2021年6月《中华人民共和国数据安全法》(以下简称《数据安全法》)正式颁布,明确提出在坚持总体国家安全观基础上,建立健全数据安全治理体系,提高数据安全保障能力。由于工业互联网数据具有流动性、实时性、多样性等不同于传统数据的特性,工业互联网安全风险在数据层面不断加深。因此,本文以《数据安全治理能力评估方法》《数据管理能力成熟度评估模型》为基础,阐述了工业互联网数据安全治理的内涵;从组织如何落实工业互联网数据安全治理要求的角度出发,结合部分企业开展数据安全治理的实践,提出工业互联网数据安全治理总体视图,按照治理目标、治理框架、治理实践路径提出落地建议,并对未来发展进行展望。
1 工业互联网数据安全治理概述
1.1 工业互联网数据安全治理
随着数据时代的到来,工业互联网数据安全不断迎来日益严峻的挑战,计算机时代,信息的完整性、保密性和有效性愈加成为公众关注的重点。互联网时代,数据安全的重点则聚焦在网络信息目标的真实性、可依赖性、可控性。数据时代,数据自身安全以及数据保护的安全成为关注的重点,工业化互联网数据安全成为工业互联网发展的重要基础,随着《数据安全法》的正式颁布,数据在安全体系中占据了核心地位。这就要求组织必须把保障工业互联网数据安全放在重要位置,全力解决工业互联网数据安全领域的突出问题,有效提升工业互联网数据安全治理能力。
广义地说,工业互联网数据安全治理是围绕国家数据安全的核心战略要求,通过整合相关组织共同参与和实施的一系列活动合集,其核心活动包括积极推进各项政策法规实施,编制推广相关国家标准、地方标准,创新开展关键技术攻关,组织推动人才建设。
狭义地说,工业互联网数据安全治理是指以合法合规使用数据为核心的多部门协作活动,以保障数据安全、促进开发利用为原则,包括明确数据安全治理工作的团队及职责,规划制定相关制度规范,构建数据安全技术体系等,需要干系人统一目标、协同工作,统抓工业互联网数据安全与发展。
1.2 工业互联网数据安全的范围
工业互联网数据安全的范围包括信息安全、隐私、可靠性、弹性和功能安全。其中,数据信息安全强调保护数据资产不受意外或未经授权的访问、更改或破坏,确保其可用性、完整性和机密性。数据隐私强调个人、组织或机构等控制或影响收集和储存与自身有关的信息的权利,以及由谁和向谁披露这些信息的权利。数据可靠性是指数据记录可追资产不受意外或未经授权的访问、更改或破坏,确保其可用性、完整性和机密性。特别需要指出的是,数据可靠性强调数据记录可追溯,数据结构及内容清晰可见,数据与操作同步生成/录入,而且是第一手数据,未经改变,数据处理与实际操作相一致,无主观造假或客观输入错误。弹性和功能安全是指从工业互联网数据使用安全着手,并强调数据安全在其中所起的核心和支持作用。
1.3 工业互联网数据保护
国际通信学会、对象管理组织和国际电工委员会等国际组织在工业互联网数据方面定义了一些基本术语或技术的概念。其中,数据保护是一个包含相近和重叠领域的总称,包括数据安全、数据完整性和数据隐私。在一般情况下,信息安全专家将“数据保护”与“数据安全”互换使用,但为适应复杂的工业应用场景,工业互联网数据安全将数据保护概念进行了延伸,新增了完整性和隐私保护。图1对工业互联网的数据保护与数据安全进行了解读。
1.4 以数据安全为主的工业互联网发展新趋势
数据将成为工业互联网的重要资源,也将成为其发展的原生动力。因此,工业互联网云侧的安全防护将以数据安全为主,数据安全是工业互联网信息安全防护技术的重要内容。工业互联网的重大进步之一是可以使用外部网络计算能力分析和控制运营技术(Operational Technology,OT)基础设施,在典型的工业互联网系统中,一个云平台系统可以与成千上万的现场设备进行通信,并且在这些设备中存储数据。然而,大多数工业互联网企业使用共享的第三方服务,提供商需要创建许多信任边界,而这些边界会影响安全性和隐私,因此必须使用技术手段保护信息安全和数据隐私。流入控制系统的信息必须受到充分保护,同时还要保护物理过程的安全性和弹性。
2 工业互联网数据安全治理总览
随着工业设备加速“上网”,工业数据量呈现几何级数增加,蕴藏的巨大价值逐渐显现。工业互联网数据安全治理围绕数据全生命周期安全,通过跨部门、多体系的有效活动对数据开展综合治理,是推动组织数据安全合规建设、数据安全风险防范、数据业务健康发展的重要抓手。工业互联网数据安全治理作为工业数据安全管理的一次重大探索与进步,为工业数据的充分应用、安全共享奠定了良好基础。本文围绕数据安全治理参考框架,结合数据安全治理目标,给出数据安全治理实践路径,并提出如图2所示的数据安全治理总体框架。
2.1 以数据全生命周期为要素
根据“以工业互联网数据为中心”的原则,可以深刻地认识到数据安全治理需要将数据全生命周期视为一个闭环,并且要进行全流程保护,数据并不会因为我们在某一环节的安全建设优秀而保证下一个环节安然无恙。个体系统的安全建设需要以组织为单位,以确保其不存在短板效应。
关于数据全生命周期,数据安全能力成熟度模型(Data Security Capability Maturity Mode,DSMM)将其分为6个阶段,分别是数据采集、数据存储、数据传输、数据处理、数据交换和数据销毁。
综上所述,数据安全治理的建设不再是传统的“卡点”式的、被动等待的,而是动态的、跟随数据而行的,在数据全生命周期的各个阶段,以及数据流经的每一个系统,都应有安全防护机制无缝衔接。
2.2 以目标、框架、实践为抓手
工业互联网数据安全治理需明确目标,构建框架,同时探索落地最佳实践。数据的价值通过流通和应用体现,数据安全治理的目标是围绕企业发展需求合法合规地提供数据流通和应用保障。
工业互联网数据安全治理框架涵盖目标、保障、利用、实践4大要素,以泛工业企业数据为对象,通过持续构建参考框架实现对目标对象的有效管理。
数据安全治理结合戴明环(Plan-Do-Check-Action,PDCA)底层逻辑,按照治理规划、建设、运营、成效评估的实践路线,结合业务发展需要,基于事实观察从组织架构、制度流程、技术工具、人员能力4个维度,依托不同程度的信息化水平构建与之相适应的数据安全治理能力。
3 工业互联网数据安全治理参考框架
国际上,微软提出了针对隐私、保密和合规性的数据治理框架(Data Governance for Privacy Confidentiality and Compliance,DGPC),Gartner提出了数据安全治理(Data Security Governance,DSG)框架,国内也陆续出台了相关标准。工业互联网数据安全治理框架应当与企业现有的IT管理和控制框架相结合,同时与行业数据安全标准等协同工作,并提出了以下原则。
一是以国家标准为顶层指导框架。基于2019年发布的国家标准GB/T 37988—2019《信息安全技术数据安全能力成熟度模型》中明确的“以数据为中心”的管理思路,从数据全生命周期角度出发,针对企业常见的数据安全痛点,提供整体架构方案。
二是以适用性、扩展性、易裁剪为核心要求。围绕当前数据上云上平台,考虑云上数据安全工作对“敏捷性”的要求,伴随着数据存储“复杂度”的挑战,重点关注“透明度、可用性”等问题,从根本上解决数据安全难点,并扩展至组织数据隐私保护和工业互联网数据中台安全等场景。
三是以组织治理实际问题为准。本文基于工业互联网数据安全治理工作实践,并结合云计算、大数据等技术在协助海量中小企业上云过程中累积的丰富经验,提炼出如图3所示的工业互联网数据安全治理架构。
工业互联网数据安全治理架构以数据安全为核心目标,从数据治理的角度逐层分解了基础设施,对数据安全的基础设施和核心的数据存储做了说明,同时依据数据生命周期搭建了框架。
4 工业互联网数据全生命周期安全
根据工业数据全生命周期的划分,可将工业互联网数据安全分为采集安全、传输安全、存储安全、处理安全、交换安全和销毁安全。本文针对工业互联网数据全生命周期的各过程域提供数据安全实践的相关建议,并对数据全生命周期中6个阶段的30个过程域的具体要求进行概括。
4.1 工业互联网数据采集安全
数据采集安全是数据安全的全生命周期的第一个过程,是对数据来源安全的管理,也是所有后续生命周期安全工作能够正常落实的基础,因而该阶段的重要性不言而喻。
4.2 工业互联网数据传输安全
数据传输安全是对数据网络传输进行安全管理,由于在网络传输过程中会频繁发生诸如数据泄露、窃取、篡改等安全事故,因此数据传输安全属于数据安全中较为重要的操作阶段。
4.3 工业互联网数据存储安全
工业互联网数据存储安全涉及数据的完整性、保密性和可用性3个方面,同时也包含了3个过程域,分别为存储介质安全、逻辑存储安全、数据备份和恢复。
4.4 工业互联网数据处理安全
工业互联网数据处理安全涉及数据的计算、分析和可视化等操作阶段,由于该阶段对数据的接触最为深入,因而需要着重关注和解决数据处理过程中的潜在的安全问题,降低该阶段的安全风险。需要围绕数据脱敏、数据分析安全、数据正当使用、数据处理环境安全和数据导入导出安全等领域提供安全保障。
4.5 工业互联网数据交换安全
数据交换共享是组织优化利用数据资源的重要途经,通常会和外部合作机构共享数据。一方面,组织未充分考虑数据本身的敏感性,存在不合规的共享情况。另一方面,数据共享缺乏有效的安全手段和机制。因此,工业互联网数据交换需要进行安全管理。数据交换涉及数据共享安全、数据发布安全和数据接口安全,需要采用多协议、多策略的数据交换方式来实现安全可控的数据摆渡,通过策略配置实现全面的访问控制和安全过滤。
4.6 工业互联网数据销毁安全
工业互联网数据销毁安全是数据安全的全生命周期的最后一个阶段,所谓“行百里者半九十”,组织需要通过完善的机制策略,针对数据内容、存储介质进行清除、净化等操作,实现对数据的有效销毁,防止因对存储介质中的数据内容进行恶意恢复而导致的数据泄露等风险。
4.7 通用安全过程
数据安全本身不可能脱离安全体系而存在,因而在进行数据安全建设的同时,也会需要大量通用安全技术进行辅助,特别是监控审计平台的引入,可对风险点的安全态势进行实时监测,一旦出现安全威胁,能够实现及时告警及初步阻断。
5 工业互联网数据安全治理实践路线
5.1 工业互联网数据安全治理已成为共识
G20大阪峰会上,数据治理已成为在全球各国领导层面进行讨论的中心议题,其背景和目的是推动建立新的国际数据监管体系。由此可见,数据治理已经上升到国家层面,在G20大阪峰会上,日本时任首相安倍晋三表示,希望日本大阪峰会因为数据治理而被世界记住。
行业视角下,与数据密切相关的金融行业率先于2018年5月21日由中国银保监会正式发布《银行业金融机构数据治理指引》,强调了数据治理安全架构的建立。互联网行业巨头阿里巴巴最早开始涉及金融数据治理领域,发现其数据在未经治理的情况下也存在着严重的混乱现象,而且随着业务的不断发展,未经治理的数据会愈加混乱,因此,如何将这些数据的价值安全合规地释放出来,将成为当前企业亟须考虑的重中之重。
5.2 精准把脉做好数据安全治理规划
通过梳理组织信息技术基础能力、数据安全能力,规划按照“建立组织架构→梳理应用需求→整合数据资产→引进数据安全平台技术→建设数据全生命周期管控→支持数据应用→维护数据运营”等流程开展安全治理工作。数据安全治理规划以数据本身为导向,分布在数据安全能力构建的多个环节中。组织应当在深入调研内外环境的基础上结合自身实际情况,制定工业互联网数据安全治理战略规划,明确数据安全管理目标,为后续工作的开展打下牢固基础。
5.3 工业互联网数据安全治理组织架构
通过全面分析对比分散模式、归口模式、半集中模式、全集中模式等各类组织架构的特点,建议采用如图4所示的工业数据安全治理组织架构。为支撑企业实施工业数据治理,需建立一个公司级数据管理部,代表公司制定与工业数据治理相关的政策、流程、方法和支撑系统,制定公司数据管理的战略规划和年度计划并监控落实,建立并维护企业信息架构,监控数据质量,披露重大数据问题,建立专业任职资格管理体系,提升企业数据管理能力,推动企业数据文化的建立和传播。针对业务导向需求,采用了虚实结合的数据组织设置,这是确保数据工作充分融入业务,同时能够在工业实践应用系统中有效落地的关键。
5.4 构建数据安全技术工具体系
工业互联网数据安全已经成为当前备受关注的领域之一,技术手段的加持需要从数据加密系统、数据脱敏系统和数据审计系统等多个领域全面覆盖,使组织初步具备针对工业互联网数据本身的安全防护技术实力,通过安全演练等模式逐步积累完备的技术工具体系,为释放工业互联网数据价值建立了基础的“安全防线”。
建立如图5所示的工业互联网技术架构,覆盖工业互联网数据安全的全部生命周期,特别关注传输、处理、存储3个阶段,从数据保护、数据加密、密钥管理3个重要技术工作入手,通过RAM ACL控制细粒度的数据访问权限;采用敏感数据保护技术(Sensitive Data Discovery andProtection,SDDP)、数据脱敏系统、数据分级分类技术工具,同时结合用户主密钥(Customer Master Key,CMK)、自带密钥(Bring Your Own Key,BYOK)加密数据能力,配合采用第三方Vault服务技术的密钥/密文管理系统。
5.5 优化工业互联网数据安全运营
工业互联网数据安全运营主要是为了支撑组织履行数据安全职责,以及为管理问责、团队绩效考核提供依据。本质上是为了解决人员和组织方面的问题,提升干系人的主观能动性,建立全员参与的数据安全文化。从结果上来看,由于各干系人的积极参与,数据安全的效率和价值也得到了最大化。
5.5.1 高层支持为首
公司高层通常都不是安全领域出身,所以对于安全领域不够了解也是很正常的现象。但是,安全领域又非常需要高层的重视和支持。无数实践证明,只有自上而下地推动,才是安全工作得以开展的强有力的动力。这里所说的重视,不是指口头上的重视,而是在人力、财力、内外部资源等方面的实际支持,必要时也需要为安全领域的工作站台,例如出席安全领域会议、项目启动会等。
5.5.2 防范预警为先
工业互联网数据安全目标之一是保障数据安全可用,组织应通过已建立的有效的工业互联网数据安全系统,通过安全策略、基线扫描、风险评估等手段将数据安全治理日常化,建立防范预警优先的运营理念,通过代码审查工具、态势监控系统、日常审计等落实最终数据服务的安全性。
5.5.3 安全产品融入项目
将安全产品融入开发设计过程并不是一件简单的事,往往受制于干系人的知识水平。为了运营普及最佳工业互联网数据安全实践,需要借助流程和平台的力量,在项目执行过程中就可执行流程中规定的活动,例如对照标准及最佳实践的自检表进行逐一检查、同行评审等,让这些改进产品安全质量的活动在项目过程中无法绕过,从而提升最终交付的产品的安全性。将安全开发生命周期(Security Development Lifecycle,SDL)融入项目管理系统,逐步从源头上消除安全风险,建议从代码统一管理,减少流程控制点,部署自动扫描等方面入手运营,以期从流程上、从源头上消除风险。
5.6 评估驱动数据安全治理
数据安全评估是工业互联网数据安全治理的有效手段,依据国家、行业及团体标准等设计的评估可以真实地反映组织数据安全治理水平。促进组织以数据安全为中心建设工业互联网数据安全治理体系,关注数据全生命周期的安全与合规,保护敏感工业数据对象的安全,支持组织具备治理产出绿色数据的能力。同时系统评估工作有助于对组织的实际治理能力进行量化考察,也为组织数据安全治理能力建设提供标杆。
6 结 语
在过去的工业互联网数据安全实践中,业界通过持续加大对数据、算法、产品的建设力度,不断强化流程规范的制定和实际落地,同时大幅提升构建工业互联网数据安全基线、度量、审计等的系统能力,已经形成一套行之有效、覆盖工业互联网数据安全处理的复合治理管理模式。随着新技术特别是区块链技术拓展迁移到工业互联网领域,该技术将在避免工业互联网数据安全问题方面发挥重要作用。区块链的去中心化权限模型为工业互联网数据的跟踪和管理提供了新方法,多个区块链技术标准将为主流去中心化应用和智慧合约的开发及部署提供支持,同时将安全多方计算(Secure Multi-Party Computation,MPC)用于签核和私钥保护的数据流通比例将增加,基于区块链的客户驱动型数据流通日益完善。但工业互联网数据安全治理者必须意识到这种技术的成熟还需要一定时日,而工业问题也将超过技术因素成为制约工业互联网数据安全的最大瓶颈,前进的道路上必然伴随着新的风险和挑战。