一、工業網際網路資料安全趨勢
随着“雲、大、物、移、智”等新一代資訊技術與制造業的融合發展,數字化生産、網絡化協同、個性化定制、服務化延伸等生産營運模式逐漸成為常态,工業網際網路資料不斷走向開放流動。但原本封閉在工業現場的資料上網上雲會帶來敏感資料洩露、違規傳輸、非法跨境、惡意篡改等工業網際網路資料安全風險。
随着《資料安全法》,《個人資訊保護法》以及《關鍵資訊基礎設施保護條例》等資料安全法律法規的頒布,工業企業在面臨空前的資料安全威脅的同時,也面臨着國家和行業的資料安全合規監管。
根據工信部釋出的《工業資訊化領域資料安全管理辦法》(二次征求意見稿),以及工信部釋出要求各工業企業推進《資料管理能力成熟度評估模型》(GB /T36073 — 2018)的通知,目前工業網際網路基礎設施營運商、工業企業、工業網際網路平台企業開展工業網際網路資料安全監測,形成工業網際網路資料資産識别、資料安全風險監測預警、資料安全威脅溯源處置等技術能力,實作工業網際網路資料安全風險與威脅可感、可知、可處置、可追溯等能力,成為各工業企業以及工業網際網路營運平台企業亟待解決的問題。
二、典型安全需求分析
目前,工業網際網路資料安全普遍存在以下問題:
(1)工業網際網路資料資産數量、種類、級别、分布位置不明了,資料分類分級識别分析缺乏技術手段;
(2)工業網際網路資料存在跨網域、跨平台、跨區域、跨境等流轉需求,但對于敏感資料沒有明确統一的定義和管理規範,在網絡流量中捕捉敏感資料難度大,存在敏感資料違規傳輸、洩露等現象;
(3)工業網際網路資料通路、存儲、共享、披露、删除等缺少全流程安全規範,存在非法通路、無序存儲、違規共享、惡意披露與删除等問題。
針對上述安全需求,需要一個工業網際網路資料安全監測預警方案,實作對工業網際網路資料跨網、跨域、跨實體流轉的動态資料監控,安全威脅檢測和預警,以及資料安全事件溯源審計,可以有效解決上述安全問題。
三、解決方案
1.方案架構
工業網際網路資料監測和預警方案綜合采用大網環境下的工業網際網路資料安全監測分析作為基本思路,提供多源資料采集、資料識别、流量監測、人工智能分析、資料安全風險分析、資料安全溯源、資料安全風向評估和威脅溯源仿真技術等一站式解決方案,形成面向工業網際網路資料安全監測預警的整體解決方案。
方案架構圖如下:
解決方案主要由以下幾部分組成:
資料源層
通過針對工業企業、工業網際網路平台和基礎營運商等資料源進行資料采集,建構工業網際網路資料安全檢測響應和溯源的資料基礎。
資料采集、監測層
支援對資料源資料采集彙聚、捕獲、比對、識别篩選、資料包深層檢測、資料安全分析等,進行“使用者,裝置,應用,資料”等與資料安全相關資訊的的提取,對工業網際網路資料進行類别級别辨別、标記;把擷取的資料安全相關資訊向上層平台安全傳遞。
資料分析管理層
對資料進行分類分級存儲、實作資料安全畫像和資料處理場景和應用場景識别,建立安全基線,實作異常檢測,資料流動路徑分析、資料安全風險評估、安全事件溯源、威脅溯源分析等。
資料安全感覺控制層
實作資料資産梳理、資料分類分級、資料安全态勢可視化展示,以及資料查詢、系統管理、配置管理、政策管理、預警釋出、報表導出等功能。
2.方案部署
工業網際網路資料安全監測和預警方案采用分布式部署方式:
以省一級工業網際網路資料安全監測預警方案為例說明部署模式:
STEP 1: 在各個工業網際網路資料源,如:工業企業出口,營運商IDC資料中心等位置,部署全息資料采集器,對全省工業網際網路資料進行采集,通過采集器内置的多種分析引擎支援工業協定的解析、工業裝置指紋提取、資料特征識别等,對接入的流量進行預處理,完成多源異構資料彙聚整合,然後發送給資料分析平台;
STEP 2:各地的全息采集器與全息資料分析平台(HV)通過加密的資料監控網進行資料傳輸,資料監控網建議采用5G網絡實作低延遲,多資料流的傳輸,由于網流量在資料采集器上已經經過預處理,經網絡傳輸的是資料安全資訊(日志),而不是采集到的原始網絡流量,因而可以大大降低網絡的帶寬需求,并具備實時檢測能力。
STEP 3:在省工信廳網安處部署全息資料分析平台(HV)實作資料安全日的集中、統一存儲,實作全局的資料畫像和關聯分析,對全業務資料分析研判層通過多引擎協作分析,結合人工智能等技術,對資料安全事件、資料資産、工控漏洞等方面進行監測分析,并通過可視化技術實作工業網際網路資料安全态勢綜合可視化展示。
具體到每個工業企業,資料采集器采用兩種部署模式,分别應對不同的網絡流量的資料采集場景:
采集器A:針對到網際網路的SSL加密流量進行采集,采用網關模式透明部署,支援SSL加密流量的資料采集。
采集器B:針對企業工業網際網路應用系統進行資料采集,采用旁路模式,通過對交換機鏡像或者TAP裝置分流的流量進行資料采集。
上述兩種采集模式可以支援企業典型的工業網際網路資料采集場景。
四、方案優勢
采用全息資料安全風險态勢感覺系統實作工業網際網路資料安全監測和預警解決方案的優勢如下:
(1)高安全性和可靠性設計的工業網際網路資料安全監測系統
全息資料采集器采用定制化硬體設計,加強的安全作業系統,支援硬體、軟體Bypass功能,在架構上保證資料采集的可靠性,穩定性和安全性,無感覺部署,不會對企業的工業網際網路應用産生影響;全息資料分析平台支援叢集化部署,具備橫向擴充能力,確定資料存儲可靠,系統支援7×24小時穩定運作。系統部署采用微服務子產品的概念,由一個或多個具有内在業務聯系的服務元件構成,每個子產品是獨立部署的單元, 可根據業務需要通過重新部署新的子產品裁剪現有業務邏輯, 而不影響其它子產品。部署中具有極大便利性,便于提 升系統部署的靈活性,以及系統的穩定性和安全性。
(2)主動與被動相結合的工業網際網路資料識别發現和安全監測能力
采用被動流量監測還原與主動掃描探測相結合的方式,實作工業網際網路資産、漏洞、安全事件的監測分析,彌補了單一技術識别發現能力的局限性,全面提高工業網際網路領域資料安全監測能力。其中,主動發現能力可彌補被動流量還原通信資訊的有限性,被動流量還原可彌補主動發現資産範圍的不确定性。
(3)兼具廣度和深度的工業網際網路資料安全監測預警能力
該解決方案的覆寫範圍涵蓋工業雲平台、工業APP、企業内網、企業外網、省級網絡等節點,內建雲端、網絡側、終端的縱深空間資料安全監測與防護能力。通過雲、網、端範圍的全局監測,結合主動與被動發現的技術手段,形成資料安 全監測預警在工業網際網路相關行業領域的廣覆寫。