新闻报道 安全知识
正文 众里数码在2019企业信息安全展就「recipe强化安全管控」主题发表演讲
发布日期:2019-12-15 21:29:23

随着互联网、人工智能、5G等新兴技术的快速发展,各行业无时无刻都在衍生海量数据,从而加速了市场对「数据中心」、「云计算」以及「信息安全」的需求,「2019企业信息安全展」将适时承载新使命,“中国数据中心节能技术委员会”及“中国云体系产业创新战略联盟”再一次联合主办数据中心及云计算全产业链展示平台,为行业搭建最有效的技术及服务交流平台。


本次企业信息安全展特邀请了专注高科技业安全的苏州众里数码科技总经理兼CTO范肇钧进行主题《产线运维保护最佳实践——浅谈高科技制造工厂的信息安全发展趋势》报告分享,从专业角度,针对高科技智能制造企业中recipe强化安全管控方面的安全保障进行深入剖析,呈现一场精彩的信息交流盛宴。

范总指出:工业控制环境中,总共分为企业资源层、生产管理层、过程监控、现场控制层、现场设备层这五个层面。每一个层面所涉及的数据量都是非常庞大的,尤其在recipe安全管控方面是极其重要的,recipe相当于一个制造型企业的命脉所在。但如今商业窃取手段多样,黑客病毒肆虐,作为企业应当如何做到recipe真正意义上的安全管控呢?


首先,范总通过流程检视与分析,总结出了以下recipe可能遇到的四大风险面向:
再者范总针对管理、系统、资料三个层面提出了改善建议:

 

1、管理层面

透过管理手段进行合约约束,倡导并警示具备访问权限之人员不得进行违规行为。

权限管理细化后,符合信息安全的最小仅知原则与仅用原则。

 

2、系统层面

锁定网络来源与权限,避免网络层面威胁。

限定特定U盘于车间内使用,减低U盘遗失风险以及同时使用于内外部之各种风险。

 

3、资料层面

透过加密机制,避免重要recipe在OA区时脱离管控。

同时,范总也以数百家高科技厂的交流经验,对于recipe强化安全管控列举以下几项企业可参考采用的管控建议,让尚未对recipe保护采取作为的企做为参考:

 

1、锁定存取来源,防护网络威胁—工控环境防火墙

工控防火墙的功能在于保护机台不被周围机台的病毒侵入,若本身有病毒也不会扩散至其他机台。进一步地,工控防火墙也可以限制在机台的操作上只有特定的来源与目的IP位置才能碰触到基台,从网络上限制不当接触进而保护机台的安全性

 

2、事前-白名单预防上锁—载体层面

若机台允许装代理软件,不少大厂已经在机台上装上白环境软件:观察原始机台标准程序并锁定,让外部未授权的程序无法写入,不需更新同时也不会影响机台的性能,且能支持到win2000等级的老旧机台。且透过其细致的分权管理,能让中央整体控制,又可让设备工程师能管理每台机台的运作,并且避免了透过恶意程式在机台内窃取机敏信息的可能性,这也是近年国内大厂最受欢迎的保护方式。

 

3、保密安全U盘—载体层面

车间内若允许U盘随意进出,则机敏资讯的保护就会暴露在极大的风险之中,但U盘本身的便利性又可大幅提升工作的效能,因此企业可选择专用于车间内的保密U盘,同时兼顾保密并与外部U盘做区隔,专盘专用避免内外混杂,并留存存取轨迹,降低U盘载体的泄密风险,在安全与效率之间取得相对平衡。

 

4、终端运维管理软件—OA计算机与生产机台层面

掌握好关键资产为做好安全管理的基础,因此也越来越多的企业会在机台上局部的进行资产管理相关管控机制,然而机台跟PC本质上相当不同,本身对于高可用性与系统效能等都有其要求限制与独特性,因此如何在机台上做好资产管理与安全管控就成了各大厂都在探讨的课题。


最后,范总建议:配方保护的原则仍不脱等级保护的「安全原则」,同时考虑建

构纵深防御防御体系、采取互补的安全措施、保证一致的安全强度、建立统一的支撑平台、以及进行集中的安全管理等「五大重点」来进行审视与规划自身的配方保护机制。

 

以上就是苏州众里数码科技在经历过数百家半导体、光电、新能源等各种高科技大厂,针对recipe强化安全管控而做的分享建议。在大会的安全演讲上,众里数码总经理兼CTO范肇钧也再度提醒与会者:recipe安全管控并不是单一的杀毒或加密,而是需要企业构建纵深的防御系统。安全是智能制造或工业互联网的基础,建议尽快提案做相关安全管控防护,让大家在危机四伏的今日远离相关风险,强化安全管控recipe,让企业自动化及智能化能真正发挥其效益。