摘 要：隨著大數(shù)據(jù)技術(shù)在工業(yè)領(lǐng)域的推廣應(yīng)用，工業(yè)大數(shù)據(jù)信息安全面臨著嚴(yán)峻的考驗(yàn)。文章提出了工業(yè)大數(shù)據(jù)信息安全風(fēng)險分類參考架構(gòu)，分析了我國工業(yè)大數(shù)據(jù)信息安全風(fēng)險調(diào)控的問題與不足，并從風(fēng)險調(diào)控組織、戰(zhàn)略規(guī)劃、法規(guī)與標(biāo)準(zhǔn)、技術(shù)研發(fā)與專業(yè)人才培養(yǎng)等方面，提出了工業(yè)大數(shù)據(jù)信息安全風(fēng)險調(diào)控體系的建議，為我國工業(yè)大數(shù)據(jù)信息安全風(fēng)險調(diào)控工作提供參考。

　　關(guān)鍵詞：工業(yè)大數(shù)據(jù);信息安全;風(fēng)險分類;風(fēng)險調(diào)控;體系建設(shè)

　　1 引言

　　隨著以智能制造為主的工業(yè)信息化不斷推進(jìn)以及物聯(lián)網(wǎng)、云計(jì)算等技術(shù)的普及應(yīng)用，越來越多的工業(yè)控制系統(tǒng)(ICS)、生產(chǎn)設(shè)備、零部件等產(chǎn)業(yè)鏈各環(huán)節(jié)要素，通過網(wǎng)絡(luò)實(shí)現(xiàn)了互聯(lián)互通，推動了海量工業(yè)數(shù)據(jù)的傳輸、存儲和處理，工業(yè)領(lǐng)域迎來大數(shù)據(jù)時代。與此同時，作為工業(yè)大數(shù)據(jù)重要載體與核心的工業(yè)控制系統(tǒng)，也面臨著日益突出的信息安全問題[1～3]。例如，2010年“震網(wǎng)”病毒(StuxNet)、2012年中東地區(qū)“火焰”病毒(Flame)、2015年烏克蘭電網(wǎng)遭遇Black Energy(黑暗力量)惡意軟件/代碼破壞等安全事件。如圖1至圖3所示，據(jù)CNVD國家信息安全漏洞共享平臺[4]統(tǒng)計(jì)，從2011年到2019年我國工業(yè)控制系統(tǒng)漏洞數(shù)量從200個增長到445個，翻了1倍，年均增長率為9%。漏洞數(shù)量從2011年261個劇增至2019年的2，318個，而且高危數(shù)量占比約三分之一，中危漏洞占比40%以上，可見都是危害較為嚴(yán)重的安全漏洞。

　　工業(yè)大數(shù)據(jù)作為承載于工業(yè)信息系統(tǒng)或平臺(如工業(yè)控制系統(tǒng))之中的虛擬數(shù)據(jù)資產(chǎn)，與信息系統(tǒng)關(guān)系密切。工業(yè)信息系統(tǒng)或平臺信息安全受到威脅，工業(yè)大數(shù)據(jù)也必然面臨極大的安全威脅，且安全形勢嚴(yán)峻復(fù)雜[5]。但是，當(dāng)前我國對工業(yè)大數(shù)據(jù)信息安全沒有明確的體系化分類，缺乏完善的風(fēng)險調(diào)控體系。基于《GB-T 37973-2019信息安全技術(shù) 大數(shù)據(jù)安全管理指南》關(guān)于大數(shù)據(jù)主要活動及安全要求，結(jié)合信息安全常見風(fēng)險問題，提出了較為全面的工業(yè)大數(shù)據(jù)信息安全體系分類，并針對我國工業(yè)大數(shù)據(jù)信息安全風(fēng)險調(diào)控體系建設(shè)提出建議。

　　2 工業(yè)大數(shù)據(jù)信息安全及其風(fēng)險分類參考架構(gòu)

　　對工業(yè)大數(shù)據(jù)信息安全[6，7]的研究，除了數(shù)據(jù)資產(chǎn)自身的安全，還需結(jié)合承載工業(yè)大數(shù)據(jù)的信息系統(tǒng)或平臺的信息安全。在2017年之前，學(xué)術(shù)界和各國政府對工業(yè)大數(shù)據(jù)信息安全直接關(guān)注較少，而對工業(yè)控制系統(tǒng)信息安全的戰(zhàn)略規(guī)劃和發(fā)展給予了關(guān)注。國際電工委員會IEC/ TC65/ WG1與ISA99于2007開始共同制定IEC 62443系列標(biāo)準(zhǔn)。美國于2009年、2011年分別出臺“國家基礎(chǔ)設(shè)施保護(hù)計(jì)劃(NIPP)”“實(shí)現(xiàn)能源供應(yīng)系統(tǒng)信息安全路線圖”、國家SCADA測試床計(jì)劃(NSTB)及DHS的控制系統(tǒng)安全計(jì)劃(CSSP)。我國于2011年10月由工信部首度印發(fā)《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》，要求加強(qiáng)國家主要關(guān)鍵基礎(chǔ)設(shè)置ICS的安全防護(hù)工作[8]，并且國務(wù)院在2012年的《國務(wù)院關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見》[9]中明確提出要“保障工業(yè)控制系統(tǒng)安全”。

　　大數(shù)據(jù)流通階段，包含了數(shù)據(jù)采集、數(shù)據(jù)傳輸、數(shù)據(jù)存儲[10]、數(shù)據(jù)分析挖掘、數(shù)據(jù)可視化應(yīng)用等。這些階段均存在數(shù)據(jù)泄露、數(shù)據(jù)干擾等信息安全威脅，因此工業(yè)大數(shù)據(jù)的信息安全也是采集、傳輸、存儲、分析挖掘和可視化應(yīng)用等多個環(huán)節(jié)信息的保密性、完整性和可用性[11]。工業(yè)大數(shù)據(jù)信息安全風(fēng)險分類符合一般的信息安全風(fēng)險分類模式，并具有自身特點(diǎn)，如圖4所示。

　　3 我國工業(yè)大數(shù)據(jù)信息安全風(fēng)險調(diào)控的問題與不足

　　當(dāng)前，我國工業(yè)大數(shù)據(jù)信息安全調(diào)控存在著一些問題和不足。

　　一是對工業(yè)大數(shù)據(jù)信息安全的直接關(guān)注不足，缺乏直接針對工業(yè)大數(shù)據(jù)信息安全的戰(zhàn)略規(guī)劃。雖然我國重視工業(yè)信息安全相關(guān)的領(lǐng)域，如工業(yè)控制系統(tǒng)信息安全、大數(shù)據(jù)隱私安全等，但是與工業(yè)大數(shù)據(jù)信息安全直接相關(guān)的戰(zhàn)略規(guī)劃寥寥無幾。

　　二是工業(yè)大數(shù)據(jù)信息安全的調(diào)控體系落后，需在法律法規(guī)、標(biāo)準(zhǔn)體系、風(fēng)險調(diào)控、測評機(jī)構(gòu)建設(shè)等多方面布局。需在工業(yè)信息化過程中，結(jié)合“互聯(lián)網(wǎng)+”等國家戰(zhàn)略，不斷推進(jìn)工業(yè)大數(shù)據(jù)信息安全法律法規(guī)建設(shè)和完善工作。2014年12月全國信息技術(shù)標(biāo)準(zhǔn)化技術(shù)委員會大數(shù)據(jù)標(biāo)準(zhǔn)工作組正式成立，并于2016年5月與中國電子技術(shù)標(biāo)準(zhǔn)化研究院共同完成《大數(shù)據(jù)標(biāo)準(zhǔn)化白皮書(2016版)》。對于大數(shù)據(jù)的相關(guān)標(biāo)準(zhǔn)研制國內(nèi)處于起步階段，針對工業(yè)大數(shù)據(jù)及其信息安全的標(biāo)準(zhǔn)成果極少。工業(yè)大數(shù)據(jù)的信息安全是一個復(fù)雜的動態(tài)的過程，其風(fēng)險調(diào)控工作也需建立一整套的調(diào)控體系，包括調(diào)控機(jī)構(gòu)建設(shè)、調(diào)控法規(guī)建設(shè)、配套平臺建設(shè)、應(yīng)急管理制度建設(shè)等。雖然工業(yè)控制領(lǐng)域或者大數(shù)據(jù)領(lǐng)域出現(xiàn)了一些信息安全的測評技術(shù)與機(jī)構(gòu)，但缺乏針對工業(yè)大數(shù)據(jù)信息安全的技術(shù)體系較為完整的測評機(jī)構(gòu)。

　　三是缺乏直接針對工業(yè)大數(shù)據(jù)信息安全領(lǐng)域的核心技術(shù)，工業(yè)大數(shù)據(jù)信息安全技術(shù)體系與人才體系也有待整合。除了繼承了傳統(tǒng)工業(yè)信息安全技術(shù)和信息系統(tǒng)的安全技術(shù)，工業(yè)大數(shù)據(jù)信息安全也必然呈現(xiàn)出獨(dú)特之處，如針對海量數(shù)據(jù)的過濾、審計(jì)與加密等，有待研發(fā)出適用于工業(yè)大數(shù)據(jù)信息安全領(lǐng)域的特定技術(shù)。由于工業(yè)大數(shù)據(jù)與多領(lǐng)域、多環(huán)節(jié)的相關(guān)性，其技術(shù)研發(fā)與管理，也需要交叉領(lǐng)域的專業(yè)人才，并推動人才體系完善。

　　4 工業(yè)大數(shù)據(jù)信息安全風(fēng)險調(diào)控體系的建議

　　目前，我國對與工業(yè)大數(shù)據(jù)信息安全直接相關(guān)的戰(zhàn)略規(guī)劃、法律法規(guī)、技術(shù)標(biāo)準(zhǔn)和技術(shù)研發(fā)較少，而對工業(yè)控制系統(tǒng)相關(guān)的信息安全研究及其成果較多。急需轉(zhuǎn)變思路，以工業(yè)大數(shù)據(jù)虛擬資產(chǎn)為對象，研究工業(yè)大數(shù)據(jù)信息安全相關(guān)技術(shù)的總體構(gòu)建和框架，從調(diào)控組織機(jī)構(gòu)、戰(zhàn)略規(guī)劃、共性支撐平臺、法律法規(guī)和標(biāo)準(zhǔn)體系、人才隊(duì)伍與技術(shù)研發(fā)等五個方面推動工業(yè)大數(shù)據(jù)信息安全風(fēng)險調(diào)控體系的建設(shè)。

　　推薦閱讀：網(wǎng)絡(luò)與信息安全學(xué)報網(wǎng)絡(luò)工程師論文投稿