工业企业的数据发展经历了四个阶段:第一阶段是数据仓库,同一时期还有数据湖、湖仓一体化等相关技术,主要完成了数据的接口、存储和简单的分析;第二阶段是数据平台,在数据仓库的基础上,完成了更进一步的统计与分析,此期间逐步提出了数据标签;第三阶段是数据治理,随着数据技术的逐步成熟,慢慢地进行更细粒度的治理,包括元数据、主数据、数据标准、数据质量和数据交换等;第四阶段是数据安全治理,也是工业企业当前面临的重要任务。
工业企业特殊的发展过程决定了业务数据源多样、数据类型复杂、数据实时性强、存储周期长、可靠性及一致性要求高于保密性等特点。企业的数字化转型进程与数据技术的发展进程一直以来都是同步进行的,在快速推进数字化转型的同时,企业在同步摸索着进行数据仓库和数据治理建设,但大多是独立建设的系统,很少形成整体规划。
随着《中华人民共和国数据安全法》(以下简称《数据安全法》)的施行,数据安全已经成为国家战略,数据安全治理与数据治理的整体规划与统一建设,已经成为大多数企业考虑的建设思路。同时,2022年2月10日发布的《工业和信息化领域数据安全管理办法(试行)》(以下简称《管理办法》),从标准制定、数据分级分类、数据全生命周期安全管理、安全监测与应急、数据安全检测与认证,以及评估管理等各个方面提出了要求,对于数据安全建设具有指导意义。
本文以工业企业数据安全整体规划为目标,基于行业先进的数据治理及数据安全治理技术,参照《数据安全法》 《管理办法》的要求,考虑工业企业面临的数据安全问题,提出建设路径。
▌建立数据安全组织架构
数据安全建设是系统工程,涉及到安全管理、安全运营和安全技术三个方面。《管理办法》第十三条要求根据需要配备数据安全管理人员,统筹负责数据处理活动的安全监督管理,协助行业(领域)监管部门开展工作。数据安全管理人员要能够向上联动到相关监管机构及企业管理者,向下联动到数据用户,向外联动到第三方数据处理机构,向内联动到其他业务部门。企业明确好数据安全负责人和管理架构之后,要明确数据处理关键岗位和岗位职责。此外,企业还应建立常态化沟通与协作机制、建立数据处理记录及审批流程,确保数据安全建设工作可持续性发展。
▌进行数据治理
数据治理主要功能组件包括元数据管理、数据标准、数据资产、数据质量、数据集成、数据交换和主数据管理。元数据就是描述数据的数据,可分为业务元数据、技术元数据和管理元数据,是数据标准的基础。
元数据可以看成是主数据的目录,元数据部分主要完成的是元数据的建模,基本管理如添加、删除等,元数据分析如血缘分析、影响分析及关联分析等。
数据标准是为了保障数据交换的一致性和准确性的规范。数据标准主要完成参考数据标准和主数据标准的制定,参考数据标准可以参考国家标准和行业标准。在这个功能组件中,主数据标准需要完成为数据安全建设打基础的任务,数据的分级分类以及资产编码也是基于主数据标准来完成的。
数据资产是需要保护的数据本身,需要做好分级分类以及数据编码,它决定了采用什么样的数据安全防护手段。
数据质量主要完成多源数据的比对,确保数据的一致性和准确性,数据质量决定了安全防护的效果。数据交换解决的是多源数据流动的问题,确保数据兼容性和一致性。
主数据管理比较重要的部分是数据字典(或称参考数据),它管理主数据的属性,决定主数据的值。主数据是各业务系统之间交互的数据,是业务数据的核心组成部分。数据安全治理最好基于数据治理之后的主数据加安全标签,并进行安全控制策略的配置。
数据治理整体功能框架如下图所示。
大数据技术的逐步发展,导致了市场上非常多的产品形态,企业未必需要全部建设。数据底座的质量决定了上层的数据安全建设是否牢固,数据治理的程度决定将来是否需要重复建设,所以数据治理要注意前瞻性以及共享性。
▌数据安全分级分类
《工业数据分类分级指南(试行)》第八条规定,根据不同类别工业数据遭篡改、破坏、泄露或非法利用后,可能对工业生产、经济效益等带来的潜在影响,将工业数据分为一级、二级、三级等3个级别。工业数据的分级考虑的维度包括研发、生产、运维、管理以及第三方等。一级数据指泄漏后对工业控制系统及平台造成较小影响,企业恢复时间较短,损失较小;二级数据指泄漏后对企业及环境造成较大影响,损失较大,持续时间较长;三级数据指泄漏后对国家、社会、行业、经济带来严重影响,易引发重大生产安全事故。
▌数据安全建设
以往的数据安全防护策略通常是边界安全、物理隔离等,多采用网闸、防火墙、网关及入侵防御等单一防护设备,以分区分域的思路来设计,以网络安全防御体系来保障数据的安全。工业企业数据深度融合应用及数据复杂交互的需求越来越迫切,在保证数据开放共享、做好数据安全建设的安全形势下,简单的边界隔离以及分区分域已经不能满足数据安全生命周期的安全防护要求,内生安全及端到端的安全是新形势下更具可操作性的数据安全建设思路。
那么如何结合数据治理以及分级分类进行数据安全建设呢?
首先,数据安全建设离不开数据资产的识别。工业企业需要根据工业数据分级分类标准以及数据保密要求,在此前对数据资产打好的数据标签上加上安全属性,形成数据安全标签,之后的数据安全控制策略都将以此为基础进行设计。其次,对分级分类后的数据按照不同的保密级别,结合设计好的访问控制策略,赋予用户不同级别的访问权限。最后, 根据工业企业业务数据交互的需要以及访问权限,设计访问控制策略。
数据安全技术体系是由数据安全产品构建的整体解决方案来实现的,目前成熟应用的数据安全产品有数据库审计、VPN、PAM、IAM以及SD-WAN数据沙箱等,新兴技术有零信任、SASE、数据防泄漏和数据安全态势感知等。
新形态的工业企业数据安全整体架构如下图所示。
数据安全建设包括安全管理战略、安全运营管理和安全技术体系三方面。安全管理战略决定了数据安全建设的目标,安全运营管理制度决定了数据安全建设的效益,安全技术体系决定了数据安全建设的效果。
数据安全建设的技术体系应从数据的全生命周期安全考虑,数据全生命周期的安全态势,可借助数据安全态势感知设备来进行监测及管理。该体系可从数据存储安全、数据使用安全、数据传输安全和数据交易安全四个维度规划。
数据存储安全可以通过数据库服务器的白名单机制来进行防护,这是数据安全的最后一道防线。数据使用安全可以通过对用户进行身份的认证、用户的权限分级以及数据库访问的审计等技术,一方面避免非法访问、越权访问,另一方面对所有数据访问进行记录,便于事件追溯。这里可以考虑结合零信任理念进行设计。数据传输安全可以通过数据加密、VPN、用户身份认证和权限分级等技术实现,考虑到企业云服务的应用和远程访问等需求,可以采用SD-WAN、SASE等新兴技术及理念进行设计。数据交易安全可以使用数据沙箱、数据加密、数据脱敏及数据防泄漏等技术来实现,这些产品都使用了基于内容的访问控制技术。
▌价值
本文依据数据安全的相关标准要求,从工业企业数据管理以及数据安全建设整体规划的角度出发,说明了数据治理和数据安全治理需要做的工作,以及可利用的先进技术,解决了如下三件事。
1.说明了数据安全建设的思路及步骤
首先,要通过数据治理完成数据资产的梳理、数据标准制定以及数据的标签工作;其次,进行数据资产的分级分类;最后,根据不同数据级别需要进行的数据安全防护级别,进行整体的数据安全建设规划。
2.整体规划数据安全建设
数据安全建设需要从安全管理、安全运营和安全技术三个方面整体规划,构建数据安全组织架构,制定数据安全管理制度,基于数据安全管理标准及业务数据的分级分类结果,在数据治理的技术上,利用成熟的先进安全技术,建设数据安全防护体系。
3.避免重复建设
阐述了数据治理及数据安全治理的相关技术及建设内容,给企业数据安全建设提供了具体思路及路径,避免重复建设。
来源:《网络安全和信息化》杂志
作者:任杰
(本文不涉密)