压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

互聯(lián)網(wǎng)時代制造業(yè)的信息安全探索

我做一個簡短的自我介紹，10余年的從業(yè)IT老兵，同樣也是北大CIO的班長。CIO是苦差事，架構師更是苦差事。我們這一行是說技術牛的人，不牛們不再這樣，有想法，有創(chuàng)造力的人去創(chuàng)業(yè)了，只留下我們一群人。今天我從兩個方面為大家開始今天的議題，首先是對于制造業(yè)企業(yè)的個人信息安全建議。

從這張圖我們可以看到，對于制造業(yè)龐大、復雜的信息化流程，對于此，大家對信息化的要求十分復雜，對于各個企業(yè)中投入了很多信息化的應用，類似于ERP、CAX、SCM、CRM、PLM、PDM、WEB、OA、郵件等等。對于新宏昌的ERP，是財務到質(zhì)檢等等一系列的貫穿體，CAX是產(chǎn)品設計和開發(fā)，與我們的PLM進行了有效的連接。我們的CAX從服務器到桌面端，整體的壓力很大，而且時效性并不是很高，但是數(shù)據(jù)及時性很高。而且我們系統(tǒng)部署之后，經(jīng)常發(fā)生人為的圖紙泄漏等等，包括我們的CRM的客戶關系泄漏、客戶信息泄漏，WEB遭受攻擊，遭受各種各樣的黃色網(wǎng)站訪問，員工的不軌行為，給我們造成了很多的困惑。我們信息人對于硬件和安全的人僅有4人，我們歷時一年的改造，可以說很辛苦，最終給集團和信息化交上滿意的答卷。尤其是制造業(yè)，更多的是從內(nèi)網(wǎng)高于外網(wǎng)，我們有眾多的制造工廠，是產(chǎn)、供、銷一體化的企業(yè)，我們可以意識到很多的問題，包括眾多的服務器，還有歷史遺留自各種存儲問題，復雜的架構，龐大的壓力，是我們新宏昌最大的困惑。

統(tǒng)一數(shù)據(jù)中心，我們將我們所有的機構統(tǒng)一在一個數(shù)據(jù)之內(nèi)，采用一地兩中心的模式，把各地的辦公網(wǎng)、生產(chǎn)網(wǎng)、財務網(wǎng)和設計網(wǎng)絡進行一個有效的統(tǒng)一管理，將外部單位、生產(chǎn)公益線路、監(jiān)控網(wǎng)絡進行有效的統(tǒng)測統(tǒng)管。說到兩個平衡，剛才李煒也說過，七分是管理，三分是技術。而且我們是老牌工業(yè)化企業(yè)，在工業(yè)企業(yè)中有點不太一樣，對于老牌工業(yè)企業(yè)中，我們隨著改革開放20年大潮成長起來，我們存在的問題是員工比較老，跟不上先進的東西，自我意識強，對一個老人家，老員工，你去推進信息化很難。最終我們采用的辦法是人事、行政加信息化共同組合的一個IT促進小組進行統(tǒng)籌分配和統(tǒng)籌管理。制造業(yè)大家的很有錢，有很多信息化的投入。但是制造業(yè)還有另外一點，它的要求很簡單，投資一定要有回報，沒有回報的東西很難說服老板。我們是以投入和管控做一個很好的結合，以最小的管控獲得最大的回報。

對于我們在三個層面是巨大的一個困擾點，包括邊界、重保和合規(guī)，其中重保是我們的重中之重，包括重點服務器、重要業(yè)務系統(tǒng)和重要數(shù)據(jù)，類似于我們的ERP、PRM，包括我們的CAD，這些都是我們的重保項目。我們的重保項目的保證級別是5分鐘之內(nèi)必須恢復，不許存在任何數(shù)據(jù)損失。對于邊界層面，我們的應用進行了一些相應的隔離策略，不同的人員，不同的級別，不同的部門只能反映相應的應用和存儲。對于外部的服務，我們以網(wǎng)絡行為作為第一重約束標準，同時基于下一代防火墻和我們的網(wǎng)絡審計服務器進行一個有效的聯(lián)動，對于員工層面是我們最薄弱的環(huán)節(jié)，下面我單獨有一個章節(jié)為大家做一個講解。

對于合規(guī)層面，我相信大家也會面臨相應的問題。除了正常的日常行為監(jiān)控審計和行為分析之外，包括我們的使用版權等等，我們都會存在類似的問題。在新宏昌我們歷時三年，將微軟進行了有效的替換，同時在數(shù)據(jù)層面，我們規(guī)避了微軟、Oracle以及IBM，但是這樣的過程是痛苦的，我?？陀^來說，對于新宏昌的信息化是從2013年開始，我們從一年的時間完成了虛擬化，完成了我們的內(nèi)部私有云，完成了我們的ERP建設。這種艱辛信息化的人會知道的，我不想多說。

實際上我一直同意360的一個觀點，也就是說系統(tǒng)一定尤為發(fā)現(xiàn)的漏洞，系統(tǒng)有發(fā)現(xiàn)未修補的漏洞，系統(tǒng)已經(jīng)被滲透，員工不可靠。實際在上這里我只強調(diào)一點，我認為我們的員工永遠不可靠，而且我們的員工異常行為，還有一些壞事情，是我們IT部門面臨最多的，而且檢測攻擊、內(nèi)部代理，我們因為對員工進行了全網(wǎng)的網(wǎng)絡管制，那么他會用一些代理工具，一些人有上網(wǎng)權限，給他們開一些代理。所以基于此，對于員工是我們最強、最大的一個約束點。

我們的安全是宣貫到每一個人。簡單舉三個點：第一是隔離，生產(chǎn)網(wǎng)、辦公網(wǎng)全隔離，辦公網(wǎng)內(nèi)進行等級劃分，財務、行政、人力諸多部門，以部門的職能和相關聯(lián)性我們劃分了不同的隔離。辦公網(wǎng)對應的主機、服務器不同的應用范圍也劃分到了不同的線路，對外友不同的業(yè)務指向；第二對于制度方面，我們是以預管控作為第一標準，所有的新宏昌員工，無論是移動用戶還是固網(wǎng)用戶必須強制加入域，而且通過域去推送相應的安全軟件。也就是說，進入域之后，他想不裝我們的安全軟件是不可能的。而且我們在后臺相應的機制上做了很多的設置，類似于24小時充氣，一次相應的PC端，終端的首先必須實施修復。這是有一個前提，我們的會比360、百度等等晚一天，因為我們的IT部門對所有的更新補丁要經(jīng)過測試之后才會更新到我們的補丁服務器。對于密碼，我們采用15位的強密碼，15天作為一個周期輪換；第三是問責，我們提出來三大點：一是小問題警告，超過三次，立馬這個人要走掉；二是大問題辭退，沒有任何商量的余地；三是問責誅連到部門第一負責人。

這張架構圖可能大家已經(jīng)看到了，我們大致劃為四層，包括可管理設備，或者是稱為已管理設備、無法管理的設備和未管理的設備。對于第二層和第三層我舉個例子，中國2003年的”非典”，我感觸很深，我是2003年來北京的，那個時候我們在車站、機場不同的地方設置了關卡，相當于第二層。第三層是政府的相關部門，做出相應的決定和指示。對于更高層，做整體的群策群力的聯(lián)動，也就是我們的綜合運維系統(tǒng)。

基于新宏昌來說我們做了虛擬化，大家知道，虛擬化對于存儲的依賴性很重，我們的存儲采用的是雙機的模式，實時的備份。生產(chǎn)存儲和備份存儲我們差2分鐘，同時我們進行了劃分，為了保證更高級別的問題，我們在兩個主備存儲之間有相應對應的離線備份存儲磁帶。這張圖（PPT）大家看一下，并不復雜，在座的都是專家，我就不詳細闡述了。我們的目的是保證存儲實時，業(yè)務不間斷。對于服務器層面，我們采用了基于虛擬化的設置，保證數(shù)據(jù)重點應用的實時活性。也就是說，我們的系統(tǒng)中可以分幾個層面去保障。所服務器模式保障，而且我們對于基于虛擬化的靈活的高可用。基于此，我們建立了一些相應的策略，對于監(jiān)控層面，全局的服務是進行基于網(wǎng)管的實時監(jiān)控和流量監(jiān)聽以及集中運維審計。

剛才一些專家也說過，看IDS和IPS這些東西很難，至少我們沒有這樣做，因為我們的運維系統(tǒng)會實時給我們發(fā)出來預警的郵件。同時我們參照了一些國內(nèi)的運維系統(tǒng)，我們做了自動化運維，可以說簡單的故障我們會進行一些處理，數(shù)據(jù)庫的監(jiān)聽和重啟，但是也是有一些級別，有一些輕量級的應用并不是十分重要的，十分重要的系統(tǒng)我們會分出來相應的等級進行相應的預警和預告。

對于補漏層面，我們無非是說對于線上的系統(tǒng)實時掃描和互聯(lián)網(wǎng)上的跟蹤，跟蹤獲取到相應的漏洞之后，我們需要進行人為的測試，無誤之后才會進行相應的修補。2007年的時候大家可能記得，賽可達曾經(jīng)有一個病毒的補丁，我所在的一家外企，全中國區(qū)大概是6千多使用者，郵件全部無法使用?；诖耍覀儗τ谒械难a丁和應用，我們不信任任何廠商的補丁是安全的，同樣我們也不信任我們的員工是安全的。我們信息人很少，要面對這么多問題，真的是壓力山大。對于日志層面，我們實時抓取，實時更新，我們以天為周期，以月為周期進行相應的比較分析，做到事前有預警，事后有追查。對于容災方面，我們是采用一地兩中心的實時備份。對于生產(chǎn)系統(tǒng)，每日三次快照。因為我們企業(yè)比較特殊，我們是早8點至晚18點為有效的數(shù)據(jù)響應期，剩余的時間就沒有太多的事情。所以我們的安全處理和各種問題有了一大把時間，不像互聯(lián)網(wǎng)公司那樣的壓力。對于離線備份，我們是作為最終的一個后援支撐。服務器層面，我們采用HA的實時在線。對于數(shù)據(jù)保密方面，我們是圖文檔系統(tǒng)實時加密。同時將所有的文件資料存儲在我們的云存儲中，在客戶端中不存在任何文件，或者對于個別客戶需要文件的話，也是加密后的文件。同時我們對各個部門，各個人員，根據(jù)他的級別進行了逐漸的分級限制。在昨天我們剛剛完成了內(nèi)網(wǎng)的約束，對于我們的USB口、串口、并口以及光驅(qū)、U盤存儲設備，沒有我們的認可和允許的話，但是這個認可權我們是歸屬在行政部門，沒有相應的許可的話，這些是禁止訪問和禁止獲取的。

對于網(wǎng)絡層面，我們從監(jiān)聽風暴抑制多種層面實現(xiàn)了我們的網(wǎng)絡安全。這是我們一個網(wǎng)絡的簡單拓撲，基于企業(yè)的保密性質(zhì)，我就不展開我們的整體拓撲了。大家可以看到，我們存在三種網(wǎng)絡，對于英特網(wǎng)，我們進行統(tǒng)一管理，SDH是作為我們生產(chǎn)的主線，部署到全國的所有生產(chǎn)基地和辦事處，但是對于我們的金融中心是不存在SDH的。對于VPN網(wǎng)絡，是對于我們SDH的一個備份，我們SDH連路對于運營商的要求是說雙線雙環(huán)雙連路，零中斷。因為我們統(tǒng)一數(shù)據(jù)中心對于我們的網(wǎng)絡壓力很大，對網(wǎng)絡的倚重很高，所以我們采用這種方式。但是隨著中企這些大型的國內(nèi)VPN運營商的投入，我們也會逐步把數(shù)據(jù)的運營重點遷移到VPN的層面上。但是對于銀行業(yè)務、金融業(yè)務和一些特殊的重保的保密業(yè)務以及生產(chǎn)系統(tǒng)，我們的SDH還會保留一些。

對于Wi-Fi層面我們就是受控使用，對于未受控的設備不允許接入我們的網(wǎng)絡。我們做到了幾點，包括基于MAC地址的認證，不僅僅是我們的Wi-Fi設備，我們的筆記本和臺式機都采用MAC地址的方式，我們允許在新宏昌的總部到所有的分支成員單位中的任何一個設備，集團內(nèi)部的任意地點的漫游。所有的移動設備必須強制加入域，加入域之后才能得到Wi-Fi的認證。另外我們做到了事后追查，通過最后一次的設備發(fā)射信號以及三點測量法去測量設備最后的使用地點，誰干壞事我們直接快速定位。但是現(xiàn)在因為我們投入比較少，大概需要一分鐘。

對于遠程辦公設備，現(xiàn)在我們比較薄弱，我們只做到了數(shù)據(jù)隔離和加密。這樣的話，也是對于企業(yè)目前一個掣肘點。簡單來說，遠程設備想要接入企業(yè)內(nèi)部必須通過VPN隧道，我們的VPN有一個約束，必須通過一個VPN，大家知道，連接之后不能進入公網(wǎng)，我們做了第一重保障。第二重保障，對于外部接入的設備，通過VPN訪問到公司網(wǎng)絡，必須以動態(tài)口令作為識別方式，如果非動態(tài)口令的話，將不會登錄系統(tǒng)。我們對于外部訪問到企業(yè)內(nèi)部辦公系統(tǒng)，全部執(zhí)行加密。也就是說，我們兩重機制，外網(wǎng)訪問是加密系統(tǒng)，內(nèi)網(wǎng)可信任設備是非加密系統(tǒng)，還有就是基于MAC地址的身份強識別。

謝謝大家，我就講到這里，請大家批評指正！