工業大數據信息安全風險研究及調控體系建議

陳彥彰 李繼安

摘? ?要：隨著大數據技術在工業領域的推廣應用，工業大數據信息安全面臨著嚴峻的考驗。文章提出了工業大數據信息安全風險分類參考架構，分析了我國工業大數據信息安全風險調控的問題與不足，并從風險調控組織、戰略規劃、法規與標準、技術研發與專業人才培養等方面，提出了工業大數據信息安全風險調控體系的建議，為我國工業大數據信息安全風險調控工作提供參考。

關鍵詞：工業大數據;信息安全;風險分類;風險調控;體系建設

中圖分類號： TP393? ? ? ? ? 文獻標識碼：A

1 引言

隨著以智能制造為主的工業信息化不斷推進以及物聯網、云計算等技術的普及應用，越來越多的工業控制系統（ICS）、生產設備、零部件等產業鏈各環節要素，通過網絡實現了互聯互通，推動了海量工業數據的傳輸、存儲和處理，工業領域迎來大數據時代。與此同時，作為工業大數據重要載體與核心的工業控制系統，也面臨著日益突出的信息安全問題[1～3]。例如，2010年“震網”病毒（StuxNet）、2012年中東地區“火焰”病毒（Flame）、2015年烏克蘭電網遭遇Black Energy（黑暗力量）惡意軟件/代碼破壞等安全事件。如圖1至圖3所示，據CNVD國家信息安全漏洞共享平臺[4]統計，從2011年到2019年我國工業控制系統漏洞數量從200個增長到445個，翻了1倍，年均增長率為9%。漏洞數量從2011年261個劇增至2019年的2，318個，而且高危數量占比約三分之一，中危漏洞占比40%以上，可見都是危害較為嚴重的安全漏洞。

工業大數據作為承載于工業信息系統或平臺（如工業控制系統）之中的虛擬數據資產，與信息系統關系密切。工業信息系統或平臺信息安全受到威脅，工業大數據也必然面臨極大的安全威脅，且安全形勢嚴峻復雜[5]。但是，當前我國對工業大數據信息安全沒有明確的體系化分類，缺乏完善的風險調控體系。基于《GB-T 37973-2019信息安全技術 大數據安全管理指南》關于大數據主要活動及安全要求，結合信息安全常見風險問題，提出了較為全面的工業大數據信息安全體系分類，并針對我國工業大數據信息安全風險調控體系建設提出建議。

2 工業大數據信息安全及其風險分類參考架構

對工業大數據信息安全[6，7]的研究，除了數據資產自身的安全，還需結合承載工業大數據的信息系統或平臺的信息安全。在2017年之前，學術界和各國政府對工業大數據信息安全直接關注較少，而對工業控制系統信息安全的戰略規劃和發展給予了關注。國際電工委員會IEC/ TC65/ WG1與ISA99于2007開始共同制定IEC 62443系列標準。美國于2009年、2011年分別出臺“國家基礎設施保護計劃（NIPP）”“實現能源供應系統信息安全路線圖”、國家SCADA測試床計劃（NSTB）及DHS的控制系統安全計劃（CSSP）。我國于2011年10月由工信部首度印發《關于加強工業控制系統信息安全管理的通知》，要求加強國家主要關鍵基礎設置ICS的安全防護工作[8]，并且國務院在2012年的《國務院關于大力推進信息化發展和切實保障信息安全的若干意見》[9]中明確提出要“保障工業控制系統安全”。

大數據流通階段，包含了數據采集、數據傳輸、數據存儲[10]、數據分析挖掘、數據可視化應用等。這些階段均存在數據泄露、數據干擾等信息安全威脅，因此工業大數據的信息安全也是采集、傳輸、存儲、分析挖掘和可視化應用等多個環節信息的保密性、完整性和可用性[11]。工業大數據信息安全風險分類符合一般的信息安全風險分類模式，并具有自身特點，如圖4所示。

3 我國工業大數據信息安全風險調控的問題與不足

當前，我國工業大數據信息安全調控存在著一些問題和不足。

一是對工業大數據信息安全的直接關注不足，缺乏直接針對工業大數據信息安全的戰略規劃。雖然我國重視工業信息安全相關的領域，如工業控制系統信息安全、大數據隱私安全等，但是與工業大數據信息安全直接相關的戰略規劃寥寥無幾。

二是工業大數據信息安全的調控體系落后，需在法律法規、標準體系、風險調控、測評機構建設等多方面布局。需在工業信息化過程中，結合“互聯網+”等國家戰略，不斷推進工業大數據信息安全法律法規建設和完善工作。2014年12月全國信息技術標準化技術委員會大數據標準工作組正式成立，并于2016年5月與中國電子技術標準化研究院共同完成《大數據標準化白皮書（2016版）》。對于大數據的相關標準研制國內處于起步階段，針對工業大數據及其信息安全的標準成果極少。工業大數據的信息安全是一個復雜的動態的過程，其風險調控工作也需建立一整套的調控體系，包括調控機構建設、調控法規建設、配套平臺建設、應急管理制度建設等。雖然工業控制領域或者大數據領域出現了一些信息安全的測評技術與機構，但缺乏針對工業大數據信息安全的技術體系較為完整的測評機構。

三是缺乏直接針對工業大數據信息安全領域的核心技術，工業大數據信息安全技術體系與人才體系也有待整合。除了繼承了傳統工業信息安全技術和信息系統的安全技術，工業大數據信息安全也必然呈現出獨特之處，如針對海量數據的過濾、審計與加密等，有待研發出適用于工業大數據信息安全領域的特定技術。由于工業大數據與多領域、多環節的相關性，其技術研發與管理，也需要交叉領域的專業人才，并推動人才體系完善。

4 工業大數據信息安全風險調控體系的建議

目前，我國對與工業大數據信息安全直接相關的戰略規劃、法律法規、技術標準和技術研發較少，而對工業控制系統相關的信息安全研究及其成果較多。急需轉變思路，以工業大數據虛擬資產為對象，研究工業大數據信息安全相關技術的總體構建和框架，從調控組織機構、戰略規劃、共性支撐平臺、法律法規和標準體系、人才隊伍與技術研發等五個方面推動工業大數據信息安全風險調控體系的建設。

4.1 建立工業大數據信息安全風險調控組織機構

建立工業大數據信息安全風險調控的組織機構，即建設一個承擔工業大數據信息安全風險管理、調節與控制等工作的實體，以指導工業大數據信息安全風險調控相關企業和研究人員技術方向、制定戰略規劃、引領風險調控行業理論與實踐的規范發展，促進工業大數據的規范化和高質量應用。

4.2 加強工業大數據信息安全風險調控的戰略規劃

建立制定戰略規劃的體系。通過整合政府機構、高校、企業和用戶等資源，建立以國家工業大數據信息安全風險調控組織機構為領導單位的戰略規劃制定體系，協調國家和地方的產、學、研、用各界資源，群策群力，合理制定國家、地方和各行業對工業大數據信息安全發展的戰略規劃。

跟蹤和督查戰略規劃落實。建立跟蹤和督查機制，設立專項戰略規劃督察員機制，長期跟蹤戰略規劃的執行進度和成效，規劃期結束時完成總體規劃匯報、協調專項驗收。

4.3 構建共性支撐平臺體系

（1）建設工業大數據測試服務平臺

針對工業設備、工業場景、質量與安全等方面，形成廣泛覆蓋各種正常、異常情況的樣本數據，構建面向公眾的測試驗證服務平臺。平臺提供仿真數據注入、測試驗證、結果分析及可視化等服務，向工業大數據工具開發商提供有參考意義的仿真驗證環境。

（2）建設工業大數據標準服務平臺

面向開發者、用戶提供標準查閱服務，同時依托標準服務平臺，匯聚工業大數據領域專家，研討制定工業大數據領域的標準制定工作，推動工業大數據提供標準制定與發布。

（3）建設工業大數據監管服務平臺

面向政府、行業協會及相關認證機構，提供工業大數據監管服務，提升在隱私保護、專利保護、商業秘密保護方面的防護水平，營造良好、安全、可控的工業大數據應用環境。

（4）建設工業大數據創新服務平臺

面向科研機構、研發企業、個人開發者建設創新交易平臺，實現用戶需求和研發力量的精準對接，同時，在平臺上提供專家咨詢、眾包眾測等服務，保障工業大數據應用軟件的質量水平。

（5）建設工業大數據交易服務平臺

面向工業企業、研發企業、科研機構構建工業大數據交易機制，建設數據交易平臺，提供交易保障服務，促進企業間的數據分享流通。

4.4 布局法律法規、標準體系建設

（1）加強工業大數據信息安全相關法律法規建設

推動相關法律法規的頂層設計，以《中華人民共和國網絡安全法》等為基礎，通過工業大數據信息安全領域的基本法與補充條例相結合、新研法規與舊有法規相補充的方式，構建工業大數據信息安全保護的法律法規基本體系架構。緊跟實際需求趨勢，制定符合行業應用的工業大數據信息安全評估與治理法規，順應大數據在工業領域的發展趨勢的法規條例，并注重工業大數據信息安全相關領域的執法人的培養。

（2）加強行業標準建設

促進工業大數據信息安全的標準、工業大數據信息安全風險評估的標準，以及相關企業的工業大數據信息安全風險防御能力的評估標準研究，加快制定和實施數據分類、采集、存儲、傳輸接口、數據共享安全機制、數據質量評價等工業大數據共性關鍵技術標準，并面向能源、交通、水利等行業制定應用標準。

4.5 加強核心技術研發和專業人才培養

（1）促進核心技術研發與轉化

工業大數據除了與物聯網、云計算等技術具有密切關聯之外，還具有數據量巨大、結構復雜、數據分布廣泛、數據處理速度需求多樣、對數據分析的置信度要求高等特性。相關技術主要有五個方面。

第一，機理模型[12]及其可靠性技術。工業控制過程中通常存在大量理論模型，以刻畫現實工業系統的動態過程。工業大數據信息安全與風險調控的挑戰在于機理模型、控制模型與數據模型、計算模式、領域專家知識的融合，以及融合后所建的安全與風險模型的適用性與可靠性。研究適用的模型及保證模型的可靠準確，是工業大數據推廣應用的一大技術難點。

第二，面對數據低質量采集現狀與數據高質量處理要求的安全保護。工業現場數據采集機理難以準確實現、環境復雜，導致數據量難以被測量或被充分測量。對工業大數據的采集、預處理，必然依賴于容錯性強的軟件模塊、分析功能強的平臺和工具。這些平臺和工具互聯的接口、網絡環境的安全，以及預處理的質量，面臨工業現場與預期應用要求的特殊制約。

第三，工業大數據存儲與計算的安全。工業大數據具有多樣性的特征，為提高存儲和分析的安全和可靠性，需進行分級分類，并選擇不同的數據管理引擎。通過Hadoop分布式系統基礎架構可解決海量數據存儲和計算的難題，但多副本和分布式計算也帶來了安全隱患?；贖adoop等分布式存儲和計算模式的數據安全評估與防護技術，是提高工業大數據的安全與應用水平的重要技術手段。

第四，知識推理的可靠性評測技術。作為高端新型工業軟件核心技術的知識推理[13，14]，是新時代智能工業的靈魂。由于工業大數據應用對決策的精度和準確性要求高，對基于大數據的知識推理的可靠性評測尤為重要。除了典型的機器學習算法外，工業大數據分析算法還有時間序列、時空模式、序列模式的深度挖掘算法。這些集成了時間、空間、序列等多種維度的工業大數據分析推理算法面對高精度和準確度的實際應用要求，如何評測推理的可靠性是當前工業大數據信息安全的技術難題。

第五，工業大數據出境的安全監管技術。工業數據事關國家經濟命脈與軍工發展，被視為國家的戰略資產。從我國20世紀50年代至今，工業水平落后于他國，核心技術與工業數據保護受制于國外先進企業。隨著我國工業技術與管理水平的提升，研究出境工業大數據的監控技術成為必要的國家戰略，以應對日益復雜的國際一體化工業發展形勢。工業大數據出境監管技術，主要包括數據分級分類、數據出境識別、出境數據量的監控、數據出境網絡的隔離與安全防護等技術。

（2）建立工業大數據信息安全人才培養與吸納體系

工業大數據的研發，必須具備數據分析挖掘能力及工業控制系統知識背景，當前兩者兼備的人才極為缺乏。建議通過政府監管機構、高校研究團隊、研究機構與企業合作，建設工業大數據信息安全人才培養基地和吸納制度，通過舉辦“工業大數據信息安全年會”或論壇等多種方式培養和吸納專業人才。注重工業大數據信息安全成果的獎勵與產業化，政府及產業聯盟設立技術成果獎勵措施，配置合理的產業化鼓勵政策。

5 結束語

工業大數據是工業智能化發展的重要產物，其信息安全水平將直接影響工業企業的運營安全。本文分析了我國工業信息安全面臨的主要問題和挑戰，聚焦工業大數據信息安全提出了風險分類參考架構和風險調控體系。借助ICT、物聯網、數據挖掘與人工智能等技術，工業大數據正處于快速發展階段，應用領域不斷拓展，逐步向國民經濟命脈領域滲透。工業大數據信息安全的支撐平臺、法律法規、標準體系、人才培育等配套體系必須與技術應用同步發展，才能有效保障工業經濟的高質量發展。

參考文獻

[1] D.Kushner. The Real Story of Stuxnet[J].IEEE Spectrum， 2013， 50： 48-53.

[2] 張恒.信息物理系統安全理論研究[D].杭州：浙江大學， 2015.

[3] 李中偉，佟為明，金顯吉.智能電網信息安全防御體系與信息安全測試系統構建[J].電力系統自動化，2016，40 （8）： 147-151.

[4] 國家計算機網絡應急技術處理協調中心.國家信息安全漏洞共享平臺[EB/OL]. http：//www.cnvd.org.cn/， 2019.

[5] 余章馗，劉京娟.工業大數據安全研究[J].網絡空間安全， 2019， 10（5）：107-113.

[6] 房輝，常盛.我國的電子政務信息安全分析[J].辦公自動化（綜合版），2015，4： 53-54.

[7] Hong Zhu， Zheng Xu， Yingzhen Huang. Research on the security technology of big data information[C]// International Conference on Information Technology and Management Innovation， 2015： 1041-1044.

[8] 王坤.淺談工控系統的安全威脅及防護體系建立[J].信息網絡安全，2013（z1）： 69-71.

[9] 王寧，羅崢，江雷.信息安全服務的現狀研究—信息安全服務體系研究之二[J].信息安全與通信保密，2015，5： 76-79.

[10] Feng Xiaorong， Jia Shizhun， Mai Songtao. The Research on Industrial Big Data Information Security Risks[C]// 2018 IEEE 3rd International Conference on Big Data Analysis， 2018： 19-23.

[11] 工業互聯網產業聯盟（AII）.工業大數據技術與應用白皮書[EB/OL]. http：//www.aii-alliance.org/index.php？m=content&c=index&a=show&catid=23&id=142， 2017.

[12] 王連強.信息安全風險評估方法及關鍵技術研究[D].天津：南開大學，2006.

[13] 全國信息技術標準化技術委員會大數據標準工作組.工業大數據白皮書（2017版））[EB/OL]. http：//www.cesi.ac.cn/uploads/soft/170217/1-1F21G15920.zip， 2017.

[14] 全國信息技術標準化技術委員會大數據標準工作組.工業大數據白皮書（2019版）[EB/OL]. http：//www.cesi.ac.cn/201904/4955.html， 2019.

作者簡介：

陳彥彰（1986-），男，漢族，廣東佛山人，華中科技大學，碩士，中國電子產品可靠性與環境試驗研究所，工程師;主要研究方向和關注領域：工業互聯網、工業大數據、工業技術軟件化的可靠性研究。

李繼安（1986-），男，漢族，湖北襄陽人，華中科技大學，博士，中國電子產品可靠性與環境試驗研究所，高級工程師;主要研究方向和關注領域：工業大數據、基礎軟件可靠性、信息技術創新。