文章來源：虎嗅智庫

伴隨工業(yè)大數(shù)據(jù)的快速發(fā)展，其在上云處理的全鏈路安全問題引起廣泛關(guān)注。如何有效地應(yīng)對(duì)數(shù)據(jù)泄露、惡意攻擊和其他數(shù)據(jù)安全風(fēng)險(xiǎn)？如何保障數(shù)據(jù)全鏈路傳輸過程中，數(shù)據(jù)的安全性和隱私性？云安全服務(wù)商在工業(yè)大數(shù)據(jù)上云安全中扮演怎樣的角色，他們是如何應(yīng)對(duì)以上安全挑戰(zhàn)的？

基于以上問題，虎嗅智庫發(fā)布了《工業(yè)大數(shù)據(jù)云上處理全鏈路安全實(shí)踐》研究報(bào)告，回應(yīng)工業(yè)界對(duì)于云上處理全鏈路中安全問題的迫切需求，通過實(shí)踐案例，探究工業(yè)大數(shù)據(jù)在上云處理中的面臨核心問題、解決方法和硬核技術(shù)，為工業(yè)界相關(guān)決策者及從業(yè)人員提供專業(yè)的參考意見。

上云面臨的挑戰(zhàn)和需求

鏈路側(cè)來看，數(shù)據(jù)上云在采集、傳輸、存儲(chǔ)和使用的各個(gè)環(huán)節(jié)中均面臨多種多樣的挑戰(zhàn)，企業(yè)自身原始IT系統(tǒng)老舊、數(shù)據(jù)在企業(yè)外部流轉(zhuǎn)環(huán)節(jié)多、缺少對(duì)數(shù)據(jù)的分級(jí)分類管理以及可信技術(shù)的限制等都是工業(yè)數(shù)據(jù)上云安全防護(hù)要關(guān)注和解決的重大問題。

工業(yè)數(shù)據(jù)上云安全實(shí)踐強(qiáng)調(diào)將數(shù)據(jù)全生命周期視為一個(gè)閉環(huán)，企業(yè)通過結(jié)合多領(lǐng)域和新技術(shù)，構(gòu)建覆蓋工業(yè)全系統(tǒng)的安全防護(hù)體系。通過監(jiān)測(cè)預(yù)警、應(yīng)急響應(yīng)、檢測(cè)評(píng)估、功能測(cè)試等手段滿足工業(yè)企業(yè)需求，識(shí)別并抵御內(nèi)外部的安全威脅，有效化解各類安全風(fēng)險(xiǎn)，為制造業(yè)智能發(fā)展提供安全可信保障。

在具體實(shí)踐中，關(guān)注數(shù)據(jù)的實(shí)時(shí)性、穩(wěn)定性和級(jí)聯(lián)性等特征，根據(jù)不同場(chǎng)景采取措施構(gòu)建全流程工業(yè)領(lǐng)域數(shù)據(jù)安全管理閉環(huán)工作體系。

這一體系應(yīng)圍繞“數(shù)據(jù)分類分級(jí)識(shí)別、分級(jí)防護(hù)、安全評(píng)估、風(fēng)險(xiǎn)處置”等方面展開，以確保工業(yè)數(shù)據(jù)在上云過程中得到綜合而有效的保護(hù)，從而推動(dòng)工業(yè)領(lǐng)域數(shù)據(jù)的安全管理工作取得實(shí)質(zhì)性進(jìn)展。

基于業(yè)務(wù)場(chǎng)景的三維一體數(shù)據(jù)安全治理

案例：天融信-工業(yè)企業(yè)數(shù)字上云安全實(shí)踐

某電子制造企業(yè)在數(shù)據(jù)上云過程中開展數(shù)據(jù)安全治理工作，識(shí)別其經(jīng)營(yíng)管理板塊存在較高的數(shù)據(jù)安全風(fēng)險(xiǎn)，具體問題包括數(shù)據(jù)中臺(tái)管控措施不足、云上數(shù)據(jù)權(quán)限管理缺失、應(yīng)用間邊界模糊、管控能力應(yīng)用粒度較低、應(yīng)用原生風(fēng)險(xiǎn)留存、數(shù)據(jù)跨主體、多主體流動(dòng)監(jiān)測(cè)措施缺乏等。

天融信依托多年的網(wǎng)絡(luò)安全和工業(yè)領(lǐng)域?qū)嵺`經(jīng)驗(yàn)，秉承“縱深防護(hù)、多重響應(yīng)”的核心理念，構(gòu)建集識(shí)別、檢測(cè)、防護(hù)、處置與響應(yīng)為一體的企業(yè)-云平臺(tái)一體化安全解決方案。結(jié)合該企業(yè)內(nèi)部信息管理以及跨空間數(shù)據(jù)流通的安全需求，天融信設(shè)計(jì)并建設(shè)了一套完整的數(shù)據(jù)安全防護(hù)體系。

● 數(shù)據(jù)泄露防護(hù)安全能力建設(shè)

采取專業(yè)的數(shù)據(jù)防泄漏手段，基于深度內(nèi)容識(shí)別技術(shù)，預(yù)防并阻止有意或無意的數(shù)據(jù)泄漏行為。

● 敏感信息防護(hù)安全能力建設(shè)

應(yīng)用數(shù)據(jù)脫敏技術(shù)手段，對(duì)訪問敏感數(shù)據(jù)的用戶進(jìn)行鑒權(quán)，對(duì)敏感數(shù)據(jù)進(jìn)行細(xì)粒度脫敏，全面保護(hù)敏感數(shù)據(jù)安全。

● 大數(shù)據(jù)防護(hù)安全能力建設(shè)

應(yīng)用大數(shù)據(jù)安全防護(hù)技術(shù)手段，對(duì)所有訪問數(shù)據(jù)庫服務(wù)器的行為進(jìn)行檢測(cè)和控制，防范對(duì)大數(shù)據(jù)的外來攻擊行為。

● 數(shù)據(jù)監(jiān)測(cè)審計(jì)安全能力建設(shè)

應(yīng)用數(shù)據(jù)監(jiān)測(cè)審計(jì)技術(shù)手段，實(shí)現(xiàn)對(duì)工業(yè)數(shù)據(jù)實(shí)時(shí)監(jiān)控、威脅檢測(cè)、風(fēng)險(xiǎn)預(yù)警、事件溯源等安全能力。

● 基于數(shù)據(jù)字典的控制過程數(shù)據(jù)安全能力建設(shè)

通過識(shí)別控制過程通信報(bào)文并對(duì)其行為進(jìn)行還原，形成基于寄存器的基礎(chǔ)數(shù)據(jù)內(nèi)容，將其結(jié)合數(shù)據(jù)字典，還原為物理變量數(shù)值；通過對(duì)操作動(dòng)作與閾值范圍控制的基礎(chǔ)能力，確保生產(chǎn)控制過程數(shù)據(jù)的可用性與保密性。

在工業(yè)企業(yè)數(shù)據(jù)安全保護(hù)體系建設(shè)中，天融信運(yùn)用基于人工智能的敏感數(shù)據(jù)檢測(cè)和防護(hù)技術(shù)、基于人員畫像和知識(shí)圖譜的數(shù)據(jù)泄漏取證技術(shù)兩大關(guān)鍵技術(shù)，從多方面提升數(shù)據(jù)安全防護(hù)能力。

● 基于人工智能的敏感數(shù)據(jù)檢測(cè)和防護(hù)技術(shù)實(shí)現(xiàn)了數(shù)據(jù)泄露的預(yù)防和網(wǎng)絡(luò)攻擊模式的學(xué)習(xí)，有效提前預(yù)警，降低攻擊成功率。

● 基于人員畫像和知識(shí)圖譜的數(shù)據(jù)泄漏取證技術(shù)通過分析、識(shí)別網(wǎng)絡(luò)攻擊，實(shí)現(xiàn)了數(shù)據(jù)的追蹤和溯源，保護(hù)了數(shù)據(jù)的安全性和完整性。

項(xiàng)目實(shí)施過程中采用基于業(yè)務(wù)的三維一體的數(shù)據(jù)安全治理結(jié)構(gòu)，充分結(jié)合天融信產(chǎn)品服務(wù)與客戶業(yè)務(wù)場(chǎng)景、業(yè)務(wù)行為活動(dòng)，并通過與大數(shù)據(jù)環(huán)境下的各種接口進(jìn)行適配，保障工業(yè)大數(shù)據(jù)環(huán)境下的數(shù)據(jù)安全。同時(shí)在數(shù)據(jù)資產(chǎn)梳理方面，創(chuàng)新采用基于機(jī)器學(xué)習(xí)的數(shù)據(jù)分類分級(jí)方法，建立數(shù)據(jù)分類分級(jí)清單，精準(zhǔn)高效地標(biāo)識(shí)數(shù)據(jù)資產(chǎn)。

結(jié)語

工業(yè)大數(shù)據(jù)的安全不僅僅是技術(shù)問題，更是一個(gè)綜合治理的系統(tǒng)工程。企業(yè)通過構(gòu)建全流程工業(yè)領(lǐng)域數(shù)據(jù)安全管理閉環(huán)體系，實(shí)現(xiàn)數(shù)據(jù)的實(shí)時(shí)性、穩(wěn)定性、級(jí)聯(lián)性等特征的保護(hù)。未來監(jiān)管層、企業(yè)和安全廠商的通力合作將有助于構(gòu)建更加全面、可持續(xù)的工業(yè)數(shù)據(jù)安全秩序。