工业大数据安全风险与技术应对

Posted 2021-04-26 工信头条

读而思

工业大数据伴随工业互联网的应用拓展呈几何级数增加。同时，海量工业数据的采集和传送已突破时空限制，向企业数据中心汇集。这期间工业大数据的采集与应用，隐藏着巨大的安全风险，随时可能对工业生产造成灾难性影响。如何应对安全风险，在政策加持的同时，必须靠技术解决。

刘若南   中建科技集团科技研究中心常务副主任

本文发表于《中国工业和信息化》杂志2020年8月刊总第26期

2018年，克莱斯勒、福特、特斯拉等全球100家车企的47000多个机密文件遭外泄。泄露的数据包括产品设计原理图、装配线原理图、工厂平面图、采购合同等敏感信息。这一事件被称为“重大车祸”。

而在我国，34%的联网工业设备存在高危漏洞，这些设备的厂商、型号、参数等信息长期被恶意嗅探，2019年有数据统计的嗅探事件曾超过1亿起。

2020年以来，工业大数据的技术环境与政策环境有了大幅度的改善，但工业大数据在汇聚、共享、深度应用和数据治理上的安全问题依然严峻。

工业大数据安全面临的六大风险

风险一：巨量性风险

工业大数据的庞大体量容易成为攻击目标。工业大数据庞大的体量，尤其是未来海量增长趋势，使得在网络空间中，目标凸显，易于被“发现”，成为网络攻击的靶子。一方面，工业数据的巨量集中存储，泄露风险剧增，攻击难度虽然增加，但攻击成本相对降低；另一方面，工业大数据的逻辑梳理，使得海量数据被纳入应用，数据蕴藏着更易破解、极为敏感、更大价值的信息，这些数据面临的不再是单一的而是多层次的窃取者。

风险二：多样性风险

工业大数据因为不再拘泥于收集特定数据，而使得数据来源多样化，各种非结构化数据与结构化数据鱼龙混杂，提取有效信息的难度加大，信息匹配出现困难。工业大数据的多样性使得信息有效性验证更加困难。数据来源的有效性尤其是客户数据的有效性，存在不可靠风险。

不容否认，海量工业数据具有巨大价值，但是如何判断其真实有效性已成为难题，甚至引发越来越多的安全问题。

风险三：扩大性风险

工业大数据的单位价值降低大大扩展了安全防御边界，面临扩大性风险。

工业大数据作为资产，其整体价值是上升的，但单位价值则有所降低。类似广种薄收的数据集聚，使得信息效能被稀释。工业大数据的安全预防应对与遭受攻击的解析过程愈加复杂，安全管理范围逐渐扩展。一方面，大量制造与运营数据汇集，增加数据泄露的风险；另一方面，工业大数据的完整性、可用性和机密性，增加了数据防止丢失、被盗取、被滥用和被破坏的技术难度。

风险四：快速率风险

工业大数据的处理速度越来越快，企业独立决策的难度上升，利用海量数据的速率加快的同时，有用信息的分析难度增加。因果关系的线性分析转变为相关关系的多变量分析。在工业大数据日益成为决策依据的同时，决策者的逻辑思维和判断越来越被智能的数据计算和分析所左右。一旦智能机器的决策正确性得到越来越多的验证，那么决策者的依赖性则会随之增加。从反面来看，如果数据被修正过，或者智能系统逻辑被控制，则是灾难性的。困难在于，数据的收集、存储、管理、分析和共享，因为数量的巨大，传统报表的决策功能降低，对错分析和奇偶校验已失去意义，人的自主决策面临巨大挑战。

风险五：非对等性风险

工业大数据独特的导入方式使得攻防双方地位的非对等性风险上升。因为数据加工和存储的时空顺序已模糊，可扩展的数据联系使得逻辑加密更为困难。也就是说，先扎好篱笆、筑好墙的传统防护手段已相形见绌。传统方式防护者很清楚，攻击者对准的是新的漏洞，并且是从前门逐层进入的。防护方虽然在明处，但具有攻击者并不具备的明显优势。而工业大数据的提供者和维护者日益庞杂，这种数据导入方式，在为数据收集应用带来便利性的同时，也为攻击者提供了多种窃取路径，以前防护者知道攻击者从哪里来，现在则很难判断它从哪里来，双方力量的非对等性呈下降趋势。即工业大数据的挖掘和分析技术的进步，时刻伴随着攻击者窃取手段的丰富，技术壁垒的作用在降低。

风险六：开放性风险

工业大数据的相对开放性使得安全加固策略的复杂性有所降低。这是因为数据的使用者，同时作为数据的创造者和供给者，更注重数据的拓展性和无限延伸。为更好匹配功能要求，工业大数据的网络开放性扩大。工业大数据的快速处理能力，又要求安全阀域的敏感度和复杂度降低。此外，随着工业大数据的参与者增加，防护安全级别有降低的趋势，而安全防护系统的升级速度又落后于数据量非线性增长的速度，大数据安全防护漏洞扩大。

工业大数据安全相关技术

以上风险，最终仍要依靠技术能力的提升加以解决，并在依靠技术力量降低风险的同时，消解安全成本快速上升带来的压力。

工业大数据作为链接工业生产设备和网络空间虚拟资产的纽带，其安全技术与数据链环节紧密相连。

数据采集技术

数据采集技术主要包括数据智能分级分类标注技术、数据源可信验证技术与内容安全检测技术等。

数据智能分级分类标注技术。对数据进行分类分级的目的，就是要按照数据的不同类别和敏感级别实施不同的安全防护策略，使用不同的安全防护手段。分级的依据是数据属性的高低和泄露后的影响程度；分类的依据一般是实际业务场景。两者共同构成安全策略选择的前提。据此，数据智能分级分类标注技术主要就结构化、非结构化、半结构化数据，从内容属性、安全属性、签名属性等角度给予标注。标记方法包含元数据标注技术、数据内容标注技术、数据属性标注技术等。通过标注为后续的数据分级分类存储、数据检索、数据保护、数据追溯和数据分析奠定基础和最初依据。

数据源可信验证技术。该技术主要是从源头上解决数据采集的有效性问题，确保数据源的安全可信可靠，剔除假冒对象与假冒数据。主要技术手段包括可信认证技术与生物认证技术等。

内容安全检测技术。对采集来的数据集进行安全性检测，确保没有病毒或者其他非安全性数据混入。主要指基于规则的监测技术、基于机器学习的安全检测技术和有限状态机的安全检测技术等。

数据传输安全技术

该技术主要针对工业大数据海量数据流、传输速度快的特性，确保数据动态传输中的机密性和完整性。相关技术主要有高速网络传输加密技术、跨域安全交换、威胁监测技术等。

安全存储计算技术

工业大数据安全存储技术。该技术主要解决云环境下的多用户、大批量异构数据的安全存储。主要依靠冗余备份和分布式存储密码、存储隔离、访问控制等技术，确保数据存储安全。分布式密码存储技术主要是应用密码服务资源池技术、密钥访问控制技术、密码服务集群密钥动态配置管理技术、密码服务引擎池化技术，提升高效、并发密码服务能力和实现密钥管理功能。存储隔离技术依据安全等级对数据进行隔离存储，可选方案包括逻辑隔离和物理隔离，也可以两者并用；分级分类存储是按照数据的重要程度和安全程度，在隔离存储的基础上，落实安全存储和访问控制。在保密要求不高的场景下，还可以选择可信固态硬盘存储，既可以实现对数据的细粒度访问，又可以确保效率更高，策略更灵活。  

备份恢复技术。该技术主要是对特殊数据，如元数据、密集度高的数据或者被高频次访问的数据，通过数据同步、数据复制、数据镜像、冗余备份和灾难恢复等技术手段，确保数据完整。

数据安全共享区块链技术

区块链技术。区块链技术的去中心化特点，可以使得多个分布式计算节点共同参与和记录，并相互验证有效性，达到确保数据既不被篡改，又可追溯；分布式节点的共识机制类似具有共同信仰的多个秘密联络点，在单一节点遭受攻击时，避免影响区块链系统的整体运行，有效降低数据集中管理的风险。

跨网跨域数据交换技术。在工业互联网应用普及的情况下，数据的跨网跨域交换已成为常态。那么，数据的交换内容、交换行为、交换过程，必须可管、可视、可控。该技术通过信息加密、可信计算、身份认证、签名和摘要、内容识别等一系列安全技术，保障海量数据的跨网跨域交换安全。

监控审计技术。此技术主要是对数据安全共享中的异常事件、违规行为和业务异动等进行全面评估，并进行事后安全检查。主要依据安全事件日志，进行关联分析、数字取证、事件追溯、异常监控、数据结缘等，同时通过全天候实时监控确保数据共享安全。

共享审查技术。主要针对在数据共享发布后，数据有偿共享、无偿共享、分时共享、分区共享、定向共享、主动分发等不同状态，实施的数据安全保护策略。具体包括合规性、安全性、敏感消息的审查等，应对未来不同数据共享模式下的数据安全挑战。

密文计算技术

密文计算技术主要包括同态加密技术、安全多方计算技术、可验证计算技术、密文检索等技术。

同态加密技术。同态加密可分为有限同态加密和全同态加密。其中，全同态加密（FHE）技术允许对密文数据进行任意次数多项式函数运算。可用于云环境下的数据密文计算、安全多方计算、基于同态加密的隐私保护机器学习模型训练等不同场景。尽管同态加密有只保证数据机密性，而无法保证数据完整性的特点，但它通过与可验证计算共同布局，解决机密性和完整性相统一的问题。

安全多方计算（MPC）技术。安全多方计算在1986年由姚期智院士提出以后，目前已发展出多个分支，如零知识证明、可验证计算、门限密码学等。主要应用于高效安全多方计算协议、特殊安全模型设计等。安全多方计算的依据是电路模型设计，主要包括混通电路、秘密共享、RAM模型等。

可验证计算技术。它允许数据资产的所有者检查数据和计算的完整性。前面已提到，该技术方案与全同态加密相结合，可以共同保障数据的机密性和完整性。据此，数据所有者通过将需验证数据加上相关规范，交由验证方去验证其正确性。从而，较好地保护非信任云环境下的数据完整性。

密文检索技术。该项技术支持多关键词查询、模糊查询、语义查询等多场景下的检索服务，并在确保数据机密性的同时，兼顾数据检索的高效性和精确性。

数据安全销毁技术

残留数据粉碎技术。它要解决的是确保数据彻底删除，避免非法残留信息，或再恢复删除数据可能带来的信息泄露。此类技术主要包括元数据删除技术、缓存数据删除技术、回收站数据删除技术和磁盘残留信息删除与写入技术等。  

销毁流程完整性验证技术。与上一项技术紧密相关，确保数据在删除后，没有非法数据留存或者残留信息存在，导致被不当窃取或者非正常泄露，并进行相关验证。从而通过删除元数据和业务数据、多次读写等方式，形成数据销毁流程闭环，确保数据删除干净彻底。

数据安全管理技术

安全态势感知与监测预警技术。安全态势感知技术对平台系统和数据流转过程的安全势态进行探测、分析和可视化，从时间和空间维度态势，通过对安全威胁情报和各类安全态势信息进行大数据分析，帮助管理人员实时掌握数据安全现状，实现对整个大数据系统的精细化运维和管理。监测预警技术为数据源、大数据平台和大数据流转提供全方位、全视域的威胁甄别与预警能力，通过主动行为发出安全防护信息，如威胁监测识别、危险入侵预警、威胁信号推送等。

安全元数据管理和数据监管技术。安全元数据管理技术为数据资产圈定安全属性，包括增加数据标签、安全级别等，实现数据资产的结缘分析与来源追溯等，保障数据的安全性。数据监管技术主要解决数据被合法使用、正确流转和共享交换中的问题，包括数据权属、使用行为、数据流向、风险系数等，实现对数据资源全生命周期的可管、可控。

安全策略管理模块。根据监测预警反馈的威胁信息，形成全局动态协同安全防护。而根据数据安全防护动态变化形成的数据安全防护策略将传递给安全组件管理模块，再由该模块将策略转换为实时配置，达成协同防护联动。

安全审计技术。为了解决其中的异常事件、违规行为和业务异动等，运行中的洞察和事后安全检查不可或缺。通过安全审计技术对大数据基础设施、系统平台和应用服务等各类安全信息进行关联分析、数字取证、事件追溯、数据追查和结缘分析等，从而形成数据保护屏障。

MES系统下的工业大数据安全应用

为保障工业大数据的安全，首先要进行身份验证与控制。对于数据用户的操作请求，进行合法取证，仅保留验证通过的相关请求，并对这些请求调用智能变换处理。不同层次的验证，缺一不可：登录验证、操作验证、访问验证以及数据验证。

即使通过了身份验证，并不能随意访问，仍要实施访问控制。一是角色匹配控制，即访问权限与自身角色适配，不同用户拥有不同级别的访问权限；二是业务流程控制，即多级、动态的菜单与业务功能或子程序相匹配，即使数据管理用户也必须受访问控制；三是企业用户拥有专门账户，赋予访问权限，并由系统管理器协约管理与分配。

在后续的应用中，MES系统会完善捕获系统与记录系统，同时记录下不合法用户的入侵痕迹，存留可靠证据。而审计人员可以随时随地获取特定记录，并执行审计方案，一旦发现违反安全规定的情况，将根据调研及推理，采取有针对性的保护措施。

大部分的MES系统是由管理员来进行管理。如果管理员账户遭到破坏，其他的安全措施会随即失效。因此，用户管理员与安全管理员，要充分划分系统的权限，将差异化管理和集中管理相结合，从而实现彼此独立又相互监督。

根据MES系统常见的网络入侵威胁，例如SQL注入、cookie破坏以及缓冲区溢出等，建立事前至事后的防御机制。事前迅速做出风险判断，同时采取相应措施；事中开展主动防御、实时监测，早发现，早防御，尽可能降低风险和损失。

MES系统中的程序涉及用户交互操作时，会进行详情记录，就需要维持会话状态。此状态下，用户请求以及服务器程序的对话传输ID，易为黑客攻击。为避免此类攻击，一方面，需要使用加密措施来强化用户ID；另一方面，实时监控会话状态以及异常警报。

工业大数据作为实现制造业智能化的底层路径，具有核心作用，是战略资源。它攸关制造业的生产安全与健康发展，工业大数据的安全已成为防护的核心，为应对新的安全威胁，必须开发新的技术，以满足日益增长的工业大数据安全需求。

（来源：中国工业和信息化）