工業(yè)互聯(lián)網(wǎng)安全防護(hù)范圍

一、設(shè)備安全

工業(yè)互聯(lián)網(wǎng)的發(fā)展使得現(xiàn)場設(shè)備由機(jī)械化向高度智能化轉(zhuǎn)變，并產(chǎn)生了嵌入式操作系統(tǒng)+微處理器+應(yīng)用軟件的新模式，這就使得未來海量智能設(shè)備可能會直接暴露在網(wǎng)絡(luò)攻擊下，面臨攻擊范圍擴(kuò)大、擴(kuò)散速度增加、漏洞影響擴(kuò)大等威脅。

工業(yè)互聯(lián)網(wǎng)設(shè)備安全指工廠內(nèi)單點(diǎn)智能終端等智能設(shè)備的安全，具體應(yīng)分別從操作系統(tǒng)、應(yīng)用軟件安全與硬件安全兩方面出發(fā)部署安全防護(hù)措施，可采用的安全機(jī)制包括固件安全增強(qiáng)、惡意軟件防護(hù)、設(shè)備身份鑒別與訪問控制、漏洞修復(fù)等

1.操作系統(tǒng)/應(yīng)用軟件安全

（1）固件安全增強(qiáng)：工業(yè)互聯(lián)網(wǎng)設(shè)備供應(yīng)商需要采取措施對對設(shè)備固件進(jìn)行安全增強(qiáng)，阻止惡意代碼傳播與運(yùn)行。工業(yè)互聯(lián)網(wǎng)設(shè)備供應(yīng)商可從操作系統(tǒng)內(nèi)核、協(xié)議棧等方面進(jìn)行安全增強(qiáng)，并力爭實(shí)現(xiàn)對于設(shè)備固件的自主可控。

（2）漏洞修復(fù)加固：設(shè)備操作系統(tǒng)與應(yīng)用軟件中出現(xiàn)的漏洞對于設(shè)備來說是最直接也是最致命的威脅。設(shè)備供應(yīng)商對工業(yè)現(xiàn)場中常見的設(shè)備與裝置進(jìn)行漏洞掃描與挖掘，發(fā)現(xiàn)操作系統(tǒng)與應(yīng)用軟件中存在的安全漏洞，并及時(shí)對其修復(fù)。

（3）補(bǔ)丁升級管理：工業(yè)互聯(lián)網(wǎng)企業(yè)應(yīng)密切關(guān)注重大工業(yè)互聯(lián)網(wǎng)現(xiàn)場設(shè)備的安全漏洞及補(bǔ)丁發(fā)布，及時(shí)采取補(bǔ)丁升級措施，并在補(bǔ)丁安裝前對補(bǔ)丁進(jìn)行嚴(yán)格的安全評估和測試驗(yàn)證。

2.硬件安全

（1）硬件安全增強(qiáng)：對于接入工業(yè)互聯(lián)網(wǎng)的現(xiàn)場設(shè)備，支持基于硬件特征的唯一標(biāo)識符，為包括工業(yè)互聯(lián)網(wǎng)平臺在內(nèi)的上層應(yīng)用提供基于硬件標(biāo)識的身份鑒別能力。此外，應(yīng)支持將硬件級部件（安全芯片或安全固件）作為系統(tǒng)信任根，為現(xiàn)場設(shè)備的安全啟動以及數(shù)據(jù)傳輸機(jī)密性和完整性保護(hù)提供支持。

（2）運(yùn)維管理：工業(yè)互聯(lián)網(wǎng)企業(yè)應(yīng)在工業(yè)現(xiàn)場網(wǎng)絡(luò)重要控制系統(tǒng)的工程師站、操作員站和歷史站部署運(yùn)維管控系統(tǒng)，實(shí)現(xiàn)對外部存儲器、鍵盤和鼠標(biāo)等使用USB接口設(shè)備的識別，對外部存儲器的使用進(jìn)行嚴(yán)格控制。同時(shí)，注意部署的運(yùn)維管控系統(tǒng)不能影響生產(chǎn)控制。

二、 控制安全

對于工業(yè)互聯(lián)網(wǎng)控制安全防護(hù)，主要從控制協(xié)議安全、控制軟件安全及控制功能安全三個(gè)方面考慮，可采用的安全機(jī)制包括協(xié)議安全加固、軟件安全加固、惡意軟件防護(hù)、補(bǔ)丁升級、漏洞修復(fù)、安全監(jiān)測審計(jì)等。

1.控制協(xié)議安全

（1）身份認(rèn)證：為了確?？刂葡到y(tǒng)執(zhí)行的控制命令來自合法用戶，必須對使用系統(tǒng)的用戶進(jìn)行身份認(rèn)證，未經(jīng)認(rèn)證的用戶所發(fā)出的控制命令不被執(zhí)行。在控制協(xié)議通信過程中，一定要加入認(rèn)證方面的約束，避免攻擊者通過截獲報(bào)文獲取合法地址建立會話，影響控制過程安全。

（2）訪問控制：不同的操作類型需要不同權(quán)限的認(rèn)證用戶來操作，如果沒有基于角色的訪問機(jī)制，沒有對用戶權(quán)限進(jìn)行劃分，會導(dǎo)致任意用戶可以執(zhí)行任意功能。

（3）傳輸加密：在控制協(xié)議設(shè)計(jì)時(shí)，應(yīng)根據(jù)具體情況，采用適當(dāng)?shù)募用艽胧ＷC通信雙方的信息不被第三方非法獲取。

（4）健壯性測試：控制協(xié)議在應(yīng)用到工業(yè)現(xiàn)場之前應(yīng)通過健壯性測試工具的測試，測試內(nèi)容可包括風(fēng)暴測試、飽和測試、語法測試、模糊測試等。

2.控制軟件安全

（1）軟件防篡改：工業(yè)互聯(lián)網(wǎng)中的控制軟件可歸納為數(shù)據(jù)采集軟件、組態(tài)軟件、過程監(jiān)督與控制軟件、單元監(jiān)控軟件、過程仿真軟件、過程優(yōu)化軟件、專家系統(tǒng)、人工智能軟件等類型。軟件防篡改是保障控制軟件安全的重要環(huán)節(jié)，具體措施包括以下幾種：控制軟件在投入使用前應(yīng)進(jìn)行代碼測試，以檢查軟件中的公共缺陷；采用完整性校驗(yàn)措施對控制軟件進(jìn)行校驗(yàn)，及時(shí)發(fā)現(xiàn)軟件中存在的篡改情況；對控制軟件中的部分代碼進(jìn)行加密；做好控制軟件和組態(tài)程序的備份工作。

（2）認(rèn)證授權(quán)：控制軟件的應(yīng)用要根據(jù)使用對象的不同設(shè)置不同的權(quán)限，以最小的權(quán)限完成各自的任務(wù)。惡意軟件防護(hù)對于控制軟件應(yīng)采取惡意代碼檢測、預(yù)防和恢復(fù)的控制措施。

（3）補(bǔ)丁升級更新：控制軟件的變更和升級需要在測試系統(tǒng)中經(jīng)過仔細(xì)的測試，并制定詳細(xì)的回退計(jì)劃。對重要的補(bǔ)丁需盡快測試和部署。對于服務(wù)包和一般補(bǔ)丁，僅對必要的補(bǔ)丁進(jìn)行測試和部署。

（4）漏洞修復(fù)加固：控制軟件的供應(yīng)商應(yīng)及時(shí)對控制軟件中出現(xiàn)的漏洞進(jìn)行修復(fù)或提供其他替代解決方案，如關(guān)閉可能被利用的端口等。

（5）協(xié)議過濾：采用工業(yè)防火墻對協(xié)議進(jìn)行深度過濾，對控制軟件與設(shè)備間的通信內(nèi)容進(jìn)行實(shí)時(shí)跟蹤。

（6）安全監(jiān)測審計(jì)：通過對工業(yè)互聯(lián)網(wǎng)中的控制軟件進(jìn)行安全監(jiān)測審計(jì)可及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)安全事件，避免發(fā)生安全事故，并可以為安全事故的調(diào)查提供詳實(shí)的數(shù)據(jù)支持。目前許多安全產(chǎn)品廠商已推出了各自的監(jiān)測審計(jì)平臺，可實(shí)現(xiàn)協(xié)議深度解析、攻擊異常檢測、無流量異常檢測、重要操作行為審計(jì)、告警日志審計(jì)等功能。

3.控制功能安全

要考慮功能安全和信息安全的協(xié)調(diào)能力，使得信息安全不影響功能安全，功能安全在信息安全的防護(hù)下更好地執(zhí)行安全功能?，F(xiàn)階段功能安全具體措施主要包括：

（1）確定可能的危險(xiǎn)源、危險(xiǎn)狀況和傷害事件，獲取已確定危險(xiǎn)的信息（如持續(xù)時(shí)間、強(qiáng)度、毒性、暴露限度、機(jī)械力、爆炸條件、反應(yīng)性、易燃性、脆弱性、信息丟失等）。

（2）確定控制軟件與其他設(shè)備或軟件（已安裝的或?qū)⒈话惭b的）以及與其他智能化系統(tǒng)（已安裝的或?qū)⒈话惭b的）之間相互作用所產(chǎn)生的危險(xiǎn)狀況和傷害事件，確定引發(fā)事故的事件類型（如元器件失效、程序故障、人為錯(cuò)誤，以及能導(dǎo)致危險(xiǎn)事件發(fā)生的相關(guān)失效機(jī)制）。

（3）結(jié)合典型生產(chǎn)工藝、加工制造過程、質(zhì)量管控等方面的特征，分析安全影響。

（4）考慮自動化、一體化、信息化可能導(dǎo)致的安全失控狀態(tài)，確定需要采用的監(jiān)測、預(yù)警或報(bào)警機(jī)制、故障診斷與恢復(fù)機(jī)制、數(shù)據(jù)收集與記錄機(jī)制等。

（5）明確操作人員在對智能化系統(tǒng)執(zhí)行操作過程中可能產(chǎn)生的合理可預(yù)見的誤用以及智能化系統(tǒng)對于人員惡意攻擊操作的防護(hù)能力。

（6）智能化裝備和智能化系統(tǒng)對于外界實(shí)物、電、磁場、輻射、火災(zāi)、地震等情況的抵抗或切斷能力，以及在發(fā)生異常擾動或中斷時(shí)的檢測和處理能力。

三、網(wǎng)絡(luò)安全

工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全防護(hù)應(yīng)面向工廠內(nèi)部網(wǎng)絡(luò)、外部網(wǎng)絡(luò)及標(biāo)識解析系統(tǒng)等方面，具體包括融合網(wǎng)絡(luò)結(jié)構(gòu)優(yōu)化、邊界安全防護(hù)、接入認(rèn)證、通信內(nèi)容防護(hù)、通信設(shè)備防護(hù)、安全監(jiān)測審計(jì)等多種防護(hù)措施，構(gòu)筑立體化的網(wǎng)絡(luò)安全防護(hù)體系。

1.優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)

在網(wǎng)絡(luò)規(guī)劃階段，需設(shè)計(jì)合理的網(wǎng)絡(luò)結(jié)構(gòu)。一方面通過在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)和標(biāo)識解析節(jié)點(diǎn)采用雙機(jī)熱備和負(fù)載均衡等技術(shù)，應(yīng)對業(yè)務(wù)高峰時(shí)期突發(fā)的大數(shù)據(jù)流量和意外故障引發(fā)的業(yè)務(wù)連續(xù)性問題，確保網(wǎng)絡(luò)長期穩(wěn)定可靠運(yùn)行。另一方面通過合理的網(wǎng)絡(luò)結(jié)構(gòu)和設(shè)置提高網(wǎng)絡(luò)的靈活性和可擴(kuò)展性，為后續(xù)網(wǎng)絡(luò)擴(kuò)容做好準(zhǔn)備。

2.網(wǎng)絡(luò)邊界安全

根據(jù)工業(yè)互聯(lián)網(wǎng)中網(wǎng)絡(luò)設(shè)備和業(yè)務(wù)系統(tǒng)的重要程度將整個(gè)網(wǎng)絡(luò)劃分成不同的安全域，形成縱深防御體系。安全域是一個(gè)邏輯區(qū)域，同一安全域中的設(shè)備資產(chǎn)具有相同或相近的安全屬性，如安全級別、安全威脅、安全脆弱性等，同一安全域內(nèi)的系統(tǒng)相互信任。在安全域之間采用網(wǎng)絡(luò)邊界控制設(shè)備，以邏輯串接的方式進(jìn)行部署，對安全域邊界進(jìn)行監(jiān)視，識別邊界上的入侵行為并進(jìn)行有效阻斷。

3.網(wǎng)絡(luò)接入認(rèn)證

接入網(wǎng)絡(luò)的設(shè)備與標(biāo)識解析節(jié)點(diǎn)應(yīng)該具有唯一性標(biāo)識，網(wǎng)絡(luò)應(yīng)對接入的設(shè)備與標(biāo)識解析節(jié)點(diǎn)進(jìn)行身份認(rèn)證，保證合法接入和合法連接，對非法設(shè)備與標(biāo)識解析節(jié)點(diǎn)的接入行為進(jìn)行阻斷與告警，形成網(wǎng)絡(luò)可信接入機(jī)制。網(wǎng)絡(luò)接入認(rèn)證可采用基于數(shù)字證書的身份認(rèn)證等機(jī)制來實(shí)現(xiàn)。

4.通信和傳輸保護(hù)

通信和傳輸保護(hù)是指采用相關(guān)技術(shù)手段來保證通信過程中的機(jī)密性、完整性和有效性，防止數(shù)據(jù)在網(wǎng)絡(luò)傳輸過程中被竊取或篡改，并保證合法用戶對信息和資源的有效使用，具體包括：

（1）通過加密等方式保證非法竊取的網(wǎng)絡(luò)傳輸數(shù)據(jù)無法被非法用戶識別和提取有效信息。

（2）網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)采取校驗(yàn)機(jī)制，確保被篡改的信息能夠被接收方有效鑒別。

（3）應(yīng)確保接收方能夠接收到網(wǎng)絡(luò)數(shù)據(jù)，并且能夠被合法用戶正常使用。

5.網(wǎng)絡(luò)設(shè)備安全防護(hù)

為了提高網(wǎng)絡(luò)設(shè)備與標(biāo)識解析節(jié)點(diǎn)自身的安全性，保障其正常運(yùn)行，網(wǎng)絡(luò)設(shè)備與標(biāo)識解析節(jié)點(diǎn)需要采取一系列安全防護(hù)措施，主要包括：

（1）對登錄網(wǎng)絡(luò)設(shè)備與標(biāo)識解析節(jié)點(diǎn)進(jìn)行運(yùn)維的用戶進(jìn)行身份鑒別，并確保身份鑒別信息不易被破解與冒用；

（2）對遠(yuǎn)程登錄網(wǎng)絡(luò)設(shè)備與標(biāo)識解析節(jié)點(diǎn)的源地址進(jìn)行限制；

（3）對網(wǎng)絡(luò)設(shè)備與標(biāo)識解析節(jié)點(diǎn)的登錄過程采取完備的登錄失敗處理措施；

（4）啟用安全的登錄方式（如SSH或HTTPS等）。

6.安全監(jiān)測審計(jì)

網(wǎng)絡(luò)安全監(jiān)測指通過漏洞掃描工具等方式探測網(wǎng)絡(luò)設(shè)備與標(biāo)識解析節(jié)點(diǎn)的漏洞情況，并及時(shí)提供預(yù)警信息。網(wǎng)絡(luò)安全審計(jì)指通過鏡像或代理等方式分析網(wǎng)絡(luò)與標(biāo)識解析系統(tǒng)中的流量，并記錄網(wǎng)絡(luò)與標(biāo)識解析系統(tǒng)中的系統(tǒng)活動和用戶活動等各類操作行為以及設(shè)備運(yùn)行信息，發(fā)現(xiàn)系統(tǒng)中現(xiàn)有的和潛在的安全威脅，實(shí)時(shí)分析網(wǎng)絡(luò)與標(biāo)識解析系統(tǒng)中發(fā)生的安全事件并告警。同時(shí)記錄內(nèi)部人員的錯(cuò)誤操作和越權(quán)操作，并進(jìn)行及時(shí)告警，減少內(nèi)部非惡意操作導(dǎo)致的安全隱患。

四、應(yīng)用安全

工業(yè)互聯(lián)網(wǎng)應(yīng)用主要包括工業(yè)互聯(lián)網(wǎng)平臺與工業(yè)應(yīng)用程序兩大類，其范圍覆蓋智能化生產(chǎn)、網(wǎng)絡(luò)化協(xié)同、個(gè)性化定制、服務(wù)化延伸等方面。

1.平臺安全

安全審計(jì)主要是指對平臺中與安全有關(guān)的活動的相關(guān)信息進(jìn)行識別、記錄、存儲和分析。平臺建設(shè)過程中應(yīng)考慮具備一定的安全審計(jì)功能，將平臺與安全有關(guān)的信息進(jìn)行有效識別、充分記錄、長時(shí)間的存儲和自動分析。能對平臺的安全狀況做到持續(xù)、動態(tài)、實(shí)時(shí)的有依據(jù)的安全審計(jì)，并向用戶提供安全審計(jì)的標(biāo)準(zhǔn)和結(jié)果。

工業(yè)互聯(lián)網(wǎng)平臺用戶分屬不同企業(yè)，需要采取嚴(yán)格的認(rèn)證授權(quán)機(jī)制保證不同用戶能夠訪問不同的數(shù)據(jù)資產(chǎn)。同時(shí)，認(rèn)證授權(quán)需要采用更加靈活的方式，確保用戶間可以通過多種方式將數(shù)據(jù)資產(chǎn)分模塊分享給不同的合作伙伴。

部署DDOS防御系統(tǒng)，在遭受DDOS攻擊時(shí)，保證平臺用戶的正常使用。平臺抗DDOS的能力應(yīng)在用戶協(xié)議中作為產(chǎn)品技術(shù)參數(shù)的一部分明確指出。

平臺不同用戶之間應(yīng)當(dāng)采取必要的措施實(shí)現(xiàn)充分隔離，防止蠕蟲病毒等安全威脅通過平臺向不同用戶擴(kuò)散。平臺不同應(yīng)用之間也要采用嚴(yán)格的隔離措施，防止單個(gè)應(yīng)用的漏洞影響其他應(yīng)用甚至整個(gè)平臺的安全。

應(yīng)對平臺實(shí)施集中、實(shí)時(shí)的安全監(jiān)測，監(jiān)測內(nèi)容包括各種物理和虛擬資源的運(yùn)行狀態(tài)等。通過對系統(tǒng)運(yùn)行參數(shù)（如網(wǎng)絡(luò)流量、主機(jī)資源和存儲等）以及各類日志進(jìn)行分析，確保工業(yè)互聯(lián)網(wǎng)平臺提供商可執(zhí)行故障管理、性能管理和自動檢修管理，從而實(shí)現(xiàn)平臺運(yùn)行狀態(tài)的實(shí)時(shí)監(jiān)測。

工業(yè)互聯(lián)網(wǎng)平臺搭建在眾多底層軟件和組件基礎(chǔ)之上。由于工業(yè)生產(chǎn)對于運(yùn)行連續(xù)性的要求較高，中斷平臺運(yùn)行進(jìn)行補(bǔ)丁升級的代價(jià)較大。因此平臺在設(shè)計(jì)之初就應(yīng)當(dāng)充分考慮如何對平臺進(jìn)行補(bǔ)丁升級的問題。

虛擬化是邊緣計(jì)算和云計(jì)算的基礎(chǔ)，為避免虛擬化出現(xiàn)安全問題影響上層平臺的安全，在平臺的安全防護(hù)中要充分考慮虛擬化安全。虛擬化安全的核心是實(shí)現(xiàn)不同層次及不同用戶的有效隔離，其安全增強(qiáng)可以通過采用虛擬化加固等防護(hù)措施來實(shí)現(xiàn)。

2.工業(yè)應(yīng)用程序安全

代碼審計(jì)指檢查源代碼中的缺點(diǎn)和錯(cuò)誤信息，分析并找到這些問題引發(fā)的安全漏洞，并提供代碼修訂措施和建議。開發(fā)過程中應(yīng)該進(jìn)行必要的代碼審計(jì)，發(fā)現(xiàn)代碼中存在的安全缺陷并給出相應(yīng)的修補(bǔ)建議。

企業(yè)應(yīng)對工業(yè)應(yīng)用程序開發(fā)者進(jìn)行軟件源代碼安全培訓(xùn)，包括：了解應(yīng)用程序安全開發(fā)生命周期（SDL）的每個(gè)環(huán)節(jié)，如何對應(yīng)用程序進(jìn)行安全架構(gòu)設(shè)計(jì)，具備所使用編程語言的安全編碼常識，了解常見源代碼安全漏洞的產(chǎn)生機(jī)理、導(dǎo)致后果及防范措施，熟悉安全開發(fā)標(biāo)準(zhǔn)，指導(dǎo)開發(fā)人員進(jìn)行安全開發(fā)，減少開發(fā)者引入的漏洞和缺陷等，從而提高工業(yè)應(yīng)用程序安全水平。

漏洞發(fā)現(xiàn)是指基于漏洞數(shù)據(jù)庫，通過掃描等手段對指定工業(yè)應(yīng)用程序的安全脆弱性進(jìn)行檢測，發(fā)現(xiàn)可利用漏洞的一種安全檢測行為。在應(yīng)用程序上線前和運(yùn)行過程中，要定期對其進(jìn)行漏洞發(fā)現(xiàn)，及時(shí)發(fā)現(xiàn)漏洞并采取補(bǔ)救措施。

對工業(yè)應(yīng)用程序進(jìn)行審核測試是為了發(fā)現(xiàn)功能和邏輯上的問題。在上線前對其進(jìn)行必要的審核測試，有效避免信息泄漏、資源浪費(fèi)或其他影響應(yīng)用程序可用性的安全隱患。

對工業(yè)應(yīng)用程序進(jìn)行實(shí)時(shí)的行為監(jiān)測，通過靜態(tài)行為規(guī)則匹配或者機(jī)器學(xué)習(xí)的方法，發(fā)現(xiàn)異常行為，發(fā)出警告或者阻止高危行為，從而降低影響。

五、數(shù)據(jù)安全

對于工業(yè)互聯(lián)網(wǎng)的數(shù)據(jù)安全防護(hù)，應(yīng)采取明示用途、數(shù)據(jù)加密、訪問控制、業(yè)務(wù)隔離、接入認(rèn)證、數(shù)據(jù)脫敏等多種防護(hù)措施，覆蓋包括數(shù)據(jù)收集、傳輸、存儲、處理等在內(nèi)的全生命周期的各個(gè)環(huán)節(jié)。

1.數(shù)據(jù)收集

工業(yè)互聯(lián)網(wǎng)平臺應(yīng)遵循合法、正當(dāng)、必要的原則收集與使用數(shù)據(jù)及用戶信息，公開數(shù)據(jù)收集和使用的規(guī)則，向用戶明示收集使用數(shù)據(jù)的目的、方式和范圍，經(jīng)過用戶的明確授權(quán)同意并簽署相關(guān)協(xié)議后才能收集相關(guān)數(shù)據(jù)。授權(quán)協(xié)議必須遵循用戶意愿，不得以拒絕提供服務(wù)等形式強(qiáng)迫用戶同意數(shù)據(jù)采集協(xié)議。另外，工業(yè)互聯(lián)網(wǎng)平臺不得收集與其提供的服務(wù)無關(guān)的數(shù)據(jù)及用戶信息，不得違反法律、行政法規(guī)的規(guī)定和雙方約定收集、使用數(shù)據(jù)及用戶信息，并應(yīng)當(dāng)依照法律、行政法規(guī)的規(guī)定和與用戶的約定處理其保存的數(shù)據(jù)及個(gè)人信息。

2.數(shù)據(jù)傳輸

為防止數(shù)據(jù)在傳輸過程中被竊聽而泄露，工業(yè)互聯(lián)網(wǎng)服務(wù)提供商應(yīng)根據(jù)不同的數(shù)據(jù)類型以及業(yè)務(wù)部署情況，采用有效手段確保數(shù)據(jù)傳輸安全。例如通過SSL保證網(wǎng)絡(luò)傳輸數(shù)據(jù)信息的機(jī)密性、完整性與可用性，實(shí)現(xiàn)對工業(yè)互聯(lián)網(wǎng)平臺中虛擬機(jī)之間、虛擬機(jī)與存儲資源之間以及主機(jī)與網(wǎng)絡(luò)設(shè)備之間的數(shù)據(jù)安全傳輸，并為平臺的維護(hù)管理提供數(shù)據(jù)加密通道，保障維護(hù)管理過程的數(shù)據(jù)傳輸安全。

3.數(shù)據(jù)存儲

數(shù)據(jù)訪問控制需要保證不同安全域之間的數(shù)據(jù)不可直接訪問，避免存儲節(jié)點(diǎn)的非授權(quán)接入，同時(shí)避免對虛擬化環(huán)境數(shù)據(jù)的非授權(quán)訪問。

（1）存儲業(yè)務(wù)的隔離：借助交換機(jī)，將數(shù)據(jù)根據(jù)訪問邏輯劃分到不同的區(qū)域內(nèi)，使得不同區(qū)域中的設(shè)備相互間不能直接訪問，從而實(shí)現(xiàn)網(wǎng)絡(luò)中設(shè)備之間的相互隔離。

（2）存儲節(jié)點(diǎn)接入認(rèn)證：對于存儲節(jié)點(diǎn)的接入認(rèn)證可通過成熟的標(biāo)準(zhǔn)技術(shù)，包括iSCSI協(xié)議本身的資源隔離、CHAP（Challenge Handshake Authentication Protocol）等，也可通過在網(wǎng)絡(luò)層面劃分VLAN或設(shè)置訪問控制列表等來實(shí)現(xiàn)。

（3）虛擬化環(huán)境數(shù)據(jù)訪問控制在虛擬化系統(tǒng)上對每個(gè)卷定義不同的訪問策略，以保障沒有訪問該卷權(quán)限的用戶不能訪問，各個(gè)卷之間互相隔離。

工業(yè)互聯(lián)網(wǎng)平臺運(yùn)營商可根據(jù)數(shù)據(jù)敏感度采用分等級的加密存儲措施（如不加密、部分加密、完全加密等）。建議平臺運(yùn)營商按照國家密碼管理有關(guān)規(guī)定使用和管理密碼設(shè)施，并按規(guī)定生成、使用和管理密鑰。同時(shí)針對數(shù)據(jù)在工業(yè)互聯(lián)網(wǎng)平臺之外加密之后再傳輸?shù)焦I(yè)互聯(lián)網(wǎng)平臺中存儲的場景，應(yīng)確保工業(yè)互聯(lián)網(wǎng)平臺運(yùn)營商或任何第三方無法對客戶的數(shù)據(jù)進(jìn)行解密。

用戶數(shù)據(jù)作為用戶托管在工業(yè)互聯(lián)網(wǎng)服務(wù)提供商的數(shù)據(jù)資產(chǎn)，服務(wù)提供商有妥善保管的義務(wù)。應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，防止信息泄露、毀損、丟失。在發(fā)生或者可能發(fā)生個(gè)人信息泄露、毀損、丟失的情況時(shí)，應(yīng)當(dāng)立即采取補(bǔ)救措施，按照規(guī)定及時(shí)告知用戶并向有關(guān)主管部門報(bào)告。工業(yè)互聯(lián)網(wǎng)服務(wù)提供商應(yīng)當(dāng)根據(jù)用戶業(yè)務(wù)需求、與用戶簽訂的服務(wù)協(xié)議制定必要的數(shù)據(jù)備份策略，定期對數(shù)據(jù)進(jìn)行備份。當(dāng)發(fā)生數(shù)據(jù)丟失事故時(shí)能及時(shí)恢復(fù)一定時(shí)間前備份的數(shù)據(jù)，從而降低用戶的損失。

4.數(shù)據(jù)處理

數(shù)據(jù)處理過程中，工業(yè)互聯(lián)網(wǎng)服務(wù)提供商要嚴(yán)格按照法律法規(guī)以及在與用戶約定的范圍內(nèi)處理相關(guān)數(shù)據(jù)，不得擅自擴(kuò)大數(shù)據(jù)使用范圍，使用中要采取必要的措施防止用戶數(shù)據(jù)泄露。如果處理過程中發(fā)生大規(guī)模用戶數(shù)據(jù)泄露的安全事件，應(yīng)當(dāng)及時(shí)告知用戶和上級主管部門，對于造成用戶經(jīng)濟(jì)損失的應(yīng)當(dāng)給予賠償。數(shù)據(jù)銷毀在資源重新分配給新的租戶之前，必須對存儲空間中的數(shù)據(jù)進(jìn)行徹底擦除，防止被非法惡意恢復(fù)。應(yīng)根據(jù)不同的數(shù)據(jù)類型以及業(yè)務(wù)部署情況，選擇采用如下操作方式：

（1）在卷回收時(shí)對邏輯卷的所有bit位進(jìn)行清零，并利用“0”或隨機(jī)數(shù)進(jìn)行多次覆寫；

（2）在非高安全場景，系統(tǒng)默認(rèn)將邏輯卷的關(guān)鍵信息（如元數(shù)據(jù)、索引項(xiàng)、卷前10M等）進(jìn)行清零；在涉及敏感數(shù)據(jù)的高安全場景，當(dāng)數(shù)據(jù)中心的物理硬盤需要更換時(shí)系統(tǒng)管理員可采用消磁或物理粉碎等措施保證數(shù)據(jù)徹底清除。

當(dāng)工業(yè)互聯(lián)網(wǎng)平臺中存儲的工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)與用戶個(gè)人信息需要從平臺中輸出或與第三方應(yīng)用進(jìn)行共享時(shí)，應(yīng)當(dāng)在輸出或共享前對這些數(shù)據(jù)進(jìn)行脫敏處理。脫敏應(yīng)采取不可恢復(fù)的手段，避免數(shù)據(jù)分析方通過其他手段對敏感數(shù)據(jù)復(fù)原。此外數(shù)據(jù)脫敏后不應(yīng)影響業(yè)務(wù)連續(xù)性，避免對系統(tǒng)性能造成較大影響。