毋庸置疑，制造業(yè)數(shù)字化是行業(yè)趨勢，隨著數(shù)字化技術(shù)的深入，對IT系統(tǒng)依賴越來越高，對數(shù)字化系統(tǒng)的連續(xù)性要求越來越高，有價值的數(shù)據(jù)也越來越多。許多制造企業(yè)經(jīng)常忽視信息安全的建設(shè)，造成難以挽回的損失。

近日，世界最大的半導(dǎo)體制造商臺積電成為勒索軟件黑幫 LockBit 最新一位的受害者，該組織勒索 7000 萬美元以交換不泄露竊取的數(shù)據(jù)。臺積電已經(jīng)證實(shí)了此次攻擊，表示網(wǎng)絡(luò)入侵導(dǎo)致了與服務(wù)器初始設(shè)置和配置相關(guān)的信息泄露，沒有任何客戶信息泄露。

2022年3月，由于一家主要供應(yīng)商遭受到網(wǎng)絡(luò)攻擊，豐田汽車關(guān)閉其在日本的所有工廠，暫停的工廠涉及其國內(nèi)14家工廠和28條生產(chǎn)線的運(yùn)營。

2022年6月，全球制造業(yè)巨頭富士康證實(shí)，其墨西哥一家工廠在5月底遭遇了勒索攻擊。黑客組織加密了這家工廠的約1200臺服務(wù)器，竊取了100 GB的未加密文件，并刪除了20TB至30TB的備份內(nèi)容，并索取1804.0955比特幣贖金，約人民幣2.3億元。據(jù)外媒報道，本次勒索攻擊一度導(dǎo)致該工廠的業(yè)務(wù)中斷。

隨著數(shù)字化的深入，制造業(yè)上云成為趨勢，制造業(yè)上云安全面臨挑戰(zhàn)。

01數(shù)字化轉(zhuǎn)型驅(qū)動制造業(yè)上云勢在必行

制造業(yè)的特點(diǎn)是對實(shí)時性和可靠性要求高，生產(chǎn)必須保持連續(xù)性，并且不能出現(xiàn)絲毫的差錯。所以制造業(yè)對IT系統(tǒng)最基本的要求是實(shí)時可靠，隨著數(shù)字化的深入，同時要求IT系統(tǒng)具備定制化、數(shù)據(jù)管理能力、集成能力以及安全保密性等特點(diǎn)，以滿足制造業(yè)的復(fù)雜需求。

實(shí)時性和可靠性：制造業(yè)需要實(shí)時的數(shù)據(jù)收集和處理能力，以支持生產(chǎn)線的監(jiān)控和控制。IT系統(tǒng)需要具備高度可靠性，確保數(shù)據(jù)的準(zhǔn)確性和及時性，以避免生產(chǎn)中斷和質(zhì)量問題。

高度定制化：由于需求的多樣性，IT系統(tǒng)需要具備靈活的定制化能力，以適應(yīng)不同類型和規(guī)模的制造過程。企業(yè)需要能夠根據(jù)自身需求進(jìn)行定制開發(fā)或選擇適合的行業(yè)解決方案。

強(qiáng)大的數(shù)據(jù)管理能力：制造業(yè)產(chǎn)生大量的數(shù)據(jù)，對于數(shù)據(jù)的采集、存儲和分析都有較高的要求。IT系統(tǒng)需要提供強(qiáng)大的數(shù)據(jù)管理功能，包括數(shù)據(jù)采集接口、大規(guī)模數(shù)據(jù)存儲和處理能力、數(shù)據(jù)分析和可視化等。

集成能力：制造業(yè)通常存在多個獨(dú)立的系統(tǒng)和設(shè)備，如ERP系統(tǒng)、MES系統(tǒng)、設(shè)備控制系統(tǒng)等，這些系統(tǒng)需要進(jìn)行集成，實(shí)現(xiàn)信息的無縫流動和共享。IT系統(tǒng)需要具備良好的集成能力，支持系統(tǒng)之間的數(shù)據(jù)交換和協(xié)同工作。

安全和保密性：制造業(yè)涉及到商業(yè)機(jī)密、產(chǎn)品設(shè)計(jì)和生產(chǎn)數(shù)據(jù)等敏感信息，對于安全和保密性有很高的要求。IT系統(tǒng)需要提供強(qiáng)大的安全措施，包括身份認(rèn)證、數(shù)據(jù)加密、權(quán)限管理等，以保護(hù)企業(yè)的敏感信息不受未經(jīng)授權(quán)的訪問。

基于以上原因，制造業(yè)上云成為行業(yè)趨勢。

首先是提高生產(chǎn)效率：制造業(yè)上云可以通過數(shù)字化技術(shù)和云計(jì)算平臺提供更高的生產(chǎn)效率。云平臺可以集成并優(yōu)化制造過程中的各個環(huán)節(jié)，包括供應(yīng)鏈管理、生產(chǎn)計(jì)劃、物料采購、生產(chǎn)控制等。通過實(shí)時數(shù)據(jù)收集和分析，制造企業(yè)可以更好地優(yōu)化生產(chǎn)流程，減少生產(chǎn)周期，提高交付速度，降低生產(chǎn)成本。

其次促進(jìn)創(chuàng)新和協(xié)作：上云可以為制造企業(yè)提供更好的創(chuàng)新和協(xié)作環(huán)境。云平臺提供了強(qiáng)大的數(shù)據(jù)存儲和處理能力，可以支持大規(guī)模數(shù)據(jù)分析、人工智能和機(jī)器學(xué)習(xí)應(yīng)用。制造企業(yè)可以利用云上的工具和資源，進(jìn)行產(chǎn)品設(shè)計(jì)優(yōu)化、模擬仿真、智能制造等創(chuàng)新活動。此外，云平臺也為不同部門和團(tuán)隊(duì)之間的協(xié)作提供了便利，可以促進(jìn)信息共享和實(shí)時溝通。

第三是強(qiáng)化智能制造和物聯(lián)網(wǎng)應(yīng)用：上云可以為制造業(yè)的智能制造和物聯(lián)網(wǎng)應(yīng)用提供技術(shù)支持。云平臺可以與設(shè)備、傳感器和物聯(lián)網(wǎng)連接，實(shí)現(xiàn)設(shè)備之間的數(shù)據(jù)共享和遠(yuǎn)程監(jiān)控。制造企業(yè)可以利用云平臺來收集和分析來自各種設(shè)備和傳感器的數(shù)據(jù)，實(shí)現(xiàn)設(shè)備狀態(tài)監(jiān)測、預(yù)測性維護(hù)和生產(chǎn)優(yōu)化等智能制造應(yīng)用。

第四是強(qiáng)化靈活性和可擴(kuò)展性：云計(jì)算提供了靈活的計(jì)算和存儲資源，可以根據(jù)制造業(yè)務(wù)的需求進(jìn)行彈性擴(kuò)展。制造企業(yè)可以根據(jù)需要快速調(diào)整計(jì)算資源的規(guī)模，實(shí)現(xiàn)高效的資源利用和成本控制。此外，云平臺還可以支持多地點(diǎn)和分布式生產(chǎn)環(huán)境的協(xié)同工作，提供靈活的部署選項(xiàng)和遠(yuǎn)程訪問功能。

與此同時，制造業(yè)上云安全面臨挑戰(zhàn)，云計(jì)算提供了強(qiáng)大的數(shù)據(jù)安全和備份機(jī)制，可以幫助制造企業(yè)保護(hù)關(guān)鍵業(yè)務(wù)數(shù)據(jù)。

但是相比傳統(tǒng)架構(gòu)，云計(jì)算更為復(fù)雜，對IT管理方面提出更高要求。

02制造業(yè)上云安全面臨挑戰(zhàn)

制造業(yè)上云所面臨的安全挑戰(zhàn)包括以下幾個方面：

數(shù)據(jù)安全和隱私：制造業(yè)涉及到大量的敏感數(shù)據(jù)，包括產(chǎn)品設(shè)計(jì)、制造工藝、客戶信息等。將這些數(shù)據(jù)存儲在云平臺上可能增加數(shù)據(jù)泄露、數(shù)據(jù)丟失或未經(jīng)授權(quán)訪問的風(fēng)險。確保數(shù)據(jù)的機(jī)密性、完整性和可用性是制造業(yè)上云面臨的首要挑戰(zhàn)。

訪問控制和身份認(rèn)證：制造業(yè)上云需要建立有效的訪問控制和身份認(rèn)證機(jī)制，以確保只有授權(quán)人員可以訪問敏感數(shù)據(jù)和系統(tǒng)。不正確的訪問控制可能導(dǎo)致未經(jīng)授權(quán)的訪問、數(shù)據(jù)篡改或惡意操作。

威脅和漏洞管理：制造業(yè)上云后，需要及時識別和應(yīng)對可能的威脅和漏洞。云平臺的漏洞、不安全的配置或弱密碼可能被黑客利用，導(dǎo)致系統(tǒng)被入侵或數(shù)據(jù)被竊取。制造業(yè)需要建立有效的威脅管理和漏洞管理機(jī)制，及時修補(bǔ)漏洞、監(jiān)控潛在威脅。

供應(yīng)鏈安全：制造業(yè)涉及到復(fù)雜的供應(yīng)鏈網(wǎng)絡(luò)，上云后需要確保供應(yīng)鏈的安全性。供應(yīng)鏈中的各個環(huán)節(jié)可能成為攻擊的目標(biāo)，黑客可能通過攻擊供應(yīng)商或分銷商的云平臺來獲取機(jī)密數(shù)據(jù)或破壞生產(chǎn)過程。

物理安全：制造業(yè)上云并不意味著物理安全問題就不再重要。云服務(wù)提供商的數(shù)據(jù)中心和網(wǎng)絡(luò)設(shè)施需要具備高級的物理安全措施，以防止設(shè)備盜竊、自然災(zāi)害或其他物理攻擊。

合規(guī)性要求：制造業(yè)在上云過程中需要遵守法規(guī)和行業(yè)標(biāo)準(zhǔn)的合規(guī)性要求，如數(shù)據(jù)保護(hù)法規(guī)、知識產(chǎn)權(quán)保護(hù)、行業(yè)標(biāo)準(zhǔn)等。確保合規(guī)性可能需要制定適當(dāng)?shù)恼?、流程和控制措施?/p>

那么，制造業(yè)如何應(yīng)對上云面臨的安全挑戰(zhàn)，解決方案是什么？華為云在云安全方面有豐富的實(shí)踐，總結(jié)出方法論，來看看華為云的云安全解決方案。

03制造業(yè)上云安全解決方案

在華為云的今年4月份發(fā)布的《企業(yè)上云安全白皮書》中，華為云給出了企業(yè)上云安全的方法論和操作步驟。

云安全的基礎(chǔ)是責(zé)任共擔(dān)模型，即華為云負(fù)責(zé)云服務(wù)自身的安全，提供安全的云；用戶負(fù)責(zé)云服務(wù)內(nèi)部的安全，安全使用云。

企業(yè)上云過程，華為云給出了評估調(diào)研、規(guī)劃設(shè)計(jì)、遷移實(shí)施、遷移驗(yàn)收四個階段的劃分，每個階段有清晰的步驟。

本節(jié)以企業(yè)上云遷移流程為基準(zhǔn)，向企業(yè)提供上云安全建設(shè)步驟指南，指導(dǎo)企業(yè)構(gòu)建云上安全體系。

白皮書指出上云安全建設(shè)分為5個步驟：

制定安全策略

第一個步驟是制定安全策略，分為十一個模塊：

• 安全管理組織：指定負(fù)責(zé)云上各個關(guān)鍵職能人員/團(tuán)隊(duì)，比如安全運(yùn)營、系統(tǒng)安全管理等，并定義其職責(zé)。
• 身份與訪問管理：定義組織人員身份類型和身份驗(yàn)證方法，僅授予身份所需的權(quán)限，并持續(xù)審核和監(jiān)控賬號和權(quán)限的使用。
• 網(wǎng)絡(luò)安全：對業(yè)務(wù)所在網(wǎng)絡(luò)進(jìn)行安全分區(qū)管理，并進(jìn)行相應(yīng)隔離；在網(wǎng)絡(luò)邊界實(shí)施防護(hù)和監(jiān)控機(jī)制；確保通信線路和設(shè)備的冗余以滿足業(yè)務(wù)需求。
• 數(shù)據(jù)安全：根據(jù)數(shù)據(jù)保護(hù)相關(guān)法律法規(guī)、標(biāo)準(zhǔn)中定義的分類分級要求對數(shù)據(jù)進(jìn)行分類分級管理，并在數(shù)據(jù)生命周期各個階段實(shí)施相對應(yīng)的保護(hù)措施。
• 威脅與漏洞管理：對云上業(yè)務(wù)定期執(zhí)行漏洞掃描和分析，并及時對漏洞修補(bǔ)。
• 日志與監(jiān)控：對云上資源啟用日志功能，集中收集和存儲所有日志，并對日志進(jìn)行監(jiān)控和審核；監(jiān)控安全狀態(tài)，并記錄網(wǎng)絡(luò)攻擊行為。
• 安全響應(yīng)與恢復(fù)：為安全事件管理提供資源支持，自動對安全事件進(jìn)行上報和通知，預(yù)部署事件響應(yīng)工具；定期開展安全事件演練與經(jīng)驗(yàn)總結(jié)。
• 備份與恢復(fù)：定義數(shù)據(jù)備份策略和保護(hù)措施，并對備份進(jìn)行監(jiān)控與審核。
• 開發(fā)安全：對開發(fā)代碼進(jìn)行安全檢查；系統(tǒng)上線前執(zhí)行安全測試；保護(hù)研發(fā)資產(chǎn)的安全。
• 證書與密鑰管理：定義組織允許使用的加密算法和密碼技術(shù)產(chǎn)品；對密鑰和證書進(jìn)行集中管理，并在密鑰和證書的生命周期各個階段實(shí)施安全控制。
• 隱私保護(hù)與合規(guī)：識別隱私保護(hù)相關(guān)法律法規(guī)，對業(yè)務(wù)所涉?zhèn)€人數(shù)據(jù)進(jìn)行識別并進(jìn)行隱私風(fēng)險評估；減少敏感數(shù)據(jù)在系統(tǒng)中的暴露風(fēng)險；持續(xù)遵循合規(guī)要求。

制定安全計(jì)劃

第二個步驟是制訂安全計(jì)劃，白皮書分為四個部分：

準(zhǔn)備遷移環(huán)境

企業(yè)在正式實(shí)施遷移上云之前，需確保遷移目的端環(huán)境符合企業(yè)的合規(guī)性和安全性要

求。根據(jù)企業(yè)已確定的云上產(chǎn)品清單，安全團(tuán)隊(duì)根據(jù)云環(huán)境安全基準(zhǔn)設(shè)計(jì)方案對云上環(huán)境進(jìn)行配置，并持續(xù)審核配置以確認(rèn)云環(huán)境滿足安全基準(zhǔn)，這將有效減少在遷移部署期間的安全風(fēng)險和降低業(yè)務(wù)遷移上云后再進(jìn)行安全配置的風(fēng)險。

實(shí)施遷移

企業(yè)在實(shí)施遷移過程中會可能面臨業(yè)務(wù)中斷、數(shù)據(jù)丟失、數(shù)據(jù)遷移不一致等風(fēng)險，華為云提供多種遷移工具幫助企業(yè)應(yīng)對遷移實(shí)施過程中的安全風(fēng)險，并能有效縮短遷移中斷時間和提高遷移效率，減少對業(yè)務(wù)運(yùn)行的影響。

04制造業(yè)上云安全案例

某化工制造企業(yè)，年?duì)I收接近100億人民幣，因?yàn)闃I(yè)務(wù)發(fā)展需求進(jìn)行數(shù)字化轉(zhuǎn)型，需要新上或者升級一批工業(yè)系統(tǒng)，尤其是WMS系統(tǒng)，需要7x24小時支撐業(yè)務(wù)運(yùn)轉(zhuǎn)。

經(jīng)過和客戶多輪溝通，引導(dǎo)客戶使用華為云，華為云在制造行業(yè)有突出優(yōu)勢：

●行業(yè)解決方案豐富：華為云提供了豐富的行業(yè)解決方案，尤其在制造業(yè)方面有較強(qiáng)的專注度和布局；

●產(chǎn)品體系完備：華為云提供了完備的產(chǎn)品體系,包括IaaS、PaaS和SaaS,可全面支撐企業(yè)的基礎(chǔ)架構(gòu)、應(yīng)用開發(fā)和業(yè)務(wù)運(yùn)營；

●云邊融合優(yōu)勢：華為在云計(jì)算和網(wǎng)絡(luò)領(lǐng)域具有優(yōu)勢，云邊協(xié)同產(chǎn)品成熟，可以幫助制造企業(yè)實(shí)現(xiàn)云邊融合，將云上和邊緣側(cè)的計(jì)算資源有機(jī)結(jié)合；

●安全可控：華為云有較強(qiáng)的安全技術(shù)積累，有助于保障企業(yè)的業(yè)務(wù)數(shù)據(jù)和網(wǎng)絡(luò)安全。

在確定使用華為云以后，根據(jù)華為云安全最佳實(shí)踐，制定安全策略。

●安全管理組織：由甲乙方共同成立安全小組，推進(jìn)安全事項(xiàng)落地，評估安全措施效果；

●身份與訪問管理：對系統(tǒng)權(quán)限和賬號進(jìn)行梳理，根據(jù)最小權(quán)限原則只給比要的賬號，云賬號根據(jù)權(quán)限劃分子帳號，所有的云賬號啟用兩步認(rèn)證；

●網(wǎng)絡(luò)安全：使用vpc、云防護(hù)墻、ACL進(jìn)行分區(qū)管理，對網(wǎng)絡(luò)邊界實(shí)施防護(hù)和監(jiān)控機(jī)制；

●數(shù)據(jù)安全：根據(jù)法律法規(guī)和企業(yè)業(yè)務(wù)，對數(shù)據(jù)進(jìn)行分級分類，在數(shù)據(jù)生命周期各個階段實(shí)施相對應(yīng)的保護(hù)措施；

●威脅與漏洞管理：通過華為云云安全大腦對云上業(yè)務(wù)定期執(zhí)行漏洞掃描和分析，并及時對漏洞修補(bǔ)；

●日志與監(jiān)控：通過華為云云安全大腦對云上資源啟用日志功能，集中收集和存儲所有日志，并對日志進(jìn)行監(jiān)控和審核；監(jiān)控安全狀態(tài)，并記錄網(wǎng)絡(luò)攻擊行為。

●安全響應(yīng)與恢復(fù)：通過華為云云安全大腦為安全事件管理提供資源支持，自動對安全事件進(jìn)行上報和通知，預(yù)部署事件響應(yīng)工具；定期開展安全事件演練與經(jīng)驗(yàn)總結(jié)。

●備份與恢復(fù)：對重要數(shù)據(jù)做到實(shí)時備份，對次重要數(shù)據(jù)每天備份，對普通數(shù)據(jù)每周備份，并對備份進(jìn)行監(jiān)控與審核；

●開發(fā)安全：上線前對開發(fā)代碼進(jìn)行安全檢查；系統(tǒng)上線前執(zhí)行安全測試；

●證書與密鑰管理：制定證書與密鑰管理流程與機(jī)制，做到證書與密鑰全生命周期管理；

●隱私保護(hù)與合規(guī)：按照等級保護(hù)三級標(biāo)準(zhǔn)進(jìn)行安全建設(shè)，確保合規(guī)要求。

制定安全計(jì)劃

根據(jù)華為云安全最佳實(shí)踐，制定安全計(jì)劃

準(zhǔn)備環(huán)境

根據(jù)安全策略和安全計(jì)劃，準(zhǔn)備環(huán)境

實(shí)施上云

根據(jù)安全策略和安全計(jì)劃，實(shí)施部署

持續(xù)安全運(yùn)營

項(xiàng)目上線后，基于華為云安全大腦，新鈦云服提供持續(xù)的安全運(yùn)營服務(wù)，新鈦云服的安全運(yùn)營服務(wù)流程如下：

效果評估

經(jīng)過按照華為云安全最佳實(shí)踐設(shè)計(jì)和配置，上線以來該企業(yè)業(yè)務(wù)運(yùn)行穩(wěn)定，未出現(xiàn)任何安全事件，取得了良好效果。