APP下载

基于数据分类保护的信息物理系统风险评价方法及应对研究

2022-09-14王昊鹏黄瑶邹苒

山东警察学院学报 2022年1期
关键词:分类物理评价

王昊鹏,黄瑶,邹苒

(1.山东警察学院山东省网络空间安全大类数据发展创新实验室, 山东 济南 250200)(2.山东科技大学济南校区, 山东 济南 250031)(3.山东建筑大学管理工程学院, 山东 济南 250101)

引言

信息物理系统是一个涉及多领域交互的概念,由于不同领域对信息物理系统研究的角度不同,所以对其定义也不尽相同。总体而言,信息物理系统是信息空间、物理空间和网络空间三元融合的产物,一般包括机器人、工业控制系统、过程控制系统、数据采集监控系统、工业互联网和物联网等系统。通过态势感知、嵌入式计算、网络通信、智能控制等技术实现系统的“深度嵌入、泛在互联、智能感知和交互协同”[1]。信息物理系统被广泛应用于工业生产、航空航天、环境监控、国防军事、智能电网、交通运输、机械制造等领域,对提高国民生活水平、促进国家经济发展、增强国家综合实力起到重要作用[2-4]。

一、信息物理系统风险评估现状

近年来,随着大数据、云计算等技术的发展,从企业内部系统到行业系统甚至跨国系统,信息物理系统得到了飞速发展。系统内的数据流动越来越频繁、规模越来越大,数据流动产生的价值越来越高[5]。伴随而来的是更多专门针对系统数据的攻击,各类安全事件层出不穷[6,7],如图1所示。

图1 2010年以来影响较大的各类信息物理系统安全事件

从图1可以看出,早期的安全事件大多是针对系统的破坏性攻击,例如,2010年震网病毒入侵伊朗核电站后控制电机异常运行,导致系统硬件受损,直至整个电站瘫痪。近几年破坏性攻击逐渐减少,取而代之的是数据窃取、数据勒索等安全事件逐年上升。例如,2020年勒索病毒入侵欧洲最大的跨国能源公司葡萄牙EDP的系统,窃取了10TB敏感数据并索要1090万美元的赎金。在数据窃取、勒索等事件中,攻击者的目标不再是对系统进行破坏性攻击,而是盗窃系统数据并向被攻击者索要大量赎金。由于被窃数据中蕴含巨大商业价值或包含被攻击者的商业机密,被攻击者为避免数据泄密或丢失,往往会交付赎金赎回被窃数据。

为保障系统的正常运行,学界开展了对系统风险评估的研究。早期的评估方法大多是分析系统的结构、组成、漏洞、面临的攻击等能够带来风险的因素,将其作为参数,通过某种数学模型构建系统的风险评估模型。例如,Chittester[8]将铁路信息系统划分为软硬件、人员和环境三部分,每一部分再细分为多个元素,利用层次全息模型建立铁路系统关键基础设施风险评估模型。梁耀、冯冬芹[9]以系统对不同种类网络攻击的敏感程度不同为依据,通过闭环攻击增益矩阵实现系统安全的定量评估。采用这些方法对系统风险进行评估时,都是将系统的设备、网络、人员、管理等作为系统风险要素,几乎没有将数据作为系统风险要素进行评估的。

近年来系统内数据的价值逐渐凸显,人们对数据安全越来越重视。早在1994年,我国就颁布了《计算机信息系统安全保护条例》,首次提出了信息安全保护的概念。2007年颁布的《信息安全等级保护管理办法》中提出了信息的分级保护理念,该理念是根据信息遭到破坏后造成的影响大小将信息分为五个等级,对不同等级的信息进行不同等级的保护。2008年又配套制定了分级保护的国家标准《信息安全技术、信息系统安全等级保护基本要求》,直至2016年颁布的《中华人民共和国网络安全法》,一直延续着分级保护的理念。分级保护只设置了保护的框架,没有明确具体哪些数据应该给予什么级别的保护,给数据保护的实际操作带来了很多困扰。2020年颁布的《工业数据分类分级指南(试行)》和2021年颁布的《中华人民共和国数据安全法》,明确提出了构建数据分级分类保护的理念。数据的分类保护是把具有共同属性或特征的数据归并在一起,根据其类别属性或特征将数据纳入不同的分级保护体系之中。分类保护是分级保护的有效呼应,明确了什么样的数据应该给予什么级别的保护。基于数据分类保护的系统风险评价研究尚处于起步阶段。惠志斌[10]从数据内容敏感度、规模敏感度、企业间信任度、国家/地区间信任度等4个方面分析了数据跨境流动带来的风险和价值,构建了数据跨境流动全面风险评价指标体系。该研究将数据作为系统风险要素进行评估,评估时也综合考虑了数据共享流通带来的安全隐患和产生的价值两方面因素,但只是将系统内所有数据作为一个整体分析其对系统风险的影响,没有对不同类型的数据分别分析。

针对现有研究的不足,本文首先将系统内常见数据进行特征归类,然后以各类型数据作为系统风险要素,从各类数据给系统各组成部分带来的安全隐患和产生的收益两个方面设计系统风险评估方法,并制定相应的系统风险应对方案。

二、基于数据分类保护的信息物理系统风险要素分析

(一)信息物理系统体系模型

信息物理系统结构复杂,是物理域、网络域和信息域的交叉融合产物,很多研究[11,12]都将系统分为物理层、系统层和管理层三部分。物理层主要包括系统的各类物理设备、网络设备以及各种传感器,负责数据的采集和命令的执行。系统层主要包括系统中的操作系统、驱动程序、网络协议、数据库以及应用程序等各类型软件,负责系统控制、人机交互、信息加工、优化决策等。管理层主要包括各种规章制度和管理人员,负责保障系统的正常运行。系统的数据可以分为生产数据和辅助数据两类。生产数据是系统的核心数据,也是系统中价值最大的数据。辅助数据是保障系统正常运行的各类数据,例如设备的性能信息、管理人员信息、系统访问信息等。生产数据和辅助数据广泛存在于物理层、系统层和管理层,鉴于生产数据是系统当中最有价值的部分,也是系统被攻击的焦点,因此本文将生产数据作为系统的一个单独部分,则系统的体系结构模型如图2所示。

图2 信息物理系统体系结构模型

(二)信息物理系统内数据分类

信息物理系统中的数据分散存在于系统的各结构部分,在不同结构部分中流动。从系统一般业务流程出发,根据系统内数据的本质、属性、权属及其相关关系对数据进行归纳分类,大致可以分为10类:(1)设备配置信息,主要包括设备型号、性能、关键参数、数量等信息;(2)生产环境信息,主要包括设备正常工作需要的各种环境要求等信息;(3)系统配置信息,主要包括网络结构、配置、协议、操作系统配置情况、应用软件配置情况、安全软件配置情况等信息;(4)系统访问信息,主要包括系统权限、访问控制策略、系统日志等信息;(5)生产采集信息,主要包括生产中采集的各类型原始数据等信息;(6)生产过程数据,主要包括生产加工过程中原材料、设备、系统的过程状态等信息;(7)生产知识数据,主要包括对生产中各种数据加工、抽象出的各种模型、决策、经验等信息;(8)人员个人信息,主要包括管理人员的个人基础信息等信息;(9)生产安排信息,主要包括企业组织机构设置、生产组织、人员分工等信息;(10)法律法规信息,主要包括系统运行所遵守的法律、保障系统运行的规章制度等信息。

(三)系统风险要素分析

风险分析要考虑各种风险的致因和来源,以及所带来的安全隐患和产生的价值。根据上述(一)部分建立的系统体系模型,数据给系统带来的总风险可分为8类,其中安全隐患方面包括设备安全性、系统安全性、数据安全性和管理安全性等;产生价值方面包括设备经济性、系统经济性、数据经济性和管理经济性等。

设备安全性是指数据带给设备层的安全隐患。攻击者截获设备配置、生产环境等信息后,很容易直接分析出设备层的漏洞,从而对设备层发起直接攻击。截获系统配置、系统访问等信息后,可以分析出系统层面的漏洞,通过漏洞获取系统的控制权,间接对设备层进行破坏。截获人员个人信息、生产安排信息和法律法规信息后,可以分析出生产管理中的漏洞,也可以间接对设备层进行破坏。

系统安全性是指数据带给系统层的安全隐患。攻击者截获设备配置、系统配置、系统访问等信息后可以直接分析出系统层的漏洞,从而对系统层发起直接攻击。截获人员个人信息、生产安排信息和法律法规信息后,可以分析出生产管理中的漏洞,也可以间接对系统层进行破坏。

数据安全性是指数据带给数据层的安全隐患。攻击者截获生产采集、生产过程、生产知识等信息后可以直接对数据层进行窃取、篡改等破坏活动。截获系统访问信息后可以非法取得系统的控制权,间接破坏数据层。截获人员个人、生产安排、法律法规等信息后,可以分析出生产管理中的漏洞,也可以间接对数据层进行破坏。

管理安全性是指数据带给管理层的安全隐患。攻击者截获人员个人、生产安排、法律法规等信息后,可以分析出生产管理中的漏洞,对管理层进行直接破坏。截获系统访问信息后可以非法取得系统的控制权,间接破坏管理层的安全设备经济性是指数据为设备层产生的价值。设备配置、生产环境、系统配置、生产安排等信息的流动可以缩短设备层升级、扩容所需时间,提高各设备的利用率。

系统经济性是指数据为系统层产生的价值。设备配置、系统配置、生产安排等信息的流动可以提高系统层的工作效率,优化系统层配置。

数据经济性是指数据为数据层产生的价值。生产采集、生产过程、生产知识等信息的流动可以缩短智能生产的学习周期,提高学习的精准度,提供个性化生产方案以及潜在的业务模式。

管理经济性是指数据为管理层产生的价值。人员个人、生产安排、法律法规等信息的流动可以弥补管理漏洞、优化管理流程、完善管理制度、提升管理效率。

三、基于熵-AHP组合赋权的风险评价指标体系构建

(一)基于数据分类保护的系统风险评价指标体系

笔者邀请信息物理系统的使用者、设计者、网络安全研究领域的学者、法律学者、公安机关网络安全执法民警等5类专家共100人参与本课题的研究,其中每类专家各一半共计50人构建系统的风险评价指标体系,另一半共计50人对本文第四部分的应用实例进行打分。人员详情如表1所示。

表1 专家构成情况

由上述第一半50位专家对各类数据与各类系统风险进行相关性论证,构建了系统风险评价指标体系,如图3所示。

图3 系统风险评价指标体系

(二)基于熵-AHP组合赋权的风险评价指标权重计算

层次化分析法[13,14]是一种常用的定性和定量结合评价方法,该方法将系统总的风险评估分解为若干简单风险因素,并形成层次结构模型,通过对各因素进行两两比较确定因素之间的相对重要关系并给出定量指标,最终确定各因素的风险重要性权值。层次化分析法往往具有较强的专家主观意见。为消除过强的主观性,本文引入熵权法[15]对层次化分析法的权值进行客观修正,使用熵和层次化分析组合权值表示各指标的重要性,克服单一赋权的不足,使最终的权值既充分表达专家的主观意图,又突出指标的客观性。

第一步,根据本文上述基于数据分类保护的系统风险评价指标体系计算各指标的权重。邀请表1列出专家的一半(即50位专家)利用1-9比例标度法为各指标重要性进行评价打分,通过打分结果构造系统风险评价指标判断矩阵,并对各指标权重进行一致性验证,结果如表2所示。

表2 各指标权重及一致性验证结果

表2中,M为目标层,Ai为一级指标层,Bj为二级指标层,各检验系数符合结果一致性要求。

第二步,根据熵的定义计算A层各元素对M,B层各元素对A层各元素的熵值法权值,结果如表3所示。

表3 各层之间各元素熵值法权值

第三步,计算各指标层次化分析法和熵值法结合的最终权值。

(1)

其中,WAHP-i和WE-i分别为第i个指标的层次化分析法权值和熵值法权值。根据公式(1),

计算得到B层各元素的熵值法和层次化分析法的综合权值,如表4所示。

表4 各指标综合权值

最终,B层各元素对目标M的综合权值总排序情况如表5所示。

表5 B层各元素对目标M的综合权值总排序

四、基于模糊分析的信息物理系统风险综合评价

(一)模糊综合评价

模糊综合评价是一种基于模糊数学理论的综合评价方法,运用最大隶属度法与模糊变换,将模糊不清、不易定量的相关因素进行量化评判,从而实现将主观的定性评价转化为客观的定量评价。

(2)

其中,rij表示被评风险从因素ui来看对vi等级模糊子集的隶属度。最终各被评风险的模糊综合评价集为:

(3)

最后再根据模糊综合评价集和风险等级取值计算出风险评价的指数数值F。

(二)对新疆某加工厂信息物理系统的应用分析

新疆某加工厂信息物理系统原为内网环境,近年来由于业务需要,与美国等开展跨国合作,合作内容涉及到系统升级、设备改造和跨国贸易等方面。为保证合作的开展,该加工厂原信息物理系统连入互联网,部分模块直接对接美国合作伙伴的信息物理系统,由此产生大量数据的跨境流动。在此背景下,使用本文的评价方法对其信息物理系统进行风险综合评价。设定风险评价等级和风险赋值如表6所示。

表6 风险评价的等级划分和风险赋值

邀请表1列出的另一半专家对该加工厂的信息物理系统按照本文构建的风险评价指标体系进行打分,可得到模糊关系矩阵。将模糊关系矩阵和表5中各指标权值代入公式(3)得到该系统的模糊评价集为(0.64,0.14,0.12,0.12,0.06),则该系统的总体风险值为:

F=(0.64,0.14,0.12,0.12,0.06)*(1,0.8,0.6,0.4,0.2)=0.88

根据表6可知,该系统的总体风险介于高风险等级和较高风险等级之间,表明该系统当前总体风险比较高,需要强化风险防控。

五、基于数据分类保护的信息物理系统风险应对方案

(一)坚持数据安全与数据充分利用平衡发展的风险管控理念

数据的流动、聚合、碰撞在给系统带来安全隐患的同时也会产生巨大的经济价值。在对系统进行风险管控时首先要避免系统的安全隐患,一方面要防止数据的流动带来的直接安全隐患,另一方面也要防止数据经过聚合或碰撞等再利用后带来的间接安全隐患。从危害角度看,数据经过聚合或碰撞后往往会暴露更多价值更大的信息,产生更大的安全隐患。其次,要充分认识数据所蕴含的巨大经济价值。系统内各种数据经过聚合碰撞后,可以产生大量知识信息,为企业提供更精准的客户需求,挖掘新的业务和利润增长点。因此不能为了追求系统的绝对安全而人为制造数据流动壁垒。在数据分类保护的思路下,根据数据重要性和所蕴含的价值制定数据在系统内流动和流入流出系统的管制制度。对重要的数据坚决执行属地内存储原则,对相对不重要的数据建立流动安全评估制度,根据评估结果决定是否流动。

(二)实行数据分类管理制度

信息物理系统是一个涉及物理、通讯、网络等多领域的复杂系统,系统内数据种类繁多,只有将数据进行科学、规范的分类才能实现数据的安全管理和充分利用。美国早在2010年就颁布了第13556号行政命令,对“受控非密信息”建立并实施登记、分类、标识和安全保护管理制度。所谓受控非密信息是指不涉密但需要进行保护和控制传播的信息,所有的受控非密信息被分为20个大类,124个子类。我国的数据保护长期实行分级保护体系,直到2020年工信部颁布《工业数据分类分级指南(试行)》才首次提出了对工业数据进行分类保护的明确要求。随后,2021年我国又颁布了《中华人民共和国数据安全法》,将分级分类保护确定为数据的基本保护制度。这两项法律和制度的颁布拉开了我国数据分类保护的帷幕,相关行政管理部门和行业企业应以此为依据尽快完善本领域内数据分类保护的法律、行政法规、国家标准和规章制度。

(三)建立科学合理的数据分类规则和分类体系

有了立法保障后,下一步需要解决的是在实际应用中建立科学合理的数据分类规则和分类体系。《中华人民共和国数据安全法》第21条中明确规定了数据分类的两个基本标准:一是数据在经济社会发展中的重要程度;二是数据在遭到篡改、破坏、泄露或者非法获取、非法利用后造成的危害程度。《工业数据分类分级指南(试行)》第6条将工业企业的工业数据划分为5大类13个子类;第7条将平台企业的工业数据划分为2大类6个子类。这两项法律和制度在宏观层面制定了数据分类的规则和体系,各相关行政管理部门和行业企业等信息物理系统的实际管理者应从各自的业务角度出发,充分细致梳理本单位业务流程和系统设备,理解系统内数据的本质、属性、权属及其相关关系,明确哪些数据属于哪个业务范畴,各个数据如何被使用。然后根据本单位行业要求、业务规模、数据复杂程度等实际情况构建系统的数据分类体系。

结语

随着大数据、云计算等技术的发展,信息物理系统得到更为广泛的应用,系统数据所蕴含的价值日益凸显,针对数据的攻击层出不穷。为平衡数据带来的安全隐患和产生的价值之间的关系,数据分类保护势在必行。本文从数据分类保护的角度出发,设计了信息物理系统的风险评价方法,提出了风险应对方案,即从一般信息物理系统的业务流程出发,提出了新的系统体系模型,将系统内数据梳理归纳为10类;构建了基于熵-AHP组合赋权的系统风险评价指标体系,并使用模糊综合评价的方法对系统风险进行评价;从风险管控理念更新、数据分类制度建设、数据分类规则构建等方面提出了信息物理系统风险应对方案。

猜你喜欢

分类物理评价
只因是物理
SBR改性沥青的稳定性评价
分类算一算
处处留心皆物理
分类讨论求坐标
数据分析中的分类讨论
教你一招:数的分类
三脚插头上的物理知识
我不是教物理的
基于Moodle的学习评价