间长、永久或较难逆转等三级)、可恢复性(可理解为易恢复、恢复代价较大、无法恢复或较难挽回等三级)等多个维度,形成了工业数据分级的定性基本标准。

尽管工业数据的最终承载者仍然是生产和平台运营企业,但实际上广义数据的整个生命周期涉及到产品和设备供应商和平台开发企业(研发数据域)、系统建设和维护方(生产数据域)、工业生产企业(管理数据域)、业务合作企业(外部数据域)、平台运营和管理企业(平台运营数据域、企业管理数据域)等多个法人主体,一方面需要统一的数据保护框架,对各类数据尤其是涉及到主体企业主体间的连通和共享数据进行一致性的保护,保证每个类别和级别的安全数据获得相匹配的保护措施;另一方面,工业数据在各主体企业流转过程中,由于各主体单位对某个数据在本企业业务中的影响和价值不同,有可能存在“相同数据,不同定级”的情况,从而导致相同的数据可能在不同的企业中实施了不同的安全防护策略,这种情况可能会造成攻击者可以通过间接的方式获得较高级别的数据,所以在数据定级时,对于交叉使用的数据既需要考虑对本企业的影响,也需要考虑对其他相关企业的影响。

因此,工业企业在实施安全防护建设时,需要遵循工业数据安全保护原则,参照分级数据来制定和实施符合分级保护需求的防护措施;同时,工业数据在不同企业之间需要实施“平衡保护”,即一是进行平台级的综合评级,保证“同数据,同级别”;二是实施与级别相匹配的防护措施,保证“同级别,同防护”。

从“平衡保护”的需求来看,一是需要实现工业数据在工业企业以及平台企业为核心的流转体系中的追踪,通过标记、指纹等方式保证相同数据在不同承载对象上能够准确识别,以实施相同的防护;二是需要做好工业数据在整个流通链上下游主体间的安全承接和监控,保证数据流转中的完整性,当数据形态发生变化时,进行相应的级别调整。

在“平衡保护”的实施中,第三方工业安全企业应发挥重要的串联作用,可以联合工控设备供应商和平台开发企业从数据分级和安全防护等角度综合解决上述问题和关键技术,并协助工业企业和平台企业完成工业数据分类分级。

3  分级管理的目标是降低“安全级别”

《指南》的“第四章(第十二条~第十六条)”认定了工业数据分级管理的责任主体,提出工业企业、平台企业等责任主体应设置管理制度、管理机构和专职人员以及安全事件应急预案,建立了工业数据分级保护与工业控制系统信息安全防护之间的联系,并建议企业在必要的情况下开放数据。

工业数据分级的基础是“影响级别”,对各级工业数据保护的实质,是根据数据管理的责任主体来实施安全防护,即防护实施的对象不是数据本身,而是数据的承载对象和数据的所有者,数据本身并没有意义和价值,而是数据与企业中的业务、与设备、与人建立了关联之后赋予了数据作为描述和操控业务、数据和人的手段。

因此,与数据“影响级别”相对应的是责任主体的“安全级别”,责任主体因工业数据安全所造成的风险越小,即工业数据的影响越小,责任主体的“安全级别”越低。责任主体的安全目标是降低风险,数据本身的“固有级别”在责任主体中各对象不变的情况下是无法降低的,只能通过企业安全防护措施,从影响范围、持续时间、可恢复性等三个维度去降低工业数据的“实际级别”,从而达到降低责任主体“安全级别”的目标。

在《指南》指导下,工业企业和平台企业等主体在结合了工业数据分类分级的安全防护建设应具有以下新特征:

3.1 数据最高级别决定防护措施

无论是工业现场输入和生成的数据、工业企业主机上存储的数据、工业网络中流动的数据,还是工业互联网上的企业间互通数据,通常可能存在一、二、三级数据是融合、混存的,并且是较难按级别进行分流和切割的,因此在定级上通常会采用“就高原则”,既只要认定整体数据中部分存在三级数据,即可将整体数据定级为三级,从而执行相应的防护措施。

3.2 “数据拼图”全景下的定级策略

数据的级别,有时候具有一个量的特征,单一的数据不会造成影响或者引发信息泄露,但是数据量越大,涉及的可分析维度越多,级别越高;从另一个角度来说也可以分为局部数据和整体数据。这两种情况均体现的是一个“数据拼图”的概念,数据量不断积累,当能够呈现出数据全景时,数据的级别可能会出现级别的质变。因此,工业数据的定级策略是一个多维度的全景分析问题,可能涉及到数据索引、数据关联、数据组合等方面的技术性问题。

3.3 数据开放是主体防护意识的升华

涉及到工业数据的工业企业和平台企业安全对抗,攻守双方的竞争实质是信息(数据)的掌握程度和分析能力。对于工业数据的获取渠道,攻方可以通过非法、暴力的手段获得,而守方必须从合法渠道,并且在数据所有者授权的情况下才能获得。此外,攻方获取数据具有定点性,守方则需具有全面性,任何短板都易成为守方的天然劣势,这也是古老的“木桶原理”。因此就目前企业数据在保护隐私的前提下,无论从数据时效性还是数据分析样本范围上,守方都不具备优势。

从防护意识上来说,意识是人的属性,不是工业中“物”的属性。《指南》“第十五条”中鼓励工业数据拥有者将数据开放给防守合作方,适当共享一、二级数据,提升的是责任主体人的防护意识,使守方占据数据领先优势,最终让守方帮助工业数据拥有者进行更为恰当的防护。

3.4 “二次数据”需具备更高的级别

工业“一次数据”是指直接从工业现场、工业主机、工控设备、工业网络上获取的数据,是责任主体中的原始数据。通常企业中会部署分析系统、诊断系统、监控系统、防护系统等系统,通过采集“一次数据”,并经过对大规模“一次数据”进行分析和处理后获得的数据称为“二次数据”,这部分数据更能够清晰地表达出数据的核心内容,因此比“一次数据”更有价值,更容易被攻击者所利用。因此在保护“一次数据”的同时,更加要注重“二次数据”的保护,有必要将“二次数据”设定为更高的级别,并对“二次数据”的生成对象实施更高级别的防护。

3.5 应急需要技术框架下的持续联动

《指南》“第十六条”重点强调应急,包括“事前”的预案和“事后”的处置,仍然应该是从影响范围、持续时间、可恢复性等三个维度去考虑应急响应问题,其中影响范围的控制是要做好区域限定和隔离,以使在事件发生时能够切断区域关联,避免相继事件发生;持续时间实际指的是从影响产生到影响停止的时间,需结合工业现场的情况实现业务系统与安全系统间的快速联动;可恢复性通常需要受影响对象从异常状态恢复到正常状态,这里除了易造成物理损毁的设施无法恢复外,应能够快速地恢复与数据有关的业务。因此应急不仅仅是管理和服务范畴,而是涉及到多个技术层面,并且是需要多方对接联动的持续性过程。

4  结语

从“微盟删库事件”可以总结出一些数据防护的意义和经验,一是对工业企业而言,数据即是资产和价值,数据的损失直接导致生产环境及数据遭受严重破坏;二是防护的对象不仅仅是来自于外部,也可能来自于内部,对于工业数据的保护可以借鉴工控系统的安全连锁方式,从概率角度较低风险;三是事件应急应该是即时性的,处置的时间窗口应设定在较小范围内,以避免更大规模的损失。

《指南》的意义在于通过工业数据将所有的安全相关主体和对象进行连接,通过工业数据分类分级,更加清晰地指导了对工业企业安全的描述,并从数据安全及其影响的角度实现了对数据价值的评价。

作者简介

王迎(1981-),现任浙江国利网安科技有限公司总经理,毕业于东北大学自动化专业,主要研究方向为工业控制系统及工业信息安全。已投身流程工业控制领域十五年,对石化、化工、电力、核电等行业有着极其深入的了解,富有资深的现场产品经验。撰写发明专利7项,在核心期刊发表论文2篇,带领团队开发多款工控安全专用产品。

许剑新(1984-),高级工程师,博士,现就职于浙江国利网安科技有限公司,毕业于浙江大学控制科学与工程学院,主要研究方向为工控系统安全,曾参与多项国家级重点研发项目,撰写发明专利6项,带领团队开发多款工控安全专用产品。

来源: 工业安全产业联盟



成员展示

 


电话:010-62669087 传真: 010-62669562 控制网版权所有未经许可不得转载
京ICP备 14036844号-1 地址:北京市海淀区上地十街辉煌国际5号楼1416室(100085)