工業大數據安全研究

余章馗 劉京娟

摘? ?要：文章以工業大數據為研究對象，介紹了工業大數據概念、特征，分析了工業大數據面臨的安全形勢，總結了我國工業大數據安全保障現狀及面臨的問題，并提出了加強工業大數據安全防護的對策建議。

關鍵詞：工業數據;大數據;數據安全

中圖分類號：TP393? ? ? ? ? 文獻標識碼：A

Research of industrial big data security

Yu Zhangkui， Liu Jingjuan

（China Industrial Control Systems Cyber Emergency Response Team， Beijing 100040）

Abstract： This paper takes industrial big data as the research object， introduces its concept and characteristics， analyzes the security situation it faces， summarizes the status quo and problems of the security of industrial big data in China， and finally puts forward some suggestions for strengthening the protection of security of industrial big data in China.

Key words： industrial data; big data; data security

1 引言

黨中央、國務院高度重視數據安全。黨的十九大報告指出，“堅持總體國家安全觀”“堅決維護國家主權、安全、發展利益”。2017年12月，總書記在主持實施國家大數據戰略第二次集體學習時提出，要“推動實施國家大數據戰略”“切實保障國家數據安全”“強化國家關鍵數據資源保護能力，增強數據安全預警和溯源能力”。同時，近年來國家相繼出臺了《中華人民共和國網絡安全法》《國家網絡空間安全戰略》《促進大數據發展行動綱要》《深化“互聯網+先進制造業”發展工業互聯網的指導意見》等法規、戰略、規劃文件，提出了一系列加強數據安全的相關舉措，為工業大數據安全工作提供了重要依據。

工業大數據泛指工業領域產生、采集、傳輸、處理、使用的海量數據，已成為提升制造業生產力、競爭力、創新力的關鍵要素，是驅動工業互聯網創新發展的引擎。隨著世界各國積極推動工業大數據發展，全球工業大數據相關技術產業得到快速發展。與此同時，工業大數據安全形勢十分嚴峻，我國工業大數據安全還存在頂層設計不完善、責任落實不到位、技術手段缺乏、產業支撐能力薄弱等突出問題，加快提升工業大數據安全保障能力迫在眉睫。

2? 工業大數據的內涵

隨著工業互聯網、智能制造、物聯網等創新應用的深入發展，以及云計算、大數據、人工智能等新一代信息技術的廣泛應用，世界各國紛紛將推進經濟數字化作為實現創新發展的重要動能，大力推動制造業數字化、網絡化、智能化，工業領域的數據得到高速規模化增長。工業大數據驅動生產過程、產品、服務、業態等朝著智能化方向發展，為工業轉型升級和構建智能制造產業生態提供重要支撐，對推動實施制造強國和網絡強國戰略具有重要意義。當前，數據掌握的多寡和分析處理能力的高低，已成為國家軟實力和競爭力的重要標志，誰主導了大數據資源和技術，誰就掌握了主動權。工業互聯網作為新一代信息技術與工業深度融合的產物，正在構建新的網絡架構體系、技術體系和數據資源體系，而工業大數據是驅動工業互聯網創新發展的引擎，是工業智能化的關鍵，是建設現代化經濟體系的重要基石。

2.1 概念

工業大數據主要指工業領域在業務活動和過程中所產生、采集、處理、存儲、傳輸和使用的海量數據的綜合。從來源上可粗略分為內部數據和外部數據兩大類。內部數據主要指來自工廠內部的數據，主要包括生產經營業務數據和機器設備數據。其中，生產經營業務數據是指工業企業在傳統信息化應用過程中，包括傳統工業設計和制造類軟件、企業資源計劃（ERP）、產品生命周期管理（PLM）、供應鏈管理（SCM）、客戶關系管理（CRM）和環境管理系統（EMS）等，所產生、采集、存儲的產品研發數據、生產性數據、經營性數據、客戶信息數據、物流供應數據及環境數據等。機器設備數據主要指工業生產設備、機器、控制系統等實時產生、采集的涵蓋操作和運行情況、工況狀態、環境參數等體現設備和產品運行狀態的數據。外部數據主要指來源于工廠外部的數據，主要包括來自市場、客戶、政府、供應鏈等外部環境的信息和數據。

2.2 特征

工業大數據除了擁有傳統大數據的“4V”特征，即規模性（Volume）、多樣性（Varity）、高速性（Velocity）和價值性（Value）外，還有六個典型特征。

（1）多態性：工業大數據種類多樣，既包括概念設計、詳細設計、制造工藝、包裝運輸等業務數據，還涉及服務保障階段的運行狀態、維修計劃、服務評價等數據。

（2）實時性：工業大數據主要來源于生產制造和產品運維等環節，生產線、設備、儀器等均要求高速運轉，在數據采集頻率、數據處理、數據分析、異常發現和應對等方面均具有很高的實時性要求。

（3）閉環性：既包括產品全生命周期橫向過程的數據鏈條，還包括智能制造縱向數據采集和處理過程中的所有數據。以此來支撐狀態感知、分析、反饋、控制等閉環場景下的動態持續調整和優化。其中，橫向數據鏈條包括產品研發、生產、發布、使用、運維、更新、報廢等過程中的數據;縱向數據鏈條包括生產管理層、過程監控層、工業控制層、現場設備層等各層級采集和處理的數據。

（4）級聯性：工業產品生命周期的設計、制造、服務等不同環節的數據之間需要進行關聯，一旦某一環節的數據泄露或被篡改，極有可能導致級聯破壞，造成大規模影響。

（5）更具價值屬性：相比傳統大數據，工業大數據更加強調用戶價值驅動和數據本身的可用性，利用工業大數據可以提升創新能力和生產經營效率，以及促進個性化定制、服務化轉型等智能制造新模式變革。

（6）更具產權屬性：工業大數據產生于企業實際生產經營過程，依附于企業的設備設施、資源物料、業務系統等載體。對企業而言，這些數據更具有明確的產權屬性，企業擁有對這些數據的掌控能力，能夠決定具體數據的具體使用方式，數據產權屬性明顯高于個人用戶。

2.3 與傳統大數據的區別

相較傳統大數據，工業大數據在采集、存儲、處理、分析等數據全生命周期環節上主要存在的區別如表1所示。

3 工業大數據面臨的安全形勢

隨著工業互聯網、物聯網、大數據等新型信息技術的發展和普及，IT技術與OT技術深度融合，工業體系正在由封閉走向開放，工業終端聯網程度不斷加深，大量工業控制系統和設備暴露在互聯網上，工業大數據面臨傳統網絡威脅和工業互聯網安全風險“雙重壓力”，安全形勢愈發嚴峻復雜。

3.1 工業大數據具有較高戰略價值，已成為黑客攻擊的重點目標

工業大數據涉及生產工藝、參數、流程等，依附于企業設備設施、工業軟件和信息系統，是工業企業在長期生產實踐中形成的關鍵戰略資源，已成為企業的生命線，一旦被泄露、竊取、篡改或者損毀，將可能導致生產中斷、造成重大經濟損失、威脅人員生命安全，甚至影響到企業的發展和存亡。正是由于工業大數據蘊含巨大的商業價值，攻擊者將目標瞄準工業數據，通過非法入侵、勒索病毒、網絡釣魚等方式，針對工業控制系統、工業軟件、工業主機、工業互聯網平臺發動攻擊，旨在對工業數據進行加密或者非法控制以截取商業機密和巨額經濟利益。

裝備制造、冶金、化工、能源等關鍵行業領域的工業數據是國家工業化、信息化的重要積累，是關乎經濟運行、社會穩定和國家安全的基礎性戰略資源。工業大數據安全事件一旦發生，可能導致系統故障、設備損壞，生產停滯，使企業乃至行業蒙受巨額損失，甚至可能造成生態環境破壞，危及人民群眾生命財產安全，引發社會動蕩。一些具有國家或者軍方背景的黑客組織，可以通過對工業大數據進行有針對性的非法訪問、權限控制、銷毀或者竊取等攻擊活動，達到控制或者破壞國民經濟命脈的目的。

3.2 工業大數據云端匯聚，局部風險易演變成系統性風險

近年來，工業互聯網快速發展，工業企業加速上云。數據顯示，中國國內至少涌現出269個工業互聯網平臺類產品，全國近20個省市出臺了推動企業上云的相關政策。隨著工業企業核心業務系統的不斷向云端遷移，工業企業內部關鍵數據也在工業云平臺上高密度聚合。據統計，我國重點工業互聯網平臺平均工業設備連接數達到59萬臺，工業APP平均1500多個，注冊戶數平均超過50萬戶。工業數據從企業設備層到平臺運用層一體化貫通的過程中，有大量的各種API接口開放，加之云服務具有分布式、開放化的特性，極大地擴大了工業數據的受攻擊面。當前，工業云平臺曝出的漏洞日益增多，且大量集中在裝備制造、交通、能源等重要領域，單點數據風險很可能演變成系統性風險。一旦黑客攻擊事件發生，極易引發大規模工業數據泄露、篡改和銷毀等重大安全事件，甚至產生級聯性的嚴重后果。

2018年1月，谷歌安全團隊披露“熔斷”（Meltdown）和“幽靈”（Spectre）漏洞，漏洞利用CPU芯片硬件層面亂序執行機制的缺陷，使得低權限的惡意訪問者可以突破內存隔離，發動側信道攻擊。在未被許可的情況下讀取同一系統中的其它進程或同一主機上其它虛擬機內存中的敏感信息，包括密碼、賬戶信息、加密密鑰或理論上存儲在內核內存中的任何內容，嚴重影響了英特爾、美國超微半導體公司等廠商生產的主流中央處理器;思科800系列集成多業務路由器和工業以太網4000系列交換機、西門子工業設備以及部分工業互聯網平臺和云服務平臺也受到影響，工業數據存在泄露風險。2018年7月，加拿大汽車服務供應商Level One的公共服務器發生數據泄露，大眾、克萊斯勒、福特、通用、特斯拉等100多家車企超過157GB、47000份文件遭到曝光，泄露內容包含多家汽車制造商大量產品設計原理圖、裝配線原理圖、工廠平面圖、采購合同等工業數據。

3.3 全球工業數據泄露事件頻發，我國工業大數據安全問題日益凸顯

據威瑞森公司統計，2018年，全球制造業數據泄露事件536起，行業排名第6，其中涉及大型企業事件375起。對這些事件及其泄露數據的深入分析發現兩方面問題。一方面，針對制造業的網絡攻擊針對性極強，其中網絡間諜活動成為制造業數據泄露最大的威脅，有國家背景的攻擊占比較高。制造業領域的攻擊事件86%具有明確的針對性，遠高于零售、金融、保險、住宿和食品等行業，47%的網絡攻擊屬于間諜活動，而53%的攻擊背后存在著國家的支持。另一方面，泄露數據多為企業重要敏感數據。泄露數據中，有超過60%是重要工業數據，包括商業秘密、身份數據、系統數據、數字憑證、財務收支等數據類型。

我國工業數據也存在安全隱患。近年來，我國境內工業互聯網平臺聯網設備頻繁遭受掃描探測和惡意程序監測，重要敏感的工業數據時有泄露。據監測發現，2018年，某大型企業Web服務器存在目錄遍歷和Windows遠程桌面漏洞，可被利用獲取企業內網IP地址、訪問多臺數據服務器、造成大量敏感工業數據泄露;某大型工業企業多個數據庫存在未授權訪問漏洞，可被利用獲取數據庫控制權限，竊取、篡改、刪除關鍵數據，影響企業正常生產秩序。

4? 我國工業大數據安全保障存在的問題

4.1 傳統安全防護措施難以滿足工業大數據發展需求

工業大數據具有多態性、實時性等特征，數據種類和保護需求多樣，數據流動方向和路徑復雜，依托單點、離散的數據保護等安全防護措施難以有效保護工業大數據安全。

從數據采集看，我國工業底層設備數字化水平不高，不同行業、企業的設備數據接口、通信協議不統一，在對工控系統等加裝數據采集設備時，難以實施有效的整體安全防護措施。

從數據傳輸看，工業生產設備、傳感器、智能終端等設備產生的大量工業數據實時性要求高，傳統的高強度加密、同態加密等措施無法使用。以往分布式工業網絡數據節點之間、相關工業組件之間的數據傳輸協議封閉，缺乏加密等安全措施，難以適應開放互聯的新形勢。

從數據存儲看，工業各行業存在大量的本地分散式數據資源池，缺乏數據安全分類分級授權訪問機制，區域隔離措施實施難度較大。

從數據使用看，工業大數據的源數據多維異構、碎片化，傳統數據清洗與解析、真實性驗證、低擾化分析等措施難以適用。

4.2 新技術新應用對工業大數據安全防護提出新要求

云計算、人工智能等新技術新應用加速了工業大數據的流動性、復用性、迭代性，單點數據一旦被感染，就可能從局部性風險演變成系統性風險，大大提高了工業大數據安全防護難度。工業大數據平臺運用新技術開展數據集成應用創新，而專門應對新技術應用安全風險的解決方案還比較欠缺。平臺開發設計多采用第三方開源組件，存在漏洞等安全隱患，平臺的安全管理和認證手段也不完備。

4.3 企業工業大數據安全意識與防護能力薄弱

安全意識方面，工業大數據屬于新生事物，多數工業企業既不清楚如何開展安全防護工作，也不清楚如何評估安全防護效果。同時，由于工業大數據產權不明晰，數據所有者和使用者分離情況普遍存在，出現數據安全事件后難以明確企業主體責任，客觀上也造成企業對數據安全不重視。防護能力方面，工業企業普遍缺乏數據安全管理制度，沒有專門的數據安全管理機構和專人專崗，也不具備數據安全防護技術手段和能力，對保障數據安全力不從心。

4.4 工業大數據安全產業支撐能力薄弱

當前，我國工業信息安全產業整體規模較小，工業大數據安全作為工業信息安全的重要領域，其安全防護、法規政策、標準等體系仍有待于進一步完善，市場整體處于起步階段。一是工業大數據安全技術發展尚不成熟，工業敏感數據監控與訪問控制、工業數據安全態勢感知和溯源等核心技術創新能力不足;二是針對工業領域數據安全防護需求理解不到位，尚未形成有市場競爭力的產品和解決方案;三是工業企業和工業互聯網平臺企業的工業大數據安全防護意識不足，市場需求沒有充分釋放;四是國內專注工業大數據安全產品和解決方案的企業稀缺，只有極少數的數據安全企業在工業領域開展應用。

4.5 工業大數據安全頂層設計有待完善

工業大數據安全法規政策亟需完善?！吨腥A人民共和國網絡安全法》雖然規定了數據保護的原則性法律要求，但缺乏配套法規和細則，在工業大數據安全防護工作中缺乏專門的法規和政策依據。同時，工業大數據需要實施分級監管和差異化安全防護，目前國家尚未制定統一的分級分類管理指南等規范性文件。

工業大數據安全管理機制尚未建立。工業大數據安全監管組織體系不健全，國家層面缺乏專門的工業大數據安全管理機構，上下聯動、協調配合的工業大數據安全監管工作機制還未建立，安全保障力量亟待加強。

5 加強工業大數據安全的對策建議

5.1 加強頂層設計，落實工業大數據安全主體責任

研究制定工業數據安全保護政策，明確工作原則、工作目標、重點任務、實施路徑以及保障措施。出臺工業數據相關管理辦法，嚴格規范工業數據的收集、加工、使用、存儲、銷毀、交易、出境等行為，明確工業大數據管理者和運營者的責任和義務。以工業大數據生命周期各個環節安全需求為導向，建立并完善工業大數據安全標準體系。緊急先行，突出重點，建立工業大數據安全重點試點示范工程，大力推進相關政策法規、標準規范的實施。

5.2 堅持分類分級管理，持續推進工業數據分類分級試點工作

加強工業數據分類分級研究，出臺工業大數據分類分級指導性文件，建立數據差異化保護機制，進一步明確工業大數據分類定級的原則和方法，理清各類各級數據的安全責任和監管層級，規范不同級別工業數據的安全要求。制定工業數據分類分級試點工作計劃，建立政府和企業密切配合的工作機制，落實企業工業數據安全管理主體責任，充分發揮各方優勢，持續做好工業數據分類分級試點工作。

5.3 強化技術手段建設，構建工業大數據安全保障技術體系

建設重要工業敏感數據監測平臺，在企業互聯網出入口、企業內部網絡重要節點等重要部位部署探針和數據檢測引擎，實現對工業大數據運行的實時監測。建設工業數據跨境監測平臺，在電信運營商、工業互聯網平臺的出入口等部位部署數據采集探針，對各類工業跨境數據實行監控。完善風險預警機制，建立統一高效、協同聯動的網絡安全風險報告、情報共享和研判處置體系。制定安全事件應急預案，加強重要信息系統災備體系建設，提升工業大數據應急處置和災備恢復能力。構建工業大數據安全評估體系，做好平臺、應用、服務的可靠性、安全性評測以及安全風險評估。

5.4 提升安全意識，完善企業工業大數據安全管理制度

工業企業定期組織開展一線從業人員網絡安全培訓，增強全員網絡安全意識。強化對重要崗位、重要部位管理技術人員的技能培訓，提升網絡安全基礎知識和防護技能水平。根據單位和崗位的性質，成立相應的工業數據安全管理部門或團隊，建立并落實工業大數據安全管理責任制。根據工業數據的類別和級別，制定配套的安全制度、管理規范和操作規程，實施相應的安全管理策略和措施。

5.5 促進產業發展，培育工業大數據安全龍頭骨干企業

在國家新型工業化產業示范基地（工業信息安全）建設中，支持工業大數據安全產業發展，采取資金扶持、稅收優惠、綠色通道等措施，支持工業大數據安全態勢感知、監測預警、數據加密、數據留痕、數據溯源等新技術、新應用、新產品、新服務的研發、測試、認證和商業應用，打造一批以工業大數據為核心業務的龍頭骨干企業。凝聚政府、企業、協會、科研院所等多方力量，充分整合行業優質資源，組建技術和市場聯盟，實現“抱團發展”，打造協調發展的工業大數據安全產業生態系統。

6 結束語

工業大數據可簡略分為內部數據和外部數據兩大類，其除了具有傳統大數據的特點外，還具有多態性、實時性、閉環性、級聯性、更具價值屬性以及更具產權屬性六大典型特征，在采集、存儲、處理、分析等數據全生命周期環節上都與傳統大數據有較大區別。當前，工業大數據面臨嚴峻的安全形勢，工業大數據已成為網絡攻擊重點目標，極易引發系統性風險。在全球工業數據泄漏事件頻發的背景下，我國傳統防護措施難以適用、新技術新應用風險難以應對、安全意識和防護能力薄弱、安全產業支撐能力薄弱、安全頂層設計不完善等問題日益突出。對此，應該從頂層設計完善、工業數據分類分級管理、技術手段建設、安全意識提升以及安全產業發展幾個方面發力，大力提升我國工業大數據安全防護水平。

參考文獻

[1] 陸泉，張良韜.處理流程視角下的大數據技術發展現狀與趨勢[J].信息資源管理學報，2017（4）：19-30.

[2] 中國電子技術標準化研究院，全國信息技術標準化技術委員會大數據標準工作組，等.工業大數據白皮書[R].中國電子技術標準化研究院和全國信息技術標準化技術委員會大數據標準工作組，2019.

[3] Verizon.2018 Data Breach Investigations Report[R].USA：Verizon，2018.

[4] 國家工業信息安全發展研究中心.工信安全智庫研判系列報告：2018年度工業信息安全形勢分析[R].國家工業信息安全發展研究中心，2019.

[5] 工業互聯網平臺“混戰”數據安全問題待破解[EB/OL].http：//www.cinic.org.cn/xw/cjyj/487955.html，2019-04-15.

[6] 59萬臺重點工業互聯網平臺平均設備連接數（數讀）[EB/OL]. http：//finance.people.com.cn/bank/n1/2019/0403/c1004-31010208.html，2019-04-03.

1 引言

黨中央、國務院高度重視數據安全。黨的十九大報告指出，“堅持總體國家安全觀”“堅決維護國家主權、安全、發展利益”。2017年12月，總書記在主持實施國家大數據戰略第二次集體學習時提出，要“推動實施國家大數據戰略”“切實保障國家數據安全”“強化國家關鍵數據資源保護能力，增強數據安全預警和溯源能力”。同時，近年來國家相繼出臺了《中華人民共和國網絡安全法》《國家網絡空間安全戰略》《促進大數據發展行動綱要》《深化“互聯網+先進制造業”發展工業互聯網的指導意見》等法規、戰略、規劃文件，提出了一系列加強數據安全的相關舉措，為工業大數據安全工作提供了重要依據。

工業大數據泛指工業領域產生、采集、傳輸、處理、使用的海量數據，已成為提升制造業生產力、競爭力、創新力的關鍵要素，是驅動工業互聯網創新發展的引擎。隨著世界各國積極推動工業大數據發展，全球工業大數據相關技術產業得到快速發展。與此同時，工業大數據安全形勢十分嚴峻，我國工業大數據安全還存在頂層設計不完善、責任落實不到位、技術手段缺乏、產業支撐能力薄弱等突出問題，加快提升工業大數據安全保障能力迫在眉睫。

2? 工業大數據的內涵

隨著工業互聯網、智能制造、物聯網等創新應用的深入發展，以及云計算、大數據、人工智能等新一代信息技術的廣泛應用，世界各國紛紛將推進經濟數字化作為實現創新發展的重要動能，大力推動制造業數字化、網絡化、智能化，工業領域的數據得到高速規?；鲩L。工業大數據驅動生產過程、產品、服務、業態等朝著智能化方向發展，為工業轉型升級和構建智能制造產業生態提供重要支撐，對推動實施制造強國和網絡強國戰略具有重要意義。當前，數據掌握的多寡和分析處理能力的高低，已成為國家軟實力和競爭力的重要標志，誰主導了大數據資源和技術，誰就掌握了主動權。工業互聯網作為新一代信息技術與工業深度融合的產物，正在構建新的網絡架構體系、技術體系和數據資源體系，而工業大數據是驅動工業互聯網創新發展的引擎，是工業智能化的關鍵，是建設現代化經濟體系的重要基石。

2.1 概念

工業大數據主要指工業領域在業務活動和過程中所產生、采集、處理、存儲、傳輸和使用的海量數據的綜合。從來源上可粗略分為內部數據和外部數據兩大類。內部數據主要指來自工廠內部的數據，主要包括生產經營業務數據和機器設備數據。其中，生產經營業務數據是指工業企業在傳統信息化應用過程中，包括傳統工業設計和制造類軟件、企業資源計劃（ERP）、產品生命周期管理（PLM）、供應鏈管理（SCM）、客戶關系管理（CRM）和環境管理系統（EMS）等，所產生、采集、存儲的產品研發數據、生產性數據、經營性數據、客戶信息數據、物流供應數據及環境數據等。機器設備數據主要指工業生產設備、機器、控制系統等實時產生、采集的涵蓋操作和運行情況、工況狀態、環境參數等體現設備和產品運行狀態的數據。外部數據主要指來源于工廠外部的數據，主要包括來自市場、客戶、政府、供應鏈等外部環境的信息和數據。

2.2 特征

工業大數據除了擁有傳統大數據的“4V”特征，即規模性（Volume）、多樣性（Varity）、高速性（Velocity）和價值性（Value）外，還有六個典型特征。

（1）多態性：工業大數據種類多樣，既包括概念設計、詳細設計、制造工藝、包裝運輸等業務數據，還涉及服務保障階段的運行狀態、維修計劃、服務評價等數據。

（2）實時性：工業大數據主要來源于生產制造和產品運維等環節，生產線、設備、儀器等均要求高速運轉，在數據采集頻率、數據處理、數據分析、異常發現和應對等方面均具有很高的實時性要求。

（3）閉環性：既包括產品全生命周期橫向過程的數據鏈條，還包括智能制造縱向數據采集和處理過程中的所有數據。以此來支撐狀態感知、分析、反饋、控制等閉環場景下的動態持續調整和優化。其中，橫向數據鏈條包括產品研發、生產、發布、使用、運維、更新、報廢等過程中的數據;縱向數據鏈條包括生產管理層、過程監控層、工業控制層、現場設備層等各層級采集和處理的數據。

（4）級聯性：工業產品生命周期的設計、制造、服務等不同環節的數據之間需要進行關聯，一旦某一環節的數據泄露或被篡改，極有可能導致級聯破壞，造成大規模影響。

（5）更具價值屬性：相比傳統大數據，工業大數據更加強調用戶價值驅動和數據本身的可用性，利用工業大數據可以提升創新能力和生產經營效率，以及促進個性化定制、服務化轉型等智能制造新模式變革。

（6）更具產權屬性：工業大數據產生于企業實際生產經營過程，依附于企業的設備設施、資源物料、業務系統等載體。對企業而言，這些數據更具有明確的產權屬性，企業擁有對這些數據的掌控能力，能夠決定具體數據的具體使用方式，數據產權屬性明顯高于個人用戶。

2.3 與傳統大數據的區別

相較傳統大數據，工業大數據在采集、存儲、處理、分析等數據全生命周期環節上主要存在的區別如表1所示。

3 工業大數據面臨的安全形勢

隨著工業互聯網、物聯網、大數據等新型信息技術的發展和普及，IT技術與OT技術深度融合，工業體系正在由封閉走向開放，工業終端聯網程度不斷加深，大量工業控制系統和設備暴露在互聯網上，工業大數據面臨傳統網絡威脅和工業互聯網安全風險“雙重壓力”，安全形勢愈發嚴峻復雜。

3.1 工業大數據具有較高戰略價值，已成為黑客攻擊的重點目標

工業大數據涉及生產工藝、參數、流程等，依附于企業設備設施、工業軟件和信息系統，是工業企業在長期生產實踐中形成的關鍵戰略資源，已成為企業的生命線，一旦被泄露、竊取、篡改或者損毀，將可能導致生產中斷、造成重大經濟損失、威脅人員生命安全，甚至影響到企業的發展和存亡。正是由于工業大數據蘊含巨大的商業價值，攻擊者將目標瞄準工業數據，通過非法入侵、勒索病毒、網絡釣魚等方式，針對工業控制系統、工業軟件、工業主機、工業互聯網平臺發動攻擊，旨在對工業數據進行加密或者非法控制以截取商業機密和巨額經濟利益。

裝備制造、冶金、化工、能源等關鍵行業領域的工業數據是國家工業化、信息化的重要積累，是關乎經濟運行、社會穩定和國家安全的基礎性戰略資源。工業大數據安全事件一旦發生，可能導致系統故障、設備損壞，生產停滯，使企業乃至行業蒙受巨額損失，甚至可能造成生態環境破壞，危及人民群眾生命財產安全，引發社會動蕩。一些具有國家或者軍方背景的黑客組織，可以通過對工業大數據進行有針對性的非法訪問、權限控制、銷毀或者竊取等攻擊活動，達到控制或者破壞國民經濟命脈的目的。

3.2 工業大數據云端匯聚，局部風險易演變成系統性風險

近年來，工業互聯網快速發展，工業企業加速上云。數據顯示，中國國內至少涌現出269個工業互聯網平臺類產品，全國近20個省市出臺了推動企業上云的相關政策。隨著工業企業核心業務系統的不斷向云端遷移，工業企業內部關鍵數據也在工業云平臺上高密度聚合。據統計，我國重點工業互聯網平臺平均工業設備連接數達到59萬臺，工業APP平均1500多個，注冊戶數平均超過50萬戶。工業數據從企業設備層到平臺運用層一體化貫通的過程中，有大量的各種API接口開放，加之云服務具有分布式、開放化的特性，極大地擴大了工業數據的受攻擊面。當前，工業云平臺曝出的漏洞日益增多，且大量集中在裝備制造、交通、能源等重要領域，單點數據風險很可能演變成系統性風險。一旦黑客攻擊事件發生，極易引發大規模工業數據泄露、篡改和銷毀等重大安全事件，甚至產生級聯性的嚴重后果。

2018年1月，谷歌安全團隊披露“熔斷”（Meltdown）和“幽靈”（Spectre）漏洞，漏洞利用CPU芯片硬件層面亂序執行機制的缺陷，使得低權限的惡意訪問者可以突破內存隔離，發動側信道攻擊。在未被許可的情況下讀取同一系統中的其它進程或同一主機上其它虛擬機內存中的敏感信息，包括密碼、賬戶信息、加密密鑰或理論上存儲在內核內存中的任何內容，嚴重影響了英特爾、美國超微半導體公司等廠商生產的主流中央處理器;思科800系列集成多業務路由器和工業以太網4000系列交換機、西門子工業設備以及部分工業互聯網平臺和云服務平臺也受到影響，工業數據存在泄露風險。2018年7月，加拿大汽車服務供應商Level One的公共服務器發生數據泄露，大眾、克萊斯勒、福特、通用、特斯拉等100多家車企超過157GB、47000份文件遭到曝光，泄露內容包含多家汽車制造商大量產品設計原理圖、裝配線原理圖、工廠平面圖、采購合同等工業數據。

3.3 全球工業數據泄露事件頻發，我國工業大數據安全問題日益凸顯

據威瑞森公司統計，2018年，全球制造業數據泄露事件536起，行業排名第6，其中涉及大型企業事件375起。對這些事件及其泄露數據的深入分析發現兩方面問題。一方面，針對制造業的網絡攻擊針對性極強，其中網絡間諜活動成為制造業數據泄露最大的威脅，有國家背景的攻擊占比較高。制造業領域的攻擊事件86%具有明確的針對性，遠高于零售、金融、保險、住宿和食品等行業，47%的網絡攻擊屬于間諜活動，而53%的攻擊背后存在著國家的支持。另一方面，泄露數據多為企業重要敏感數據。泄露數據中，有超過60%是重要工業數據，包括商業秘密、身份數據、系統數據、數字憑證、財務收支等數據類型。

我國工業數據也存在安全隱患。近年來，我國境內工業互聯網平臺聯網設備頻繁遭受掃描探測和惡意程序監測，重要敏感的工業數據時有泄露。據監測發現，2018年，某大型企業Web服務器存在目錄遍歷和Windows遠程桌面漏洞，可被利用獲取企業內網IP地址、訪問多臺數據服務器、造成大量敏感工業數據泄露;某大型工業企業多個數據庫存在未授權訪問漏洞，可被利用獲取數據庫控制權限，竊取、篡改、刪除關鍵數據，影響企業正常生產秩序。

4? 我國工業大數據安全保障存在的問題

4.1 傳統安全防護措施難以滿足工業大數據發展需求

工業大數據具有多態性、實時性等特征，數據種類和保護需求多樣，數據流動方向和路徑復雜，依托單點、離散的數據保護等安全防護措施難以有效保護工業大數據安全。

從數據采集看，我國工業底層設備數字化水平不高，不同行業、企業的設備數據接口、通信協議不統一，在對工控系統等加裝數據采集設備時，難以實施有效的整體安全防護措施。

從數據傳輸看，工業生產設備、傳感器、智能終端等設備產生的大量工業數據實時性要求高，傳統的高強度加密、同態加密等措施無法使用。以往分布式工業網絡數據節點之間、相關工業組件之間的數據傳輸協議封閉，缺乏加密等安全措施，難以適應開放互聯的新形勢。

從數據存儲看，工業各行業存在大量的本地分散式數據資源池，缺乏數據安全分類分級授權訪問機制，區域隔離措施實施難度較大。

從數據使用看，工業大數據的源數據多維異構、碎片化，傳統數據清洗與解析、真實性驗證、低擾化分析等措施難以適用。

4.2 新技術新應用對工業大數據安全防護提出新要求

云計算、人工智能等新技術新應用加速了工業大數據的流動性、復用性、迭代性，單點數據一旦被感染，就可能從局部性風險演變成系統性風險，大大提高了工業大數據安全防護難度。工業大數據平臺運用新技術開展數據集成應用創新，而專門應對新技術應用安全風險的解決方案還比較欠缺。平臺開發設計多采用第三方開源組件，存在漏洞等安全隱患，平臺的安全管理和認證手段也不完備。

4.3 企業工業大數據安全意識與防護能力薄弱

安全意識方面，工業大數據屬于新生事物，多數工業企業既不清楚如何開展安全防護工作，也不清楚如何評估安全防護效果。同時，由于工業大數據產權不明晰，數據所有者和使用者分離情況普遍存在，出現數據安全事件后難以明確企業主體責任，客觀上也造成企業對數據安全不重視。防護能力方面，工業企業普遍缺乏數據安全管理制度，沒有專門的數據安全管理機構和專人專崗，也不具備數據安全防護技術手段和能力，對保障數據安全力不從心。

4.4 工業大數據安全產業支撐能力薄弱

當前，我國工業信息安全產業整體規模較小，工業大數據安全作為工業信息安全的重要領域，其安全防護、法規政策、標準等體系仍有待于進一步完善，市場整體處于起步階段。一是工業大數據安全技術發展尚不成熟，工業敏感數據監控與訪問控制、工業數據安全態勢感知和溯源等核心技術創新能力不足;二是針對工業領域數據安全防護需求理解不到位，尚未形成有市場競爭力的產品和解決方案;三是工業企業和工業互聯網平臺企業的工業大數據安全防護意識不足，市場需求沒有充分釋放;四是國內專注工業大數據安全產品和解決方案的企業稀缺，只有極少數的數據安全企業在工業領域開展應用。

4.5 工業大數據安全頂層設計有待完善

工業大數據安全法規政策亟需完善?！吨腥A人民共和國網絡安全法》雖然規定了數據保護的原則性法律要求，但缺乏配套法規和細則，在工業大數據安全防護工作中缺乏專門的法規和政策依據。同時，工業大數據需要實施分級監管和差異化安全防護，目前國家尚未制定統一的分級分類管理指南等規范性文件。

工業大數據安全管理機制尚未建立。工業大數據安全監管組織體系不健全，國家層面缺乏專門的工業大數據安全管理機構，上下聯動、協調配合的工業大數據安全監管工作機制還未建立，安全保障力量亟待加強。

5 加強工業大數據安全的對策建議

5.1 加強頂層設計，落實工業大數據安全主體責任

研究制定工業數據安全保護政策，明確工作原則、工作目標、重點任務、實施路徑以及保障措施。出臺工業數據相關管理辦法，嚴格規范工業數據的收集、加工、使用、存儲、銷毀、交易、出境等行為，明確工業大數據管理者和運營者的責任和義務。以工業大數據生命周期各個環節安全需求為導向，建立并完善工業大數據安全標準體系。緊急先行，突出重點，建立工業大數據安全重點試點示范工程，大力推進相關政策法規、標準規范的實施。

5.2 堅持分類分級管理，持續推進工業數據分類分級試點工作

加強工業數據分類分級研究，出臺工業大數據分類分級指導性文件，建立數據差異化保護機制，進一步明確工業大數據分類定級的原則和方法，理清各類各級數據的安全責任和監管層級，規范不同級別工業數據的安全要求。制定工業數據分類分級試點工作計劃，建立政府和企業密切配合的工作機制，落實企業工業數據安全管理主體責任，充分發揮各方優勢，持續做好工業數據分類分級試點工作。

5.3 強化技術手段建設，構建工業大數據安全保障技術體系

建設重要工業敏感數據監測平臺，在企業互聯網出入口、企業內部網絡重要節點等重要部位部署探針和數據檢測引擎，實現對工業大數據運行的實時監測。建設工業數據跨境監測平臺，在電信運營商、工業互聯網平臺的出入口等部位部署數據采集探針，對各類工業跨境數據實行監控。完善風險預警機制，建立統一高效、協同聯動的網絡安全風險報告、情報共享和研判處置體系。制定安全事件應急預案，加強重要信息系統災備體系建設，提升工業大數據應急處置和災備恢復能力。構建工業大數據安全評估體系，做好平臺、應用、服務的可靠性、安全性評測以及安全風險評估。

5.4 提升安全意識，完善企業工業大數據安全管理制度

工業企業定期組織開展一線從業人員網絡安全培訓，增強全員網絡安全意識。強化對重要崗位、重要部位管理技術人員的技能培訓，提升網絡安全基礎知識和防護技能水平。根據單位和崗位的性質，成立相應的工業數據安全管理部門或團隊，建立并落實工業大數據安全管理責任制。根據工業數據的類別和級別，制定配套的安全制度、管理規范和操作規程，實施相應的安全管理策略和措施。

5.5 促進產業發展，培育工業大數據安全龍頭骨干企業

在國家新型工業化產業示范基地（工業信息安全）建設中，支持工業大數據安全產業發展，采取資金扶持、稅收優惠、綠色通道等措施，支持工業大數據安全態勢感知、監測預警、數據加密、數據留痕、數據溯源等新技術、新應用、新產品、新服務的研發、測試、認證和商業應用，打造一批以工業大數據為核心業務的龍頭骨干企業。凝聚政府、企業、協會、科研院所等多方力量，充分整合行業優質資源，組建技術和市場聯盟，實現“抱團發展”，打造協調發展的工業大數據安全產業生態系統。

6 結束語

工業大數據可簡略分為內部數據和外部數據兩大類，其除了具有傳統大數據的特點外，還具有多態性、實時性、閉環性、級聯性、更具價值屬性以及更具產權屬性六大典型特征，在采集、存儲、處理、分析等數據全生命周期環節上都與傳統大數據有較大區別。當前，工業大數據面臨嚴峻的安全形勢，工業大數據已成為網絡攻擊重點目標，極易引發系統性風險。在全球工業數據泄漏事件頻發的背景下，我國傳統防護措施難以適用、新技術新應用風險難以應對、安全意識和防護能力薄弱、安全產業支撐能力薄弱、安全頂層設計不完善等問題日益突出。對此，應該從頂層設計完善、工業數據分類分級管理、技術手段建設、安全意識提升以及安全產業發展幾個方面發力，大力提升我國工業大數據安全防護水平。

參考文獻

[1] 陸泉，張良韜.處理流程視角下的大數據技術發展現狀與趨勢[J].信息資源管理學報，2017（4）：19-30.

[2] 中國電子技術標準化研究院，全國信息技術標準化技術委員會大數據標準工作組，等.工業大數據白皮書[R].中國電子技術標準化研究院和全國信息技術標準化技術委員會大數據標準工作組，2019.

[3] Verizon.2018 Data Breach Investigations Report[R].USA：Verizon，2018.

[4] 國家工業信息安全發展研究中心.工信安全智庫研判系列報告：2018年度工業信息安全形勢分析[R].國家工業信息安全發展研究中心，2019.

[5] 工業互聯網平臺“混戰”數據安全問題待破解[EB/OL].http：//www.cinic.org.cn/xw/cjyj/487955.html，2019-04-15.

[6] 59萬臺重點工業互聯網平臺平均設備連接數（數讀）[EB/OL]. http：//finance.people.com.cn/bank/n1/2019/0403/c1004-31010208.html，2019-04-03.

作者簡介：

余章馗（1992-），男，漢族，云南騰沖人，中國人民大學，碩士研究生，國家工業信息安全發展研究中心，助理工程師;主要研究方向和關注領域：工業信息安全、工控安全、工業大數據安全。

劉京娟（1987-），女，漢族，湖南衡陽人，北京大學，碩士研究生，國家工業信息安全發展研究中心，高級工程師;主要研究方向和關注領域：網絡安全政策法規、大數據網絡安全、關鍵信息基礎設施保護、工業互聯網安全。