摘 要:隨著大數據技術在工業領域的推廣應用,工業大數據信息安全面臨著嚴峻的考驗。文章提出了工業大數據信息安全風險分類參考架構,分析了我國工業大數據信息安全風險調控的問題與不足,并從風險調控組織、戰略規劃、法規與標準、技術研發與專業人才培養等方面,提出了工業大數據信息安全風險調控體系的建議,為我國工業大數據信息安全風險調控工作提供參考。
關鍵詞:工業大數據;信息安全;風險分類;風險調控;體系建設
1 引言
隨著以智能制造為主的工業信息化不斷推進以及物聯網、云計算等技術的普及應用,越來越多的工業控制系統(ICS)、生產設備、零部件等產業鏈各環節要素,通過網絡實現了互聯互通,推動了海量工業數據的傳輸、存儲和處理,工業領域迎來大數據時代。與此同時,作為工業大數據重要載體與核心的工業控制系統,也面臨著日益突出的信息安全問題[1~3]。例如,2010年“震網”病毒(StuxNet)、2012年中東地區“火焰”病毒(Flame)、2015年烏克蘭電網遭遇Black Energy(黑暗力量)惡意軟件/代碼破壞等安全事件。如圖1至圖3所示,據CNVD國家信息安全漏洞共享平臺[4]統計,從2011年到2019年我國工業控制系統漏洞數量從200個增長到445個,翻了1倍,年均增長率為9%。漏洞數量從2011年261個劇增至2019年的2,318個,而且高危數量占比約三分之一,中危漏洞占比40%以上,可見都是危害較為嚴重的安全漏洞。
工業大數據作為承載于工業信息系統或平臺(如工業控制系統)之中的虛擬數據資產,與信息系統關系密切。工業信息系統或平臺信息安全受到威脅,工業大數據也必然面臨極大的安全威脅,且安全形勢嚴峻復雜[5]。但是,當前我國對工業大數據信息安全沒有明確的體系化分類,缺乏完善的風險調控體系。基于《GB-T 37973-2019信息安全技術 大數據安全管理指南》關于大數據主要活動及安全要求,結合信息安全常見風險問題,提出了較為全面的工業大數據信息安全體系分類,并針對我國工業大數據信息安全風險調控體系建設提出建議。
2 工業大數據信息安全及其風險分類參考架構
對工業大數據信息安全[6,7]的研究,除了數據資產自身的安全,還需結合承載工業大數據的信息系統或平臺的信息安全。在2017年之前,學術界和各國政府對工業大數據信息安全直接關注較少,而對工業控制系統信息安全的戰略規劃和發展給予了關注。國際電工委員會IEC/ TC65/ WG1與ISA99于2007開始共同制定IEC 62443系列標準。美國于2009年、2011年分別出臺“國家基礎設施保護計劃(NIPP)”“實現能源供應系統信息安全路線圖”、國家SCADA測試床計劃(NSTB)及DHS的控制系統安全計劃(CSSP)。我國于2011年10月由工信部首度印發《關于加強工業控制系統信息安全管理的通知》,要求加強國家主要關鍵基礎設置ICS的安全防護工作[8],并且國務院在2012年的《國務院關于大力推進信息化發展和切實保障信息安全的若干意見》[9]中明確提出要“保障工業控制系統安全”。
大數據流通階段,包含了數據采集、數據傳輸、數據存儲[10]、數據分析挖掘、數據可視化應用等。這些階段均存在數據泄露、數據干擾等信息安全威脅,因此工業大數據的信息安全也是采集、傳輸、存儲、分析挖掘和可視化應用等多個環節信息的保密性、完整性和可用性[11]。工業大數據信息安全風險分類符合一般的信息安全風險分類模式,并具有自身特點,如圖4所示。
3 我國工業大數據信息安全風險調控的問題與不足
當前,我國工業大數據信息安全調控存在著一些問題和不足。
一是對工業大數據信息安全的直接關注不足,缺乏直接針對工業大數據信息安全的戰略規劃。雖然我國重視工業信息安全相關的領域,如工業控制系統信息安全、大數據隱私安全等,但是與工業大數據信息安全直接相關的戰略規劃寥寥無幾。
二是工業大數據信息安全的調控體系落后,需在法律法規、標準體系、風險調控、測評機構建設等多方面布局。需在工業信息化過程中,結合“互聯網+”等國家戰略,不斷推進工業大數據信息安全法律法規建設和完善工作。2014年12月全國信息技術標準化技術委員會大數據標準工作組正式成立,并于2016年5月與中國電子技術標準化研究院共同完成《大數據標準化白皮書(2016版)》。對于大數據的相關標準研制國內處于起步階段,針對工業大數據及其信息安全的標準成果極少。工業大數據的信息安全是一個復雜的動態的過程,其風險調控工作也需建立一整套的調控體系,包括調控機構建設、調控法規建設、配套平臺建設、應急管理制度建設等。雖然工業控制領域或者大數據領域出現了一些信息安全的測評技術與機構,但缺乏針對工業大數據信息安全的技術體系較為完整的測評機構。
三是缺乏直接針對工業大數據信息安全領域的核心技術,工業大數據信息安全技術體系與人才體系也有待整合。除了繼承了傳統工業信息安全技術和信息系統的安全技術,工業大數據信息安全也必然呈現出獨特之處,如針對海量數據的過濾、審計與加密等,有待研發出適用于工業大數據信息安全領域的特定技術。由于工業大數據與多領域、多環節的相關性,其技術研發與管理,也需要交叉領域的專業人才,并推動人才體系完善。
4 工業大數據信息安全風險調控體系的建議
目前,我國對與工業大數據信息安全直接相關的戰略規劃、法律法規、技術標準和技術研發較少,而對工業控制系統相關的信息安全研究及其成果較多。急需轉變思路,以工業大數據虛擬資產為對象,研究工業大數據信息安全相關技術的總體構建和框架,從調控組織機構、戰略規劃、共性支撐平臺、法律法規和標準體系、人才隊伍與技術研發等五個方面推動工業大數據信息安全風險調控體系的建設。
推薦閱讀:網絡與信息安全學報網絡工程師論文投稿
