制造业数字化转型信息安全挑战及应对方案
毋庸置疑,制造业数字化是行业趋势,随着数字化技术的深入,对IT系统依赖越来越高,对数字化系统的连续性要求越来越高,有价值的数据也越来越多。许多制造企业经常忽视信息安全的建设,造成难以挽回的损失。
近日,世界最大的半导体制造商台积电成为勒索软件黑帮 LockBit 最新一位的受害者,该组织勒索 7000 万美元以交换不泄露窃取的数据。台积电已经证实了此次攻击,表示网络入侵导致了与服务器初始设置和配置相关的信息泄露,没有任何客户信息泄露。
2022年3月,由于一家主要供应商遭受到网络攻击,丰田汽车关闭其在日本的所有工厂,暂停的工厂涉及其国内14家工厂和28条生产线的运营。
2022年6月,全球制造业巨头富士康证实,其墨西哥一家工厂在5月底遭遇了勒索攻击。黑客组织加密了这家工厂的约1200台服务器,窃取了100 GB的未加密文件,并删除了20TB至30TB的备份内容,并索取1804.0955比特币赎金,约人民币2.3亿元。据外媒报道,本次勒索攻击一度导致该工厂的业务中断。
随着数字化的深入,制造业上云成为趋势,制造业上云安全面临挑战。
01数字化转型驱动制造业上云势在必行
制造业的特点是对实时性和可靠性要求高,生产必须保持连续性,并且不能出现丝毫的差错。所以制造业对IT系统最基本的要求是实时可靠,随着数字化的深入,同时要求IT系统具备定制化、数据管理能力、集成能力以及安全保密性等特点,以满足制造业的复杂需求。
实时性和可靠性:制造业需要实时的数据收集和处理能力,以支持生产线的监控和控制。IT系统需要具备高度可靠性,确保数据的准确性和及时性,以避免生产中断和质量问题。
高度定制化:由于需求的多样性,IT系统需要具备灵活的定制化能力,以适应不同类型和规模的制造过程。企业需要能够根据自身需求进行定制开发或选择适合的行业解决方案。
强大的数据管理能力:制造业产生大量的数据,对于数据的采集、存储和分析都有较高的要求。IT系统需要提供强大的数据管理功能,包括数据采集接口、大规模数据存储和处理能力、数据分析和可视化等。
集成能力:制造业通常存在多个独立的系统和设备,如ERP系统、MES系统、设备控制系统等,这些系统需要进行集成,实现信息的无缝流动和共享。IT系统需要具备良好的集成能力,支持系统之间的数据交换和协同工作。
安全和保密性:制造业涉及到商业机密、产品设计和生产数据等敏感信息,对于安全和保密性有很高的要求。IT系统需要提供强大的安全措施,包括身份认证、数据加密、权限管理等,以保护企业的敏感信息不受未经授权的访问。
基于以上原因,制造业上云成为行业趋势。
首先是提高生产效率:制造业上云可以通过数字化技术和云计算平台提供更高的生产效率。云平台可以集成并优化制造过程中的各个环节,包括供应链管理、生产计划、物料采购、生产控制等。通过实时数据收集和分析,制造企业可以更好地优化生产流程,减少生产周期,提高交付速度,降低生产成本。
其次促进创新和协作:上云可以为制造企业提供更好的创新和协作环境。云平台提供了强大的数据存储和处理能力,可以支持大规模数据分析、人工智能和机器学习应用。制造企业可以利用云上的工具和资源,进行产品设计优化、模拟仿真、智能制造等创新活动。此外,云平台也为不同部门和团队之间的协作提供了便利,可以促进信息共享和实时沟通。
第三是强化智能制造和物联网应用:上云可以为制造业的智能制造和物联网应用提供技术支持。云平台可以与设备、传感器和物联网连接,实现设备之间的数据共享和远程监控。制造企业可以利用云平台来收集和分析来自各种设备和传感器的数据,实现设备状态监测、预测性维护和生产优化等智能制造应用。
第四是强化灵活性和可扩展性:云计算提供了灵活的计算和存储资源,可以根据制造业务的需求进行弹性扩展。制造企业可以根据需要快速调整计算资源的规模,实现高效的资源利用和成本控制。此外,云平台还可以支持多地点和分布式生产环境的协同工作,提供灵活的部署选项和远程访问功能。
与此同时,制造业上云安全面临挑战,云计算提供了强大的数据安全和备份机制,可以帮助制造企业保护关键业务数据。
但是相比传统架构,云计算更为复杂,对IT管理方面提出更高要求。
02制造业上云安全面临挑战
制造业上云所面临的安全挑战包括以下几个方面:
数据安全和隐私:制造业涉及到大量的敏感数据,包括产品设计、制造工艺、客户信息等。将这些数据存储在云平台上可能增加数据泄露、数据丢失或未经授权访问的风险。确保数据的机密性、完整性和可用性是制造业上云面临的首要挑战。
访问控制和身份认证:制造业上云需要建立有效的访问控制和身份认证机制,以确保只有授权人员可以访问敏感数据和系统。不正确的访问控制可能导致未经授权的访问、数据篡改或恶意操作。
威胁和漏洞管理:制造业上云后,需要及时识别和应对可能的威胁和漏洞。云平台的漏洞、不安全的配置或弱密码可能被黑客利用,导致系统被入侵或数据被窃取。制造业需要建立有效的威胁管理和漏洞管理机制,及时修补漏洞、监控潜在威胁。
供应链安全:制造业涉及到复杂的供应链网络,上云后需要确保供应链的安全性。供应链中的各个环节可能成为攻击的目标,黑客可能通过攻击供应商或分销商的云平台来获取机密数据或破坏生产过程。
物理安全:制造业上云并不意味着物理安全问题就不再重要。云服务提供商的数据中心和网络设施需要具备高级的物理安全措施,以防止设备盗窃、自然灾害或其他物理攻击。
合规性要求:制造业在上云过程中需要遵守法规和行业标准的合规性要求,如数据保护法规、知识产权保护、行业标准等。确保合规性可能需要制定适当的政策、流程和控制措施。
那么,制造业如何应对上云面临的安全挑战,解决方案是什么?华为云在云安全方面有丰富的实践,总结出方法论,来看看华为云的云安全解决方案。
03制造业上云安全解决方案
在华为云的今年4月份发布的《企业上云安全白皮书》中,华为云给出了企业上云安全的方法论和操作步骤。
云安全的基础是责任共担模型,即华为云负责云服务自身的安全,提供安全的云;用户负责云服务内部的安全,安全使用云。
企业上云过程,华为云给出了评估调研、规划设计、迁移实施、迁移验收四个阶段的划分,每个阶段有清晰的步骤。
本节以企业上云迁移流程为基准,向企业提供上云安全建设步骤指南,指导企业构建云上安全体系。
白皮书指出上云安全建设分为5个步骤:
制定安全策略
第一个步骤是制定安全策略,分为十一个模块:
- 安全管理组织:指定负责云上各个关键职能人员/团队,比如安全运营、系统安全管理等,并定义其职责。
- 身份与访问管理:定义组织人员身份类型和身份验证方法,仅授予身份所需的权限,并持续审核和监控账号和权限的使用。
- 网络安全:对业务所在网络进行安全分区管理,并进行相应隔离;在网络边界实施防护和监控机制;确保通信线路和设备的冗余以满足业务需求。
- 数据安全:根据数据保护相关法律法规、标准中定义的分类分级要求对数据进行分类分级管理,并在数据生命周期各个阶段实施相对应的保护措施。
- 威胁与漏洞管理:对云上业务定期执行漏洞扫描和分析,并及时对漏洞修补。
- 日志与监控:对云上资源启用日志功能,集中收集和存储所有日志,并对日志进行监控和审核;监控安全状态,并记录网络攻击行为。
- 安全响应与恢复:为安全事件管理提供资源支持,自动对安全事件进行上报和通知,预部署事件响应工具;定期开展安全事件演练与经验总结。
- 备份与恢复:定义数据备份策略和保护措施,并对备份进行监控与审核。
- 开发安全:对开发代码进行安全检查;系统上线前执行安全测试;保护研发资产的安全。
- 证书与密钥管理:定义组织允许使用的加密算法和密码技术产品;对密钥和证书进行集中管理,并在密钥和证书的生命周期各个阶段实施安全控制。
- 隐私保护与合规:识别隐私保护相关法律法规,对业务所涉个人数据进行识别并进行隐私风险评估;减少敏感数据在系统中的暴露风险;持续遵循合规要求。
制定安全计划
第二个步骤是制订安全计划,白皮书分为四个部分:
准备迁移环境
企业在正式实施迁移上云之前,需确保迁移目的端环境符合企业的合规性和安全性要
求。根据企业已确定的云上产品清单,安全团队根据云环境安全基准设计方案对云上环境进行配置,并持续审核配置以确认云环境满足安全基准,这将有效减少在迁移部署期间的安全风险和降低业务迁移上云后再进行安全配置的风险。
实施迁移
企业在实施迁移过程中会可能面临业务中断、数据丢失、数据迁移不一致等风险,华为云提供多种迁移工具帮助企业应对迁移实施过程中的安全风险,并能有效缩短迁移中断时间和提高迁移效率,减少对业务运行的影响。
04制造业上云安全案例
某化工制造企业,年营收接近100亿人民币,因为业务发展需求进行数字化转型,需要新上或者升级一批工业系统,尤其是WMS系统,需要7x24小时支撑业务运转。
经过和客户多轮沟通,引导客户使用华为云,华为云在制造行业有突出优势:
●行业解决方案丰富:华为云提供了丰富的行业解决方案,尤其在制造业方面有较强的专注度和布局;
●产品体系完备:华为云提供了完备的产品体系,包括IaaS、PaaS和SaaS,可全面支撑企业的基础架构、应用开发和业务运营;
●云边融合优势:华为在云计算和网络领域具有优势,云边协同产品成熟,可以帮助制造企业实现云边融合,将云上和边缘侧的计算资源有机结合;
●安全可控:华为云有较强的安全技术积累,有助于保障企业的业务数据和网络安全。
在确定使用华为云以后,根据华为云安全最佳实践,制定安全策略。
●安全管理组织:由甲乙方共同成立安全小组,推进安全事项落地,评估安全措施效果;
●身份与访问管理:对系统权限和账号进行梳理,根据最小权限原则只给比要的账号,云账号根据权限划分子帐号,所有的云账号启用两步认证;
●网络安全:使用vpc、云防护墙、ACL进行分区管理,对网络边界实施防护和监控机制;
●数据安全:根据法律法规和企业业务,对数据进行分级分类,在数据生命周期各个阶段实施相对应的保护措施;
●威胁与漏洞管理:通过华为云云安全大脑对云上业务定期执行漏洞扫描和分析,并及时对漏洞修补;
●日志与监控:通过华为云云安全大脑对云上资源启用日志功能,集中收集和存储所有日志,并对日志进行监控和审核;监控安全状态,并记录网络攻击行为。
●安全响应与恢复:通过华为云云安全大脑为安全事件管理提供资源支持,自动对安全事件进行上报和通知,预部署事件响应工具;定期开展安全事件演练与经验总结。
●备份与恢复:对重要数据做到实时备份,对次重要数据每天备份,对普通数据每周备份,并对备份进行监控与审核;
●开发安全:上线前对开发代码进行安全检查;系统上线前执行安全测试;
●证书与密钥管理:制定证书与密钥管理流程与机制,做到证书与密钥全生命周期管理;
●隐私保护与合规:按照等级保护三级标准进行安全建设,确保合规要求。
制定安全计划
根据华为云安全最佳实践,制定安全计划
准备环境
根据安全策略和安全计划,准备环境
实施上云
根据安全策略和安全计划,实施部署
持续安全运营
项目上线后,基于华为云安全大脑,新钛云服提供持续的安全运营服务,新钛云服的安全运营服务流程如下:
效果评估
经过按照华为云安全最佳实践设计和配置,上线以来该企业业务运行稳定,未出现任何安全事件,取得了良好效果。