作為供應鏈高度全球化的產業,中國的電子制造業同樣面臨著一系列的挑戰,增強供應鏈的安全性和穩定性已是剛需。同時,隨著產業數字化轉型的深入,數據資產的重要性日益彰顯,而工業互聯、雲&邊計算、物聯網以及產業協同等越來越豐富的數據應用場景,網絡攻擊、勒索軟件帶來的巨大損失等等,都使得企業的信息安全建設已是迫在眉睫。
2022年9月23日,由戴爾科技集團與ENI經濟和信息化網聯合主辦的“應對安全隱患,護航創新發展—新形式下電子制造業的數據安全之道”直播活動中,賽寶信息安全資深顧問魯立、上海聯合汽車電子信息安全總監趙超、戴爾科技集團系統工程師武永民會別就電子制造業數字全體系建設策略、實踐路徑,企業實踐經驗的角度進行了分享,為電子制造業的數據安全實踐提供了豐富的建議和參考。
數百位電子制造業管理人參與了活動,並就企業自身感興趣的問題與三位講師進行了互動和交流。
在演講的開篇,賽寶信息安全顧問魯立在分享了中國電子制造產業快速發展的現狀之後,提出中國電子制造業當下需要實現不確定因素下,供應鏈穩定性、安全性,以及技術自可控的壓力,這稱之為“外懮”。國家出臺的一系列安全法規、活動,以及正處於征求意見階段的《工業和信息化領域數據安全管理辦法(試行)》,體現了國家對於制造業數據安全“內控”力度的不斷加大。
在這樣的形式下,電子制造業本身依然存在著“安全管理制度不完善”、“安全環境復雜”、“安全配置管理不足”、“安全建設考慮不全面”的挑戰。針對這些問題,魯立介紹了應對之策,即要明確安全的目的、數據泄露等不安全行為的程度以及與業務緊密結合。通過“數據梳理和采集”、“泄密行為與管理”以及“響應控制與溯源”三步走,實現全生命周期的數據安全管理。
戴爾科技集團系統架構師武永民同樣通過“半導體”、“電子消費品”等未來細分市場的巨大潛力,以及電子制造產業數字化轉型成果樂觀的現狀,從“網絡攻擊、勒索軟件”、生產業務需求、合規壓力三個方面,提出產業面臨的數據安全新挑戰。
在例舉了2020年初至今部分全球惡意刪除和勒索病毒大事件,以及2021年全球網絡威脅造成的的損失之後,武永民介紹了數據安全建設的思路,即“40%主動防御+60%底線思維”,並通過“備份所有工作負載數據、重要業務系統容災、以及核心數據進入避風港保護”三位一體架構幫助企業做到完善的數據保護。
隨後,武永民通過對勒索軟件攻擊鏈的分析,詳細介紹了戴爾“數據避風港”通過“斷開生產、減少攻擊面、隔離的環境、數據安全鎖定、發現勒索”等理念和方案,讓備份數據真正成為最後一道有效安全防線的內容及數據安全建設路徑。
上海聯合汽車電子信息安全總監趙超在演講中提到,隨著智能網聯汽車的快速發展,汽車產業的信息安全問題受到了行業內外的廣泛關注。原本封閉環境下的汽車,長出無數具備互聯屬性的組件,企業信息安全的內涵外延都發生了巨大變化。從原有以知識產權保護、信息系統可用為目的的企業信息資產安全,擴展到產品信息安全,並進一步延伸出消費者數據安全、人身安全、甚至國家安全這樣的網絡安全概念。
那麼在這樣的背景下,企業的信息安全如何做?趙超認為,還是要回到最基本的概念層面,進行風險管控的閉環,而這正是各種信息安全體系的核心特點。無論是ISO27001體系還是新近推出的ISO/SAE21434,都是以風險為導向的管控體系。如果認識不到風險,信息安全工作就變得非常盲目。
對於企業的信息安全建設,趙超強調建設思路尤為重要,並從不同的角度提出建議:在企業信息安全、信息資產安全方面要做到“未雨綢繆、亡羊補牢、有備無患”;在意識層面依靠體系的方法論;在實踐上則要汲取不同業務領域曾經遇到的各種問題,作為信息安全保護的理論依據。而在具體實施方面,要落實信息資產的主體責任,誰管理/運營/擁有誰負責。基於企業對自身主體責任的落實,安全體系的建立,進一步落實合規。確保數據安全以及消費者信息安全。
值得一提的是, 基於產業鏈的變化,企業信息系統架構逐步向多雲模式轉型,與此對應,網絡架構和安全技術架構也在向SASE模式發生轉變。企業IT和安全技術人員一定要跟上這一新的浪潮。
在之後問答環節,針對戴爾提出的避風港原理,嘉賓提出的“避風港方案是數據備份吧?有什麼不同嗎?”的問題,武永明介紹道,“數據避風港”一定是基於備份的系統,與傳統備份的區別在於,傳統的備份特別是一些基於Windows的一些備份軟件是非常有可能被勒索和攻擊。另外就是傳統的備份,對於備份裡的安全隱患是沒辦法做到完全識別的。而避風港的解決方案是在一個基礎的備份的架構之上,又將安全拔高了一層。避風港裡面的數據一定是可恢復的,不會被勒索。
針對“企業員工日常信息安全培訓怎麼做的?”的問題,趙超分享了自身的經驗:首先是新員工入職培訓但效果不大,然後就是專業人員偏技術的培訓,或者是偏安全體系,有安全管理的一些培訓,這是一般的做法。但是首先要明確為什麼要做安全培訓?大部分企業一定是要提昇整個企業信息安全的管理水平,這方面可以參考一些體系來做,把培訓這件事情納入到整個信息安全的規劃裡去。
快速發展迭代的數字技術,在為制造業帶來創新場景和轉型機遇的同時,也帶來了新的安全挑戰。“意識、體系、制度、工具”等要素對於構建企業可靠的數據安全屏障缺一不可,對於在快速發展中要應對“外懮內控”的電子制造業同樣重要。
