苏州众里数码科技有限公司 版权所有 备案号:苏ICP备19031672号-1 百度统计 | 技术支持:牛商股份
10月20日下午2点,众里第122期线上安全讲坛如期举办。此次讲坛由我们众里数码的技术总监蔡体智Tim来主讲。 众所周知,制造型企业的产线一旦中病毒,那后果是非常严重的——业务中断、产线停摆、数据外泄,这些对于制造型企业都是灾难性的后果。而且近几年被病毒攻击的企业更是数不胜数。
本次讲坛我们围绕数据进出厂的四个核心关切点来展开:
问题一:供应商怎么安全的把文件带进来?
问题二:文件怎么从OT出去不泄密?
问题三:产线和办公怎么安全交换文件?
问题四:USB怎么防毒又方便管理?
对于这四个核心点,我们总结为十个字:进厂不带毒,出厂不泄密。
首先我们来理一下目前大家在产线中文件传输时会用到的工具,主要是:移动存储介质(U盘)、FTP/文件服务器、内部网盘以及网闸,而这几个工具他们都各有优缺点。
对于供应商如何安全的将文件带进产线,本期讲坛我们将这个分为三个场景:新进机台的入厂管理、供应商带文件进厂、供应商带笔记本电脑进厂。
首先对于新进机台的入厂管理,我们建议是分为三块步骤来进行,分别是离线操作、专网操作以及生产网操作。
然后对于供应商带文件进厂,这一块主要是两个途径:移动存储与网络上传,这两条路径都是极易带病毒进来的,因此我们也要分多块来进行检查。具体流程我们可以看下面的流程图。
最后对于供应商带笔记本电脑进厂,我们如何防止病毒进入,我们可以通过一整套的流程来进行预防。
1、员工将安全检查的Client下载链接提供给访客。
2、访客于外部下载安装后,强制执行全盘扫描。
3、访客将扫描结果(利用MAC address )通过邮件发给相关承办人员。
4、员工将扫描结果导入至平台进行记录,井将该设备的MAC address提供给门岗。
5、门岗依据扫描结果井进行快扫,设备入厂or不得入厂。
说到文件从OT出去时泄密,我们主要分为以下四种情况:手机拍照或拷贝泄露、笔电调试出厂泄露、流转到OA后泄露、供应链协作的泄露。
我们针对手机拍照或拷贝泄露其实目前已经有一个较为成熟的方案,就是我们在手机里安装一个软件来进行定位与功能限制,当软件定位到你进入产线核心区域时,就会将你手机的一部分功能进行限制。
对于笔电调试出厂的泄露,本文中我们只介绍一种较为有效的方案。就是在上文笔电进厂的流程中,当你的笔电进厂杀毒的同时,对你进行一个整机的备份,在你操作完需要出厂的时候,对你的笔电进行一个还原,这样我们就能确保你不会携带者我们的文件出去。
而对于流转到OA的泄露,如果你的企业对于数据的泄露非常的重视,那我们建议采用DLP的体系,相对于别的防泄密方式,DLP是较为有效的。当你采用了DLP之后,是否要将DLP衍生到OT就需要看你的企业的实际情况而定。
最后关于供应链协作的泄露,这一部分的泄露主要发生在两个场景,就是你的机密文件在内部流转,但面对客户又不得不发以及外发之后流转失控,保密制度失效。
对于这两个场景我们主要有以下几种解决方案:
1、外发中转Server端数据密文存放,不怕外泄,不怕勒索。
2、隐私安装agent,外部人员低感知或零感知。
3、限制文件流转后的操作权限:时间、水印、设备绑定、阅后即焚等。
这个交换的数据我们可以归类为两种,一种是非结构化的数据,一种是结构化的数据。
对于非结构化的数据,我们平时大多会采用FTP或是网盘等形式进行,但这种方式是很容易造成病毒传播的,我们建议最好是去使用双主机的摆渡机制。就是我们生产网一个主机,办公网一个主机,两个主机相对立,当双方需要传输数据时,我们就可以在两个主机当中采用多种管控措施,从而达到进防毒、出防泄密的最终目的。
对于结构化的数据我们建议是采用网闸的方式,因为你的MES与ERP难免会有数据的交换,如果是使用长连接的方式很容易被外部病毒攻击,导致数据泄露。而用网闸我们就可以将长连接给隔断,防止不同区域之间的病毒传播。
U盘这一块儿虽然上文说到,它有很多的弊端,但目前很多企业都在大量的使用U盘进行文件传输,并且不想去引进新的方案进行改变,那对此我们就要对U盘做好防毒与管理。
那这一块我们要做好两个方面,首先第一个方面就是我们要去设置OT机台的USB基线,让它只能用我们所指定的U盘。
第二个方面就是我们要去科学化的管理U盘。目前许多企业对于U盘的管理其实还停留在用人进行管理,当你申请使用U盘后,需要去OA办公人员处领取,那办公效率就会跟这个办公人员所挂钩。对此我们有一个新的方案,就是使用U盘柜进行管理。相对比之下,使用U盘柜可以提高很高的工作效率,因为U盘柜只需要线上进行申请,然后刷员工卡就可以去领取U盘了。这样就能够极大的节省人力成本,并且U盘柜还内置杀毒引擎,不需要再去人为的杀毒、清除资料、上传日志等行为。
问
对于工厂制造业,如果初期没有好的管理工具管理内部FILE SERVER的权限软件(除了AD,已有AD但未加域),还有什么其他方式管理内部文件夹权限吗?
答
在办公里面,如果是初期,推荐是使用网盘一类的工具进行管理。如果是已有AD但未加域,可以做一个身份和访问管理,有这个平台可以与AD进行对接,将AD域作为源,所有pc通过公司统一的认证管理平台再去进行访问。
详细问题可以私信询问
【本文标签】 供应商怎么安全的把文件带进来 U盘防病毒 USB防毒 产线文件的进出安全 防止文件传输引发病毒感染 文件防泄密
【责任编辑】版权所有
咨询热线
18625216903