还剩8页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
工业互联网数据安全监管方案
一、方案背景工业互联网是我国新工业革命的关键支撑和智能制造的重要基石,工业数据安全问题的解决是保障工业互联网良性发展的基础之一工业互联网将为中国工业企业带来弯道超车的巨大机遇,同时也为工业数据安全管理和保护领域提出了种种挑战2019年4月15日,工业和信息化部网络安全管理局为贯彻落实《国务院关于深化“互联网+先进制造业”发展工业互联网的指导意见》,加快构建工业互联网安全保障体系,经广泛征求意见,反复研究修改,工业和信息化部会同有关部门起草了《关于加强工业互联网安全工作的指导意见(征求意见稿)》,其中,第四章节强化工业互联网数据安全保护能力提到”强化企业数据安全防护能力明确数据收集、存储、处理、转移、删除等环节安全保护要求,指导企业完善研发设计、工业生产、运维管理、平台知识机理和数字化模型等数据的防窃密、防篡改和数据备份等安全防护措施,鼓励商用密码在工业互联网数据保护工作中的应用建立工业互联网全产业链数据安全管理体系依据工业门类领域、数据类型、数据价值等建立工业互联网数据分级分类管理制度,加强工业互联网重要数据安全监测和管理,完善重大工业互联网数据泄露事件触发响应机制”所以,传统工业的封闭环境在工业互联网形式下逐渐打破,工厂环境变得更加开放,整个网络计算环境则愈加复杂其中,工业互联网数据的安全防护和监管将成为重点,特别是工业互联网平台的数据安全将愈加重要,于是,动态和智能化监测机制将成为工业互联网的主流防护手段
二、方案目标工业互联网数据安全监管解决方案建设应遵循国家相关建设标准统一部署的原则,集工业数据分类分级、工业数据库风险评估等技术措施的统一安全监管,着重监管基于云计算模式的工业互联网数据中心,安全保障措施包括、用户权限控制、工业数据防泄露、数据安全监测、工业数据存储备份、工业数据安全分析通过对工业管理信息系统业务运行状态、合规性及支撑业务的基础设施进行安全监管,提供业务安全监管可视化大屏根据不同人员制定对应的访问控制管理制度和授权访问规则,明确其数据操作权限范围,并进行行为审计分析与监督功能通过主动探测、实时安全监测、全网安全数据汇聚、威胁情报分析等手段,评估重要数据支撑系统的安全态势通过智能编排,把人、过程和技术编排成剧本实现无人值守的自动化响应以网络安全事件与威胁风险监测为驱动,基于多维态势可视化技术,从不同视角出发感知网络安全态势可将其他子系统监测发现的漏洞、数据泄露、数据安全运营子网站篡改、攻击等安全事件通过手机模块、APT APP钉钉等多种方式及时将情况上报、通报、下达,进行预警及快速处置针对突发事件提供一整套处置措施,并详细记录整个应急过程提供数据安全态势感知可视化大屏、数据生命周期安全监管大屏和手机端数据统计分析图表展现安全运维支撑服务提供名工程师,对工业互联网数据安全监2管平台等进行日常监控运维预警展示功能、工业数据安全事件通报预警及处置功能等在工业数据安全防护体系完成建设后,实现了有效减少核心工业数据的破坏和泄漏,能够加强对工业数据库的保护,防御违反安全的事件发生,并且及时告警,通知相关负责人,从而有效地减少对核心工业数据的破坏泄漏追踪溯源,便于事后追查原因与界定责任,能够帮助安全管理人员进行事后追查原因与界定责任无死角审计,准确追溯事件源头,通过多层关联审计技术,保证准确审计事件发生的源头,包括人、事件、地点、事件、方法;通过工业数据流量的审计功能,保证全面审计通过各种方式(远程桌面、工业数据库服务器本地操作、应用系统与其工业数据库系统部署在同一台服务器等情况)操作工业数据库的行为,做到无死角审计工业互联网数据安全监管项目可以对覆盖全国智能工厂生产网和工业管理网网络节点实现工业数据库安全加固、工业数据防泄密、工业数据传输和交换过程的安全保护以及工业大数据和工业互联网的工业数据安全做到全程的实时监测数据安全态势监管工作台数据地图可视化安全监管通报预警监管报告
三、方案架构工业互联网数据资产中心用户中心数据分级分类I数据资产管理I I系统资产管理数用户组织管理用数据审批管理数据鉴权管理数据标准管理数据质量评估1据地图户权限管理数据授权管理可信终端管理心持续自适应智能学习数据发现♦数据安全分析♦数据检测数据监控i数据预测…数据编排・数据恢复数据库审计防非:去使用数据包检测I数据资产探测数据威胁态势响应防数据泄露异常流量审计异常访问检查I未授权访问预笆一应急指挥数据风险评估口综合日志审计敏感信息检查颉事件预警I运维审计防数据篁改数据全生萌周期安全能力组件安全数据采集安全数据传输安全数据存储安全多方计算数据共享交换安全数据销毁工业互联网数据工业互联网流量审计引擎工业互联网日志审计引擎安全监测引擎工业互联网数据安全监管解决方案针对工业互联网内重要数据进行数据安全防护的监测,整体方案包括四大部分工业互联网数据生命周期安全监管能力建设、工业互联网资产中心建设、监管平台用户中心建设和监管中心建设解决方案介绍工业互联网数据生命周期安全监管
4.1工业数据生命周期安全围绕工业数据生命周期,提炼出工业互联网环境下,以工业数据为中心,针对工业数据生命周期各阶段建立的相关工业数据安全过程域体系工业数据生命周期基于工业互联网环境下工业数据在组织业务中的流转情况,定义了工业数据的六个生命周期阶段,通过对工业互联网数据收集、存储、处理、转移、删除等各环节的数据层面的数据安全监测统一监管建设,实现数据的采集传输安全、数据交换安全、数据的防泄露、数据的安全审计、数据的关键字静态脱敏流量监测措施提供流量中的入侵攻击、恶意病毒、异常木马、邮件攻击、DNS异常流量、DDOS攻击等已知和未知威胁的检测,检测结果上传至工业互联网数据安全管控平台,最终通过大数据深度分析挖掘这些威胁的趋势,感知全局入侵检测、僵木蠕毒、邮件攻击、DNS异常流量、DDOS等网络安全态势以及重点单位安全预警通过云服务提供商把流量数据牵引到数据汇集资源平台,并通过威胁情报、预制规则、用户行为分析,发现工业互联网云平台各区域的安全实时状况,并进行告警,为工业互联网云平台安全运维提供关键预警信息在生产大区控制边界上,通过监控工业防火墙日志行为,使得DCS及辅控与SIS网络隔离安全,在两个系统的边界做安全防护,避免遭受来自企业信息层病毒感染的风险在整体的综合防护方面,通过监测工控安全监测审计平台,可对工控系统高危高危动作做协议解析,解析在生产过程中不能及时发现工业控制网络中异常通信行为,避免给工业控制系统运行带来造成重大安全隐患工业互联网运行的安全日志数据采集,通过以下四步完成监管分析1)日志收集对传输链的各个环节进行监控,不断的连接检查和完整性检查以及可自定义的缓存功能可确保平台接收到所有数据;配置过滤和聚合功能可以消除无关数据,合并重复的设备日志2)日志标准化各种安全事件日志(攻击、入侵、异常)、行为事件日志(内控、违规)、弱点扫描日志(弱点、漏洞)、状态监控日志(可用性、性能、状态)进行归一化处理3)日志解析设置解析规则,当接收到对应的日志后规则才会被激活,同时支持未识别日志水印处理,采用多级解析功能和动态规划算法,进行未解析日志事件处理,同时支持多种解析方法(如正则表达式、分隔符、MIB信息映射配置等)4)关联分析内置关联引擎采取In-Memory的设计,全内存运算方式保证事件分析极高的效率和实时性工业互联网资产中心建设
4.2平台主动探测和识别工业互联网数据设备资产情况,对采集到的资产进行管理和拓扑呈现,同时针对一些重要资产,用户可以通过自定义的方式添加各种资产详细信息,比如资产名、资产类型、资产责任人、资产权重、资产位置等信息以上功能都在资产管理中实现同时资产管理中还集成了漏洞管理功能,可以支持国内主流漏洞扫描结果的导入和开源漏扫工具的自动调度分析以帮助用户形成资产的漏洞生命周期管理能力和漏洞扫描工作任务管理在有了资产信息后,再结合威胁告警信息,和漏洞管理能力,安全感知中心有能力对资产的风险做到自动化分析帮助用户指出工作中需要重点“对待”的资产数据安全监测感知中心严格监测不同区域之间的数据交换,对系统内资产能进行有效的管理,对异常流量进行报警并截断其流量,具有日志分析及异常事件关联分析的功能事件关联机制通过将大量离散的时间数据关联起来,以简化威胁探测过程,将这些数据做为一个整体进行分析,进而发现重要的攻击模式和需要及时注意的攻击事件早期的事件关联机制主要借助减少安全事件数量的方法简化事件管理过程(通常使用过滤、压缩或者归一化处理),最新的技术包括当安全事件发生时使用状态逻辑机制分析事件流,使用模式识别技术寻找网络用户的线索、失败、攻击、入侵等行为事件关联机制具有很多用途包括:通过将更广范围内的海量事件数据处理得更适合人工分析和理解,进而简化人工信息安全评估过程;通过自动检测已知的、清晰的攻击威胁的方法,使得更容易检测赛博攻击事件或者特工入侵行为;同样通过将安全事件标准化的方法简化人工检测未知攻击威胁的过程监管平台可定义数据识别的规则,每条规则对应一类数据规则由名称、所属类别、检测方式、脚本、备注、测试用例等信息组成用户自定义规则的时候可用测试用例对监测方式和脚本进行正确性验证用户可对规则进行新增、修改、删除等操作系统会内置一些常用的数据识别规则用户通过数据识别任务识别出数据资产中数据的类别数据识别任务可选择需要识别的库、表,指定识别规则,可配置抽查数据量、周期等任务参数用户可对任务进行新增、修改、删除等操作数据识别任务运行时首先会登录数据库,访问需要识别的库、表,获取抽查的数据,然后将数据与指定的规则进行匹配计算,匹配度最高的规则所属的数据类型就是该字段的数据类型监管平台可对识别出来的数据进行任意形式的分类,例如姓名、身份证、邮箱定义为个人信息,身份证、社保号定义为证件号码数据类别可自定义添加,通过勾选的方式选择该类别所属的数据类型根据数据识别和数据分类对数据资产进行打标首先通过数据识别分析出每个字段的数据类型,例如姓名字段、身份证字段、邮箱字段等,然后根据数据分类的信息,对每个字段打上对应的标签监管平台用户中心管理
4.3监管平台支持对接LDAP等第三方身份管理系统,从第三方身份管理系统里同步用户身份信息根据常见的组织关系对用户库进行管理,包括多级部门,姓名,ID,级别,电话,邮件等,为用户认证提供依据;支持用户库的手动配置、批量导入导出功能提供增删改查等管理功能通过访问账号信息表获取关系型数据库和大数据组件的账号信息,然后逐个绑定账号所属的用户信息,将账号与用户关联并统计出无法绑定用户的无主账号,提醒客户及时销毁这些账号提供自定义账号分级分类配置功能根据账号关联用户的角色等信息配置账号的分级分类账号好的类别和级别信息也可以用户自定义对用户定义的账号类别和级别定义不同的数据访问权限,权限可批量设置也可以单独设置通过全面的身份化属性更变进行动态鉴证和鉴权,根据用户身份认证的结果,平台结合账号分级分类和数据分级分类实现基于数据的访问控制功能,用户只需要简单的配置好什么级别的用户允许访问什么级别的数据和越级访问时候的处理动作,就可以完成配置,实现动态的数据访问控制功能工业互联网数据安全监管中心
4.4监管团队根据制定的访问控制管理制度和授权访问规则,形成key-List格式的权限表,明确各参与方业务人员(业务管理人员、运维人员、测试人员、应用开发人员)的数据操作权限范围,利用监管子模块的行为审计分析功能,对相关方业务人员进行的数据访问操作行为进行监督审核,确保相关业务人员的操作及行为在权限范围内,操作合理合规,同时可对越权行为及高危操作进行告警和记录针对一些特权账户的使用(如云平台系统管理员账户),监管团队会定期进行审计,判断特权账户使用的必要性和合理性监管团队利用数据监管子模块对数据和业务支撑系统运行的每个阶段的安全要求与规范进行监管策略的制定,并借助平台对规范的落实情况进行监管,同时对于负责该安全规范执行的人员进行绑定和匹配,对于未落实规范及落实不到位的问题进行通报,并通知相关责任人进行落实和整改,并对整改的整个过程进行监督,确保工业互联网平台当中每一块安全策略都能够按照要求执行到位,管理人员及运维人员的职责履行到位监管团队借助平台当中运维审计等工具模块,对平台内系统及设备的运维活动进行监控和审计,确保每一次的运维活动及操作都可以在监管团队以及平台的监控之下,监控的内容包括监控正在运维的会话:信息包括运维用户、运维客户端地址、资源地址、协议、开始时间等;监控后台资源被访问情况针对命令交互性协议,监控正在运维的各种操作,确保监控到的信息与运维客户端所见完全一致对操作系统、网络设备、安全设备、数据库等操作过程进行有效的运维操作审计,使运维审计由事件审计提升为操作内容审等工业互联网数据资源与共享任务,涉及各单位数据接入与流出,需要在边界建设统一的数据信息安全技术保障体系,通过大数据分析、人工智能、安全监测等方式进行工业互联网平台的数据进出的安全监控监管平台的边界数据监测模块对工业信息系统的进出流量进行实时监测,及时发现大流量数据外传等异常行为,并通过异常告警模块报警平台边界数据安全监控是通过边界流量解析、工业云平台日志关联分析和流量控制设备联动来实现的汇聚了大量的数据,这些数据有不同的安全等级,数据分类分级从隐私安全与保护成本的角度出发,对数据进行分类和等级划分,进而根据不同需要对关键数据进行重点监管记录对这些数据的访问行为,并通过各种策略模型发现异常的访问,比如规定敏感数据只能由指定的用户从规定的IP地址访问,当某个用户的IP发生改变时,及时报警,因为有可能该用户的账号发生盗用敏感数据监测模块通过元数据导入和数据扫描识别两种方式来定位敏感数据的位置元数据导入是平台运维方先对数据进行分级分类,然后将分级分类信息导入监管系统数据扫描识别主要通过“静态+动态”方式实现对敏感数据的发现和梳理静态梳理实现数据库自动嗅探自动搜索业务系统中的数据库,可指定IP段和端口的范围进行搜索,自动发现数据库的基本信息;按照敏感数据的特征或预定义的敏感数据特征对数据进行自动识别,持续发现敏感数据;根据不同数据特征,对常见的敏感数据进行分类,然后针对不同的数据类型指定不同的敏感级别动态梳理对平台数据库系统中不同用户、不同对象的权限进行梳理并监控权限变化监控数据库中用户的启用状态、权限划分、角色归属等基本信息;归纳总结用户访问情况,尤其针对敏感对象,能够着重监测其访问权限划分情况敏感数据定位后,系统在平台日志里将敏感数据的操作行为提取出来,在界面上展示每个敏感数据所在表指定时间段内对应的操作记录,并可根据用户进行过滤,比如显示某个敏感数据表被某个用户访问完整记录通过这些记录可以掌握用户访问敏感表的规律,当发生异常时及时告警,比如频繁访问敏感表对于严重或高等级敏感数据的访问行为,平台可支持策略设置,如异常行为告警的弹窗提醒,聚焦数据操作中的高风险行为,任何违规行为或操作第一时间向管理者告警内部流转监测功能可实现数据访问溯源,在数据流转过程中,数据的访问和流转记录都会在数据库中记录过程,并以关联形式存储,通过查找数据链的源头从而找到数据访问的初始发起者,到达数据过程溯源的目的策略控制通过智能编排,把人、过程和技术编排成剧本实现无人值守的自动化响应使用分布式复杂事件处理引擎,实时编排实时生效,并且可以通过可视化拖拽组件的形式,将模块串联在一起,把创建和维护编排剧本的过程高度简化,还可以将有经验的安全人员的实践细化成一系列可靠,可重复的过程标准化到产品中,减少了对人工经验的依赖在网络攻击数量复杂性不断增加的今天,通过自动化响应的方式将分析人员从耗时且重复的分析工作中解放出来,响应时间从小时或者天降低到分钟级别支持联动多厂商多类型安全设备或安全功能模块,如资产管理、脆弱性管理、用户监督系统等,支持多种报告推送方式,强大的机器学习和数据分析能力,使安全分析更加高效、智能,极大的缩短响应时间态势感知是以网络安全事件与威胁风险监测为驱动,基于多维态势可视化技术,对网络空间安全相关信息进行汇聚融合,形成针对人、物、地、事、关系的多维视图,从不同视角出发感知网络安全态势态势感知系统主要包括总体态势、资产态势、隐患态势、攻击态势、事件态势和通报态势六大视角通报预警子模块可将其他子系统监测发现的漏洞,可用性问题、木马、僵尸网络、网站篡改、网站仿冒、网站挂马、暗链、APT攻击、DDoS攻击等安全事件通过手机APP、钉钉等多种方式及时将情况上报、通报、下达,进行预警及快速处置利用数据关联分析可视化、数据统计可视化等技术,以图形化界面、流畅交互操作等形式将枯燥的数据分析结果进行直观的展现,帮助数据安全管理人员理解数据含义,对安全事件进行追踪溯源,提高工作效率可视化展示模块包括数据安全态势感知可视化大屏、数据生命周期安全监管大屏、手机端数据统计分析图表等
五、方案建设清单序号项目模块功能说明1数据监测采综合流量采集引通过流量监测引擎对被监测系统内的流量进行监擎集引擎测数据汇集通过日志采集引擎对被监测系统内的日志数据进日志采集引擎行监测汇集2工业互联网实现工业互联网安全数据采集、预处理和数据汇数据处理子模块数据安全监聚将分散、多样化的数据进行登记、汇集、标管平台准化、清洗转换、整合等操作处理通过数据治理,提升数据质量、规范数据处理流数据治理子模块程、优化数据服务数据资源库子模根据业务需求建立相应的存储库,包括原始库、块资源库、主题库、业务库、知识库等数据服务共享子将多源异构数据封装成标准格式,并对外统一提模块供调用接口数据场景化分析针对数据、应用、用户行为等不同场景提供安全子模块分析数据资产盘点,展示数据分布情况,并通过数据抽样的方式持续监控数据资产中的安全数据资源质量数据资产管理与风险控制子模块识别数据资产中数据的类别并打上对应的标签通过基线配置检查策略制定完善详细的安全配置检查点,进行统一威胁发现与配置核查针对用户身份、账户权限、数据访问进行访问监数据生命周期安测全监测子模块对数据库操作行为进行审计数据安全监管监针对工业互联网数据支撑系统的边界数据、敏感测子模块数据、内部流转数据进行安全监管。