e-works数字化企业网  »  文章频道  »  基础信息化  »  网络与安全

看天马微电子,如何捍卫信息安全

2020/8/18    来源:e-works    作者:e-works      
关键字:智能制造  信息安全  天马微电子  
在制造企业积极拥抱并加速推进智能制造的同时,也给企业的信息安全带来了新的威胁与挑战,特别是IT/OT的一体化融合,工业信息系统与设备愈加开放互联,进一步加大了工业系统与设备的安全风险。为了更好地了解在智能制造背景下,制造企业工业信息安全的应用现状,e-works记者采访了武汉天马微电子有限公司G4.5 CIM部/信息中心总监张斌。

    近年来,随着我国两化融合的不断深入,以及以云计算、大数据、工业互联网、人工智能及5G通讯技术等为代表的新兴技术的蓬勃发展,制造业正加速朝着以数字化、网络化与智能化为主要特征的智能制造方向发展。然而,在制造企业积极拥抱并加速推进智能制造的同时,也给企业的信息安全带来了新的威胁与挑战,特别是IT/OT的一体化融合,工业信息系统与设备愈加开放互联,进一步加大了工业系统与设备的安全风险。

    为了更好地了解在智能制造背景下,制造企业工业信息安全的应用现状,e-works记者采访了武汉天马微电子有限公司G4.5 CIM部/信息中心总监张斌。

将安全事件造成的损失和影响降到最低

    e-works:贵公司是否有企业级的安全战略及规划?是否有相关流程保障?

    张总:有企业级的安全战略与规则,公司目前正在开展ISO27000认证,相关信息安全的整体规划、管理规划、技术规划等的制定基本上是遵循该体系,并基于此形成了对应的管控策略。具体包括安全战略方针与框架、风险合规性规划,网络安全评估和响应的制度,内外部信息安全通报制度,以及信息安全应急机制等。

    为了保障相关规划与流程的有效执行,天马微电子将信息安全中心从上到下分为了两块:一是IT部之下的信息安全组,主要负责IT设备与相关系统的安全,并负责所有流程包括合法合规流程以及应急方针政策、信息资产管控制度的制定;二是CIM(计算机集成制造)部门,主要负责所有与生产相关的安全。值得的一提的是,在OT安全规则制订方面,CIM也会参与到信息安全组,由双方共同交流沟通之后来确定生产相关的信息安全规则。

        e-works:企业对于整体安全监测和应急预案的执行情况如何?

    张总:在我看来,工业安全更重要的是保障生产安全。对此,天马微电子实行的是“一把手”负责制,各级部门负责人都有明确的责任与分工。在天马微电子,生产安全包括两个方面,并通过两个部门协同来管理:一是环境安全部,管理整个工厂的生产安全;二是信息安全中心,主要是管理工厂信息方面的安全。

    另外,公司已形成针对安全监测与安全应急预案的行政文件,包括如何对信息安全事件程度进行分级、各类信息安全事件管理流程及信息安全事件的汇报制度等。总体来说,信息安全事件大体上可以分为可控与不可控,天马微电子实施安全监测和应急预案的最终目标是将安全事件造成的损失和影响降到最低。

    e-works:工厂的安全环境怎样?具体采取了哪些安全措施,特别是对于工业控制系统(OT)安全管理机制是怎样的?

    张总:对于工厂信息的安全管控,我们主要采取的措施包括:

    1)针对所有的BYOD(Bring Your Own Device,自带设备),工厂是严令禁止进入的;如果厂商需要进行设备维修,会提前对其设备进行USB禁止、病毒查杀等。

    2)U盘管控,有专门防病毒的U盘进行资料拷贝和程序安装。

    3)机台设备信息读取权限控制,例如针对机台的工艺、设备参数等的读取有相应的权限管理。

    4)所有工厂系统的登录都要进行了身份认证与权限管控,例如PLC有密码管控。

    5)应用了企业级的防火墙,IT与OT之间基本上是物理隔离,只允许暴露最少端口进行数据交换。

    6)当在异地通过PC、BYOD移动设备访问工厂系统时,需要通过堡垒机作为中介统一访问,从而达到安全防护的目的。

    7)供应商进行设备的运程运维,需要安装RJS远程控制系统,并通过跳板机才能操作远程的设备。例如对于日本/韩国品牌的设备,公司会要求供应商安装RJS模块,通过远程共享电脑屏幕,再结合跳板机到目标设备进行维护和操作,如升级软件程序/操作系统、调试等。

    e-works:企业工业信息安全自我检查重点内容包含哪些方面?检查周期多久?

    张总:自我检查重点包括:在用系统的安全防护规划设计方案与策略、在用系统的基本情况、应急处置及容灾备份情况、边界防护措施、数据传输与存贮安全防护措施、资产安全情况等。其中,对于工控网络的自查是参照《工业控制网络安全风险评估规范》这一国家标准,主要是对工业控制网络的安全风险进行评估,从系统结构方面,评估范围包括工业控制网络的现场设备层、过程监控层、企业管理层等逻辑层;从评估要素方面,评估范围包括技术、管理、运行等各个层面。另外,根据ISO27000,当前的检查周期是1次/月。

IT与OT安全统一管理

    e-works:IT安全团队是如何看待或者管理OT安全的?

    张总:首先,对于IT与OT的安全防护,我们是统一管理,只是团队分工不同、保障目标不同。

    其次,在天马微电子,OT与IT安全同样重要,甚至更重要。相较于IT系统,OT系统的目标价值更高,工厂的很多资产,像生产塑机、设备参数、工艺参数等,是企业的重要财富,发生安全事件的后果也相当严重。因此,公司对于OT安全也相当重视,并坚持不断提高OT安全整体防护能力。

    值得一提的是,公司的OT人员,均具有IT背景,并且对OT人员根据不同的职责进行了细分,例如在OT安全方面,配备了IT安全出身的资深安全工程师,可以更安全、专业地保障整个OT系统的安全,并能有效与IT安全人员进行协同。

    e-works:IT与OT基础架构之间是否存在联系?边界安全防护的情况如何?

    张总:IT与OT基础架构之间有联系,例如生产运营MES与ERP、WMS之间是有数据交互的,但IT与OT之间是通过硬件防火墙来保障内部信息的安全。另外,对于IT与OT之间的数据交互,系统之间不能直接访问,主要是通过SOW暴露接口,并采取最小原则,即最小授权,最少端口暴露。

    另外,如果需要和外协厂、客户或者供应商进行数据对接,会在互联网端增加第二道防火墙。
    数据安全策略:多种防护措施联动
       e-works:企业对于数据安全主要的考虑是什么?是否有可借鉴和遵循的政策或准则?
       张总:数据安全主要考虑的是数据遗失,包括备份失效、数据恢复不成功、病毒破坏、偷窃。主要可借鉴准则有:1)数据灾备,包括异地磁带保存、周期性备份、备份数据恢复测试等。2)数据加密,对于一些敏感的数据如设计图纸、G类文件等,通过加密进行数据防泄露保护;3)防止人为数据遗失,例如将研发部定为高保密级别部门,手机禁止带入,其门禁卡也与普通门禁卡不一样。
       e-works:当前对于数据主要采取了哪些安全措施?难点在哪?
       张总:在数据存储方面,将存放在数据库的数据都升级到数据仓库,数据仓库相比数据库更庞大,并且保存的时间更长,例如生产数据在数据库只保存3个月,在数据仓库保存3年;在数据备份方面,采用了磁带备份,生产机实时向备份机发送关键数据,并在关键数据节点进行了冗余设计,例如Oracle数据库中的指向性灾备方案,使整个管理过程透明、可视。
       当前,高级持续性威胁(Advanced Persistent Threat)已成为信息安全产业界的热点,针对这种新的攻击媒介,是我们的防护重点。
       e-works:如何看待数据安全与其他网络安全功能的关系,如网络边界安全、身份和访问管理等?
       张总:网络边界安全、身份和访问管理等网络安全功能是数据安全的基础,两者是唇亡齿寒的关系。如果网络边界安全、身份和访问管理等这些基础功能缺失,数据的安全也无法保证。例如在网络边界安全方面,公司已将硬件防火墙从传统的三层防火墙升级到了新一代防火墙,可以全面应对应用层威胁,防止数据泄漏,有效地保证数据安全。 

责任编辑:杨培
本文为e-works原创投稿文章,未经e-works书面许可,任何人不得复制、转载、摘编等任何方式进行使用。如已是e-works授权合作伙伴,应在授权范围内使用。e-works内容合作伙伴申请热线:editor@e-works.net.cn tel:027-87592219/20/21。
e-works
官方微信
掌上
信息化
编辑推荐
新闻推荐
博客推荐
视频推荐