陈彦彰 李继安
摘 要:随着大数据技术在工业领域的推广应用,工业大数据信息安全面临着严峻的考验。文章提出了工业大数据信息安全风险分类参考架构,分析了我国工业大数据信息安全风险调控的问题与不足,并从风险调控组织、战略规划、法规与标准、技术研发与专业人才培养等方面,提出了工业大数据信息安全风险调控体系的建议,为我国工业大数据信息安全风险调控工作提供参考。
关键词:工业大数据;信息安全;风险分类;风险调控;体系建设
中图分类号: TP393 文献标识码:A
1 引言
随着以智能制造为主的工业信息化不断推进以及物联网、云计算等技术的普及应用,越来越多的工业控制系统(ICS)、生产设备、零部件等产业链各环节要素,通过网络实现了互联互通,推动了海量工业数据的传输、存储和处理,工业领域迎来大数据时代。与此同时,作为工业大数据重要载体与核心的工业控制系统,也面临着日益突出的信息安全问题[1~3]。例如,2010年“震网”病毒(StuxNet)、2012年中东地区“火焰”病毒(Flame)、2015年乌克兰电网遭遇Black Energy(黑暗力量)恶意软件/代码破坏等安全事件。如图1至图3所示,据CNVD国家信息安全漏洞共享平台[4]统计,从2011年到2019年我國工业控制系统漏洞数量从200个增长到445个,翻了1倍,年均增长率为9%。漏洞数量从2011年261个剧增至2019年的2,318个,而且高危数量占比约三分之一,中危漏洞占比40%以上,可见都是危害较为严重的安全漏洞。
工业大数据作为承载于工业信息系统或平台(如工业控制系统)之中的虚拟数据资产,与信息系统关系密切。工业信息系统或平台信息安全受到威胁,工业大数据也必然面临极大的安全威胁,且安全形势严峻复杂[5]。但是,当前我国对工业大数据信息安全没有明确的体系化分类,缺乏完善的风险调控体系。基于《GB-T 37973-2019信息安全技术 大数据安全管理指南》关于大数据主要活动及安全要求,结合信息安全常见风险问题,提出了较为全面的工业大数据信息安全体系分类,并针对我国工业大数据信息安全风险调控体系建设提出建议。
2 工业大数据信息安全及其风险分类参考架构
对工业大数据信息安全[6,7]的研究,除了数据资产自身的安全,还需结合承载工业大数据的信息系统或平台的信息安全。在2017年之前,学术界和各国政府对工业大数据信息安全直接关注较少,而对工业控制系统信息安全的战略规划和发展给予了关注。国际电工委员会IEC/ TC65/ WG1与ISA99于2007开始共同制定IEC 62443系列标准。美国于2009年、2011年分别出台“国家基础设施保护计划(NIPP)”“实现能源供应系统信息安全路线图”、国家SCADA测试床计划(NSTB)及DHS的控制系统安全计划(CSSP)。我国于2011年10月由工信部首度印发《关于加强工业控制系统信息安全管理的通知》,要求加强国家主要关键基础设置ICS的安全防护工作[8],并且国务院在2012年的《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》[9]中明确提出要“保障工业控制系统安全”。
大数据流通阶段,包含了数据采集、数据传输、数据存储[10]、数据分析挖掘、数据可视化应用等。这些阶段均存在数据泄露、数据干扰等信息安全威胁,因此工业大数据的信息安全也是采集、传输、存储、分析挖掘和可视化应用等多个环节信息的保密性、完整性和可用性[11]。工业大数据信息安全风险分类符合一般的信息安全风险分类模式,并具有自身特点,如图4所示。
3 我国工业大数据信息安全风险调控的问题与不足
当前,我国工业大数据信息安全调控存在着一些问题和不足。
一是对工业大数据信息安全的直接关注不足,缺乏直接针对工业大数据信息安全的战略规划。虽然我国重视工业信息安全相关的领域,如工业控制系统信息安全、大数据隐私安全等,但是与工业大数据信息安全直接相关的战略规划寥寥无几。
二是工业大数据信息安全的调控体系落后,需在法律法规、标准体系、风险调控、测评机构建设等多方面布局。需在工业信息化过程中,结合“互联网+”等国家战略,不断推进工业大数据信息安全法律法规建设和完善工作。2014年12月全国信息技术标准化技术委员会大数据标准工作组正式成立,并于2016年5月与中国电子技术标准化研究院共同完成《大数据标准化白皮书(2016版)》。对于大数据的相关标准研制国内处于起步阶段,针对工业大数据及其信息安全的标准成果极少。工业大数据的信息安全是一个复杂的动态的过程,其风险调控工作也需建立一整套的调控体系,包括调控机构建设、调控法规建设、配套平台建设、应急管理制度建设等。虽然工业控制领域或者大数据领域出现了一些信息安全的测评技术与机构,但缺乏针对工业大数据信息安全的技术体系较为完整的测评机构。
三是缺乏直接针对工业大数据信息安全领域的核心技术,工业大数据信息安全技术体系与人才体系也有待整合。除了继承了传统工业信息安全技术和信息系统的安全技术,工业大数据信息安全也必然呈现出独特之处,如针对海量数据的过滤、审计与加密等,有待研发出适用于工业大数据信息安全领域的特定技术。由于工业大数据与多领域、多环节的相关性,其技术研发与管理,也需要交叉领域的专业人才,并推动人才体系完善。
4 工业大数据信息安全风险调控体系的建议
目前,我国对与工业大数据信息安全直接相关的战略规划、法律法规、技术标准和技术研发较少,而对工业控制系统相关的信息安全研究及其成果较多。急需转变思路,以工业大数据虚拟资产为对象,研究工业大数据信息安全相关技术的总体构建和框架,从调控组织机构、战略规划、共性支撑平台、法律法规和标准体系、人才队伍与技术研发等五个方面推动工业大数据信息安全风险调控体系的建设。
4.1 建立工业大数据信息安全风险调控组织机构
建立工业大数据信息安全风险调控的组织机构,即建设一个承担工业大数据信息安全风险管理、调节与控制等工作的实体,以指导工业大数据信息安全风险调控相关企业和研究人员技术方向、制定战略规划、引领风险调控行业理论与实践的规范发展,促进工业大数据的规范化和高质量应用。
4.2 加强工業大数据信息安全风险调控的战略规划
建立制定战略规划的体系。通过整合政府机构、高校、企业和用户等资源,建立以国家工业大数据信息安全风险调控组织机构为领导单位的战略规划制定体系,协调国家和地方的产、学、研、用各界资源,群策群力,合理制定国家、地方和各行业对工业大数据信息安全发展的战略规划。
跟踪和督查战略规划落实。建立跟踪和督查机制,设立专项战略规划督察员机制,长期跟踪战略规划的执行进度和成效,规划期结束时完成总体规划汇报、协调专项验收。
4.3 构建共性支撑平台体系
(1)建设工业大数据测试服务平台
针对工业设备、工业场景、质量与安全等方面,形成广泛覆盖各种正常、异常情况的样本数据,构建面向公众的测试验证服务平台。平台提供仿真数据注入、测试验证、结果分析及可视化等服务,向工业大数据工具开发商提供有参考意义的仿真验证环境。
(2)建设工业大数据标准服务平台
面向开发者、用户提供标准查阅服务,同时依托标准服务平台,汇聚工业大数据领域专家,研讨制定工业大数据领域的标准制定工作,推动工业大数据提供标准制定与发布。
(3)建设工业大数据监管服务平台
面向政府、行业协会及相关认证机构,提供工业大数据监管服务,提升在隐私保护、专利保护、商业秘密保护方面的防护水平,营造良好、安全、可控的工业大数据应用环境。
(4)建设工业大数据创新服务平台
面向科研机构、研发企业、个人开发者建设创新交易平台,实现用户需求和研发力量的精准对接,同时,在平台上提供专家咨询、众包众测等服务,保障工业大数据应用软件的质量水平。
(5)建设工业大数据交易服务平台
面向工业企业、研发企业、科研机构构建工业大数据交易机制,建设数据交易平台,提供交易保障服务,促进企业间的数据分享流通。
4.4 布局法律法规、标准体系建设
(1)加强工业大数据信息安全相关法律法规建设
推动相关法律法规的顶层设计,以《中华人民共和国网络安全法》等为基础,通过工业大数据信息安全领域的基本法与补充条例相结合、新研法规与旧有法规相补充的方式,构建工业大数据信息安全保护的法律法规基本体系架构。紧跟实际需求趋势,制定符合行业应用的工业大数据信息安全评估与治理法规,顺应大数据在工业领域的发展趋势的法规条例,并注重工业大数据信息安全相关领域的执法人的培养。
(2)加强行业标准建设
促进工业大数据信息安全的标准、工业大数据信息安全风险评估的标准,以及相关企业的工业大数据信息安全风险防御能力的评估标准研究,加快制定和实施数据分类、采集、存储、传输接口、数据共享安全机制、数据质量评价等工业大数据共性关键技术标准,并面向能源、交通、水利等行业制定应用标准。
4.5 加强核心技术研发和专业人才培养
(1)促进核心技术研发与转化
工业大数据除了与物联网、云计算等技术具有密切关联之外,还具有数据量巨大、结构复杂、数据分布广泛、数据处理速度需求多样、对数据分析的置信度要求高等特性。相关技术主要有五个方面。
第一,机理模型[12]及其可靠性技术。工业控制过程中通常存在大量理论模型,以刻画现实工业系统的动态过程。工业大数据信息安全与风险调控的挑战在于机理模型、控制模型与数据模型、计算模式、领域专家知识的融合,以及融合后所建的安全与风险模型的适用性与可靠性。研究适用的模型及保证模型的可靠准确,是工业大数据推广应用的一大技术难点。
第二,面对数据低质量采集现状与数据高质量处理要求的安全保护。工业现场数据采集机理难以准确实现、环境复杂,导致数据量难以被测量或被充分测量。对工业大数据的采集、预处理,必然依赖于容错性强的软件模块、分析功能强的平台和工具。这些平台和工具互联的接口、网络环境的安全,以及预处理的质量,面临工业现场与预期应用要求的特殊制约。
第三,工业大数据存储与计算的安全。工业大数据具有多样性的特征,为提高存储和分析的安全和可靠性,需进行分级分类,并选择不同的数据管理引擎。通过Hadoop分布式系统基础架构可解决海量数据存储和计算的难题,但多副本和分布式计算也带来了安全隐患。基于Hadoop等分布式存储和计算模式的数据安全评估与防护技术,是提高工业大数据的安全与应用水平的重要技术手段。
第四,知识推理的可靠性评测技术。作为高端新型工业软件核心技术的知识推理[13,14],是新时代智能工业的灵魂。由于工业大数据应用对决策的精度和准确性要求高,对基于大数据的知识推理的可靠性评测尤为重要。除了典型的机器学习算法外,工业大数据分析算法还有时间序列、时空模式、序列模式的深度挖掘算法。这些集成了时间、空间、序列等多种维度的工业大数据分析推理算法面对高精度和准确度的实际应用要求,如何评测推理的可靠性是当前工业大数据信息安全的技术难题。
第五,工业大数据出境的安全监管技术。工业数据事关国家经济命脉与军工发展,被视为国家的战略资产。从我国20世纪50年代至今,工业水平落后于他国,核心技术与工业数据保护受制于国外先进企业。随着我国工业技术与管理水平的提升,研究出境工业大数据的监控技术成为必要的国家战略,以应对日益复杂的国际一体化工业发展形势。工业大数据出境监管技术,主要包括数据分级分类、数据出境识别、出境数据量的监控、数据出境网络的隔离与安全防护等技术。
(2)建立工业大数据信息安全人才培养与吸纳体系
工业大数据的研发,必须具备数据分析挖掘能力及工业控制系统知识背景,当前两者兼备的人才极为缺乏。建议通过政府监管机构、高校研究团队、研究机构与企业合作,建设工业大数据信息安全人才培养基地和吸纳制度,通过举办“工业大数据信息安全年会”或论坛等多种方式培养和吸纳专业人才。注重工业大数据信息安全成果的奖励与产业化,政府及产业联盟设立技术成果奖励措施,配置合理的产业化鼓励政策。
5 结束语
工业大数据是工业智能化发展的重要产物,其信息安全水平将直接影响工业企业的运营安全。本文分析了我国工业信息安全面临的主要问题和挑战,聚焦工业大数据信息安全提出了风险分类参考架构和风险调控体系。借助ICT、物联网、数据挖掘与人工智能等技术,工业大数据正处于快速发展阶段,应用领域不断拓展,逐步向国民经济命脉领域渗透。工业大数据信息安全的支撑平台、法律法规、标准体系、人才培育等配套体系必须与技术应用同步发展,才能有效保障工业经济的高质量发展。
参考文献
[1] D.Kushner. The Real Story of Stuxnet[J].IEEE Spectrum, 2013, 50: 48-53.
[2] 张恒.信息物理系统安全理论研究[D].杭州:浙江大学, 2015.
[3] 李中伟,佟为明,金显吉.智能电网信息安全防御体系与信息安全测试系统构建[J].电力系统自动化,2016,40 (8): 147-151.
[4] 国家计算机网络应急技术处理协调中心.国家信息安全漏洞共享平台[EB/OL]. http://www.cnvd.org.cn/, 2019.
[5] 余章馗,刘京娟.工业大数据安全研究[J].网络空间安全, 2019, 10(5):107-113.
[6] 房辉,常盛.我国的电子政务信息安全分析[J].办公自动化(综合版),2015,4: 53-54.
[7] Hong Zhu, Zheng Xu, Yingzhen Huang. Research on the security technology of big data information[C]// International Conference on Information Technology and Management Innovation, 2015: 1041-1044.
[8] 王坤.淺谈工控系统的安全威胁及防护体系建立[J].信息网络安全,2013(z1): 69-71.
[9] 王宁,罗峥,江雷.信息安全服务的现状研究—信息安全服务体系研究之二[J].信息安全与通信保密,2015,5: 76-79.
[10] Feng Xiaorong, Jia Shizhun, Mai Songtao. The Research on Industrial Big Data Information Security Risks[C]// 2018 IEEE 3rd International Conference on Big Data Analysis, 2018: 19-23.
[11] 工业互联网产业联盟(AII).工业大数据技术与应用白皮书[EB/OL]. http://www.aii-alliance.org/index.php?m=content&c=index&a=show&catid=23&id=142, 2017.
[12] 王连强.信息安全风险评估方法及关键技术研究[D].天津:南开大学,2006.
[13] 全国信息技术标准化技术委员会大数据标准工作组.工业大数据白皮书(2017版))[EB/OL]. http://www.cesi.ac.cn/uploads/soft/170217/1-1F21G15920.zip, 2017.
[14] 全国信息技术标准化技术委员会大数据标准工作组.工业大数据白皮书(2019版)[EB/OL]. http://www.cesi.ac.cn/201904/4955.html, 2019.
作者简介:
陈彦彰(1986-),男,汉族,广东佛山人,华中科技大学,硕士,中国电子产品可靠性与环境试验研究所,工程师;主要研究方向和关注领域:工业互联网、工业大数据、工业技术软件化的可靠性研究。
李继安(1986-),男,汉族,湖北襄阳人,华中科技大学,博士,中国电子产品可靠性与环境试验研究所,高级工程师;主要研究方向和关注领域:工业大数据、基础软件可靠性、信息技术创新。