资源简介
T/ZISIA 0001-2026
ICS 35.240.50 CCS L 70/84
团体 标准
工业领域数据流转异常行为监测
技术要求
Techn ical requ irements for anomalous behavior monitor ing of data
f low in Industr ial field
(发布稿)
2026-07-02 发布 2026-07-02 实施
中关村网络安全与信息化产业联盟发布
目次
前言 I
1. 范围 1
2. 规范性引用文件 1
3. 术语和定义 1
3.1 工业数据 indu str ial data 1
3.2 数据流转 data flow 1
3.3 数据流转异常行为 anomalou s behavior of data flow 1
4. 缩略语 1
5. 技术框架 2
6. 数据采集 2
6.1 工业领域数据流转数据采集数据源 3
6.2 工业领域数据流转数据采集方式 3
6.3 工业领域数据采集的数据类型 3
7. 数据预处理 3
7.1 协议解析 3
7.2 文件识别 3
7.3 敏感数据处理 4
7.4 数据清洗与过滤 4
7.5 数据整理 4
8. 异常行为分析 4
8.1 规则匹配异常行为分析 4
8.2 智能建模异常行为分析 4
8.3 异常行为综合关联分析 5
9. 告警与响应 5
9.1 安全告警 5
9.2 安全响应 5
附录 A (资料性) 工业领域数据流转典型场景 6
A.1 生产计划与生产执行 6
A.2 研发设计 6
A.3 设备运维管理 7
A.4 供应链管理 7
A.5 外部数据交互 8
附录 B (资料性) 工业领域数据流转全生命周期异常行为 9
B.1 数据采集 9
B.2 数据传输 9
B.3 数据存储 9
B.4 数据使用 9
B.5 数据共享 10
B.6 数据销毁 10
参考文献 11
i
前言
本文件按照GB/T 1.1-2020《标准化工作导则第 1 部分:标准化文件的结构和起草规则》的规定起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由中关村网络安全与信息化产业联盟提出并归口。
本文件起草单位:中国信息通信研究院、中关村网络安全与信息化产业联盟、北京六方云信息技术有限公司、贵州大学、中国兵器工业信息中心、北京天地和兴科技股份有限公司、北京安帝科技有限公司、鞍钢数智科技(辽宁)有限公司、大庆油田有限责任公司数智技术公司、北京天融信网络安全技术有限公司、北京工业大学、广东工业大学、中远海运科技股份有限公司。
本文件主要起草人:李江力、张镇勇、董悦、邹冬、朱伟光、苏凯旋、韩剑飞、刁婉睿、宋小茜、安高峰、杨兴城、宋乐、张瑜、吴诗雨、何昀峰、涂哲、周磊、王自强、王智民、王昱波、王海龙、 白俊娟、成进幸、唐建航、李世正、夏文新。
I
工业领域数据流转异常行为监测技术要求
1. 范围
本文件规定了工业领域数据流转过程中异常行为监测的技术要求,包括数据采集、数据预处理、异常行为分析、告警与响应等内容。本文件适用于工业企业在数据流转过程中的异常行为识别及应对处理。
2. 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改版)适用于本文件。
GB/T 25069-2022 信息安全技术术语
YD/T 4246-2023 电信网和互联网数据异常行为监测技术要求与测试方法
YD/T 4981-2024 工业领域重要数据识别指南
YD/T 4982-2024 工业企业数据安全防护要求
3. 术语和定义
GB/T 25069-2022、YD/T 4246-2023、YD/T 4982-2024、YD/T 4982-2024 界定的以及下列术语和定义适用于本文件。
3.1
工业领域 industrial field
包括钢铁、有色、稀土、石化、化工、建材、汽车、通用机械、专用机械、民用飞机、民用船舶、轻工、纺织、家电、食品、医药、电子、民爆、节能、软件和信息技术服务等细分行业。
[来源:YD/T 4981-2024,3.2]
3.2
工业数据 industrial data
在工业领域生产、运营、管理等环节中产生的数据,包括生产数据、设备数据、供应链数据、用户数据等。
[来源:YD/T 4982-2024,3.2]
3.3
数据流转 data flow
数据在采集、存储、传输、使用、共享、销毁等全生命周期中的流动过程。
3.4
数据流转异常行为 anomalous behavior of data flow
针对数据流转过程中的异常的、不符合管理要求的、与预期不符的访问和利用的行为,包括并不限于对数据超频次访问、越权访问、绕行访问、非常规时间访问等。
[来源:YD/T 4246-2023,3.1.6]
4. 缩略语
下列缩略语适用于本文件。
AIDC: 自动识别和数据提取(Automatic Identification and Data Capture)
AGV: 自动导引车(Automated Guided Vehicle)
BI:商业智能(Business Intelligence)
1
BOM:物料清单(Bill of Materials)
CRM:客户关系管理系统(Customer Relationship Management
DCS:分布式控制系统(Distributed Control System)
DMU:数字样机(Digital Mock-Up)
ERP:企业资源计划(Enterprise Resource Planning)
MES:制造执行系统(Manufacturing Execution System)
MPS:主生产计划(Master Production Schedule)
MRP:物资需求计划(Material Requirement Planning)
NCS:数控系统(Numerical Control System)
OPC:用于过程控制的 OLE for Process Control
PDM:产品数据管理(Product Data Management)
PLC:可编程逻辑控制器(Programmable Logic Controller)
RFID:射频识别(Radio Frequency Identification)
SCADA:数据采集与监视控制系统(Supervisory Control And Data Acquisition)
SCM:供应链管理(Supply Chain Management)
SOP:标准作业程序(Standard Operating Procedure)
WMS:仓储管理系统(Warehouse Management System)
5. 技术框架
工业领域数据流转异常行为监测技术框架如图 1 所示:
图 1 工业领域数据流转异常行为监测技术框架
工业领域数据流转异常行为监测技术要求包含以下内容:
1) 数据采集:针对工业领域数据流转的主要场景以及针对工业领域数据流转过程中存在数据安全风险的关键节点进行数据的采集和监控, 以及数据的采集方式和采集的数据类型。
2) 采集数据预处理:针对采集后的数据进行预处理,包括协议解析、协议解析后的文件识别、敏感数据处理、数据清洗与过滤、以及数据格式整理等等。
3) 异常行为分析:针对采集的数据进行多种方式的异常行为分析,包括规则匹配方式的异常行为分析、基于智能建模的异常行为分析以及综合关联分析等等。
4) 告警与响应:发现异常行为后的告警及响应处理方式。
6. 数据采集
2
6.1 工业领域数据流转数据采集数据源
监测数据采集数据源包括:
a) 应针对工业领域数据流转的主要场景进行风险数据的采集和监控,包括:生产计划与生产执行场景、研发设计场景、设备运维场景、供应链管理场景以及外部数据交互场景等;
b) 应针对工业领域数据流转过程中存在数据安全风险的关键节点进行数据的采集和监控,包括:各类工业应用服务器(如 CRM、MRP、MES、CAD、CAE、PLM、OPC 等)、工业控制系统(DCS、SCADA、PLC)、工业控制系统上位机、组态软件客户端、OPC客户端等,涵盖相关工业数据的数据生成、传输、存储、使用、共享、销毁等各个阶段。
6.2 工业领域数据流转数据采集方式
应支持以下一种或多种数据采集方式:
a) 实时采集:关键操作(如数据导出、权限变更)应实时记录;
b) 定时采集:非敏感操作可按固定周期采集;
c) 事件触发采集:异常事件(如高频访问、异常 IP 登录)触发额外数据采集;
d) 自定义格式数据源导入方式:通过文件导入,支持通过导入 XML、 PCAP、 JSON、 CSV 等文件收集行为数据;也支持人工报备资产进行采集,支持资产信息的人工填报能力。
6.3 工业领域数据采集的数据类型
应支持以下一种或多种数据类型:
a) 支持常用的网络协议数据采集,如 HTTP、FTP、NFS、SMTP、POP3、IMAP 等;
b) 支持常用的工业协议数据采集,如 Modbus TCP、S7、OPC-DA、OPC-UA、IEC-104、 GE-SRTP、ENIP/CIP 等;
c) 支持常见关系型和非关系型数据库、实时数据库,如MySQL、Oracle、DB2、SQLServer、 Hbase、MongoDB 等;
d) 支持不同类别的日志数据源采集,包括各类工业控制系统、工业组态软件、生产管理系统及其他应用系统,可采集多种日志包括系统日志、应用日志、数据库审计日志、安全事件日志、认证日志、运维告警日志并支持相应日志格式;
e) 支持从自定义格式数据源采集,包括信息录入、数据文件导入等格式;
f) 支持从本地、远程、以及云环境采集数据。
7. 数据预处理
7.1 协议解析
本项要求包括:
a) 应支持常见工业协议深度解析,对于 Modbus TCP、S7、GE-SRTP、ENIP/CIP、IEC
104 等常见工业协议可解析站地址、功能码、寄存器地址、值域解析与控制等;
b) 应支持 OPC 协议深度解析,支持 OPC DA,HAD,A&E,DX,XML-DA 等操作,包括支持 OPC 的动态端口、OPC 只读等,支持 OPC 操作接口、操作码的控制等;
c) 应支持常见互联网应用协议的解析,对于 HTTP、FTP、NFS、SMTP、POP3、IMAP 等可解析 IP 地址、协议端口、数据域数据等,可准确识别数据域关键信息包括账号、 IP、接口、用户信息等;
d) 当遇到协议数据不完整或格式错误时,应能及时记录错误信息,并尝试根据协议规范进行合理的修复或提示可能的异常来源,避免因解析错误而导致的异常漏检。
7.2 文件识别
a) 应支持常见的电子文件类型,包括文本文件、程序文件、压缩文件等;
3
b) 应能够准确识别工业领域常见的各类数据文件类型,如 CSV、XML、JSON、CAD 图纸文件等。对于不同格式的文件,应避免误判文件类型导致后续处理错误;
c) 在识别文件类型的基础上,应对文件内容的完整性进行检查。当发现文件内容不完整或存在损坏时,应及时标记该文件为异常,并记录相关错误信息, 以便进一步排查问题;
d) 对文件的访问权限应进行实时监测,只有授权的用户或系统能够访问特定类型的文件;
e) 应建立文件访问权限规则库,根据不同的用户角色和业务需求,动态调整文件访问权限,确保文件数据的安全性和合规性。
7.3 敏感数据处理
a) 支持自定义与预置规则方式,实现工业领域敏感数据的识别与标注;
b) 支持对于敏感数据的全路径监测与自定义路径监测;
c) 应严格控制对敏感数据的访问权限,只有经过授权的人员和系统才能访问敏感数据;
d) 应定期对敏感数据的访问情况进行审计,检查是否存在异常的访问行为,如未经授权的访问、越权访问等。
7.4 数据清洗与过滤
a) 应支持根据异常行为分析需求对数据进行过滤,提取对分析有价值的数据;
b) 应支持字段取值的标准化处理;
c) 应支持数据校验、错误标识、修正处理等;
d) 应对重复数据可进行清洗和过滤,去除无用数据;
e) 数据清洗范围涵盖工业领域产品和服务全生命周期产生和应用的数据;
7.5 数据整理
a) 应对采集到的不同格式、不同来源的数据进行标准化处理,统一数据的格式、编码、单位等,确保数据的一致性和可比性;
b) 对于一些特殊的数据类型,如时间序列数据、地理空间数据等,应采用专门的标准化方法进行处理,确保数据可用于异常行为分析。
8. 异常行为分析
8.1 规则匹配异常行为分析
基本要求包括:
a) 应支持基于安全规则匹配的异常行为识别,可匹配工业数据流量的网络特征、以及应用层协议解析后的数据内容特征、数据使用者记录、访问权限及日志分析等;
b) 宜支持基于第三方威胁情报的异常行为识别与分析;
c) 宜建立安全情报反馈机制,及时将相关信息反馈到情报收集环节,完善情报体系和更新安全规则;
d) 以上分析方法应支持针对已知安全风险的对数据越权访问、数据加密异常、高频操作、权限滥用、数据篡改、数据泄露等异常行为的识别。
8.2 智能建模异常行为分析
a) 应支持基于智能建模的异常行为识别与分析,应提供多种算法支持,能够涵盖有监督与无监督学习模型,方法包括聚类分析和分类分析等;
b) 应支持行为基线建模:建立正常行为基线,偏离基线的行为视为异常;
4
c) 应支持异常行为识别模型的动态更新,将审核修正后的错误的监测结果保存到异常样本数据库中, 以对模型进行更新;
d) 应能够输出用于异常行为分析的训练数据集和测试数据集;
e) 以上分析方法应支持针对未知安全风险的对数据越权访问、数据加密异常、高频操作、权限滥用、数据篡改、数据泄露等异常行为的识别。
8.3 异常行为综合关联分析
a) 应支持基于工业数据流转的路径分析、规则匹配、威胁情报关联、以及智能建模分析的结果,对工业领域数据流转异常行为进行综合关联分析;
b) 应能够支持异常行为场景初始配置或基线规则的优化变更;
c) 应能够支持将不同来源的日志、数据流转行为进行关联分析;
d) 应采用关联分析技术,挖掘不同情报源之间的潜在联系,提高规则对复杂异常行为的识别能力。
9. 告警与响应
9.1 安全告警
a) 当监测到异常行为时,应自动发出安全警告;
b) 告警应包含事件级别、事件内容、事件时间、事件主体、事件客体、处置建议;
c) 告警方式包括分级告警、实施告警、聚合告警等。
9.2 安全响应
a) 应支持高风险操作(如未授权数据导出) 自动拦截;
b) 宜实现应用层协议、网络层协议,主动阻断能力;
c) 应支持记录异常行为关联信息(用户、设备、时间等)用于调查;
d) 宜实现与其它安全管控平台按照设定的策略进行联动的能力。
5
附录 A
(资料性)
工业领域数据流转典型场景
A.1 生产计划与生产执行
企业的生产计划通过 ERP 系统将这些计划数据传递给 MES 系统。MES 会根据车间实际的生产能力、设备实时状态和物料库存等情况,将宏观计划分解为详细的可执行作业指令(例如具体到每条生产线、每个工作站的日计划甚至班次计划),下发到车间的生产系统,完成生产的同时,会采集相关数据进行汇总处理和分析。以下是生产计划与生产执行相关的数据流转路径与过程。
a) 物料准备:市场与客户需求数据从 CRM 系统或销售部门流入 ERP 系统。ERP 系统利用需求数据和主数据,运行 MPS 和 MRP,生成具体的生产工单,并将其下发至 MES系统。MES 根据 BOM 和生产任务量,向 WMS 发送物料需求。仓库按需配送物料,并将出库信息反馈给 MES。
b) 生产执行:MES 将生产指令下达到具体设备(如 DCS、数控系统)和相关操作人员,生产设备按工艺流程执行生产任务。生产现场通过终端、传感器、设备 PLC 等采集实时数据(如产量、工时、设备状态),或由操作员通过触摸屏、扫码枪等手动录入的方式汇集到 MES。MES 成为车间级数据的集散中心。
c) 过程监控:MES 实时采集设备运行数据(如转速、温度)和质量检测数据(如工艺参数、检验结果)。一旦发现异常(如温度超标),系统能立即报警,触发调整,并记录用于追溯。
d) 数据反馈:生产数据如生产进度、质量数据、设备效率、物料消耗等最终会汇总并反馈回ERP 系统。这些数据用于生产计划跟踪与调整、财务成本核算、库存更新以及质量改进等等。经过整合处理后,传递给BI工具,也会转化为直观的报表、图表和仪表盘(如管理驾驶舱),为管理层提供数据驱动的决策支持,如评估生产效率、分析质量趋势、优化资源配置等。
A.2 研发设计
研发设计是一个系统性的创新过程,它将市场需求、科学原理和技术能力转化为具体的产品方案和生产方法。研发设计一般包括市场调研与需求分析、概念与详细设计、样品制作与测试、生产准备与产品上市等阶段。研发设计是数字化的产品定义,数据流转主要表现在以 CAD、CAE、PLM 为核心的数据生成和处理,与内部 ERP、CRM 等系统的数据交互,依托工业互联网平台和 SCM 完成的数据协同等三个方面。
a) 市场调研与需求分析阶段:研发部门从领导层、市场部门、CRM 系统等获取产品定位及需要满足的功能、性能、法规等要求等数据,结合 PDM 数据及技术储备进行分析,就需求可行性及项目概算进行反馈,形成共识需求与规格数据。
b) 概念与详细设计阶段:研发部门会基于需求规格数据提出初步的产品概念和技术规范,确定产品的具体结构、外观、材料等,依托 CAD、CAE 完成产品的 3D 数字外观与结构定义,建立数字化模型,进行仿真和优化,并在过程中听取市场部门和制造部门的意见,形成研发部门内部流转的软件与代码、仿真与分析数据、设计变更等数据。对于大型项目,存在跨地域的多研发部门协同引起的数据流动。
c) 样品制作与测试阶段:通过 PLM、SCM 与生产部门和供应链协同,制作物理样机或通过 DMU 进行功能、性能测试,并收集反馈, 以便发现并修正设计缺陷,形成 BOM,明确产品所需的所有物料、部件及数量关系。
d) 生产准备与产品上市阶段:需要进行工艺设计,规划生产工艺路线、设计工装夹具、制定工时定额等,形成附加在 3D 模型上的标注信息(尺寸、公差、表面处理、注释)、生产设备上的工序、程序等,确保产品能被高效、高质量地制造出来。根据产品正式上市后的市场反馈进行优化设计。
研发设计阶段数据流转的载体既包括Word、PDF 和 CAD 图纸等非格式化数据,也包括 PLM、SCM、ERP、CRM 等格式化数据。
6
A.3 设备运维管理
工业领域设备运维的数据流转始于设备层各类传感器对物理状态(如振动、温度、压力)和运行参数(如转速、 电流)的实时采集,数据经由网络层(如工业网关)汇聚至平台层。在平台层,数据经过清洗、存储和处理,形成统一的数据资产。随后,数据根据运维场景的需求,流向不同的应用层,驱动从实时监控、智能诊断到预测性维护、决策优化等一系列智能化运维活动,以下是相关的数据流转路径与过程。
a) 监控与发现阶段 :数据从设备传感器实时流出,在监控屏上进行可视化展示(如参数曲线、设备状态灯)。系统将实时数据与预设阈值、历史基线进行比对。一旦数据异常(如温度骤升、振动超标),系统立即生成告警事件。
b) 分析与诊断阶段 :告警或异常数据会触发深入分析流程。人工或系统自动关联该设备的历史运行数据、维护记录、同类设备工况数据等,并利用算法模型(如故障诊断模型、根因分析)进行挖掘。数据在此阶段被深度整合与关联,输出诊断报告。
c) 处理与恢复阶段 :诊断结果生成后,数据流导向运维执行系统。系统自动生成包含处理建议的工单,并派发给相应维护人员。人员通过移动终端接收工单、查阅设备图纸和历史维修数据,并在完成后上传处理过程(如更换的零件、采取的措施)和结果数据。
d) 变更与管理阶段 :当需要进行设备升级、参数调整或规程修改时,变更管理流程启动。变更申请、风险评估、审批记录、实施方案等所有结构化与非结构化数据都被记录在案。变更生效后,新的参数配置或维护规程数据被同步至设备档案和监控系统。
e) 优化与改进阶段 :系统长期汇聚全生命周期的运维数据(如故障间隔、维修成本、性能趋势)。通过大数据分析和机器学习,数据被用于评估设备健康度、预测剩余寿命、优化维护策略(如从定期维护转向预测性维护)乃至改进设备设计。
A.4 供应链管理
供应链管理涉及到生产管理、质量管理、采购管理、库存管理、物流管理、销售管理与资金管理等各方面,工业数据流贯穿生产、质量、采购、库存、物流、销售全流程,核心场景归纳为以下部分。
a) 生产管理:从 ERP 销售系统获取客户需求数据,从 ERP 物流系统获取企业库存数据,流向 MES 生产系统形成生产计划,根据工艺生产,生成库存数据流向ERP 库存系统。
b) 质量管理:从 ERP 销售系统获取客户需求数据,流向MES 质量系统实现质量设计,完成生产过程对产品的质量判定数据和质量复测数据,质量合格完成销售出库,质量不合格形成废品,成品库存数据流向ERP 库存系统。
c) 采购管理:从 ERP 销售系统获取客户需求数据,从 ERP 库存系统获取企业库存数据,在 ERP 采购系统生成采购计划数据,形成采购合同数据,生成原料库存数据,数据流向ERP 库存系统。
d) 库存管理:在 ERP 物流系统进行采购入库生成原料库存数据,从 MES 生产系统完成生产入库生成成品库存数据流向 ERP 库存系统,在物流系统内部生成原料库存和成品库存在库内的移动数据,从 ERP 销售系统获取销售出库数据,消耗成品库存数据,从 MES 生产系统获取生产出库数据,消耗原料库存数据。
e) 物流管理:在 ERP 物流系统内部生成运输实际数据,形成原料库存,数据流向 ERP库存系统。从 ERP 销售系统获取客户需求数据和运输协议,生成运输实际数据,完成销售出库,消耗成品库存,数据流向ERP 销售系统。
f) 销售管理:在 ERP 销售系统内部获取客户需求,形成销售合同数据,从 ERP 库存系统获取企业库存数据,生成采购实际数据和生产实际数据,生产后,根据 ERP 销售系统的销售合同进行销售出库,成品库存数据流向ERP 库存系统。
g) 资金管理:在 ERP 采购系统中,根据采购合同生成采购结算数据,完成付款,形成入账数据和付款数据,流向ERP 财务系统;在 ERP 物流系统中,根据运输协议生成物流结算数据,形成入账数据和收付款数据,流向ERP 财务系统;在 ERP 销售系统
7
中,根据销售合同生成销售结算数据,形成入账数据和收款数据,流向ERP 财务系统。
A.5 外部数据交互
工业企业与外部的数据交互的场景包括与上下游企业间的供应商协同管理、不同企业间的客户协同服务、与行业监管部门的数据报送与共享等多个场景,核心场景可以归纳为以下几部分。
a) 上下游供应商协同管理:工业企业与上游供应商之间通过数据共享平台(如工业互联网平台或上下游企业间定制的数据共享系统)实现订单数据、物料需求数据、库存数据等方面的数据共享,提升效率。
b) 客户协同服务:工业企业与下游服务商之间通过数据共享平台实现销售订单、产品交付、售后服务等方面的数据交互,提升效率。
c) 企业向行业监管部门的数据报送:由于行业监管的需要,企业的业务系统通过专用数据接口向行业监管部门的监控平台报送数据(如环保数据、能耗数据等)。
d) 企业与市场监管部门数据共享:企业通过接入市场监管部门的数据平台,定期报送可以公开的企业数据,如企业基本信息、经营数据、信用信息,不要企业间可以共享。
8
附录 B
工业领域数据流转全生命周期异常行为
B.1 数据采集
数据采集指工业企业自身创建数据或从业务单元获取数据的行为。
工业企业采集的数据主要源于两大范畴:一是由生产现场各类设备与系统实时创建的数据,二是从各业务单元信息系统获取的归档数据。
生产现场是工业数据的主要源头。传感器、PLC、DCS、SCADA等设备持续产生海量的实时运行数据,包括工艺参数、设备状态、质量检测记录与能耗监测等。这些数据通常呈现为高频率、大体量的结构化或半结构化数据流。为实现有效采集,企业通常通过在现场部署边缘网关等设备,将原始信号统一转换为标准工业协议(如OPC UA、MQTT),并传输至上层管理系统。
从业务单元获取的数据同样至关重要。这类数据来源于MES、ERP、质量管理、供应链管理等业务系统,涵盖生产计划、工艺文档、维修记录及订单信息等。其形态多样,既有关系型数据库中的结构化数据,也包括文档、日志等非结构化形式数据。数据的获取通常通过API接口调用、批量导出或专门的ETL工具,实现对历史记录与业务信息的集成利用。
数据采集环节可能存在的异常行为主要表现为数据源的失陷与污染,如:未经授权的非法设备仿冒合法身份接入网络;传感器或控制器被攻击后上报被篡改、注入的虚假数据;数据上报频率出现异常波动,如突然激增、中断或变为无意义的恒定值;以及数据内容明显违背物理定律,如温度读数瞬间超限等,这些都预示着采集端可能正遭受攻击或已出现故障。
B.2 数据传输
数据传输指数据在工业企业不同业务单元之间, 以及企业外部网络和内部网络之间传输的过程。
数据传输环节的安全保护措施聚焦于保障数据在流动过程中的机密性与完整性。关键在于对通信通道进行全程加密,利用TLS、IPSec VPN等技术防止数据在传输中被窃听;通过网络分区与防火墙策略,实现OT与IT网络的安全隔离,并在关键网络节点部署流量监控与入侵检测系统,实时感知异常数据流,同时采用哈希校验等技术确保数据包在传输途中未被篡改。
数据传输环节的异常行为主要围绕通信链路的劫持与窃取。攻击者可能在网络路径上进行嗅探以截获明文传输的数据;或中间人攻击篡改、重放数据包,扰乱生产秩序;此外,非业务时间出现的大规模数据外发流量,或传输带宽被异常占满,都可能是数据被窃取或网络正遭受DDoS攻击的迹象。
B.3 数据存储
数据存储指工业领域数据在使用过程中的进行存储的行为与过程。
数据存储环节的安全保护措施旨在确保静态数据的保密性与可用性。通过对存储在数据库、文件服务器中的静态数据进行加密处理,即使存储介质被窃,数据内容也不会泄露;通过实施严格的、基于角色的访问控制,遵循最小权限原则,防止越权访问;同时建立完善的数据备份与容灾机制,确保在系统故障或遭受勒索软件攻击时能快速恢复业务;对于开发测试等非生产环境,则应使用脱敏后的数据。
数据存储环节的异常行为通常和越权访问与恶意操作相关。 内部人员或外部攻击者可能利用漏洞或权限滥用,批量下载、篡改或删除核心工艺参数、设计图纸等敏感数据;也可能出现数据被非法复制到未授权的移动存储设备的情况;此外,数据库账户权限的异常提升,或日志中出现异常读写、修改或删除记录,都是数据存储的高风险异常信号。
B.4 数据使用
数据使用指在工业企业内部不同业务单元之间, 以及企业与外部网络间对数据进行查询、计算、更新等操作的行为与过程。
9
数据使用环节的安全保护措施侧重于管控与分析数据使用过程中的数据滥用。包括强化应用系统的身份认证(如引入多因子认证)和细粒度的操作授权;全面记录用户的数据查询、分析、导出等行为日志,便于审计溯源;在数据展示或导出时添加动态水印,以便于追溯泄露源头;对数据分析服务的API接口进行安全管控,包括认证、限流和恶意调用监测。
数据使用环节可能存在的异常行为包括操作行为的偏离与滥用。例如,用户发起高频、大范围的数据查询,远超其业务需要;利用合法权限将分析结果批量导出至非授权位置;通过恶意修改测试数据或配置参数,影响生产环境或决策判断等。
B.5 数据共享
数据共享指工业领域数据在使用过程中提供给第三方, 以实现数据增值的过程。
数据共享环节的安全保护措施重在防范数据在跨境、跨组织流动中的失控风险。在共享前,应对敏感个人信息和商业机密进行有效的脱敏或匿名化处理;共享过程中,应对文件进行加密并通过安全通道传递;部署数据防泄露系统,动态监测并阻止敏感数据违规外发;并通过API安全网关对对外提供的数据服务进行统一的身份鉴别、权限控制和访问审计。
数据共享环节的异常行为主要体现在共享对象的偏离与内容的超标。例如,错误地将包含核心机密的设计文件共享给未授权的合作伙伴;或通过DLP系统检测到外发数据中包含了未脱敏的敏感信息;此外,与某个合作伙伴的数据交换量突然异常激增,也可能意味着数据正在通过合法渠道被过度收集或窃取。
B.6 数据销毁
数据销毁指对工业领域数据存储介质采取操作,使数据删除且不能通过技术手段进行恢复的过程。
数据销毁环节的安全保护措施核心是确保数据被不可恢复地永久删除。工业企业应制定明确的数据留存与销毁策略,并采用安全的数据擦除算法覆盖存储介质,对物理介质则进行消磁或粉碎处理。所有销毁操作应被详细记录并生成审计记录,在云环境下应确保所有数据副本和快照均被彻底清理。
数据销毁环节的异常行为主要包括销毁过程的失效与违规。例如,系统日志显示数据已销毁,但实际存储位置仍可访问,存在虚假销毁的风险;对已标记为销毁的数据进行非法恢复尝试;或未遵守法规要求的留存期限而提前销毁数据,这些行为都可能带来合规风险或导致数据资产的意外损失。
10
参考文献
[1] GB/T 4754-2017 国民经济行业分类
[2] GB/T 42128-2022 智能制造工业数据分类原则

评论