360陶耀東:構建全生命周期的工業大數據安全防護體系
原創【51CTO.com原創稿件】隨著工業信息化的發展,工業大數據在也在扮演越來越重要的角色。這些蘊含巨大價值的數據,成為了各類不法分子眼中的“香餑餑”。今年七月,100 多家車廠的機密數據被曝出發生泄露,涉及機密文件47000個。這是這些年工業數據泄露的真實寫照,我們已經沒辦法把自己當成把頭埋進沙子里的鴕鳥了。
那么,在智能互聯時代,企業究竟該如何做好工業大數據的安全防護呢?
在9月14日舉行的世界物聯網博覽會·中國大數據創新發展高峰論壇上,360企業安全部集團副總工程師、工業控制系統安全國家聯合工程實驗室主任陶耀東,與參會人員解讀了如何在智能互聯時代工業大數據安全防護體系,分享了他對工業大數據安全防護的看法。
360企業安全部集團副總工程師、工業控制系統安全國家聯合工程實驗室主任陶耀東
工業大數據的獨特之處
演講中,陶耀東首先對工業大數據的特點進行了分析。他表示,從表面上來看,工業大數據并沒有什么特別之處。但是,就數據和流程本身,工業大數據有自己的獨特之處。
“不論是流程制造還是離散制造,任何工業領域都有非常強的專業性,如果數據分析師沒有很強的專業背景幾乎無從下手。”陶耀東在演講中強調,“一般意義上的大數據要求數據量盡可能大,但工業大數據并不一味追求總量,但要求樣本盡可能全面,并且還需要分析數據之間的物理邏輯關系。”
陶耀東認為,工業大數據具有四大顯著特點:***,工業大數據需要精準預測,一旦結果偏差較大,對制造過程本身影響非常大;第二,注重數據的全面性和實效性;第三,關注數據背后的物理邏輯和特征;第四,數據主要來源于工控設備的運轉。
工業大數據的安全防護,任重而道遠
企業該如何做好工業大數據的安全防護呢?對此,陶耀東在演講中提出了以數據資產為核心,構建全生命周期的工業大數據安全防護思路,并且遵守數據采集最小化原則、使用授權最小化原則、責任不隨數據轉移原則、分級分類保護原則、受控審批原則和可審計原則,囊括數據采集安全、數據傳輸安全、數據存儲安全、數據處理安全、數據交換安全和數據銷毀安全等各個環節。
舉個例子:在上文提到的車企數據泄露的案例中,所有數據泄露事件都指向了一家服務器提供商,這家公司為這些車企提供數據管理服務。研究人員發現,這家公司在使用遠程數據同步工具rsync處理數據時,備份服務器沒有限制使用者的IP地址,并且未設置身份驗證等用戶訪問權限,因此任何人都能直接通過rsync訪問備份服務器,這是導致事故發生的主要原因。
這是一次數據使用授權過大造成數據泄露的典型案例。未來隨著工業互聯網、大數據、物聯網等技術的進一步發展,越來越多類似于第三方服務商需要獲取訪問權限,可以預見的是,工業大數據的安全任重而道遠。
面向實戰的大數據安全體系
陶耀東認為,在設計安全體系時,需要面向實戰。實戰就是解決問題,任何不能解決問題的方案,說句笑話就是耍流氓。對此,陶耀東提出了大數據安全體系設計四步戰略:
***步,摸清數據資產。想清楚自己有多少數據,數據存在哪里,重要級別如何,哪些數據是敏感數據。數據資產可見是整個安全策略的基礎。
第二步,梳理數據使用。誰在使用數據,什么場景使用數據,用什么方法使用。如果有人在沒有業務需求的場景下使用了數據,是否合規合法?
第三步,管控數據的風險。大量的風險來源于數據的使用和流動,那么怎么消除數據流動過程中的風險?脫敏、加密傳輸是否有效?風險真的消除了嗎?
第四步,強化安全運營。數據在流動過程中一旦出現異常,就要針對解決,并且設置一個完整的應急響應體系,萬一出現數據泄露,要吧損失控制在最小。尤其是要注意,工業大數據的處理對于人的依賴遠比消費大數據要更強,因此企業需要更加重視人的運營。
工業大數據安全的新方案建議
基于以上大數據安全四步走戰略,陶耀東針對工業大數據的特性提出了四點新建議:
***,數據可視化。這里又分為三種:一是,數據的資產分布圖,看清數據的分布;二是,數據的熱力分布圖,看清數據的價值;三是,數據資產流轉圖,看清數據的流轉動向。
第二,用戶行為分析。我們需要利用UEBA等技術,建立用戶畫像,從用戶行為角度分析,是否是正常用戶行為。
第三,隱私保護。在智能制造、網絡化協同、個性化定制、服務化延伸等富含大量個人數據的行業將重點關注隱私和機密保護,采用數據脫敏、分級、分類等功能。
第四,伴隨著云計算、物聯網在工業領域的大規模應用,數據防泄漏技術將應用于特定的云基礎設施和應用程序中, 同時在各個端點設備、移動設備、不同的云應用中使用統一的DLP策略。
此外,在當天的會議上,360企業安全在展區也展示了工業安全運營中心、工業安全網關、工控主機防護、工業安全審計等多款工業安全設備,提供涵蓋設備安全、控制安全、網絡安全和大數據安全的多層次安全防護能力。未來,360企業安全集團還將加大對技術研發和成果轉化的支撐力度,建立與工業互聯網發展相匹配的安全防護能力。
【51CTO原創稿件,合作站點轉載請注明原文作者和出處為51CTO.com】
