文│ 众能联合数字技术有限公司 张海港
经过近 4 年的政策指引,工业互联网平台已经融合产业链上下游企业走向了市场化,并演变出双跨平台引领,垂直平台百花齐放的局面,其信息安全也出现了三个演进趋势:面向垂直平台保障的安全体系 1.0 向产业上下游融合保障的 2.0 体系;面向大数据、人工智能、物联网等先进技术的安全方案逐步走向落地;此外随着我国隐私数据法律法规的出台,隐私合规是工业互联网信息安全的第三个发展趋势。本文将以典型工业垂直平台企业信息安全体系构建的案例,介绍三个趋势在实际落地的一些实践过程。
一、工业互联网平台发展趋势
工业互联网的发展从智能制造政策导向,向2020 年的各行业垂直领域市场导向演变。2015 年国务院先后发布了《中国制造 2025》以及《关于深化制造业与互联网融合发展的指导意见》,以加快新一代信息技术与制造业深度融合为主线,围绕制造业与互联网融合的关键环节,促进产业转型升级。2020 年工信部发布《关于推动工业互联网加快发展的通知》,首要任务是加快新型基础设施建设,明确四项工作——改造升级工业互联网内外网络、增强完善工业互联网标识体系、提升工业互联网平台核心能力、建设工业互联网大数据中心,代表了工业互联网重点发展方向。此外,国家“十四五”依然将工业互联网定位新基建的战略发展方向。新基建为工业互联网基础设施建设指路,为融合应用做强“数字底座”,赋能制造业转型升级。其过程中细分出各个垂直行业的特有创新业务模式,以价值链导向的业务多形态百花齐放。
二、垂直平台安全发展趋势
工业互联网信息安全保障体系将工业互联网平台 1.0 中以网络、平台、安全的框架,延伸到工业互联网平台安全的全产业链保障,更多地面向物联网安全接入和平台上下游企业生态数据安全和行业安全扩展。
其中垂直平台数字化转型过程的安全保障趋势,目前初步形成三条落地路径,一是在垂直行业层面,通过对各种生产要素和资源的连接及优化配置,变革业务流程,形成新的商业模式。工业互联网安全从企业的信息安全进化成平台上下游安全管理体系的构建、安全技术能力的构建和安全运营体系的构建。二是企业保障现有业务安全的能力。通过运用物联网、大数据、人工智能等新技术,提升业务智能化的安全方案能力。三是聚焦垂直平台隐私数据安全合规,这里包含多层次的体系规则:国家政策、法律法规、部门规章、标准和指南、多部门管理、对个人信息进行全生命周期管理并细化具体规范等。
三、聚焦平台各方安全诉求,构建多维安全能力
垂直平台是工业互联网产业的主力军,面向垂直平台的各方用户的安全诉求逐渐凸显。目前中国工联互联网产业联盟注册企业、单位超过 1600 家,其中工业互联网企业、平台企业超过 1000家,跨行业跨领域的综合平台只有 10%,更多的平台企业聚焦在垂直领域,并逐渐构建垂直行业领域的产业链生态。信息安全的诉求也从传统 IT 领域的网络安全逐步过渡到企业信息安全体系构建、平台隐私数据合规、新技术安全方案落地。平台的各方对安全的诉求,驱动平台企业深度剖析安全价值链,构建安全可信的数字生态环境。
以众能联合数字技术有限公司为例,目前与国内外知名的设备厂商均有战略合作,机队规模超 30000 台,设备总量位居全国前列,在全国 25 个省、4 个直辖市、300 个地级市建有 100 个仓储物流及服务保障中心,累计服务超过 30000 家客户,是中国工程设备在线化服务平台的领先企业。
众能联合依托大数据、人工智能、物联网等先进技术,打造新型智能工业生态和智能化工地场景。在构建面向全产业链企业和最终用户数字化的进程中,众能联合构建安全能力的诉求也凸显出来。
在现实实践中,我们认为构建工业互联垂直平台的多维信息安全能力,需要建立面向平台企业的信息安全体系,构建面向企业上下游供应链和用户的隐私数据安全合规体系,构建面向平台用户的新技术安全能力。
首先,构建平台产业链上下游企业的隐私数据合规体系,以解决安全可信问题。在个人数据保护层面,工业 App 的人、机、物的连接是产业上下游协同,提高效率的手段,App 符合安全隐私设计要求是监管趋势,工业 App 开发要聚焦个人信息保护,通过安全咨询和安全建设满足监管要求。这里几个关键安全合规点需要明确。1. 公开用户授权收集使用个人信息的规则,需要清晰的用户协议,单列隐私政策并完整说明收集的信息类型等情况。2. 仅收集必要范围内个人信息,对业务功能读取用户通话记录、短信内容,收集用户通讯录、位置信息,使用用户设备麦克风、摄像头等权限最小使用。3. 账号注销和信息删除应提供路径。此外还应杜绝不授权就不允许使用 App、强制使用定向推送功能、私自共享第三方、频繁申请权限等行为。App的个人信息保护合规仅是企业需要关注的其中一个部分,对于没有开发 App 但仍从事网络贸易、提供网络服务等接触、收集个人信息的企业,亦需进行个人信息保护合规。在个人信息合规过程中,企业还需从企业的内部规程、个人信息收集、储存、处理等角度进行合规关注。
在企业数据合规层面,2019 年 5 月,最新发布的《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239-2019) 将工业控制系统纳入等级保护对象范围中。《工业互联网企业网络安全分类分级指南(试行)》则是在等级保护标准的基础上,面向具有工业互联网属性的企业,对安全要求进行深化。与等级保护三级的安全要求相对比,《工业数据分类分级指南(试行)》中的三级在等级保护的基础上提出了更具有企业特色的要求:一是组织管理要求。除建立健全网络安全责任、管理机构、管理制度建设外,明确提出“确保安全投入”,对企业在网络安全方面的投入提出细化要求,以保证网络安全建设的资金来源;二是安全防护要求。明确要求三级企业应建立工业互联网的安全监测平台,这就对企业提出了更高的技术要求,企业在建立网络安全技术防护措施和安全管理措施的基础上,还需同步建设企业上层的具有工业网络安全状态监测、工业安全事件分析、工控安全态势感知等能力的工业互联网安全监测平台,定期通报工业互联网安全风险,从而确保企业能够实时了解自身的工业网络安全态势,及时解决存在的安全问题,降低整体安全风险。三是风险评估要求。企业每年需要进行一次网络安全风险评估与审计,保障安全威胁识别和风险消除机制,通过PDCA 螺旋上升的安全保障机制动态优化和提升安全水平。
其次,解决平台安全的问题。对众能联合来说,垂直平台首先是产业网络化协同,在不同企业之间、不同的生产链和供应链之间,进行网络化协同,打造不同领域资源的最佳配置。然后是服务化延伸,不仅向用户租赁设备,同时还通过收集信息,实现故障检测、在线维护等服务,达到降低成本、提高效率、提升产品和服务品质、创造新价值四大成效。
基于垂直平台的使命,在安全保障上必须构建完善的安全管理体系、安全技术能力、安全运营体系。1. 构建完善的信息安全管理体系。信息安全管理方面需要层级公司的协同组织,上传下达清晰的安全方针目标以及管理目标的落地。在信息安全管理规范和制度建设方面需要持续加强,重新梳理面向企业内外协同机制的安全管理。这里面向工业生产制造、物联网和业务安全的安全专业人员的培养是一个巨大挑战,此外平台企业需要将供应链信息安全保障列为重要工作。2. 信息安全技术能力构建需要全面落地。信息安全技术需要从终端安全切入,通过零信任安全体系的建设落地,保障办公安全。企业内应建立混合云计算环境、网络安全保障环境,如可以依托原生云安全能力构建企业的安全计算环境,也可以通过集成安全威胁情报、第三方的网络安全产品进行网络安全保障,并构建混合云安全管理中心解决面向多云环境的统一安全管理问题。企业还必须投入资源对关键数据进行安全加密,从根本解决数据安全问题,同时关注应用开发过程的安全。3. 信息安全运营体系是企业安全运转的保障。目前面向安全入侵和数据泄露方向,可通过建立企业统一 SIEM 平台,通过 SOAR 方案构建安全检测、分析和响应的安全运营平台,但是这依赖安全技术体系构建的成熟度,企业可以通过简单任务分解,逐步完善复杂的安全需求。
最后,新技术的运营带来的安全风险,需要安全解决方案支撑。首先,构建物联网安全平台以解决设备接入安全。基于工程机械行业的物联网平台可能面临的信息安全风险,众能联合设计了众能工程机械设备物联网安全平台,通过自主研发获得 4 项专利,技术架构如下图所示。
物联网安全平台以密码技术作为安全基石、以 PKI 数字证书技术标识物联网各端身份、以专用密码硬件设备/安全芯片为密钥、数字证书安全存储和密码运算安全执行的载体,形成基于密码技术的工程机械设备物联网平台的信息安全防护体系。平台主要实现以下功能:
身份标识 : 采用 PKI/CA 系统颁发的数字证书作为系统中智能终端、物联网平台和用户的身份标识。
身份鉴别:身份认证机制基于 PKI/CA 数字证书认证体系,采用数字证书作为整个系统中所有实体(平台、智能终端、用户)的身份标识。
数据安全传输:使用密码硬件设备、安全芯片对终端和平台之间传输的重要数据进行加密处理。
数据安全存储:使用密码硬件设备对平台上的重要数据和用户敏感信息进行加密存储。
在实际应用中,工程机械设备物联网安全平台的平台侧部署身份认证系统、云签名验签密码机,实现平台基于数字证书对用户和智能终端的统一身份认证,只有合法的用户和智能终端才可接入平台,平台侧即服务端的证书在身份认证系统中进行管理。此外,部署云密码机实现用户敏感信息的安全存储,加密密钥的安全性由密码机自身保护。通过给用户管理终端相关管理人员发放 USB KEY,实现基于数字证书的身份认证。对于 App 用户,则将密码模块以 SDK 的形成集成到 App 中,通过身份认证系统向第三方 CA 申请标识用户身份的数字证书,且证书在SDK 中进行管理。用户管理终端和平台之间的数据安全传输,则通过 VPN 进行链路层的保护。IoT 智能终端集成 SE(加密芯片),且随机数生成、公私钥对、 CSR 生成、私钥安全存储、签名验签和加解密等密码运算由 SE 完成,智能终端中集成证书应用SDK,完成智能终端和 SE 之间的密码应用接口调用,实现基于数字证书的设备安全认证以及与平台之间的数据安全传输。
此外,作为平台用户视角,还要关注构建平台的大数据安全。一是海量多源异构数据的聚合计算。工业数据包括设备实时传感器数据、企业运营数据等,具有体量大、种类多、来源广、结构差异大、多品类差异大等特征。工业数据的多源性扩大了数据的攻击面,工业数据的异构性增加了海量数据解析和分析的难度。因此,需要针对工业数据来源多样、类型不统一、质量要求高等特点,突破多源异构工业数据的安全解析技术,协同不同设备厂商实现多源异构数据汇聚利用与数据保护。二是大规模数据的细粒度访问控制。垂直行业应用场景中,由于最终用户的需求不同,要求不同的用户仅能访问自己所涉及业务范围内的数据。面对海量工业数据,现有基于用户身份或角色的访问控制策略难以细粒度控制数据授权范围,亟需垂直平台大规模数据的用户访问控制策略,加强工业互联网平台数据的安全管理和审计。三是共享的工业数据中包含大量敏感信息。工业数据包括研发产品设计、开发测试、系统设备资产信息、控制信息、设备运行状态、系统日志、物流、产品售后服务等产品全生命周期各环节所产生的各类数据,其中往往包含平台用户企业的商业机密信息。平台上数据的流通与共享将扩大数据安全管理的范围,增加数据安全防护的难度和数据攻击事件分析的复杂度,需要针对数据滥用、隐私泄露等威胁进行安全防护。
四、垂直平台作为安全的纽带, 需要联合各方共筑信息安全
工业互联网垂直平台在构建多维信息安全体系时,需要联合接入企业和用户共同推动。国家层面持续规范和完善相关政策制定、标准研制等工作,明确平台安全防护要求和安全评估规范,对平台安全工作开展总体指导。平台企业通过技术和管理手段,完成平台应用组件、产品和功能的开发,提供技术和服务支持,确保平台具备国家及行业标准规定的安全防护水平;同时每年做安全风险评估,动态改进安全方案,持续加强安全投入,包括平台安全认证、检查评估、安全审计及平台安全事件的监测、预警、响应和恢复等,建立安全事件报告和问责机制。平台使用方应根据业务需要,对工业互联网平台提出具体的安全需求,并在使用过程中遵守平台业务的安全规范,进行安全配置管理,避免在使用过程中为平台带来安全威胁。
(本文刊登于《中国信息安全》杂志2021年第1期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。