淺談工業企業數據安全建設路徑
淺談工業企業數據安全建設路徑
工業企業的數據發展經歷了四個階段:第一階段是數據倉庫,同一時期還有數據湖、湖倉一體化等相關技術,主要完成了數據的接口、存儲和簡單的分析;第二階段是數據平臺,在數據倉庫的基礎上,完成了更進一步的統計與分析,此期間逐步提出了數據標簽;第三階段是數據治理,隨著數據技術的逐步成熟,慢慢地進行更細粒度的治理,包括元數據、主數據、數據標準、數據質量和數據交換等;第四階段是數據安全治理,也是工業企業當前面臨的重要任務。
工業企業特殊的發展過程決定了業務數據源多樣、數據類型復雜、數據實時性強、存儲周期長、可靠性及一致性要求高于保密性等特點。企業的數字化轉型進程與數據技術的發展進程一直以來都是同步進行的,在快速推進數字化轉型的同時,企業在同步摸索著進行數據倉庫和數據治理建設,但大多是獨立建設的系統,很少形成整體規劃。
隨著《中華人民共和國數據安全法》(以下簡稱《數據安全法》)的施行,數據安全已經成為國家戰略,數據安全治理與數據治理的整體規劃與統一建設,已經成為大多數企業考慮的建設思路。同時,2022年2月10日發布的《工業和信息化領域數據安全管理辦法(試行)》(以下簡稱《管理辦法》),從標準制定、數據分級分類、數據全生命周期安全管理、安全監測與應急、數據安全檢測與認證,以及評估管理等各個方面提出了要求,對于數據安全建設具有指導意義。
本文以工業企業數據安全整體規劃為目標,基于行業先進的數據治理及數據安全治理技術,參照《數據安全法》 《管理辦法》的要求,考慮工業企業面臨的數據安全問題,提出建設路徑。
建立數據安全組織架構
數據安全建設是系統工程,涉及到安全管理、安全運營和安全技術三個方面。《管理辦法》第十三條要求根據需要配備數據安全管理人員,統籌負責數據處理活動的安全監督管理,協助行業(領域)監管部門開展工作。數據安全管理人員要能夠向上聯動到相關監管機構及企業管理者,向下聯動到數據用戶,向外聯動到第三方數據處理機構,向內聯動到其他業務部門。企業明確好數據安全負責人和管理架構之后,要明確數據處理關鍵崗位和崗位職責。此外,企業還應建立常態化溝通與協作機制、建立數據處理記錄及審批流程,確保數據安全建設工作可持續性發展。
進行數據治理
數據治理主要功能組件包括元數據管理、數據標準、數據資產、數據質量、數據集成、數據交換和主數據管理。元數據就是描述數據的數據,可分為業務元數據、技術元數據和管理元數據,是數據標準的基礎。
元數據可以看成是主數據的目錄,元數據部分主要完成的是元數據的建模,基本管理如添加、刪除等,元數據分析如血緣分析、影響分析及關聯分析等。
數據標準是為了保障數據交換的一致性和準確性的規范。數據標準主要完成參考數據標準和主數據標準的制定,參考數據標準可以參考國家標準和行業標準。在這個功能組件中,主數據標準需要完成為數據安全建設打基礎的任務,數據的分級分類以及資產編碼也是基于主數據標準來完成的。
數據資產是需要保護的數據本身,需要做好分級分類以及數據編碼,它決定了采用什么樣的數據安全防護手段。
數據質量主要完成多源數據的比對,確保數據的一致性和準確性,數據質量決定了安全防護的效果。數據交換解決的是多源數據流動的問題,確保數據兼容性和一致性。
主數據管理比較重要的部分是數據字典(或稱參考數據),它管理主數據的屬性,決定主數據的值。主數據是各業務系統之間交互的數據,是業務數據的核心組成部分。數據安全治理最好基于數據治理之后的主數據加安全標簽,并進行安全控制策略的配置。
數據治理整體功能框架如下圖所示。
大數據技術的逐步發展,導致了市場上非常多的產品形態,企業未必需要全部建設。數據底座的質量決定了上層的數據安全建設是否牢固,數據治理的程度決定將來是否需要重復建設,所以數據治理要注意前瞻性以及共享性。
數據安全分級分類
《工業數據分類分級指南(試行)》第八條規定,根據不同類別工業數據遭篡改、破壞、泄露或非法利用后,可能對工業生產、經濟效益等帶來的潛在影響,將工業數據分為一級、二級、三級等3個級別。工業數據的分級考慮的維度包括研發、生產、運維、管理以及第三方等。一級數據指泄漏后對工業控制系統及平臺造成較小影響,企業恢復時間較短,損失較小;二級數據指泄漏后對企業及環境造成較大影響,損失較大,持續時間較長;三級數據指泄漏后對國家、社會、行業、經濟帶來嚴重影響,易引發重大生產安全事故。
數據安全建設
以往的數據安全防護策略通常是邊界安全、物理隔離等,多采用網閘、防火墻、網關及入侵防御等單一防護設備,以分區分域的思路來設計,以網絡安全防御體系來保障數據的安全。工業企業數據深度融合應用及數據復雜交互的需求越來越迫切,在保證數據開放共享、做好數據安全建設的安全形勢下,簡單的邊界隔離以及分區分域已經不能滿足數據安全生命周期的安全防護要求,內生安全及端到端的安全是新形勢下更具可操作性的數據安全建設思路。
那么如何結合數據治理以及分級分類進行數據安全建設呢?
首先,數據安全建設離不開數據資產的識別。工業企業需要根據工業數據分級分類標準以及數據保密要求,在此前對數據資產打好的數據標簽上加上安全屬性,形成數據安全標簽,之后的數據安全控制策略都將以此為基礎進行設計。其次,對分級分類后的數據按照不同的保密級別,結合設計好的訪問控制策略,賦予用戶不同級別的訪問權限。最后, 根據工業企業業務數據交互的需要以及訪問權限,設計訪問控制策略。
數據安全技術體系是由數據安全產品構建的整體解決方案來實現的,目前成熟應用的數據安全產品有數據庫審計、VPN、PAM、IAM以及SD-WAN數據沙箱等,新興技術有零信任、SASE、數據防泄漏和數據安全態勢感知等。
新形態的工業企業數據安全整體架構如下圖所示。
數據安全建設包括安全管理戰略、安全運營管理和安全技術體系三方面。安全管理戰略決定了數據安全建設的目標,安全運營管理制度決定了數據安全建設的效益,安全技術體系決定了數據安全建設的效果。
數據安全建設的技術體系應從數據的全生命周期安全考慮,數據全生命周期的安全態勢,可借助數據安全態勢感知設備來進行監測及管理。該體系可從數據存儲安全、數據使用安全、數據傳輸安全和數據交易安全四個維度規劃。
數據存儲安全可以通過數據庫服務器的白名單機制來進行防護,這是數據安全的最后一道防線。數據使用安全可以通過對用戶進行身份的認證、用戶的權限分級以及數據庫訪問的審計等技術,一方面避免非法訪問、越權訪問,另一方面對所有數據訪問進行記錄,便于事件追溯。這里可以考慮結合零信任理念進行設計。數據傳輸安全可以通過數據加密、VPN、用戶身份認證和權限分級等技術實現,考慮到企業云服務的應用和遠程訪問等需求,可以采用SD-WAN、SASE等新興技術及理念進行設計。數據交易安全可以使用數據沙箱、數據加密、數據脫敏及數據防泄漏等技術來實現,這些產品都使用了基于內容的訪問控制技術。
價值
本文依據數據安全的相關標準要求,從工業企業數據管理以及數據安全建設整體規劃的角度出發,說明了數據治理和數據安全治理需要做的工作,以及可利用的先進技術,解決了如下三件事。
1.說明了數據安全建設的思路及步驟
首先,要通過數據治理完成數據資產的梳理、數據標準制定以及數據的標簽工作;其次,進行數據資產的分級分類;最后,根據不同數據級別需要進行的數據安全防護級別,進行整體的數據安全建設規劃。
2.整體規劃數據安全建設
數據安全建設需要從安全管理、安全運營和安全技術三個方面整體規劃,構建數據安全組織架構,制定數據安全管理制度,基于數據安全管理標準及業務數據的分級分類結果,在數據治理的技術上,利用成熟的先進安全技術,建設數據安全防護體系。
3.避免重復建設
闡述了數據治理及數據安全治理的相關技術及建設內容,給企業數據安全建設提供了具體思路及路徑,避免重復建設。
文章轉自公眾號:網絡安全和信息化
