11月23日，由中企通信聯(lián)合Fortinet、企業(yè)網(wǎng)D1Net共同舉辦的“創(chuàng)新驅(qū)動(dòng)云網(wǎng)安全，數(shù)智賦能產(chǎn)業(yè)發(fā)展”CIO云沙龍圓滿結(jié)束。

 

中企通信信息安全產(chǎn)品顧問(wèn)徐傳波以《中企通信助力構(gòu)筑新安全智造》為主題，以Security 101為分享思路，從智能制造的背景、理念技術(shù)、行業(yè)法規(guī)與熱點(diǎn)、運(yùn)營(yíng)四部分內(nèi)容為大家講解網(wǎng)絡(luò)新安全的概念及落地措施，他表示：

 

在行業(yè)背景上，智能制造是制造技術(shù)、信息技術(shù)及人工智能技術(shù)的深度融合，貫穿產(chǎn)品設(shè)計(jì)、制造、服務(wù)等全生命周期的各個(gè)環(huán)節(jié)。在我國(guó)的智能制造成熟度模型中，技術(shù)領(lǐng)域占了11%的比重，信息安全在技術(shù)領(lǐng)域則占據(jù)了27%，重要性突出。對(duì)企業(yè)而言，打造智能制造的全新模式，除了完善產(chǎn)品與服務(wù)、流程優(yōu)化以提升運(yùn)營(yíng)效率以外，信息安全對(duì)于提升作業(yè)的安全性，降低作業(yè)事故成本，發(fā)揮著重要的作用;

 

在理念技術(shù)上，企業(yè)往往需要采取安全的框架，并且需要持續(xù)評(píng)估和保持框架的穩(wěn)定性。常用的框架主要有六種，常用于網(wǎng)絡(luò)通訊的OSI安全體系、用在制造業(yè)的普渡模型，用于應(yīng)急響應(yīng)的P2DR和PDCERF，以及應(yīng)用較為普遍的縱深防御框架，以及中企通信這兩年提出的零信任理念，持續(xù)驗(yàn)證的方式，適用于一些安全要求比較高的業(yè)務(wù)場(chǎng)景;

 

近些年來(lái)，國(guó)家陸續(xù)頒布的《數(shù)據(jù)安全法》、《網(wǎng)絡(luò)安全法》等也呈現(xiàn)出對(duì)網(wǎng)絡(luò)安全建設(shè)的關(guān)注。由于傳統(tǒng)的生產(chǎn)制造型企業(yè)一般存在生產(chǎn)工藝復(fù)雜，核心設(shè)備繁多的問(wèn)題，容易面臨系統(tǒng)設(shè)備老舊、漏洞多等情況，關(guān)注點(diǎn)基本落在工控安全、數(shù)據(jù)安全和業(yè)務(wù)連續(xù)性三大層面，三者往往相互關(guān)聯(lián)，相互影響。

 

為此，中企通信主要提出了兩種解決方案，一種是通過(guò)縱深防御架構(gòu)與普渡模型的結(jié)合，采取等保2.0的“一個(gè)中心三重防護(hù)”的思想，搭建工業(yè)系統(tǒng)的白環(huán)境，確定可信的設(shè)備、可信的信息、可信的軟件才可以被接入、被傳輸、被執(zhí)行。另一種是中企通信提供的零信任架構(gòu)結(jié)合普渡模型的方案，將安全問(wèn)題分成L0到L6共7層，并通過(guò)網(wǎng)絡(luò)分段的技術(shù)，采用零信任架構(gòu)對(duì)安全區(qū)域進(jìn)行防護(hù)。其中零信任架構(gòu)的關(guān)鍵技術(shù)涵蓋軟件定義邊界、微隔離，以及加強(qiáng)版的身份識(shí)別與訪問(wèn)控制，以此保障企業(yè)業(yè)務(wù)的安全性。

 

徐傳波還特別提到，對(duì)于企業(yè)而言，中企通信的優(yōu)勢(shì)在于工業(yè)互聯(lián)網(wǎng)的要素具備，比如中企通信的四大旗艦服務(wù)——中企通CeOne-CONNECT專用網(wǎng)絡(luò)服務(wù)、TrustCSI信息安全管理服務(wù)、中企云時(shí)代®SmartCLOUD云計(jì)算管理服務(wù)，云數(shù)據(jù)中心DataHOUSE®，與其一系列的增值管理服務(wù)，可互相融合，并可配合網(wǎng)絡(luò)運(yùn)營(yíng)中心，安全運(yùn)營(yíng)中心及云計(jì)算運(yùn)營(yíng)中心，成為企業(yè)用戶強(qiáng)有力的后盾。在安全技術(shù)上，工控安全及數(shù)據(jù)安全能力突出，同時(shí)還加入主動(dòng)防御、安全托管的措施，融合風(fēng)險(xiǎn)評(píng)估，能夠?qū)崿F(xiàn)安全解決方案的理想化落地。

 

Fortinet資深安全顧問(wèn)黃浩翔，則主要圍繞工業(yè)網(wǎng)絡(luò)的安全和需求，為大家羅列了典型的工控網(wǎng)絡(luò)安全問(wèn)題，并以實(shí)踐案例，為大家進(jìn)行了詳盡的分享。

 

在企業(yè)的圓桌對(duì)話環(huán)節(jié)，天合光能全球IT負(fù)責(zé)人郭雄猛、中企通信信息安全產(chǎn)品顧問(wèn)徐傳波、Fortinet資深安全顧問(wèn)黃浩翔齊聚直播間，共同探討安全運(yùn)營(yíng)前沿風(fēng)向及技術(shù)創(chuàng)新成果。圍繞用戶比較關(guān)心的問(wèn)題，我們對(duì)對(duì)話內(nèi)容進(jìn)行了節(jié)選摘錄。希望能為企業(yè)數(shù)字化信息安全建設(shè)，提供參考價(jià)值。

 

 

主持人：目前在數(shù)字化變革的驅(qū)動(dòng)下，新能源新材料行業(yè)，在信息安全的建設(shè)方面的情況是怎么樣的?遇到了哪些挑戰(zhàn)?

 

郭雄猛：光伏行業(yè)是一個(gè)充分面向全球市場(chǎng)的行業(yè)，安全方面的挑戰(zhàn)，一直以來(lái)都是存在的，在早期數(shù)字化的階段，大多數(shù)面臨安全投入不足的問(wèn)題。雖然在這些年已經(jīng)有了比較大的改觀，但目前作為全球化制造業(yè)所面臨的安全挑戰(zhàn)，基本存在以下的問(wèn)題：

 

首先，目前的國(guó)際環(huán)境不穩(wěn)定大多源于外部的攻擊事件頻發(fā)，主要聚焦在海外的區(qū)域。因此，對(duì)制造企業(yè)而言，在這種高度復(fù)雜、安全態(tài)勢(shì)嚴(yán)峻的背景下，如何打造穩(wěn)定可靠且快速響應(yīng)的安全支撐機(jī)制，是一個(gè)非常大的挑戰(zhàn);

 

其次，傳統(tǒng)的安全建設(shè)，大家會(huì)投入較多的精力在邊界安全、上網(wǎng)行為等方面，其實(shí)在數(shù)據(jù)安全層面，目前在制造業(yè)方面成體系的建設(shè)是相對(duì)不足的，近年來(lái)企業(yè)逐漸意識(shí)到這方面的問(wèn)題，也在加強(qiáng)投入。然而在系統(tǒng)規(guī)劃的時(shí)候，由于數(shù)據(jù)安全涉及面較廣，企業(yè)在建設(shè)的時(shí)候往往面臨著選擇的問(wèn)題——從哪里切入才可以把數(shù)據(jù)安全的能力建立起來(lái)。而且作為傳統(tǒng)的行業(yè)，如何在快速智能化推進(jìn)的過(guò)程中，提升工業(yè)安全的能力，也是一個(gè)迫切需要解決的問(wèn)題。

 

再者，如何實(shí)現(xiàn)高價(jià)值的生產(chǎn)上的工業(yè)安全，應(yīng)該怎么規(guī)劃，以及在隱私保護(hù)和數(shù)據(jù)出境方面做好，也是全球化的制造業(yè)所面臨的問(wèn)題。同時(shí)還有防勒索方面的事件，今年也特別嚴(yán)重，在部分制造業(yè)領(lǐng)域，受波及面較廣，整體形勢(shì)較為嚴(yán)峻。

 

主持人：基于前述郭總提到的問(wèn)題，從您的角度來(lái)看，制造行業(yè)提到的問(wèn)題有沒(méi)有一些代表性的?現(xiàn)在企業(yè)當(dāng)中遇到的普遍的信息安全挑戰(zhàn)是什么?

 

徐傳波：剛才郭總提到的，比較多的都是具有共性的。首先是攻擊事件頻發(fā)，尤其在勒索病毒方面，比以前更頻繁，并且都是以利益為驅(qū)動(dòng)的。攻擊事件頻發(fā)導(dǎo)致了我們的合規(guī)趨嚴(yán)，國(guó)家出臺(tái)了一些《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》，《關(guān)鍵基礎(chǔ)設(shè)施保護(hù)條例》等等;第二個(gè)由于信息安全的業(yè)態(tài)更多元化了，比如云計(jì)算，大數(shù)據(jù)，工業(yè)控制系統(tǒng)，移動(dòng)互聯(lián)，物聯(lián)網(wǎng)等等，使得防護(hù)更加困難;第三點(diǎn)是網(wǎng)絡(luò)現(xiàn)在互聯(lián)互通了，特別是剛才郭總談到的，很多企業(yè)在國(guó)外設(shè)置分廠，這必然要求進(jìn)行網(wǎng)絡(luò)的互聯(lián)互通，里面就有一個(gè)暴露面擴(kuò)大的問(wèn)題，一旦遭受了攻擊之后，擴(kuò)散就會(huì)非常迅速，控制起來(lái)也是比較難的，破壞力非常強(qiáng);第四點(diǎn)是我們防護(hù)技術(shù)的復(fù)雜度也在不斷地提升，傳統(tǒng)的方式是上一些安全設(shè)備就可以，但現(xiàn)在已經(jīng)無(wú)法滿足了，我們由原來(lái)的產(chǎn)品驅(qū)動(dòng)安全面向這種服務(wù)去驅(qū)動(dòng)安全。

 

另外補(bǔ)充以下兩點(diǎn)，第五點(diǎn)是基于數(shù)據(jù)流動(dòng)的特性，數(shù)據(jù)安全治理工作同時(shí)也面臨著新的挑戰(zhàn)，傳統(tǒng)的邊界是難以滿足安全需要的。最后一點(diǎn)就是安全意識(shí)的提升要求提高，對(duì)安全人員的培養(yǎng)難度也有增大。

 

主持人：目前不僅是制造業(yè)，包括很多行業(yè)都會(huì)遇到諸如攻擊事件等安全問(wèn)題，企業(yè)在搭建互聯(lián)互通的橋梁過(guò)程中，安全方面存在不同的隱患。在能源行業(yè)面臨的普遍問(wèn)題方面，中企通信在實(shí)現(xiàn)從產(chǎn)品驅(qū)動(dòng)到服務(wù)驅(qū)動(dòng)的轉(zhuǎn)變主要體現(xiàn)在哪些方面?

 

徐傳波：中企通信主要針對(duì)于制造業(yè)的工業(yè)控制系統(tǒng)，提供兩種解決方案，第一種是基于縱深防御的普渡模型，比如企業(yè)建廠時(shí)，往往不可能從設(shè)計(jì)之初就考慮周全，而這些設(shè)備、系統(tǒng)都要運(yùn)轉(zhuǎn)很久。當(dāng)設(shè)備老舊后，出現(xiàn)安全問(wèn)題時(shí)，比較適合采取的就是基于白環(huán)境的縱深防御架構(gòu)。我們主要采取的是等保2.0里面要求的“一個(gè)中心三重防護(hù)”的標(biāo)準(zhǔn)，在生產(chǎn)區(qū)域的工控系統(tǒng)里面建設(shè)了白環(huán)境的防護(hù)體系，進(jìn)而構(gòu)筑了工業(yè)控制系統(tǒng)的安全白環(huán)境，只有可信的設(shè)備才可以進(jìn)入工控網(wǎng)絡(luò)，只有可信任的消息才允許在工控網(wǎng)絡(luò)上傳輸，只有可信任的軟件才可以被執(zhí)行。

 

考慮到目前安全業(yè)態(tài)的復(fù)雜性，我們也提出了一個(gè)新的安全策略——零信任架構(gòu)。中企通信采用零信任架構(gòu)，其實(shí)也是結(jié)合工業(yè)控制系統(tǒng)里的普渡模型，通過(guò)采用專業(yè)設(shè)備，比如說(shuō)工業(yè)加固的這種防火墻，交換機(jī)，以及采取了OT的EDR，以及專用的方案，比如說(shuō)工業(yè)控制類服務(wù)，OT特定的協(xié)議。配合中企通信經(jīng)驗(yàn)豐富的專業(yè)團(tuán)隊(duì)，以及大量頭部的OT客戶和案例落地經(jīng)驗(yàn)，為客戶提供完善的安全解決方案。

 

主持人：中企通信的“一個(gè)中心三重防護(hù)”主要是一種什么樣的體系?

 

徐傳波：首先是“一個(gè)中心三重防護(hù)”。我國(guó)的等保2.0是2019年12月31號(hào)正式出臺(tái)的，里面提到了“一個(gè)中心三重防護(hù)”的技術(shù)防護(hù)手段，一個(gè)中心就是指的安全管理中心，三重防護(hù)，第一重防護(hù)就是安全網(wǎng)絡(luò)區(qū)域邊界，主要是在內(nèi)外網(wǎng)之間以及普渡模型里面的生產(chǎn)網(wǎng)各個(gè)層級(jí)之間進(jìn)行邊界防護(hù);第二重防護(hù)我們指的是網(wǎng)絡(luò)安全通訊，在此過(guò)程中主要會(huì)采用一些安全監(jiān)測(cè)與審計(jì)系統(tǒng)等設(shè)備;第三重是指安全計(jì)算環(huán)境，比如主機(jī)的安全之類。通過(guò)一個(gè)中心三重防護(hù)，可以有效地解決了工業(yè)控制系統(tǒng)中的安全問(wèn)題，這是我們國(guó)家等級(jí)保護(hù)2.0工控安全擴(kuò)展要求的技術(shù)指導(dǎo)思想。這個(gè)特別適用于已經(jīng)成熟的工廠，因?yàn)槔锩娴南到y(tǒng)設(shè)備老舊，改造困難，而且加裝防護(hù)設(shè)備也不太現(xiàn)實(shí)。

 

另一種基于零信任策略的方式比較適合于建新廠，特別是安全要求程度比較高，尤其關(guān)注數(shù)據(jù)安全的企業(yè)。因?yàn)榱阈湃问菫閿?shù)據(jù)安全而生的，企業(yè)可以在建新廠的過(guò)程中，提出三年或五年執(zhí)行零信任的戰(zhàn)略規(guī)劃，執(zhí)行零信任的。兩種方式各有優(yōu)缺點(diǎn)，企業(yè)應(yīng)該根據(jù)自身的情況選擇。

 

以上為本次專題沙龍的內(nèi)容節(jié)選，若想回顧完整的沙龍，歡迎點(diǎn)擊下方鏈接觀看。