新基建賦能工業(yè)數(shù)據(jù)安全發(fā)展

我們將軟件定義安全的理念貫穿數(shù)據(jù)安全的全生命周期，實現(xiàn)安全需求集約化、安全能力組件化，賦能工業(yè)數(shù)據(jù)安全發(fā)展。

—北京明朝萬達科技股份有限公司高級副總裁&首席技術官喻波

新基建和工業(yè)數(shù)字化轉(zhuǎn)型以及數(shù)據(jù)防護之間是什么關系？我們認為新基建賦能工業(yè)數(shù)字化轉(zhuǎn)型，同時也為安全防護賦能。工業(yè)對數(shù)據(jù)安全提出新要求，數(shù)據(jù)安全為工業(yè)提供保障。

新基建是指人工智能、工業(yè)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等新型基礎設施建設，所謂的“新”實際上是和傳統(tǒng)相對應的。結(jié)合新一輪數(shù)字科技革命以及產(chǎn)業(yè)變革的特征，新基建一共劃分為七個領域，這七個領域可以分為三個不同的類別。第一個類別是新一代信息技術深化形成的基礎設施，比如通信基礎設施、5G等新一代技術基礎設施和區(qū)塊鏈等算力基礎設施。第二個類別是支撐傳統(tǒng)基礎設施轉(zhuǎn)型升級形成的融合類基礎設施，比如智能交通、智能能源等。第三個類別是支撐科學研究、技術開發(fā)、產(chǎn)品研制的具有公益屬性的基礎設施，如衛(wèi)星通信、基礎教育等。

新基建的本質(zhì)是促進產(chǎn)業(yè)結(jié)構(gòu)的變革，推動信息技術的大規(guī)模應用。從信息技術來看，信息技術的應用最開始從第二產(chǎn)業(yè)發(fā)展起來，如政府、軍事、制造、能源、金融等行業(yè)，等這些應用發(fā)展到成熟以后，才引入第一和第三產(chǎn)業(yè)中。新基建與此類似，新基建的發(fā)展首先在政府、軍事、制造等第二產(chǎn)業(yè)，等到新基建的相關技術穩(wěn)定、建設和發(fā)展成本下降以后才會對第一、第三產(chǎn)業(yè)產(chǎn)生影響。

工業(yè)數(shù)字化轉(zhuǎn)型以后的數(shù)據(jù)和以前不一樣，簡單來說，大量的設備入網(wǎng)使得數(shù)據(jù)源頭更加豐富。隨著企業(yè)應用的增加和企業(yè)間聯(lián)系的增多，數(shù)據(jù)流轉(zhuǎn)范圍會擴大;隨著產(chǎn)業(yè)的數(shù)字化轉(zhuǎn)型，數(shù)據(jù)流轉(zhuǎn)效率也會提高，數(shù)據(jù)從之前的IT產(chǎn)業(yè)附屬品變成了重要的生產(chǎn)要素。隨著數(shù)據(jù)角色的變化，我們從設備層、邊緣層再到產(chǎn)業(yè)層、管理層，都面臨安全層面的問題。

而對于管理層來講，最核心的問題是安全需求的分散和安全需求相對混亂。同樣的數(shù)據(jù)，進入不同環(huán)節(jié)的時候要求是完全不同的，傳統(tǒng)的方案是將安全系統(tǒng)和業(yè)務系統(tǒng)直接對接，也就是說對業(yè)務系統(tǒng)提出需求，安全系統(tǒng)進行響應，而隨著數(shù)據(jù)流轉(zhuǎn)范圍變大，這樣做的難度逐漸增大。

為了應對這種情況，我們提出了一個簡單的解決方案，我們認為軟件定義安全是可以賦能工業(yè)數(shù)據(jù)安全的。

保護工業(yè)數(shù)據(jù)安全實際上是數(shù)據(jù)安全對采集、傳輸、存儲、處理到交換的全生命周期的保護，這個過程非常復雜，我們要面對不同的數(shù)據(jù)，如實時數(shù)據(jù)、非實時數(shù)據(jù)、企業(yè)或互聯(lián)網(wǎng)平臺里的數(shù)據(jù)或者IT、OT網(wǎng)絡上的數(shù)據(jù)。這些數(shù)據(jù)范圍、特質(zhì)都不一樣，我們該如何處理呢？

我們對業(yè)務和安全進行解耦，業(yè)務提出來的是安全需求，我們把安全需求集約化。而安全本身是一種能力，我們把安全能力組件化，通過模型連接起來，通過軟件定義安全的方式滿足不同的安全需求。

這里提到了一個方案，傳統(tǒng)的方案是安全和業(yè)務系統(tǒng)直接對接，現(xiàn)在的方案中需要通過一個安全模型過渡，也就是說業(yè)務系統(tǒng)將訴求提交給安全模型，再通過模型把安全需求提交給不同的安全系統(tǒng)，由各個安全系統(tǒng)來滿足需求。

參考工業(yè)互聯(lián)網(wǎng)的信息模型，我們提出了一個工業(yè)數(shù)據(jù)安全模型的概念，這個工業(yè)數(shù)據(jù)安全模型分為兩類：一類是安全需求模型，分為設備層數(shù)據(jù)安全模型、邊緣層數(shù)據(jù)安全模型、企業(yè)層數(shù)據(jù)安全模型、產(chǎn)業(yè)層數(shù)據(jù)安全模型;另一類是安全防護模型，分為用戶身份認證模型、現(xiàn)場設備接入認證模型、外設管控模型、密碼應用模型。我們把這兩種安全模型通過軟件定義安全的方式連接起來，這樣就完成了安全需求和安全防護之間的關聯(lián)。

然后，我們需要對生產(chǎn)工藝數(shù)據(jù)和物料數(shù)據(jù)分類，才能進一步做安全管控，所以需求提出來以后，會通過數(shù)據(jù)分類模型來滿足需求，數(shù)據(jù)分類模型對接數(shù)據(jù)分類系統(tǒng)，能夠?qū)?shù)據(jù)進行分類服務。完成分類服務以后才會對安全需求的其他部分進行響應，比如說傳輸外網(wǎng)應該怎么做，數(shù)據(jù)存儲應該怎么做，這個時候會有不同的安全模型響應安全需求。這樣就相當于把需求和安全的模型聯(lián)系起來了。

舉一個簡單的例子，抽象化的智能工廠模型中的現(xiàn)場設備會對上層的ERP、CRM提出不同的需求，比如對數(shù)據(jù)進行分類分級、對高敏感數(shù)據(jù)采取一些措施禁止其被傳到外網(wǎng)，例如進行加密存儲等。這個時候我們會建立數(shù)據(jù)安全的模型，定義標識和類型并提出它的要求，比如用戶登錄身份要求、外設管控的要求、上下傳輸數(shù)據(jù)的簽名要求、現(xiàn)場設備接入認證的要求等，我們會把要求分解成不同的安全模型來應對。安全模型一旦確定之后，我們會把要求提交給認證設備，比如說指紋設備，這樣就把安全需求模型與安全設備連接了起來。

也就是說，數(shù)據(jù)安全的發(fā)展方向是通過工業(yè)數(shù)據(jù)的安全模型實現(xiàn)工業(yè)數(shù)據(jù)安全防護的模型化和體系化，從而進一步與安全產(chǎn)品進行對應，實現(xiàn)對數(shù)據(jù)安全的統(tǒng)一管理、對安全能力的動態(tài)配置。

（根據(jù)演講內(nèi)容整理，未經(jīng)本人審核）