关于工业互联网数据安全分类分级防护框架研究

关于工业互联网数据安全分类分级防护框架研究

祁学豪

身份证： 410901198302075015 江苏南京 210000

摘要：互联网环境下，进一步推进了各行业信息化建设进程，工业互联网也得以迅速发展。当前我国对工业互联网发展持有较大的关注力度，不过在其实际建设环节，仍面临着数据安全风险的威胁，安全管理体系不够完善，未能全面保证工业互联网数据安全。基于此，本文从工业互联网安全的内涵入手，分析工业互联网面临的安全风险，提出工业互联网数据安全分类分级防护框架，以供参考。

关键词：工业互联网；数据安全；分级分类防护

引言

工业互联网中，会包含较多种类的数据信息，包括科研信息、生产信息、经营管理信息、应用服务信息等，这些数据信息均具备较高的安全性以及保密性要求，因此需要重点制定出有效的安全防护策略，以保证各类数据信息从采集至销毁整个生命周期的安全性。本文提出了工业互联网数据安全分类分级防护框架，从通用安全防护、分类防护及分级防护做出简要分析，具体如下。

一、工业互联网安全的内涵

工业领域发展过程中，主要还面临三种类型的安全问题，一是信息安全；二是功能安全；三是物理安全。以往在工业控制系统使用过程中，往往将物理安全以及功能安全作为重点，避免工业设备以及系统出现功能失效或故障情况，即便其出现以上问题，也应确保系统及设备能够处于安全状态下^[1]。现阶段，互联网及各类信息技术的不断发展，有效促进了工业控制系统的信息化建设，但随之而来的是其信息安全问题不断发生，相关企业在信息安全的重视程度上也逐渐提高。互联网安全与以往的工控系统安全相比难度更大、范围更广、影响性更强。加上当前一些企业并未认识到信息安全防护的重要价值，在风险防控上较为欠缺。所以，工业互联网安全应做到全面统筹，综合关注物理安全、信息安全以及功能安全，加大对于信息安全的重视力度，防止网络攻击等风险，通过信息安全防护工作的良好开展，为物理安全与功能安全提供保障，促进工业领域可持续发展。

二、工业互联网面临的安全风险

对于工业互联网而言，工业互联网平台是企业转型升级的智能中枢，平台作为主要中心点连接了较多生产设备及系统，为工业企业提供相应的生产及开发服务，在实际发展中，往往会面临较多方面的安全威胁。首先，平台接入安全问题。一些工业互联网平台中，通常在平台数据上应用的是离线上传的方式，未能做到实时通信，面临较大的安全接入问题^[2]。同时随着工业互联网平台的推广，促进了控制网与互联网的互联互通，同时也为平台接入安全带来了更大挑战，“企业上云”趋势下，由于技术方面的限制，使企业面临相应的安全接入问题。平台安全接入问题的存在，对工业互联网平台发展产生了较大影响。其次，数据安全问题。在工业互联网平台中，包含了多种多样的数据信息，不仅包含工业设备与系统控制信息，还包含行业发展趋势、业务模式、生产管理以及产业合作等重要信息，需要重点进行这些数据传输、应用以及存储的安全防护，以免由于数据安全问题，影响到相关企业的生产经营安全。再次，安全渗透问题。互联网不断发展中，不良的网络攻击手段也在不断更新，技术含量逐渐提升，进一步加大了工业网络病毒防护工作的难度，使得工业互联网面临较大的安全威胁，如信息窃取、恶意操控以及欺骗伪装等，这种威胁的不断渗透下，势必会对工业互联网平台及设备终端产生严重的安全威胁。最后，服务安全问题。通常情况下，工业互联网平台会利用自身功能，为客户提供定制化服务，包括第三方软件开发及维护服务，产生了对设备和平台进行远程维护等需求，降低了安全可控水平。

三、工业互联网数据安全分类分级防护框架

对于工业互联网而言，其存在各种类型的数据信息，这种情况下，使得数据安全防护工作存在较大的难度，为获得良好的安全防护效果，应对这些数据信息进行分类与分级，从而针对性的进行安全防护，主要可由以下三部分共同构成安全防护框架，保证工业互联网数据的安全性。工业互联网数据安全分类分级防护框架如图1所示：

图1工业互联网数据安全分类分级防护框架

1.通用安全防护

首先，安全管理。安全管理是通用安全防护中的一项重点内容，在此方面需要重点做好以下工作：第一，构建整体防护政策，确定出安全管理规范，面向工业互联网各个涉及到数据的环节进行安全管控，对各项制度的具体要求以及流程加以明确，实现各项制度的良好落实。第二，组建安全管理机构，形成专业化数据安全管理重点团队，明确各岗位工作内容及职责，为使安全管理人员具备更高的综合素质水平，还应重点进行安全意识教育培训等，并清晰各岗位人员的数据访问权限^[3]。第三，重点关注设备的全过程管理，在设备接入前，应严格实施安全审核，使用过程中，也需要进行定期的管理与维护。还应做好供应链安全管理、分类分级、安全监测、风险管理、检查评估以及应急预案等方面的工作。其次，系统安全。在系统安全方面，重点需要关注以下几方面：将安全防护设备布置于各网络边界间，避免出现非法网络访问情况；严格做好入侵防范工作，如检测关键网络节点以及异常流量等等；在账户权限分配上，遵循最小特权原则，避免出现数据违规访问等情况；重视工业互联网数据访问控制，通过细粒度划分的方式，强化用户权限管理；全面审计所有安全事件以及用户行为，找到安全事件发生的主要原因，确保数据安全。

2.分类安全防护

工业互联网数据分类安全防护上，主要为：首先，研发设计类数据。因为这一类型的数据会涉及到企业利益以及核心产品研发相关内容，存在较高的保密性要求，应对这类数据从采集至损毁的各个环节进行严格控制，避免出现被篡改、泄露等问题，可以选择的保护措施包括数据脱敏、介质管控、数据加密以及专用网络等。其次，生产制造类数据。在该类型数据安全防护上，应保证其具备较好的合规性、时效性以及可用性。合规性方面，可选择安全审计的方式，也可以选择访问控制以及接口认证等方式；时效性方面，需要将重点放在数据的采集上，及时采集有价值的数据信息；可用性方面，可以冗余备份以及科学校验等方式。再次，经营管理类数据。此类型的文件需要保证其具备较强的保密性、合规性、可用性、完整性以及可追溯性。保密性方面，可选择VPN技术、数据脱敏技术以及密码技术；合规性方面，可通过安全审计、访问控制以及身份鉴别等方式加以实现；可用性、完整性以及可追溯性方面，可选择校验技术、敏感字段标注、数字签名以及数据水印等方式^[4]。最后，应用服务类数据。进行此类型数据安全防护时，可以选择校验技术以及数字签名的方式，确保各环节数据的完整性，并且在实际工作中，还应对数据进行备份，以避免出现数据丢失等问题。

3.分级安全防护

对于分级安全防护而言，其主要是以数据分级为主要基础，结合多种技术手段，覆盖数据的全生命周期，防护要点为：第一，数据采集安全。在数据采集安全防护上，应重点做好采集安全控制、外部数据源头识别、源数据安全检测等工作，并结合数据重要性对数据采集进行分级；第二，数据传输安全。主要采用传输安全防范、单向数据传输、安全协议或专用链路传输、数据流量识别、数据安全迁移等方式，针对终端设备计算能力不足的情况可以引入轻量化加密算法，确保数据的安全传输，不会受到各类风险因素的不良影响；第三，数据存储安全。数据存储安全对于工业互联网数据安全防护中占有主要地位，因此需要通过严控存储环境安全、分类分级存储、加密存储以及数据灾备等方式，保证其存储的安全性。第四，数据处理安全^[5]。数据处理过程中，也会遇到较多安全风险，因此，需要重点保证处理环境、加工与分析的分级保障，安全处理各项分级数据；第五，数据交换共享与公开披露安全。这一环节中，应严格遵循数据交换共享以及公开披露原则，限制数据的级间流动，并且还应进行数据溯源以及数据脱敏，以确保数据的安全性；第六，数据归档及销毁安全。针对这两项工作，应制定出严格的数据保护机制，并根据数据分级情况进行归档，并制定数据的保管期限，防止数据被随意删除，销毁过程中，需要保证数据被完全销毁，并且还应将存储介质进行销毁处置，防止数据被恶意恢复。

结束语

综上所述，工业领域不断发展中，需要将关注点放在其互联网数据安全防护上，特别是当前工业信息化的不断推进，基本上重要的数据信息均在包含在工业互联网数据中，一旦出现泄露、丢失、被篡改等安全问题，会使工业企业面临较大的损失，实际进行工业互联网数据安全防护时，应从通用安全防护、分类安全防护、分级安全防护入手，形成完整、全面的安全防护框架，对各环节中的各类数据信息进行重点防控。

参考文献

[1]董悦,李艺,秦国英,李姗.工业互联网数据安全技术研究[J].信息通信技术与政策,2020(10):38-41.

[2]王晨,宋亮.工业互联网数据安全防护体系探析[J].信息通信技术与政策,2020(04):7-11.

[3]徐雪松,金泳,曾智,杨胜杰,陈荣元.应用于工业互联网数据安全的分层轻量级高通量区块链方法[J].计算机集成制造系统,2019,25(12):3258-3266.

[4]张雪莹,陈雪鸿,杨帅锋.工业互联网数据安全标准体系研究[J].网络空间安全,2019,10(10):86-92.

[5]陈雪鸿,杨帅锋,柳彩云.工业互联网数据安全分类分级思考[J].网络安全和信息化,2019(08):112-114.