2022年9月23日,由戴爾科技集團(tuán)與ENI經(jīng)濟(jì)和信息化網(wǎng)聯(lián)合主辦的“應(yīng)對(duì)安全隱患,護(hù)航創(chuàng)新發(fā)展—新形式下電子制造業(yè)的數(shù)據(jù)安全之道”直播活動(dòng)中,賽寶信息安全資深顧問(wèn)魯立、上海聯(lián)合汽車(chē)電子信息安全總監(jiān)趙超、戴爾科技集團(tuán)系統(tǒng)工程師武永民會(huì)別就電子制造業(yè)數(shù)字全體系建設(shè)策略、實(shí)踐路徑,企業(yè)實(shí)踐經(jīng)驗(yàn)的角度進(jìn)行了分享,為電子制造業(yè)的數(shù)據(jù)安全實(shí)踐提供了豐富的建議和參考。
數(shù)百位電子制造業(yè)管理人參與了活動(dòng),并就企業(yè)自身感興趣的問(wèn)題與三位講師進(jìn)行了互動(dòng)和交流。
在演講的開(kāi)篇,賽寶信息安全顧問(wèn)魯立在分享了中國(guó)電子制造產(chǎn)業(yè)快速發(fā)展的現(xiàn)狀之后,提出中國(guó)電子制造業(yè)當(dāng)下需要實(shí)現(xiàn)不確定因素下,供應(yīng)鏈穩(wěn)定性、安全性,以及技術(shù)自可控的壓力,這稱之為“外憂”。國(guó)家出臺(tái)的一系列安全法規(guī)、活動(dòng),以及正處于征求意見(jiàn)階段的《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法(試行)》,體現(xiàn)了國(guó)家對(duì)于制造業(yè)數(shù)據(jù)安全“內(nèi)控”力度的不斷加大。
在這樣的形式下,電子制造業(yè)本身依然存在著“安全管理制度不完善”、“安全環(huán)境復(fù)雜”、“安全配置管理不足”、“安全建設(shè)考慮不全面”的挑戰(zhàn)。針對(duì)這些問(wèn)題,魯立介紹了應(yīng)對(duì)之策,即要明確安全的目的、數(shù)據(jù)泄露等不安全行為的程度以及與業(yè)務(wù)緊密結(jié)合。通過(guò)“數(shù)據(jù)梳理和采集”、“泄密行為與管理”以及“響應(yīng)控制與溯源”三步走,實(shí)現(xiàn)全生命周期的數(shù)據(jù)安全管理。
戴爾科技集團(tuán)系統(tǒng)架構(gòu)師武永民同樣通過(guò)“半導(dǎo)體”、“電子消費(fèi)品”等未來(lái)細(xì)分市場(chǎng)的巨大潛力,以及電子制造產(chǎn)業(yè)數(shù)字化轉(zhuǎn)型成果樂(lè)觀的現(xiàn)狀,從“網(wǎng)絡(luò)攻擊、勒索軟件”、生產(chǎn)業(yè)務(wù)需求、合規(guī)壓力三個(gè)方面,提出產(chǎn)業(yè)面臨的數(shù)據(jù)安全新挑戰(zhàn)。
在例舉了2020年初至今部分全球惡意刪除和勒索病毒大事件,以及2021年全球網(wǎng)絡(luò)威脅造成的的損失之后,武永民介紹了數(shù)據(jù)安全建設(shè)的思路,即“40%主動(dòng)防御+60%底線思維”,并通過(guò)“備份所有工作負(fù)載數(shù)據(jù)、重要業(yè)務(wù)系統(tǒng)容災(zāi)、以及核心數(shù)據(jù)進(jìn)入避風(fēng)港保護(hù)”三位一體架構(gòu)幫助企業(yè)做到最完善的數(shù)據(jù)保護(hù)。
隨后,武永民通過(guò)對(duì)勒索軟件攻擊鏈的分析,詳細(xì)介紹了戴爾“數(shù)據(jù)避風(fēng)港”通過(guò)“斷開(kāi)生產(chǎn)、減少攻擊面、隔離的環(huán)境、數(shù)據(jù)安全鎖定、發(fā)現(xiàn)勒索”等理念和方案,讓備份數(shù)據(jù)真正成為最后一道有效安全防線的內(nèi)容及數(shù)據(jù)安全建設(shè)路徑。
上海聯(lián)合汽車(chē)電子信息安全總監(jiān)趙超在演講中提到,隨著智能網(wǎng)聯(lián)汽車(chē)的快速發(fā)展,汽車(chē)產(chǎn)業(yè)的信息安全問(wèn)題受到了行業(yè)內(nèi)外的廣泛關(guān)注。原本封閉環(huán)境下的汽車(chē),長(zhǎng)出無(wú)數(shù)具備互聯(lián)屬性的組件,企業(yè)信息安全的內(nèi)涵外延都發(fā)生了巨大變化。從原有以知識(shí)產(chǎn)權(quán)保護(hù)、信息系統(tǒng)可用為目的的企業(yè)信息資產(chǎn)安全,擴(kuò)展到產(chǎn)品信息安全,并進(jìn)一步延伸出消費(fèi)者數(shù)據(jù)安全、人身安全、甚至國(guó)家安全這樣的網(wǎng)絡(luò)安全概念。
那么在這樣的背景下,企業(yè)的信息安全如何做?趙超認(rèn)為,還是要回到最基本的概念層面,進(jìn)行風(fēng)險(xiǎn)管控的閉環(huán),而這正是各種信息安全體系的核心特點(diǎn)。無(wú)論是ISO27001體系還是新近推出的ISO/SAE21434,都是以風(fēng)險(xiǎn)為導(dǎo)向的管控體系。如果認(rèn)識(shí)不到風(fēng)險(xiǎn),信息安全工作就變得非常盲目。
對(duì)于企業(yè)的信息安全建設(shè),趙超強(qiáng)調(diào)建設(shè)思路尤為重要,并從不同的角度提出建議:在企業(yè)信息安全、信息資產(chǎn)安全方面要做到“未雨綢繆、亡羊補(bǔ)牢、有備無(wú)患”;在意識(shí)層面依靠體系的方法論;在實(shí)踐上則要汲取不同業(yè)務(wù)領(lǐng)域曾經(jīng)遇到的各種問(wèn)題,作為信息安全保護(hù)的理論依據(jù)。而在具體實(shí)施方面,要落實(shí)信息資產(chǎn)的主體責(zé)任,誰(shuí)管理/運(yùn)營(yíng)/擁有誰(shuí)負(fù)責(zé)?;谄髽I(yè)對(duì)自身主體責(zé)任的落實(shí),安全體系的建立,進(jìn)一步落實(shí)合規(guī)。確保數(shù)據(jù)安全以及消費(fèi)者信息安全。
值得一提的是, 基于產(chǎn)業(yè)鏈的變化,企業(yè)信息系統(tǒng)架構(gòu)逐步向多云模式轉(zhuǎn)型,與此對(duì)應(yīng),網(wǎng)絡(luò)架構(gòu)和安全技術(shù)架構(gòu)也在向SASE模式發(fā)生轉(zhuǎn)變。企業(yè)IT和安全技術(shù)人員一定要跟上這一新的浪潮。
在之后問(wèn)答環(huán)節(jié),針對(duì)戴爾提出的避風(fēng)港原理,嘉賓提出的“避風(fēng)港方案是數(shù)據(jù)備份吧?有什么不同嗎?”的問(wèn)題,武永明介紹道,“數(shù)據(jù)避風(fēng)港”一定是基于備份的系統(tǒng),與傳統(tǒng)備份的區(qū)別在于,傳統(tǒng)的備份特別是一些基于Windows的一些備份軟件是非常有可能被勒索和攻擊。另外就是傳統(tǒng)的備份,對(duì)于備份里的安全隱患是沒(méi)辦法做到完全識(shí)別的。而避風(fēng)港的解決方案是在一個(gè)基礎(chǔ)的備份的架構(gòu)之上,又將安全拔高了一層。避風(fēng)港里面的數(shù)據(jù)一定是可恢復(fù)的,不會(huì)被勒索。
針對(duì)“企業(yè)員工日常信息安全培訓(xùn)怎么做的?”的問(wèn)題,趙超分享了自身的經(jīng)驗(yàn):首先是新員工入職培訓(xùn)但效果不大,然后就是專業(yè)人員偏技術(shù)的培訓(xùn),或者是偏安全體系,有安全管理的一些培訓(xùn),這是一般的做法。但是首先要明確為什么要做安全培訓(xùn)?大部分企業(yè)一定是要提升整個(gè)企業(yè)信息安全的管理水平,這方面可以參考一些體系來(lái)做,把培訓(xùn)這件事情納入到整個(gè)信息安全的規(guī)劃里去。
快速發(fā)展迭代的數(shù)字技術(shù),在為制造業(yè)帶來(lái)創(chuàng)新場(chǎng)景和轉(zhuǎn)型機(jī)遇的同時(shí),也帶來(lái)了新的安全挑戰(zhàn)。“意識(shí)、體系、制度、工具”等要素對(duì)于構(gòu)建企業(yè)可靠的數(shù)據(jù)安全屏障缺一不可,對(duì)于在快速發(fā)展中要應(yīng)對(duì)“外憂內(nèi)控”的電子制造業(yè)同樣重要。