5G、云计算、大数据、物联网、移动互联网、人工智能……纷至沓来造就了一个崭新的数字化时代。网络作为数字经济时代的基础建设,无疑是企业的核心关注要素。技术本身就是一把双刃剑,网络与信息安全也成为了政府、企业、社会在数字化建设中面临的重要挑战。一旦因网络安全事件造成核心数据遭受泄露,将会对企业的经营发展带来严重危机。因此,国家关于网络安全的法律陆续出台,企业的网络安全建设力度也不断加大。
然而,技术的革新带来新的挑战,尤其在企业融入“双循环”经济体系背景下,如何加强网络建设,通过结合前沿科技技术,建立完善的防御手段,确保核心数据及业务安全,成为每家企业都面临的时代命题。
2022年6月8日,中企通信联合联合华昂研究院、Fortinet,开展“创新与安全驱动型网络,夯实数字化建设底座”线上研讨会。中企通信信息安全顾问徐传波、Fortinet安全技术顾问王春惠作为演讲嘉宾进行了分享,并与上汽集团信息战略与网络安全部高级总监顾咏梅、三菱电机CIO范天益共同参与圆桌对话环节,共同探讨企业在推进数字化建设中,如何构建自己的网络安全体系,共享安全运营前沿风向及技术创新成果,赋能数字化建设新未来。
《数智化战略中网络安全的布局》
中企通信信息安全顾问徐传波:
数字经济时代,信息技术对企业越来越重要,企业的信息交换和传播都依赖网络进行传输,网络改变了传统的商务运作模式,也改变了企业原来的生产方式和思想观念,企业网络安全已逐步从产品驱动向服务驱动转变。
对于企业而言,在安全领域主要有三大热点的问题,包括工控安全、数据安全以及业务连续性。而信息安全在智能制造新模式上,最直观的效应体现在提高作业安全性,可以降低作业成本的5%-10%。特别是在智能制造的集成电路、生物医药、人工智能三大先导产业,电子信息、生命健康、汽车、高端装备、先进材料、时尚消费品六大重点产业中更为明显。
在企业数智化战略中,网络安全的痛点,主要来自于技术人员关于工作时间延长、维护次数增加、被动式救火等弊端,以及管理人员关于安全维护成本无法控制、耗费精力,没有或缺少高效管理工具和方法等问题。对此,中企通信面向企业提供安全托管服务(MSS)解决方案,方案主要包括预防、侦测、修正三个部分,根据企业的业务目标和安全策略为企业提供日常安全管理和专家服务,保证企业7×24的高效无休的安全托管服务。除此以外,该解决方案还可基于提供事件数据关联及分类的安全信息与事件管理(SIEM)技术,包括原始数据清洗、资产和漏洞扫描、数据收集、基于Al大数据事件关联及分析、安全运营中心呈现漏洞咨询和资产资讯,保证企业的高效运转。
而针对工控安全中企业资产不清晰、风险不明确等痛点,中企通信安全托管服务(MSS)解决方案以“白环境”为基础,实现 “纵深安全防护体系”的实战化、体系化,常态化防护,通过6种防御手段——动态防御、主动防御、纵深防御、精准防御、整体防控、联防联控,实现工控安全的“可信,可控,可溯、可管”,从而助力企业在数智化转型中,打造高可靠的网络安全布局,稳固快速发展的技术根基。
《以安全驱动网络,助力智能制造安全实现敏捷转型》
Fortinet安全技术顾问王春惠:
在应对网络安全机遇与挑战方面,Fortinet将经典Purdue模型简化为OT环境网络安全模型,其包括OT生产区、控制区以及IT系统区,控制区为IT/OT边界防御的重点区域,在OT生产区部署有SCADA、PLC、传感器等系统。Fortinet在IT与OT相应边界部署精准管控方案,在微分段的方案下,就算企业生产线中某个机台受到攻击,也不会影响其他产线和机台。在网络远程访问方面,Fortinet提供零信任架构及灵活的认证管理方案,安全实现远程工程人员和OT设备之间的快速安全访问。
面对网络挑战,Fortinet具备纵深防御体系,假如有黑客渗透到OT环境后,也很容易被Fortinet的工控蜜罐产品所诱捕,从而达到安全的主动防御。Fortinet的产品支持400个以上的OT协议IPS签名和1800个以上OT应用协议签名,可以对老版本的漏洞系统及协议提供虚拟补丁而不影响实际生产。针对OT网络中的协议可视化,Fortinet还可展示相应的OT图表和报告。在OT安全生态系统,Fortinet拥有400家以上的OT合作伙伴和解决方案供应商,可有效应对企业方面对的各种网络安全问题。
在实践上,FortinetOT 纵深防御也打造了不少的成功案例。以某汽车制造商的合作为例,针对汽车行业对于工控网络的极高要求, Fortinet提供了所有流量保护以及域间和域内的细粒度隔离,工业IPS和协议防护隔离,使得企业平稳渡过安全期;以某半导体的OT安全项目为例,该半导体企业通过Fortinet实现产线网络微分段,在产线设备前用Fortigate设备以透明串接方式部署进行网络协议检测和过滤、基于FortiGuard提供的OT协议感知功能,可以识别和监控OT协议和工业IPS威胁特征,防止攻击在OT环境横向移动,同时FortiManager提供Fortigate设备管理,策略统一推送,减少安全团队运维压力。
圆桌对话
在本次研讨会的圆桌对话环节中,来自上汽集团信息战略与网络安全部高级总监顾咏梅、三菱电机CIO范天益、中企通信信息安全顾问徐传波、Fortinet安全技术顾问王春惠就“把脉安全体系建设,引领数字制造升级”的主题,纷纷发表了精彩的观点与看法,共同探讨企业信息安全的破局之路。
Q1数据驱动型的转型,传统信息网络安全模式面临的新挑战,如何破局?
顾咏梅:
在目前互联网、大数据、云网络等等深度融合的大背景之下,上汽围绕智能网联化、聚焦智能产品、智能制造、社会出行等几个方面展开。数据决定企业,软件决定汽车是上汽业务发展的必然方向。所以上汽业务的数字化转型,是以网络完全作为底座,通过移动互联、大数据、人工智能、云计算等技术的商业模式的深度融合搭建起来的整个业务平台。对数据进行收集,并通过产品数据化、业务数据化、管理流程数据化推动业务链的持续优化和商业模式的不断创新,特别是要改善用户的体验,实现企业的价值。
当今社会,消费需求重新定义了汽车的产品、汽车的销售、汽车的制造。汽车的软件升级,依赖于OTA,上汽一直在发展过程中不断创新,不断改进。2013年开始,上汽传统的IT已不复存在,企业内部重新调整升级,企业对传统的信息安全和智能网安全做了融合,既独立又依赖的两者,作为企业后期发展的重中之重。
范天益:
三菱电机网络安全的建造就是从0-1的一个过程,发展的过程中遇到的问题层出不穷,复杂程度也在不断上升。目前IT和OT之间的融合成为了三菱发展过程中的一个难题,所以也制定了三个方向尝试解决困境:一是技术类;二是管理类,规范各个岗位的流程;三是物理层面类,隔离以及防护工作尽量做到完善。
三菱将主要的精力放在生产的技术、制造、现场等,执行过程中发现的问题还是IT和OT之间交互变得比较复杂,所以如没有处理好智能化设备的运营就会给黑客制造突袭的机会,工控的算法就更加需要技术人员花时间,花精力去管控,这也是企业在数据驱动型的转型过程中的困难与挑战。
内外精修:内,以人为本,在技术层面、管理层面、物理层面,三菱坚持原有的网络安全的打造,强化管理团队能力,技术的培养,人才体制的构建;外,运用相关的技术方,如中企、Fortinet的专业咨询,并与他们的合作,给予企业相关的案例参考,定期内训,专业的分享课程等都能给到企业一个数字化转型的正确方向。
Q2数据驱动型的转型,传统信息网络安全模式面临的新挑战,如何破局?
顾咏梅:
上汽有一个基本原则——财富越多,防盗就要做得越好,这也是动态平衡的过程。我们设定了两条线:一条是合规线,合规线就是一条红线,一旦违规就是一票否决,否则品牌的损失是不可预估的;二条是安全线,网络和数据安全是企业的核心层面,上汽能够预见到网络安全会严重影响到功能安全以及运用安全。汽车在社会层面也是一个新生儿的角色,它在整个生命周期过程中会不断进步与成长,融合智能辅助驾驶以及其他的大数据的支撑,它的功能不断增加。所以在这个过程中,网络安全必须与功能安全并肩,功能安全在不断增加,网络安全就必须匹配。上汽需要将网络安全融入到整个的智能汽车研发。目前上汽整车研发的过程是18个月,在此过程中需要实现从硬件的预埋到软件的防护。
上汽也开始在考虑自主研发了安全芯片,除此之外,针对安全方面,最大的原则就是通过安全座椅,安全前置为整个安全的研发做铺垫,同时在安全的制造,安全的运营进行风险管理。
范天益:
回顾三菱十年的投资回报率,目前确实没有明确的数据来定义。传统的IT部门以往给到企业领导的建议就是不停地投资,但是实际的产出没有明确的数据来支撑。
最近几年,三菱开始筹备一个3-5年周期预算计划,严格把控预算,有效地执行,在IT实施过程中出现了OT的一个实际产出威胁,并及时调整修改。后期三菱将把IT信息网络安全事故,作为企业KPI进行考核。即便不同行业产生的网络安全事故考评的指数不一样,但是在周期内做好调整,明确网络安全事故的界定,评估投资回报,这样也能够促使企业在发展过程中安全运营。
Q3信息安全团队的架构重塑,能力培养机制如何搭建?
徐传波:
制造业的发展分三个阶段:第一阶段是自动化;第二阶段是信息化;第三阶段是智能化。大部分企业还处在信息化还不太成熟的阶段,而智能制造已经成为业务的一个元素而不是一个部分,智能制造中业务与安全已融合在一起。企业必须要做的就是风险评估,这是信息安全的起点,也能够避免投入的浪费,注重投入产出比。如果一个企业连资产以及风险都不清楚,那就更不用谈论如何做到有效的防护。因此企业信息安全团队中应提高风险评估能力,这样才能把最重要的资金用到最关键的地方。
王春惠:
网络安全的本质是人与人对抗 ,安全圈子需要重视人才的培养,Fortinet作为老牌的安全厂商,体系内从事信息安全人员都经过自有NSE课程培训,并进行认证考核,包括服务企业方的团队都是经过认证以及培训的工程师,今后Fortinet也会通过NSE培训体系培养出更多合格的安全人才。
同时,我们要做到不仅仅给客户交付一个产品,而且还提供产品的NSE培训课程,帮助客户学习并掌握整体Fortinet安全方案,目标是做到双方业务上的共同成长,打造Fortinet在安全领域的领军团队。
总 结
企业在数字化建设过程中也愈发重视搭建自己的安全防线,不断加强业务、营销、内容风控能力,在数字化发展过程中构建业务安全的闭环,在不同的风险管理阶段,将风控技术手段与运营管理相结合,互相支撑、互为补充。不同企业因其业务发展阶段不同,对风险控制的偏好也不尽相同。但企业在数字化转型过程中,安全体系的搭建是必不可少的环节。
