「经济观察报」数据政治:“新基建”中问安全( 三 )
文章图片
【「经济观察报」数据政治:“新基建”中问安全】“等保2.0”新标准中 , 每一级在技术设施和管理运营方面都提出了基本要求;除通用要求外 , 均还新增了云计算安全、移动互联安全、物联网安全、工业控制系统安全和大数据安全等扩展要求 , 以应对新技术的发展 。
表3网络安全等级保护对安全技术要求与安全管理要求范围
文章图片
在防御思路上 , 跟信息安全保护(等保1.0:2004-2008)时代相比 , 网络安全保护(“等保2.0”)的思想发生了重要变化 。
第一 , 从被动防御变成了主动防御 , 整体防御也分区隔离 , 不仅在边界上防御 , 在内部也进行多层多种防御 , 相当于在边界上防不住时 , 在内部控制影响范围 , 尽量更早发现问题 。 第二 , 提出了事前、事中、事后的防御 , 超越了过去在受攻击时进行防御的逻辑 , 对事后审计、溯源也提出了要求 。 第三 , 由被动保障向感知预警、动态的防护、安全检测、应急响应做转变 。
应该说 , 顶层的重视、一系列法规的出台和等级保护体系的更新 , 为产业互联网的发展提供了制度保障 。 “等保2.0”有助于产业安全标准的统一和安全意识提升 , 另一方面 , 合规性需求驱动下 , 网络安全产业和网络安全强化建设将有望应来一个新的发展机遇期 。
安全与生产
在数字化转型升级的大潮中 , 具体到产业的生产实际 , 存在三个与安全相关、至关重要的新问题值得严肃思考 , 分别涉及数据、工业环境生产安全和芯片底层 。
一、数据、安全价值与全生命周期
数据是新的生产资料和可流动的无形资产 。 安全工作的第一步往往是从资产定义和发现开始的 , 资产定义和发现之后 , 做漏洞检测与加固 。 资产数据安全(包括数据的防泄密、磁盘加密、文档安全)和数据连续性保护(包括容灾备份、数据库安全、大数据保护)等 。
从数据意义上说 , 网络安全的价值用IT投资比例来衡量是不妥当的 , 或许应该基于IT系统所承载的数据价值和以数据为基础的业务价值来评估 。 然而 , 数据资产的价值恰恰具有模糊、不确定性 , 其价值不来自于二进制的数字代码 , 而取决于数据的流动和使用 。 不同的使用者、使用场景、使用时机 , 数据发挥的价值千差万别 。
正因为数据流动性与价值的不确定性 , 对数据资产的全生命周期管理显得格外重要 。 从资产保护的角度 , 数据的产生、流动、存储、使用及销毁等过程 , 都需要纳入到安全管理的范围 , 对数据泄露风险 , 也需要进行必要防控 。
从数据全生命周期管理角度 , 云平台模式具有鲜明的技术优势 。 在微盟事件中发挥重要作用的腾讯云 , 就嵌含着“云数据安全中台” , 以数据加密软硬件系统、密钥管理系统以及凭据管理系统能力为核心 , 将密码运算、密码技术及密码产品以服务化、组件化、产品化的方式输出给企业使用者 , 有利于企业实现从数据获取、事务处理及检索、数据分析与服务、数据访问与消费过程中的全生命周期的安全防护 。
二、信息技术(IT)的安全与工业控制(ICS与OT)的安全
无论是从消费、服务端出发的“产业互联网” , 还是从生产、制造环节出发的“工业互联网” , 将信息技术应用于生产过程都是追求的目标 。
但来自IT意义上安全产品和服务 , 并不能完全满足工业生产信息化实际需求 , IT与OT(运营技术)是不同的技术、不同的物种 , 不能将两者混淆 , 认识这一点 , 在即将到来的“新基建”热潮中尤为重要 。
在技术环境上 , IT是动态的 , IT系统需要经常修复、升级、替换 , 关注数据机密性、完整性和可用性(即CIA) 。 但OT的环境追求稳定性、安全性和可靠性 , 涉及维护复杂敏感环境的稳定 。 工厂运维常说的话是“只要能用就别动” 。 IT追求使用包括安全技术在内最新的硬件和软件 , 而OT则不可能对设备进行高频更新 , 需要与遗留技术、甚至前互联网时代技术为伍 。
在工业使用场景中 , 在需求方面 , 工业需要保障生产的连续性和可靠性 , IT网络时延等技术在OT网络中未必适用 。 在复杂度方面 , IT资产管理模式也未必能适应OT网络中混合的生产协议、未知资产、遗留系统和设备 , IT安全方法也未必适配于工业领域垂直性强的特性 。
现代运营往往横跨复杂的IT和OT基础设施 , 涵盖成千上万的设备 , 且这些设备越来越多地通过工业物联网互联 , 给工业环境安全带来了新的挑战 。
Gartner统计 , 2018年 , 10%以资产为中心的企业 , 采用将传统安全与专业OT安全技术混合部署模式来保护OT环境 , 该比例在2022年将达到30% 。 支持更多工业控制协议的细粒度解析 , 正确标识与管理运营资产、充分挖掘和使用垂直威胁情报 , 将成为工业互联网安全发展的重要方向(中国信息通信研究院 , 2019) 。
至少在安全技术层面 , 工业互联网仍有许多瓶颈需要突破、有很多基础路程要走 。
推荐阅读
- []重庆移动-亚德高等级数据中心落户西永微电园
- 「重庆」2019重庆GDP总量超2万亿,细看38个区县经济财政数据大盘点
- 平台■在线视频平台大数据杀熟成惯例 买VIP就活该被宰?
- 数据宝:昔日网游明星股业绩预亏超10亿,千亿巨头近280亿市值将解禁
- 「数据线」手机充电慢?那你需要看看是不是这些地方出了问题
- 大数据:这套绝对是2020年大数据最全面的线路图+实战项目+源码限时赠你
- 【Ace】原创 用实际数据发声,OPPO Ace2的这些亮点你要知道
- #颜七公子#TunesKit iPhone Data Recovery for Mac(iPhone数据恢复工具)
- 吉简▲我们的经济数据也下来了,接下来看企业的发展了!,全球疫情当下
- 『金十数据』运回自中国购买的呼吸机,采购计划遭干预?巴西一州耗资810万元