文章來源：虎嗅智庫

伴隨工業大數據的快速發展，其在上云處理的全鏈路安全問題引起廣泛關注。如何有效地應對數據泄露、惡意攻擊和其他數據安全風險？如何保障數據全鏈路傳輸過程中，數據的安全性和隱私性？云安全服務商在工業大數據上云安全中扮演怎樣的角色，他們是如何應對以上安全挑戰的？

基于以上問題，虎嗅智庫發布了《工業大數據云上處理全鏈路安全實踐》研究報告，回應工業界對于云上處理全鏈路中安全問題的迫切需求，通過實踐案例，探究工業大數據在上云處理中的面臨核心問題、解決方法和硬核技術，為工業界相關決策者及從業人員提供專業的參考意見。

上云面臨的挑戰和需求

鏈路側來看，數據上云在采集、傳輸、存儲和使用的各個環節中均面臨多種多樣的挑戰，企業自身原始IT系統老舊、數據在企業外部流轉環節多、缺少對數據的分級分類管理以及可信技術的限制等都是工業數據上云安全防護要關注和解決的重大問題。

工業數據上云安全實踐強調將數據全生命周期視為一個閉環，企業通過結合多領域和新技術，構建覆蓋工業全系統的安全防護體系。通過監測預警、應急響應、檢測評估、功能測試等手段滿足工業企業需求，識別并抵御內外部的安全威脅，有效化解各類安全風險，為制造業智能發展提供安全可信保障。

在具體實踐中，關注數據的實時性、穩定性和級聯性等特征，根據不同場景采取措施構建全流程工業領域數據安全管理閉環工作體系。

這一體系應圍繞“數據分類分級識別、分級防護、安全評估、風險處置”等方面展開，以確保工業數據在上云過程中得到綜合而有效的保護，從而推動工業領域數據的安全管理工作取得實質性進展。

基于業務場景的三維一體數據安全治理

案例：天融信-工業企業數字上云安全實踐

某電子制造企業在數據上云過程中開展數據安全治理工作，識別其經營管理板塊存在較高的數據安全風險，具體問題包括數據中臺管控措施不足、云上數據權限管理缺失、應用間邊界模糊、管控能力應用粒度較低、應用原生風險留存、數據跨主體、多主體流動監測措施缺乏等。

天融信依托多年的網絡安全和工業領域實踐經驗，秉承“縱深防護、多重響應”的核心理念，構建集識別、檢測、防護、處置與響應為一體的企業-云平臺一體化安全解決方案。結合該企業內部信息管理以及跨空間數據流通的安全需求，天融信設計并建設了一套完整的數據安全防護體系。

● 數據泄露防護安全能力建設

采取專業的數據防泄漏手段，基于深度內容識別技術，預防并阻止有意或無意的數據泄漏行為。

● 敏感信息防護安全能力建設

應用數據脫敏技術手段，對訪問敏感數據的用戶進行鑒權，對敏感數據進行細粒度脫敏，全面保護敏感數據安全。

● 大數據防護安全能力建設

應用大數據安全防護技術手段，對所有訪問數據庫服務器的行為進行檢測和控制，防范對大數據的外來攻擊行為。

● 數據監測審計安全能力建設

應用數據監測審計技術手段，實現對工業數據實時監控、威脅檢測、風險預警、事件溯源等安全能力。

● 基于數據字典的控制過程數據安全能力建設

通過識別控制過程通信報文并對其行為進行還原，形成基于寄存器的基礎數據內容，將其結合數據字典，還原為物理變量數值；通過對操作動作與閾值范圍控制的基礎能力，確保生產控制過程數據的可用性與保密性。

在工業企業數據安全保護體系建設中，天融信運用基于人工智能的敏感數據檢測和防護技術、基于人員畫像和知識圖譜的數據泄漏取證技術兩大關鍵技術，從多方面提升數據安全防護能力。

● 基于人工智能的敏感數據檢測和防護技術實現了數據泄露的預防和網絡攻擊模式的學習，有效提前預警，降低攻擊成功率。

● 基于人員畫像和知識圖譜的數據泄漏取證技術通過分析、識別網絡攻擊，實現了數據的追蹤和溯源，保護了數據的安全性和完整性。

項目實施過程中采用基于業務的三維一體的數據安全治理結構，充分結合天融信產品服務與客戶業務場景、業務行為活動，并通過與大數據環境下的各種接口進行適配，保障工業大數據環境下的數據安全。同時在數據資產梳理方面，創新采用基于機器學習的數據分類分級方法，建立數據分類分級清單，精準高效地標識數據資產。

結語

工業大數據的安全不僅僅是技術問題，更是一個綜合治理的系統工程。企業通過構建全流程工業領域數據安全管理閉環體系，實現數據的實時性、穩定性、級聯性等特征的保護。未來監管層、企業和安全廠商的通力合作將有助于構建更加全面、可持續的工業數據安全秩序。