毋庸置疑，制造業(yè)數(shù)字化是行業(yè)趨勢，隨著數(shù)字化技術的深入，對IT系統(tǒng)依賴越來越高，對數(shù)字化系統(tǒng)的連續(xù)性要求越來越高，有價值的數(shù)據(jù)也越來越多。許多制造企業(yè)經(jīng)常忽視信息安全的建設，造成難以挽回的損失。

近日，世界最大的半導體制造商臺積電成為勒索軟件黑幫 LockBit 最新一位的受害者，該組織勒索 7000 萬美元以交換不泄露竊取的數(shù)據(jù)。臺積電已經(jīng)證實了此次攻擊，表示網(wǎng)絡入侵導致了與服務器初始設置和配置相關的信息泄露，沒有任何客戶信息泄露。

2022年3月，由于一家主要供應商遭受到網(wǎng)絡攻擊，豐田汽車關閉其在日本的所有工廠，暫停的工廠涉及其國內14家工廠和28條生產(chǎn)線的運營。

2022年6月，全球制造業(yè)巨頭富士康證實，其墨西哥一家工廠在5月底遭遇了勒索攻擊。黑客組織加密了這家工廠的約1200臺服務器，竊取了100 GB的未加密文件，并刪除了20TB至30TB的備份內容，并索取1804.0955比特幣贖金，約人民幣2.3億元。據(jù)外媒報道，本次勒索攻擊一度導致該工廠的業(yè)務中斷。

隨著數(shù)字化的深入，制造業(yè)上云成為趨勢，制造業(yè)上云安全面臨挑戰(zhàn)。

01數(shù)字化轉型驅動制造業(yè)上云勢在必行

制造業(yè)的特點是對實時性和可靠性要求高，生產(chǎn)必須保持連續(xù)性，并且不能出現(xiàn)絲毫的差錯。所以制造業(yè)對IT系統(tǒng)最基本的要求是實時可靠，隨著數(shù)字化的深入，同時要求IT系統(tǒng)具備定制化、數(shù)據(jù)管理能力、集成能力以及安全保密性等特點，以滿足制造業(yè)的復雜需求。

實時性和可靠性：制造業(yè)需要實時的數(shù)據(jù)收集和處理能力，以支持生產(chǎn)線的監(jiān)控和控制。IT系統(tǒng)需要具備高度可靠性，確保數(shù)據(jù)的準確性和及時性，以避免生產(chǎn)中斷和質量問題。

高度定制化：由于需求的多樣性，IT系統(tǒng)需要具備靈活的定制化能力，以適應不同類型和規(guī)模的制造過程。企業(yè)需要能夠根據(jù)自身需求進行定制開發(fā)或選擇適合的行業(yè)解決方案。

強大的數(shù)據(jù)管理能力：制造業(yè)產(chǎn)生大量的數(shù)據(jù)，對于數(shù)據(jù)的采集、存儲和分析都有較高的要求。IT系統(tǒng)需要提供強大的數(shù)據(jù)管理功能，包括數(shù)據(jù)采集接口、大規(guī)模數(shù)據(jù)存儲和處理能力、數(shù)據(jù)分析和可視化等。

集成能力：制造業(yè)通常存在多個獨立的系統(tǒng)和設備，如ERP系統(tǒng)、MES系統(tǒng)、設備控制系統(tǒng)等，這些系統(tǒng)需要進行集成，實現(xiàn)信息的無縫流動和共享。IT系統(tǒng)需要具備良好的集成能力，支持系統(tǒng)之間的數(shù)據(jù)交換和協(xié)同工作。

安全和保密性：制造業(yè)涉及到商業(yè)機密、產(chǎn)品設計和生產(chǎn)數(shù)據(jù)等敏感信息，對于安全和保密性有很高的要求。IT系統(tǒng)需要提供強大的安全措施，包括身份認證、數(shù)據(jù)加密、權限管理等，以保護企業(yè)的敏感信息不受未經(jīng)授權的訪問。

基于以上原因，制造業(yè)上云成為行業(yè)趨勢。

首先是提高生產(chǎn)效率：制造業(yè)上云可以通過數(shù)字化技術和云計算平臺提供更高的生產(chǎn)效率。云平臺可以集成并優(yōu)化制造過程中的各個環(huán)節(jié)，包括供應鏈管理、生產(chǎn)計劃、物料采購、生產(chǎn)控制等。通過實時數(shù)據(jù)收集和分析，制造企業(yè)可以更好地優(yōu)化生產(chǎn)流程，減少生產(chǎn)周期，提高交付速度，降低生產(chǎn)成本。

其次促進創(chuàng)新和協(xié)作：上云可以為制造企業(yè)提供更好的創(chuàng)新和協(xié)作環(huán)境。云平臺提供了強大的數(shù)據(jù)存儲和處理能力，可以支持大規(guī)模數(shù)據(jù)分析、人工智能和機器學習應用。制造企業(yè)可以利用云上的工具和資源，進行產(chǎn)品設計優(yōu)化、模擬仿真、智能制造等創(chuàng)新活動。此外，云平臺也為不同部門和團隊之間的協(xié)作提供了便利，可以促進信息共享和實時溝通。

第三是強化智能制造和物聯(lián)網(wǎng)應用：上云可以為制造業(yè)的智能制造和物聯(lián)網(wǎng)應用提供技術支持。云平臺可以與設備、傳感器和物聯(lián)網(wǎng)連接，實現(xiàn)設備之間的數(shù)據(jù)共享和遠程監(jiān)控。制造企業(yè)可以利用云平臺來收集和分析來自各種設備和傳感器的數(shù)據(jù)，實現(xiàn)設備狀態(tài)監(jiān)測、預測性維護和生產(chǎn)優(yōu)化等智能制造應用。

第四是強化靈活性和可擴展性：云計算提供了靈活的計算和存儲資源，可以根據(jù)制造業(yè)務的需求進行彈性擴展。制造企業(yè)可以根據(jù)需要快速調整計算資源的規(guī)模，實現(xiàn)高效的資源利用和成本控制。此外，云平臺還可以支持多地點和分布式生產(chǎn)環(huán)境的協(xié)同工作，提供靈活的部署選項和遠程訪問功能。

與此同時，制造業(yè)上云安全面臨挑戰(zhàn)，云計算提供了強大的數(shù)據(jù)安全和備份機制，可以幫助制造企業(yè)保護關鍵業(yè)務數(shù)據(jù)。

但是相比傳統(tǒng)架構，云計算更為復雜，對IT管理方面提出更高要求。

02制造業(yè)上云安全面臨挑戰(zhàn)

制造業(yè)上云所面臨的安全挑戰(zhàn)包括以下幾個方面：

數(shù)據(jù)安全和隱私：制造業(yè)涉及到大量的敏感數(shù)據(jù)，包括產(chǎn)品設計、制造工藝、客戶信息等。將這些數(shù)據(jù)存儲在云平臺上可能增加數(shù)據(jù)泄露、數(shù)據(jù)丟失或未經(jīng)授權訪問的風險。確保數(shù)據(jù)的機密性、完整性和可用性是制造業(yè)上云面臨的首要挑戰(zhàn)。

訪問控制和身份認證：制造業(yè)上云需要建立有效的訪問控制和身份認證機制，以確保只有授權人員可以訪問敏感數(shù)據(jù)和系統(tǒng)。不正確的訪問控制可能導致未經(jīng)授權的訪問、數(shù)據(jù)篡改或惡意操作。

威脅和漏洞管理：制造業(yè)上云后，需要及時識別和應對可能的威脅和漏洞。云平臺的漏洞、不安全的配置或弱密碼可能被黑客利用，導致系統(tǒng)被入侵或數(shù)據(jù)被竊取。制造業(yè)需要建立有效的威脅管理和漏洞管理機制，及時修補漏洞、監(jiān)控潛在威脅。

供應鏈安全：制造業(yè)涉及到復雜的供應鏈網(wǎng)絡，上云后需要確保供應鏈的安全性。供應鏈中的各個環(huán)節(jié)可能成為攻擊的目標，黑客可能通過攻擊供應商或分銷商的云平臺來獲取機密數(shù)據(jù)或破壞生產(chǎn)過程。

物理安全：制造業(yè)上云并不意味著物理安全問題就不再重要。云服務提供商的數(shù)據(jù)中心和網(wǎng)絡設施需要具備高級的物理安全措施，以防止設備盜竊、自然災害或其他物理攻擊。

合規(guī)性要求：制造業(yè)在上云過程中需要遵守法規(guī)和行業(yè)標準的合規(guī)性要求，如數(shù)據(jù)保護法規(guī)、知識產(chǎn)權保護、行業(yè)標準等。確保合規(guī)性可能需要制定適當?shù)恼?、流程和控制措施?/p>

那么，制造業(yè)如何應對上云面臨的安全挑戰(zhàn)，解決方案是什么？華為云在云安全方面有豐富的實踐，總結出方法論，來看看華為云的云安全解決方案。

03制造業(yè)上云安全解決方案

在華為云的今年4月份發(fā)布的《企業(yè)上云安全白皮書》中，華為云給出了企業(yè)上云安全的方法論和操作步驟。

云安全的基礎是責任共擔模型，即華為云負責云服務自身的安全，提供安全的云；用戶負責云服務內部的安全，安全使用云。

圖片

企業(yè)上云過程，華為云給出了評估調研、規(guī)劃設計、遷移實施、遷移驗收四個階段的劃分，每個階段有清晰的步驟。

圖片

本節(jié)以企業(yè)上云遷移流程為基準，向企業(yè)提供上云安全建設步驟指南，指導企業(yè)構建云上安全體系。

白皮書指出上云安全建設分為5個步驟：

圖片

制定安全策略

第一個步驟是制定安全策略，分為十一個模塊：

圖片

• 安全管理組織：指定負責云上各個關鍵職能人員/團隊，比如安全運營、系統(tǒng)安全管理等，并定義其職責。
• 身份與訪問管理：定義組織人員身份類型和身份驗證方法，僅授予身份所需的權限，并持續(xù)審核和監(jiān)控賬號和權限的使用。
• 網(wǎng)絡安全：對業(yè)務所在網(wǎng)絡進行安全分區(qū)管理，并進行相應隔離；在網(wǎng)絡邊界實施防護和監(jiān)控機制；確保通信線路和設備的冗余以滿足業(yè)務需求。
• 數(shù)據(jù)安全：根據(jù)數(shù)據(jù)保護相關法律法規(guī)、標準中定義的分類分級要求對數(shù)據(jù)進行分類分級管理，并在數(shù)據(jù)生命周期各個階段實施相對應的保護措施。
• 威脅與漏洞管理：對云上業(yè)務定期執(zhí)行漏洞掃描和分析，并及時對漏洞修補。
• 日志與監(jiān)控：對云上資源啟用日志功能，集中收集和存儲所有日志，并對日志進行監(jiān)控和審核；監(jiān)控安全狀態(tài)，并記錄網(wǎng)絡攻擊行為。
• 安全響應與恢復：為安全事件管理提供資源支持，自動對安全事件進行上報和通知，預部署事件響應工具；定期開展安全事件演練與經(jīng)驗總結。
• 備份與恢復：定義數(shù)據(jù)備份策略和保護措施，并對備份進行監(jiān)控與審核。
• 開發(fā)安全：對開發(fā)代碼進行安全檢查；系統(tǒng)上線前執(zhí)行安全測試；保護研發(fā)資產(chǎn)的安全。
• 證書與密鑰管理：定義組織允許使用的加密算法和密碼技術產(chǎn)品；對密鑰和證書進行集中管理，并在密鑰和證書的生命周期各個階段實施安全控制。
• 隱私保護與合規(guī)：識別隱私保護相關法律法規(guī)，對業(yè)務所涉?zhèn)€人數(shù)據(jù)進行識別并進行隱私風險評估；減少敏感數(shù)據(jù)在系統(tǒng)中的暴露風險；持續(xù)遵循合規(guī)要求。

制定安全計劃

第二個步驟是制訂安全計劃，白皮書分為四個部分：

圖片

準備遷移環(huán)境

企業(yè)在正式實施遷移上云之前，需確保遷移目的端環(huán)境符合企業(yè)的合規(guī)性和安全性要

求。根據(jù)企業(yè)已確定的云上產(chǎn)品清單，安全團隊根據(jù)云環(huán)境安全基準設計方案對云上環(huán)境進行配置，并持續(xù)審核配置以確認云環(huán)境滿足安全基準，這將有效減少在遷移部署期間的安全風險和降低業(yè)務遷移上云后再進行安全配置的風險。

實施遷移

企業(yè)在實施遷移過程中會可能面臨業(yè)務中斷、數(shù)據(jù)丟失、數(shù)據(jù)遷移不一致等風險，華為云提供多種遷移工具幫助企業(yè)應對遷移實施過程中的安全風險，并能有效縮短遷移中斷時間和提高遷移效率，減少對業(yè)務運行的影響。

圖片

04制造業(yè)上云安全案例

某化工制造企業(yè)，年營收接近100億人民幣，因為業(yè)務發(fā)展需求進行數(shù)字化轉型，需要新上或者升級一批工業(yè)系統(tǒng)，尤其是WMS系統(tǒng)，需要7x24小時支撐業(yè)務運轉。

經(jīng)過和客戶多輪溝通，引導客戶使用華為云，華為云在制造行業(yè)有突出優(yōu)勢：

●行業(yè)解決方案豐富：華為云提供了豐富的行業(yè)解決方案，尤其在制造業(yè)方面有較強的專注度和布局；

●產(chǎn)品體系完備：華為云提供了完備的產(chǎn)品體系,包括IaaS、PaaS和SaaS,可全面支撐企業(yè)的基礎架構、應用開發(fā)和業(yè)務運營；

●云邊融合優(yōu)勢：華為在云計算和網(wǎng)絡領域具有優(yōu)勢，云邊協(xié)同產(chǎn)品成熟，可以幫助制造企業(yè)實現(xiàn)云邊融合，將云上和邊緣側的計算資源有機結合；

●安全可控：華為云有較強的安全技術積累，有助于保障企業(yè)的業(yè)務數(shù)據(jù)和網(wǎng)絡安全。

在確定使用華為云以后，根據(jù)華為云安全最佳實踐，制定安全策略。

●安全管理組織：由甲乙方共同成立安全小組，推進安全事項落地，評估安全措施效果；

●身份與訪問管理：對系統(tǒng)權限和賬號進行梳理，根據(jù)最小權限原則只給比要的賬號，云賬號根據(jù)權限劃分子帳號，所有的云賬號啟用兩步認證；

●網(wǎng)絡安全：使用vpc、云防護墻、ACL進行分區(qū)管理，對網(wǎng)絡邊界實施防護和監(jiān)控機制；

●數(shù)據(jù)安全：根據(jù)法律法規(guī)和企業(yè)業(yè)務，對數(shù)據(jù)進行分級分類，在數(shù)據(jù)生命周期各個階段實施相對應的保護措施；

●威脅與漏洞管理：通過華為云云安全大腦對云上業(yè)務定期執(zhí)行漏洞掃描和分析，并及時對漏洞修補；

●日志與監(jiān)控：通過華為云云安全大腦對云上資源啟用日志功能，集中收集和存儲所有日志，并對日志進行監(jiān)控和審核；監(jiān)控安全狀態(tài)，并記錄網(wǎng)絡攻擊行為。

●安全響應與恢復：通過華為云云安全大腦為安全事件管理提供資源支持，自動對安全事件進行上報和通知，預部署事件響應工具；定期開展安全事件演練與經(jīng)驗總結。

●備份與恢復：對重要數(shù)據(jù)做到實時備份，對次重要數(shù)據(jù)每天備份，對普通數(shù)據(jù)每周備份，并對備份進行監(jiān)控與審核；

●開發(fā)安全：上線前對開發(fā)代碼進行安全檢查；系統(tǒng)上線前執(zhí)行安全測試；

●證書與密鑰管理：制定證書與密鑰管理流程與機制，做到證書與密鑰全生命周期管理；

●隱私保護與合規(guī)：按照等級保護三級標準進行安全建設，確保合規(guī)要求。

制定安全計劃

根據(jù)華為云安全最佳實踐，制定安全計劃

圖片

準備環(huán)境

根據(jù)安全策略和安全計劃，準備環(huán)境

實施上云

根據(jù)安全策略和安全計劃，實施部署

持續(xù)安全運營

項目上線后，基于華為云安全大腦，新鈦云服提供持續(xù)的安全運營服務，新鈦云服的安全運營服務流程如下：

圖片

效果評估

經(jīng)過按照華為云安全最佳實踐設計和配置，上線以來該企業(yè)業(yè)務運行穩(wěn)定，未出現(xiàn)任何安全事件，取得了良好效果。