数据资产梳理是数据安全治理和数据安全运营的前提和基础。
通过对数据资产的梳理,可以确定企业数据资产在系统内部的分布,确定数据资产是如何被访问的,确定当前的账号及其授权状况等。根据数据资产的数据价值和特征,梳理出组织内部的核心数据资产,并对其分类分级,才能真正落实数据安全的精细化管理。
数据资产梳理有效地解决了企业对资产安全状况摸底及资产管理工作,改善以往传统方式下企业资产管理和梳理的工作模式,不仅提高工作效率,也保证了资产梳理工作质量。合规合理的梳理方案,能做到对风险预估和异常行为评测,很大程度上避免了核心数据遭受破坏或发生泄露的安全事件。
在数据安全治理实践中,尤其关注针对敏感数据资产的梳理,这是数据安全体系建设及数据资产管理中的一项基础性工作。 对数据资产进行及时准确的梳理用以掌握其中敏感资产的分布、数量、权限及使用状况,是进行后续数据安全治理工作的基础与先导。
数据资产梳理也是国家法律法规、条例规范,行业数据安全管理办法,以及数据安全技术标准里明确要求的数据安全管理工作之一。在2022年10月12日颁布,将于2023年5月1日实施的《信息安全技术 关键信息基础设施安全保护要求》GB/T 39204-2022里,在网络安全等级保护的基础上对于数据资产识别、梳理提出了更高的要求:
《信息安全技术 关键信息基础设施安全保护要求》GB/T 39204-2022,6.2节,资产识别要求:
● 识别与关键业务相关的数据,并建立数据资产清单;
● 能够识别关键业务数据变化,动态更新资产状态;
● 基于数据资产关键级别实施安全保护。
工业和信息化领域有众多关键信息基础设施运营者,并且大多关系到国计民生甚至涉及国家安全。因此,如何把“关基”保护新国标贯彻执行,其中的关键环节就是进行有效的数据资产梳理。
随着大数据,云计算,工业物联网等新一代信息技术和工业制造的融合和发展,众多工业企业都通过互联网增强企业在设计、生产、制造、运输、服务等方面的能力,“工业数据孤岛”被进一步打破,数据流通和共享趋势增强。在这种场景下,工业互联网数据资产梳理面临着巨大挑战。
工业互联网数据形态和种类多样,“工业”和 “互联网”属性兼具。工业互联网数据是指工业互联网这一新模式新业态下,在工业互联网企业开展研发设计、生产制造、经营管理、应用服务等业务同时,围绕客户需求、订单、计划、研发、设计、工艺、制造、采购、供应、库存、销售、交付、售后、运维、报废或回收等工业生产经营环节和过程,所产生、采集、传输、存储、使用、共享或归档的数据。
工业互联网数据涉及的主体较多,既包括含有研发设计数据、生产制造数据、经营管理数据的工业企业,也包括含有平台知识机理、数字化模型、工业APP信息的工业互联网平台企业,还包括含有工业网络通信数据、标识解析数据的基础电信运营企业、标识解析系统建设运营机构等工业互联网基础设施运营企业,含有设备实时数据、设备运维数据、集成测试数据的系统集成商和工控厂商,以及含有工业交易数据的数据交易所等。这些不同类型的企业都是工业互联网数据产生或使用的主体,同时也是工业互联网数据安全责任主体。
工业互联网数据同时具备“工业”属性和“互联网”属性,但相比传统网络数据,工业互联网数据还具备以下特性:
1. 多态性
以关系表格式存储于关系数据库的结构化数据,如生产控制信息、运营管理数据;以时间序列格式存储于时序数据库的结构化数据,如工况状态、云基础设施运行信息;以文档、图片、视频格式存储的半结构化或非结构化数据,如生产监控数据、研发设计数据、外部交互数据。
2. 实时性
工业现场对数据采集、处理、分析等均具有很高的实时性要求。
3. 可靠性
工业互联网数据十分注重数据质量,在数据采集、传输、使用等环节中都要保证数据的真实性、完整性和可靠性,确保工业生产经营安全稳定。
4. 闭环性
工业互联网数据需要支撑状态感知、分析、反馈、控制等闭环场景下的动态持续调整和优化。
5. 级联性
不同工业生产环节的数据间关联性强,单个环节数据泄露或被篡改,就有可能造成级联影响。
6. 更具价值属性
工业互联网数据更加强调用户价值驱动和数据本身的可用性,用以提升创新能力和生产经营效率。
7. 更具产权属性
工业互联网数据产生于企业实际生产经营过程,数据产权属性明显高于个人用户信息。
8. 更具要素属性
工业互联网数据是驱动制造业和数字经 济高质量发展的重要引擎,具有更强的生产要素作用。
上述工业互联网数据的特点,决定了工业互联网数据资产梳理必须是通过主动探测技术实现数据载体检测,结合被动检测技术实现工业互联网数据应用场景,业务属性识别,通过数据分析、关联等技术实现多维度的数据资产可视化。
全息数据资产测绘系统是协助企业完成数据资产梳理的技术工具,通过部署实施测绘系统,实现对目标环境中的数据资产梳理,即:完成全面清查、摸排,通过了解数据资产类型、数据资产分布、数据资产权限、数据资产使用等信息,构建数据资产目录的过程。
全息数据资产测绘系统基于全息专利技术,在数据载体探测,数据资产发现、内容识别,数据分类分级标记产生的大量信息,进行数据分析和关联,最终实现工业互联网数据资产的梳理工作:
1. 多数据源数据关联和分析,验证数据资产发现,识别
通过数据资产主动探测技术、被动探测技术,以及敏感数据内容识别技术获取的多方数据源经过处理里后产生的关于数据资产载体信息,数据资产类别级别信息,承载数据处理应用系统信息,用户访问信息等,通过大数据分析技术进行数据关联,相互之间对数据资产属性进行完善、补充和验证,最终形成完整、精确的数据资产清单。
2. 以数据为中心的多维度信息关联和分析,实现对数据处理活动的识别
参与数据处理活动,以及对数据安全产生影响的要素主要包括:实体(用户和设备),访问和操作(应用,指令),以及数据本身(归属,类别和级别)。
在工业互联网数据安全场景下,对数据资产进行测绘的主要目的就是摸清对工业互联网数据的类别级别,数据资产分布,以及识别数据处理环境和数据应用场景,为制定数据安全策略,工业互联网数据安全风险评估,数据安全合规评估,数据安全事件溯源等奠定基础。因此,在数据资产测绘过程中需要开发机器学习或行为分析能力,通过行为监控和智能分析提供更高层次的数据处理活动的洞察力,形成以数据安全为中心的资产知识库(实体知识库、应用和系统知识库、数据资产库),建立数据活动和数据安全基线,完成数据资产测绘。
3. 数据资产可视化分析
根据数据安全场景和数据安全管理需求,动态、实时的从数据安全知识库中提取相关信息,形成数据资产可视化和数据安全态势可视化。工业互联网数据涉及及跨地区、跨行业、跨实体的工业设计、研发、制造、服务,其数据量呈指数级增长,数据资产需要实时监控和维护平台的运行状态,数据维护人员需要分析大量的信息,监控工业互联网运行数据。然而,面对大量的数据资产时,传统的数据搜索方法难以满足当前工业互联网平台的需求。
全息数据资产测绘系统根据工业互联网数据的多态性、实时性、关联性的特征,把数据资产从多个维度,多个视角充分展现,将数据转换成表格、折线图、条形图等形式,以观察数据资产的趋势。利用大数据可视化技术,可满足客户个性化需求创建可视化图表,以便对数据资产进行可视化分析。