工业大数据信息安全风险研究及调控体系建议

　　摘 要：随着大数据技术在工业领域的推广应用，工业大数据信息安全面临着严峻的考验。文章提出了工业大数据信息安全风险分类参考架构，分析了我国工业大数据信息安全风险调控的问题与不足，并从风险调控组织、战略规划、法规与标准、技术研发与专业人才培养等方面，提出了工业大数据信息安全风险调控体系的建议，为我国工业大数据信息安全风险调控工作提供参考。

　　关键词：工业大数据;信息安全;风险分类;风险调控;体系建设

　　1 引言

　　随着以智能制造为主的工业信息化不断推进以及物联网、云计算等技术的普及应用，越来越多的工业控制系统(ICS)、生产设备、零部件等产业链各环节要素，通过网络实现了互联互通，推动了海量工业数据的传输、存储和处理，工业领域迎来大数据时代。与此同时，作为工业大数据重要载体与核心的工业控制系统，也面临着日益突出的信息安全问题[1～3]。例如，2010年“震网”病毒(StuxNet)、2012年中东地区“火焰”病毒(Flame)、2015年乌克兰电网遭遇Black Energy(黑暗力量)恶意软件/代码破坏等安全事件。如图1至图3所示，据CNVD国家信息安全漏洞共享平台[4]统计，从2011年到2019年我國工业控制系统漏洞数量从200个增长到445个，翻了1倍，年均增长率为9%。漏洞数量从2011年261个剧增至2019年的2，318个，而且高危数量占比约三分之一，中危漏洞占比40%以上，可见都是危害较为严重的安全漏洞。

　　工业大数据作为承载于工业信息系统或平台(如工业控制系统)之中的虚拟数据资产，与信息系统关系密切。工业信息系统或平台信息安全受到威胁，工业大数据也必然面临极大的安全威胁，且安全形势严峻复杂[5]。但是，当前我国对工业大数据信息安全没有明确的体系化分类，缺乏完善的风险调控体系。基于《GB-T 37973-2019信息安全技术 大数据安全管理指南》关于大数据主要活动及安全要求，结合信息安全常见风险问题，提出了较为全面的工业大数据信息安全体系分类，并针对我国工业大数据信息安全风险调控体系建设提出建议。

　　2 工业大数据信息安全及其风险分类参考架构

　　对工业大数据信息安全[6，7]的研究，除了数据资产自身的安全，还需结合承载工业大数据的信息系统或平台的信息安全。在2017年之前，学术界和各国政府对工业大数据信息安全直接关注较少，而对工业控制系统信息安全的战略规划和发展给予了关注。国际电工委员会IEC/ TC65/ WG1与ISA99于2007开始共同制定IEC 62443系列标准。美国于2009年、2011年分别出台“国家基础设施保护计划(NIPP)”“实现能源供应系统信息安全路线图”、国家SCADA测试床计划(NSTB)及DHS的控制系统安全计划(CSSP)。我国于2011年10月由工信部首度印发《关于加强工业控制系统信息安全管理的通知》，要求加强国家主要关键基础设置ICS的安全防护工作[8]，并且国务院在2012年的《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》[9]中明确提出要“保障工业控制系统安全”。

　　大数据流通阶段，包含了数据采集、数据传输、数据存储[10]、数据分析挖掘、数据可视化应用等。这些阶段均存在数据泄露、数据干扰等信息安全威胁，因此工业大数据的信息安全也是采集、传输、存储、分析挖掘和可视化应用等多个环节信息的保密性、完整性和可用性[11]。工业大数据信息安全风险分类符合一般的信息安全风险分类模式，并具有自身特点，如图4所示。

　　3 我国工业大数据信息安全风险调控的问题与不足

　　当前，我国工业大数据信息安全调控存在着一些问题和不足。

　　一是对工业大数据信息安全的直接关注不足，缺乏直接针对工业大数据信息安全的战略规划。虽然我国重视工业信息安全相关的领域，如工业控制系统信息安全、大数据隐私安全等，但是与工业大数据信息安全直接相关的战略规划寥寥无几。

　　二是工业大数据信息安全的调控体系落后，需在法律法规、标准体系、风险调控、测评机构建设等多方面布局。需在工业信息化过程中，结合“互联网+”等国家战略，不断推进工业大数据信息安全法律法规建设和完善工作。2014年12月全国信息技术标准化技术委员会大数据标准工作组正式成立，并于2016年5月与中国电子技术标准化研究院共同完成《大数据标准化白皮书(2016版)》。对于大数据的相关标准研制国内处于起步阶段，针对工业大数据及其信息安全的标准成果极少。工业大数据的信息安全是一个复杂的动态的过程，其风险调控工作也需建立一整套的调控体系，包括调控机构建设、调控法规建设、配套平台建设、应急管理制度建设等。虽然工业控制领域或者大数据领域出现了一些信息安全的测评技术与机构，但缺乏针对工业大数据信息安全的技术体系较为完整的测评机构。

　　三是缺乏直接针对工业大数据信息安全领域的核心技术，工业大数据信息安全技术体系与人才体系也有待整合。除了继承了传统工业信息安全技术和信息系统的安全技术，工业大数据信息安全也必然呈现出独特之处，如针对海量数据的过滤、审计与加密等，有待研发出适用于工业大数据信息安全领域的特定技术。由于工业大数据与多领域、多环节的相关性，其技术研发与管理，也需要交叉领域的专业人才，并推动人才体系完善。

　　4 工业大数据信息安全风险调控体系的建议

　　目前，我国对与工业大数据信息安全直接相关的战略规划、法律法规、技术标准和技术研发较少，而对工业控制系统相关的信息安全研究及其成果较多。急需转变思路，以工业大数据虚拟资产为对象，研究工业大数据信息安全相关技术的总体构建和框架，从调控组织机构、战略规划、共性支撑平台、法律法规和标准体系、人才队伍与技术研发等五个方面推动工业大数据信息安全风险调控体系的建设。

　　推荐阅读：网络与信息安全学报网络工程师论文投稿

期刊VIP网，您身边的高端学术顾问

文章名称： 工业大数据信息安全风险研究及调控体系建议

文章地址： http://www.qikanvip.com/jisuanjixinxiguanli/55243.html