★ 浙江中控技术股份有限公司

1 项目概况

1.1 项目背景

大数据时代，数据已经成为保障国家稳定和促进社会发展的重要战略资源。随着各类数据安全事件的频繁爆发，对各事发单位造成的影响和结果可谓非常惨烈。数据安全问题已严重影响政企声誉和利益，甚至成为决定企业命运的关键问题。本项目是中控技术在工控系统全网防护解决方案中首次重点关注数据安全，并以此为例打造数据安全标杆项目。

1.2 项目目标

工控系统安全与数据安全防护建设的总体目标是参照国内外成熟、先进的工业控制系统安全防护模型和措施，根据浙江安诺芳胺化学品有限公司工控系统的实际特点和安全需求，全面持续提升该公司的安全组织管理、风险控制、专业技术和服务能力，加强工控系统安全防护力度，切实保障企业生产经营活动的正常运行。

（1）通过数据安全治理管控平台建设，提升数据安全运营能力、数据安全管控能力和数据安全监控能力。

（2）建立全面的工业控制系统网络与数据安全保障体系，达到等保2.0的网络安全的技术要求；减少企业的安全事件，保障商业秘密不外泄；完善工控安全风险管理，实现风险管理的机制化运行，使企业管理人员能够准确掌握自身工控系统面临的主要安全风险。

（3）基于等保2.0、DSMM及政务信息共享数据安全技术要求，建立以技术保障为基础、以管理运营为抓手、以监测预警为核心、以协同响应为目标的网络安全防御体系，并围绕合规性国家标准四大核心内容，即数据安全标准规范体系、数据安全防护体系、数据安全管理平台和数据安全运营体系，开展数据安全与等保安全建设工作。

（4）加强数据资源安全运营、数据安全策略运营、数据安全事件运营、数据安全风险运营等能力的建设，为数据安全提供信息化支撑手段。

（5）提升数据安全管控系统（可控）能力，建成全网一体化数据安全体系，量化考核指标，检查数据安全防护有效性，持续优化数据运营。

（6）强化工控网和信息网的两网隔离和访问控制策略，确保工控网和信息网之间互联互通的安全性，防止安全威胁或风险的渗透和转移。

（7）提升工控系统对入侵和异常行为的检测和发现能力，实现安全威胁的可知、可查。

（8）提高工控系统安全的管理和响应效率，实现工控系统安全的可视化与统一管控。

（9）建立相关的工控系统安全制度流程，提升企业应急响应能力和信息安全事件处理效率。

2 项目实施

2.1 设计依据

中控技术的工控系统安全和数据安全技术防护从外到内构成自主可控的多层次“内建安全（固）、纵深防御（防）、安全运维（管）”防护体系。在底层构建内建安全产品体系，确保产品具有网络安全“健壮性”；在顶层规划部署数据安全管理及数据安全运维体系，确保数据安全的长期、持续有效；在中间层建设包括安全通信网络、安全区域边界、安全计算环境以及安全管理中心的纵深防御体系，并遵循“零信任”原则；在核心侧部署数据保护平台，帮助抵御内外部威胁，保护敏感数据。本建设设计依据如图1所示。

图1 建设设计依据

2.2 系统架构和主要内容

2.2.1 数据采集安全设计

（1）数据分类

通过工业数据安全治理平台敏感数据扫描模块发现结果，依照工业领域重要数据和核心数据识别规则，标识敏感数据的数据类型、数据位置等，并支持重要数据分类分级结果的报表导出功能。重要数据/核心数据分类模块由用户身份和鉴权信息、用户数据及服务内容信息、用户服务相关信息及企业运营管理数据组成，如图2所示。工业数据分类界面展示内容由数据名称、数据形态、数据支撑的环节、数据来源等组成。采用不同数据分类分级识别手段，识别不同类型数据，并由此进行工业数据的分类分级。

图2 数据分类示意图

（2）数据分级

根据敏感数据扫描发现结果，依照相关工业领域重要数据和核心数据识别规则，标识敏感数据的重要级别、敏感数据位置等，并支持工业数据分类分级结果的报表导出功能。工业数据分级模块由极敏感级（核心数据）、敏感级（重要数据）、较敏感级及低敏感级（普通数据）组成，如图3所示。工业数据分级模块展示内容包括级别、定位、管控规则等信息。采用不同敏感数据识别手段，识别不同类型数据，并由此进行工业数据的分类分级。

图3 数据分级示意图

（3）访问控制

访问控制策略为全域数据提供了统一数据访问策略统计、分析、稽核和展示，包括对所有上层应用的访问进行细粒度授权。通过限制对数据资产的访问操作，防止非法用户的侵入、用户越权或合法用户的不慎操作而造成的数据泄漏、篡改、损毁，保证数据资产受控地、合法地使用。

访问控制策略能够对目录、关系型、非关系型数据库中的表进行细粒度的授权策略定义；能够对关系型、非关系型数据库表中某一列进行细粒度授权策略定义；能够对数据库或文件系统的不同操作（如查询、增删、创建等）进行授权策略定义；能够对数据导入、导出的权限进行细粒度授权策略定义；能够对从其他平台收集的访问控制策略进行统一查询和展示。

2.2.2 数据传输安全设计

数据中心内部业务系统之间的数据（流式数据、数据库、文件等类型的数据）在传输过程中，需要从数据传输安全、网络数据防泄漏、数据检测保护等多个方面来保障业务系统数据的机密性和完整性。

（1）数据传输安全

在数据传输过程中，数据从控制室和控制站传输到数据库阶段，数据存在网络层面的非控制网络威胁等风险，在传输过程中的数据无法判断其安全性。

（2）数据可靠性安全

在数据传输过程中采用双向安全域，在两个不同安全区域之间形成隔离防护屏障，防止数据双向交互。经过数据库中的数据，通过入侵检测、静态脱敏等操作保障其安全性。

2.2.3 数据存储安全设计

（1）数据加密存储

当重要数据被明文存储时，一旦发生拖库事件，所有数据将被泄漏，所以数据加密存储是十分必要的安全防护手段。对数据库各种常用数据类型在字段层面进行加密，被加密的数据库数据以密文形态存储在磁盘上。同时为提高数据安全性，还应对数据库的重要日志文件、数据库rman备份、索引数据等相关数据加密保护，并对BLOB数据、CLOB数据、IOT表的Mapping表、B*Tree索引、Bitmap索引、全局索引等特殊数据类型和索引类型的加密正常读写、相等和范围查询。

如果使用可移动介质存储普通/重要数据或个人身份可识别信息，则应对存储在介质上的数据进行加密，以防止数据受到未经授权的访问。

（2）数据备份恢复

数据备份是一种有效的数据保护手段，是最基础的数据保护措施。通过配置相应的数据备份软件、磁带库等软、硬件系统，防止因为硬件损坏、逻辑错误、人为误操作等故障引起计算机系统的数据丢失与数据损坏。

完全备份：备份定义的所有数据，数据恢复速度快，但是备份数据量大，数据多时可能做一次全备份需要很长时间。

增量备份：备份自上一次备份以来更新的所有数据，每次备份的数据量少，恢复时需要全备份及多份增量备份。差分备份：备份自上一次全备份以来更新的所有数据，每次备份的数据量比较少，恢复时需要全备份及差分备份。

（3）服务器数据防勒索

勒索软件可能是工业领域最广为人知的威胁，可以参考伊朗震网和北美输油管道运营的例子。暴利驱动使得勒索事件层出不穷，存在的漏洞总会被发现和利用，加密核心数据是黑客的主要手段。当其对文件、数据加密和修改时，往往无法恢复，导致遭受巨大的损失。

因此需要通过搭配服务器加固或者EDR杀毒来建立勒索防护机制，从人员意识、合规制度等角度考虑，防范勒索病毒带来的危害。

2.2.4 数据使用安全设计

（1）数据防泄漏

部署网络DLP设备后，数据DLP策略将为全域工业数据提供统一的数据泄露防护策略的统计、分析、复核和展示。工业数据泄露防护策略主要包含检测文档类型、检测算法、解析协议、数据敏感级别、数据风险监测规则、数据处置动作等内容。数据DLP策略能够按照相关法律、法规、标准以及业务要求准确定义敏感信息。系统可按关键字、正则表达式、数据标识符、文件名称、文件大小、文件名、文件指纹、结构化数据指纹等信息采用逻辑与、或、非的方式进行敏感数据定义。基于以工业协议解析为核心的深度内容识别能力，不同组件相互配合，实现对采集、使用、流转、存储以及数据的实时发现和监控，构建工业数据安全闭环。

（2）数据脱敏

脱敏策略为定义统一的数据脱敏策略统计、分析、稽核和展示。

驱动动态脱敏网关实时动态脱敏及静态脱敏能力，脱敏策略包括动态脱敏和静态脱敏策略。动态脱敏策略主要通过定义数据访问场景、访问账号角色、访问数据内容、需要脱敏的内容和脱敏算法等来完成策略的定义；静态脱敏策略主要通过定义处理数据对象、数据脱敏算法和脱敏参数来完成批量数据脱敏策略。

2.2.5 数据提供/公开设计

（1）安全运维流程

数据安全运营的核心是定岗定责、责任到人、可验证、可追溯，贯穿安全监测、安全分析、安全处置和安全运维流程，全面覆盖安全运营工作及不同类型、不同等级安全事件的监测、分析、响应、处置流程。

（2）数据安全合规管理

数据安全合规管理支撑相关部门和单位内部合规检查要求，对合规工作进行统一核查和展示。其内容包括：

①日常合规检查；②页面脱敏合规；③权限管理合规；④访问控制合规；⑤事件行为合规；⑥数据流转合规。

（3）数据安全预警

数据安全预警是对数据安全分析结果的异常行为事件进行的相关预警，包括如下方面内容：

①批量查询/下载；②违规接入外部设备；③数据库操作偏离基线；④应用操作偏离基线；⑤高风险指令；⑥异地访问；⑦越权访问；⑧高频次访问；⑨敏感数据过量外发；⑩敏感内容未模糊化。

（4）数据安全态势

以数据为中心动态展示相关数据态势信息。

①数据资产态势；②数据访问态势；③数据流转趋势；④风险账号态势；⑤数据风险事件态势；⑥数据不合规态势。

（5）事件流程管理

①应急响应分析

根据数据安全事件的动态数据，汇总数据安全事件的相关信息，分析可能的影响程度、影响范围，并对数据安全事件进行综合分析，形成能够支撑应急指挥的基础数据。

②指挥决策

基于应急响应分析数据，进一步分析研判数据安全事件信息及影响和制约处置决策结果的指标，从而形成辅助决策模型，为应急指挥提供决策支持。

③资源调度

可对特定的负责人派发工单，针对网络、系统、安全系统等进行资源调度，协调必要的处置措施资源。

2.2.6 数据销毁安全设计

在一般数据全生命周期安全保护中，要求明确数据销毁对象、规则、流程技术等，对销毁活动进行记录和留存。

在重要数据全生命周期安全保护中，在满足一般数据全生命周期安全保护要求的基础上，增加了设置人员、不可恢复原则、完全清除、上报更新等要求（如：设置数据销毁相关监督人员；保证在数据完全删除后再销毁存储介质；应完全清除缓存数据；及时向地方工业和信息化主管部门更新重要数据目录备案）。

2.2.7 数据出境安全设计

在一般数据全生命周期安全保护中，数据出境要强调开展自评估和安全管理（如应结合实际开展数据出境安全自评估和安全管理）。

在重要数据全生命周期安全保护中，在满足一般数据全生命周期安全保护要求的基础上，强化了安全评估要求，增加了安全监测、风险防范、出境技术支持等要求。

2.2.8 数据转移安全设计

在一般数据全生命周期安全保护中，需形成数据转移方案，并通知受影响用户（如通过电话、短信、邮件、公告等方式通知）。

在重要数据全生命周期安全保护中，在满足一般数据全生命周期安全保护要求的基础上，增加了应及时向地方工业和信息化主管部门更新备案的要求。

2.2.9 数据委托处理安全设计

在一般数据全生命周期安全保护中，强调应通过签订合同协议等方式，明确数据安全保护要求和责任落实要求，规范数据使用权限、内容、范围及用途，对合作方数据使用情况进行监督管理。

在重要数据全生命周期安全保护中，在满足一般数据全生命周期安全保护要求的基础上，强调了应对被委托方的数据安全保护能力、资质进行评估或核实。

2.2.10 数据安全计算环境

（1）工控主机安全

随着近年来针对工控系统的APT攻击增加，工控系统内部网络安全问题的严重性也逐渐增加。因此对控制系统内部操作员站、服务器、网络交换机等设备节点的防护已成为企业工控系统安全的基础环节，并可为企业控制系统提供基础的防御与保护。

（2）安全基线加固

安全基线服务通过对工业网络开展服务和端口禁用等工业控制网络安全配置，限制远程控制管理、默认账户管理等工业主机安全配置，以及口令策略合规性等工业控制设备安全配置，建立相应的配置清单，方便用户责任人定期进行管理、维护和配置核查审计。安全基线配置须确保与控制系统软件完美兼容，否则会影响工控系统运行。

对工控上位机、服务器、网络安全设备进行安全加固，加固内容至少应包括以下内容：①加密保存系统账户口令；②采用SSH进行远程管理；③限制远程管理地址；④启用账户口令复杂度策略；⑤启用账户登录失败处理策略；⑥修改默认账户、删除多余账户。

（3）敏感数据发现

敏感数据发现可以从海量数据中自动发现、分析敏感数据的分布及使用情况，及时发现数据资产是否存在安全违规并进行风险预警，帮助用户防止数据泄漏和满足合规要求。

系统可根据预先定义的敏感数据特征，通过内置敏感数据发现规则对数据资产内容进行随机抽样敏感字段的发现和识别，实现敏感数据识别打标功能。

（4）资产风险分析

资产风险报警可以从海量数据资产中快速发现和定位敏感数据资产，追踪敏感数据的使用情况，并根据安全管理规则，实时推送资产风险信息，以确保能实时了解资产数据的安全状态并制定相应防护方案。对于敏感资产的动态变化形成的异常事件的提醒，系统提供紧急、重要、警告、提醒4个等级报警事件，由高到低依次用红色、橙色、黄色和蓝色标示。报警查询支持通过时间段、报警等级、报警类型、报警来源等条件进行历史报警的检索查询。

（5）资产安全报表

资产安全报表提供丰富的资产报表形式。其通过内嵌的报表功能为用户提供丰富的数据资产专项报表，如整体资产统计报表、敏感数据梳理报表等供用户分析审核。

2.3 技术方案

2.3.1 技术原理和内容

本方案以“固、防、管体系”为指导思想，遵照数据安全法、网络安全法以及工业企业数据安全防护要求等相关标准，在工控系统安全需求的基础上，建立预警、防护、检测、响应自适应闭环的数据安全防护体系，同时为工控系统提供可定制的数据安全服务，全面感知工控系统遇到或可能遇到的数据安全风险，提升系统的整体安全防御能力，构建单位可信、可控、可管的数据安全防护体系。根据数据安全与网络安全等级保护与的总体思想，结合工控系统的特点，中控技术提出数据安全自主可控技术体系模型如图4所示，建设逻辑图如图5所示。

图4 中控技术网络安全等级保护技术防护体系模型

图5 工业数据安全防护逻辑图

2.4 应用需求分析

2.4.1 传统信息安全体系无法保护数据安全

有别于传统信息安全防护体系，在工业领域，由于数据安全防护体系将保护对象聚焦在“数据资产”这样的无形资产上，因此数据资产的机密性、完整性以及可用性与硬件资产存在着巨大差别，这导致传统信息安全防护体系通常不具备对数据安全的有效保护能力。

2.4.2 静态防护策略无法保护数据安全

通常一个信息系统中的硬件资产数量是有限的，且在没有重大的系统变更时不会发生显著变化，所以传统信息安全体系的安全策略的设计思路往往是静态的。而在工业环境中，企业数据存储、处理平台所承载的数据量正在以极快的速度爆炸式增长，若仍以静态的视角看待数据资产势必无法应对数据量急剧增长带来的数据泄漏、数据损坏、数据篡改以及对数据主体造成影响等安全问题。并且由于数据资产对流动性的要求，仅考虑当前主体的静态防护策略显然无法有效保证数据的安全。

2.4.3 数据资产的权责不一致

数据通常来自于企业的业务部门，在业务部门使用，并且数据的所有权也常常属于业务部门。但由于数据安全策略有时会限制业务部门对数据使用的权限，而数据安全体系建设工作由安全部门主导，因此数据安全防护体系的建设很有可能会受到来自于业务部门的阻力，导致数据安全体系建设工作推动困难。

2.5 安全应用

2.5.1 通过“两化融合”形成数据防护体系

改变传统以特征和规则匹配为基础的技术保障体系，建立以“两化融合”为驱动的智能化技术保障体系，通过互联网汇聚全网安全数据进行协同分析，将微小的线索联系起来，由点及面，发现安全攻击和风险。同时基于业务对数据流进行节点建模，对数据流转的所有节点及节点之间的数据流进行安全画像和安全基线建立，并利用对大数据的实时在线分析、离线综合分析及智能分析等方法，发现异常行为及安全风险。

2.5.2 构建以数据为核心的安全监管能力

改变传统以信息系统为防护对象的设计思路，构建以数据为保护对象的安全防护体系。从敏感数据分布、数据接口安全、特权人员运维、特定业务场景数据流动态势等角度对非法采集、未授权访问、数据滥用、数据泄漏等数据安全事件进行监控、预警和审计，通过数据分析和直观的态势来支撑有效的安全、合规决策，建立通报预警体系并与应急响应和运维支撑体系进行有效整合，实现各单位数据安全事件的统一预警通报和应急指挥与协同处置，使用户具备数据安全专项监管能力。

2.5.3 解决数据流动环境的安全管控难题

工业数据在流动中责任边界变得模糊，工业数据的处理活动以及产生的安全风险变得难以控制，各地各部门技术能力和安全意识参差不一，出现“发现不了，通报不及时，整改不会”的问题，导致客户对工业数据使用中的风险问题难以进行灵活、及时地应对。工业数据安全管理平台的建设从传统的单点的安全防护向全面的安全监控预警转变，通过汇聚全网的安全工业数据，形成安全数据大脑，并利用大数据和人工智能分析引擎，在数据层面建立了资产识别→风险分析→监测预警→响应处置→安全合规的工业数据安全监督管控闭环，解决了工业数据流动下的管控难题。

2.5.4 建设常态化的安全运营支撑能力

打造以工业数据安全管控平台为核心的常态化的数据安全运营中心，构建工业数据安全保障体系。通过建立“纵向监督、横向联动”的安全管理及运营机制，利用SSOC安全运维平台等技术，汇聚全网工业数据并形成安全数据大脑，利用“实时、全样、精准”的工业大数据建立全程在线、全域覆盖、实时反馈的“工业数据安全态势地图”，从而快速有效地感知、预警、调度和处置相关工业数据安全风险，提高管理决策的科学性和精准性，提升管理效率和应急响应能力，有效实现全网风险控制与应急支撑。

3 案例亮点和创新点

本项目是浙江省首个工业数据安全试点项目，中控技术依托于丰富的工控领域产品研发和工程实践经验，响应国家《数据安全法》的政策引领，依据《工业数据分级分类指南》，将“数据安全”引入工业领域，并结合成熟的工控全网防护方案，实现工业生产各环节数据产生、收集的安全防护，实现数据的传输保护，实现数据的使用、存储保护，实现数据在不同网络区域的隔离和交换保护。

构建了工业数据的全生命周期防护体系，在数据安全的整体防护中，重点解决工业数据安全难点；在整体设计上，从工业数据安全组织管理、工业数据安全标识、工业数据分类分级分域、工业数据安全审计与追溯以及工业数据的生命周期安全防护等方面综合考虑，并从数据风险评估的角度构建了整体工业数据安全全生命周期防护解决方案。

深度结合“固、防、管”理念，打造由内建安全为核心的工控网防护体系。在核心侧部署工业数据安全防护系统，根据《工业企业重要数据防护（草案）》要求，完成对数据整体的生命周期防护。并且引入了“零信任”的思想，旨在在源头贴身保护存储在任何位置的关键数据资产。借助本数据安全防护体系，可加强运维团队分析工业数据环境中发生的各种状况，从而有效防范风险，帮助抵御内外部威胁，保护敏感数据，满足工业数据安全合规需求。

《自动化博览》2023年1月刊暨《工业控制系统信息安全专刊（第九辑）》