11月23日,由中企通信聯合Fortinet、企業網D1Net共同舉辦的“創新驅動云網安全,數智賦能產業發展”CIO云沙龍圓滿結束。
中企通信信息安全產品顧問徐傳波以《中企通信助力構筑新安全智造》為主題,以Security 101為分享思路,從智能制造的背景、理念技術、行業法規與熱點、運營四部分內容為大家講解網絡新安全的概念及落地措施,他表示:
在行業背景上,智能制造是制造技術、信息技術及人工智能技術的深度融合,貫穿產品設計、制造、服務等全生命周期的各個環節。在我國的智能制造成熟度模型中,技術領域占了11%的比重,信息安全在技術領域則占據了27%,重要性突出。對企業而言,打造智能制造的全新模式,除了完善產品與服務、流程優化以提升運營效率以外,信息安全對于提升作業的安全性,降低作業事故成本,發揮著重要的作用;
在理念技術上,企業往往需要采取安全的框架,并且需要持續評估和保持框架的穩定性。常用的框架主要有六種,常用于網絡通訊的OSI安全體系、用在制造業的普渡模型,用于應急響應的P2DR和PDCERF,以及應用較為普遍的縱深防御框架,以及中企通信這兩年提出的零信任理念,持續驗證的方式,適用于一些安全要求比較高的業務場景;
近些年來,國家陸續頒布的《數據安全法》、《網絡安全法》等也呈現出對網絡安全建設的關注。由于傳統的生產制造型企業一般存在生產工藝復雜,核心設備繁多的問題,容易面臨系統設備老舊、漏洞多等情況,關注點基本落在工控安全、數據安全和業務連續性三大層面,三者往往相互關聯,相互影響。
為此,中企通信主要提出了兩種解決方案,一種是通過縱深防御架構與普渡模型的結合,采取等保2.0的“一個中心三重防護”的思想,搭建工業系統的白環境,確定可信的設備、可信的信息、可信的軟件才可以被接入、被傳輸、被執行。另一種是中企通信提供的零信任架構結合普渡模型的方案,將安全問題分成L0到L6共7層,并通過網絡分段的技術,采用零信任架構對安全區域進行防護。其中零信任架構的關鍵技術涵蓋軟件定義邊界、微隔離,以及加強版的身份識別與訪問控制,以此保障企業業務的安全性。
徐傳波還特別提到,對于企業而言,中企通信的優勢在于工業互聯網的要素具備,比如中企通信的四大旗艦服務——中企通CeOne-CONNECT專用網絡服務、TrustCSI信息安全管理服務、中企云時代®SmartCLOUD云計算管理服務,云數據中心DataHOUSE®,與其一系列的增值管理服務,可互相融合,并可配合網絡運營中心,安全運營中心及云計算運營中心,成為企業用戶強有力的后盾。在安全技術上,工控安全及數據安全能力突出,同時還加入主動防御、安全托管的措施,融合風險評估,能夠實現安全解決方案的理想化落地。
Fortinet資深安全顧問黃浩翔,則主要圍繞工業網絡的安全和需求,為大家羅列了典型的工控網絡安全問題,并以實踐案例,為大家進行了詳盡的分享。
在企業的圓桌對話環節,天合光能全球IT負責人郭雄猛、中企通信信息安全產品顧問徐傳波、Fortinet資深安全顧問黃浩翔齊聚直播間,共同探討安全運營前沿風向及技術創新成果。圍繞用戶比較關心的問題,我們對對話內容進行了節選摘錄。希望能為企業數字化信息安全建設,提供參考價值。
圓桌對話(節選)
主持人:目前在數字化變革的驅動下,新能源新材料行業,在信息安全的建設方面的情況是怎么樣的?遇到了哪些挑戰?
郭雄猛:光伏行業是一個充分面向全球市場的行業,安全方面的挑戰,一直以來都是存在的,在早期數字化的階段,大多數面臨安全投入不足的問題。雖然在這些年已經有了比較大的改觀,但目前作為全球化制造業所面臨的安全挑戰,基本存在以下的問題:
首先,目前的國際環境不穩定大多源于外部的攻擊事件頻發,主要聚焦在海外的區域。因此,對制造企業而言,在這種高度復雜、安全態勢嚴峻的背景下,如何打造穩定可靠且快速響應的安全支撐機制,是一個非常大的挑戰;
其次,傳統的安全建設,大家會投入較多的精力在邊界安全、上網行為等方面,其實在數據安全層面,目前在制造業方面成體系的建設是相對不足的,近年來企業逐漸意識到這方面的問題,也在加強投入。然而在系統規劃的時候,由于數據安全涉及面較廣,企業在建設的時候往往面臨著選擇的問題——從哪里切入才可以把數據安全的能力建立起來。而且作為傳統的行業,如何在快速智能化推進的過程中,提升工業安全的能力,也是一個迫切需要解決的問題。
再者,如何實現高價值的生產上的工業安全,應該怎么規劃,以及在隱私保護和數據出境方面做好,也是全球化的制造業所面臨的問題。同時還有防勒索方面的事件,今年也特別嚴重,在部分制造業領域,受波及面較廣,整體形勢較為嚴峻。
主持人:基于前述郭總提到的問題,從您的角度來看,制造行業提到的問題有沒有一些代表性的?現在企業當中遇到的普遍的信息安全挑戰是什么?
徐傳波:剛才郭總提到的,比較多的都是具有共性的。首先是攻擊事件頻發,尤其在勒索病毒方面,比以前更頻繁,并且都是以利益為驅動的。攻擊事件頻發導致了我們的合規趨嚴,國家出臺了一些《網絡安全法》《數據安全法》《個人信息保護法》,《關鍵基礎設施保護條例》等等;第二個由于信息安全的業態更多元化了,比如云計算,大數據,工業控制系統,移動互聯,物聯網等等,使得防護更加困難;第三點是網絡現在互聯互通了,特別是剛才郭總談到的,很多企業在國外設置分廠,這必然要求進行網絡的互聯互通,里面就有一個暴露面擴大的問題,一旦遭受了攻擊之后,擴散就會非常迅速,控制起來也是比較難的,破壞力非常強;第四點是我們防護技術的復雜度也在不斷地提升,傳統的方式是上一些安全設備就可以,但現在已經無法滿足了,我們由原來的產品驅動安全面向這種服務去驅動安全。
另外補充以下兩點,第五點是基于數據流動的特性,數據安全治理工作同時也面臨著新的挑戰,傳統的邊界是難以滿足安全需要的。最后一點就是安全意識的提升要求提高,對安全人員的培養難度也有增大。
主持人:目前不僅是制造業,包括很多行業都會遇到諸如攻擊事件等安全問題,企業在搭建互聯互通的橋梁過程中,安全方面存在不同的隱患。在能源行業面臨的普遍問題方面,中企通信在實現從產品驅動到服務驅動的轉變主要體現在哪些方面?
徐傳波:中企通信主要針對于制造業的工業控制系統,提供兩種解決方案,第一種是基于縱深防御的普渡模型,比如企業建廠時,往往不可能從設計之初就考慮周全,而這些設備、系統都要運轉很久。當設備老舊后,出現安全問題時,比較適合采取的就是基于白環境的縱深防御架構。我們主要采取的是等保2.0里面要求的“一個中心三重防護”的標準,在生產區域的工控系統里面建設了白環境的防護體系,進而構筑了工業控制系統的安全白環境,只有可信的設備才可以進入工控網絡,只有可信任的消息才允許在工控網絡上傳輸,只有可信任的軟件才可以被執行。
考慮到目前安全業態的復雜性,我們也提出了一個新的安全策略——零信任架構。中企通信采用零信任架構,其實也是結合工業控制系統里的普渡模型,通過采用專業設備,比如說工業加固的這種防火墻,交換機,以及采取了OT的EDR,以及專用的方案,比如說工業控制類服務,OT特定的協議。配合中企通信經驗豐富的專業團隊,以及大量頭部的OT客戶和案例落地經驗,為客戶提供完善的安全解決方案。
主持人:中企通信的“一個中心三重防護”主要是一種什么樣的體系?
徐傳波:首先是“一個中心三重防護”。我國的等保2.0是2019年12月31號正式出臺的,里面提到了“一個中心三重防護”的技術防護手段,一個中心就是指的安全管理中心,三重防護,第一重防護就是安全網絡區域邊界,主要是在內外網之間以及普渡模型里面的生產網各個層級之間進行邊界防護;第二重防護我們指的是網絡安全通訊,在此過程中主要會采用一些安全監測與審計系統等設備;第三重是指安全計算環境,比如主機的安全之類。通過一個中心三重防護,可以有效地解決了工業控制系統中的安全問題,這是我們國家等級保護2.0工控安全擴展要求的技術指導思想。這個特別適用于已經成熟的工廠,因為里面的系統設備老舊,改造困難,而且加裝防護設備也不太現實。
另一種基于零信任策略的方式比較適合于建新廠,特別是安全要求程度比較高,尤其關注數據安全的企業。因為零信任是為數據安全而生的,企業可以在建新廠的過程中,提出三年或五年執行零信任的戰略規劃,執行零信任的。兩種方式各有優缺點,企業應該根據自身的情況選擇。
以上為本次專題沙龍的內容節選,若想回顧完整的沙龍,歡迎點擊下方鏈接觀看。
京公網安備 11010502049343號