隨著5G+工業(yè)互聯(lián)網(wǎng)的不斷推進(jìn),企業(yè)的數(shù)字化程度也會(huì)隨之逐步加深����,安全成為越來(lái)越多的企業(yè)在轉(zhuǎn)型升級(jí)時(shí)考慮的首要問(wèn)題。在面對(duì)安全問(wèn)題時(shí)�,是“拍腦袋”根據(jù)經(jīng)驗(yàn)決策,還是依據(jù)體系框架按部就班地操作�,哪種處理方式更加具備實(shí)操性?企業(yè)在處理安全問(wèn)題時(shí)如何才能做到未雨綢繆,而不是亡羊補(bǔ)牢?云�、物聯(lián)網(wǎng)等創(chuàng)新數(shù)字技術(shù)應(yīng)用對(duì)原有企業(yè)信息安全體系會(huì)帶來(lái)哪些挑戰(zhàn)?......
2021年8月27日,在ENI經(jīng)濟(jì)和信息化網(wǎng)聯(lián)合戴爾科技集團(tuán)共同舉辦的“安全策略護(hù)航創(chuàng)新轉(zhuǎn)型 工業(yè)互聯(lián)網(wǎng)時(shí)代企業(yè)數(shù)字化安全策略及實(shí)踐”研討會(huì)上���,聯(lián)合汽車電子的信息安全總監(jiān)趙超�����,戴爾科技集團(tuán)存儲(chǔ)平臺(tái)及解決方案事業(yè)部高級(jí)業(yè)務(wù)拓展經(jīng)理吳天耀分別從行業(yè)的角度�、技術(shù)的層面等角度介紹了新基建、工業(yè)互聯(lián)網(wǎng)�����、5G快速發(fā)展的當(dāng)下企業(yè)面臨的安全問(wèn)題及一些成功案例�。
趙超
上海聯(lián)合汽車電子 信息安全總監(jiān)
以汽車行業(yè)為例,趙超在接下來(lái)的演講中談到��,在智能網(wǎng)聯(lián)汽車尚未形成行業(yè)標(biāo)準(zhǔn)的今天��,產(chǎn)品信息安全問(wèn)題已受到了行業(yè)內(nèi)外的廣泛關(guān)注�����。原本封閉環(huán)境下的汽車����,長(zhǎng)出無(wú)數(shù)具備互聯(lián)屬性的組件,除了傳統(tǒng)的診斷端口��、智能網(wǎng)關(guān)、藍(lán)牙鑰匙����、甚至雨刮器都成為可被攻擊的目標(biāo)。這意味著��,企業(yè)信息安全的內(nèi)涵外延都發(fā)生了巨大變化���。從原有以知識(shí)產(chǎn)權(quán)保護(hù)��、信息系統(tǒng)可用為目的的企業(yè)信息資產(chǎn)安全����,擴(kuò)展到產(chǎn)品信息安全���,并進(jìn)一步延伸出消費(fèi)者數(shù)據(jù)安全、人身安全��、甚至國(guó)家安全這樣的網(wǎng)絡(luò)安全概念�����。
在談到企業(yè)如何面對(duì)這些挑戰(zhàn)時(shí)���,趙超提出�����,還是要回到最基本的概念層面�����,以風(fēng)險(xiǎn)管控的閉環(huán)來(lái)看待問(wèn)題����。 而這也恰恰是各種信息安全體系的共同點(diǎn)。無(wú)論是ISO27001體系還是即將推出的ISO/SAE21434����,都是以風(fēng)險(xiǎn)為導(dǎo)向的管控體系。而重要資產(chǎn)識(shí)別以及相關(guān)資產(chǎn)的風(fēng)險(xiǎn)識(shí)別是安全體系建設(shè)的基礎(chǔ)���。如果認(rèn)識(shí)不到風(fēng)險(xiǎn)�����,信息安全工作就變得非常盲目��。從這個(gè)角度來(lái)說(shuō)��,盡管各種體系都會(huì)給出一些方法論�,但經(jīng)驗(yàn)也尤為重要。所以在意識(shí)層面����,依靠體系的方法論,在實(shí)踐上則要汲取不同業(yè)務(wù)領(lǐng)域曾經(jīng)遇到的各種問(wèn)題�����,作為風(fēng)險(xiǎn)識(shí)別的輸入����。兩條腿走路,了解自身的風(fēng)險(xiǎn)所在�,建立風(fēng)險(xiǎn)管控體系和手段。
目前企業(yè)數(shù)字化轉(zhuǎn)型的大背景下�����,各個(gè)行業(yè)都面臨著嚴(yán)峻的挑戰(zhàn)�����。特別是產(chǎn)品信息安全領(lǐng)域��,更是道高一尺魔高一丈�。 企業(yè)的信息安全工作一定要與數(shù)字化轉(zhuǎn)型同步規(guī)劃、同步建設(shè)��,才能保障轉(zhuǎn)型的持續(xù)深化�����。
吳天耀
戴爾科技集團(tuán)存儲(chǔ)平臺(tái)及解決方案事業(yè)部高級(jí)業(yè)務(wù)拓展經(jīng)理
伴隨著新基建和后疫情加速中國(guó)云計(jì)算市場(chǎng)和技術(shù)格局的改變�,以及目前中國(guó)企業(yè)的工業(yè)互聯(lián)網(wǎng)布局的加速,73.7%的企業(yè)選擇模塊化部署��,跨核心-邊緣-多云統(tǒng)一-智能監(jiān)控管理的架構(gòu)���。戴爾科技集團(tuán)存儲(chǔ)平臺(tái)及解決方案事業(yè)部高級(jí)業(yè)務(wù)拓展經(jīng)理吳天耀在“工業(yè)互聯(lián)網(wǎng)云安全”的主題演講中介紹了戴爾科技云平臺(tái)一致性的云策略�,即軟硬件一體化全生命周期管理����、應(yīng)用靈活跨云彈性部署、由應(yīng)用驅(qū)動(dòng)的多云平臺(tái)�。
無(wú)論是數(shù)據(jù)安全、網(wǎng)絡(luò)安全�、設(shè)備安全還是控制安全等,最主要的是安全���,從云安全的角度來(lái)看��,工作量是隨指數(shù)級(jí)增長(zhǎng)的��,因?yàn)?����,集成意味著?fù)雜�����,而復(fù)雜恰恰是安全的天敵�,也就意味著傳統(tǒng)的邊界安全不能滿足目前多云環(huán)境的安全需求。例如在業(yè)務(wù)感知方面�,傳統(tǒng)邊界安全所有的流量都要繞行至邊界防火墻做入侵檢測(cè)IDS/ 入侵防御IPS,戴爾科技集團(tuán)云平臺(tái)基于VMware NSX Intelligence擁有更細(xì)顆粒度的應(yīng)用流量安全保護(hù)和進(jìn)程可視化�����,具有自動(dòng)評(píng)估應(yīng)用行為基線;在每個(gè)IDS/IPS引擎中評(píng)估簽名庫(kù)的需求�,并基于應(yīng)用行為和屬性進(jìn)行策略分組;主動(dòng)推薦微分段安全策略;同時(shí)可以根據(jù)業(yè)務(wù)的種類,業(yè)務(wù)所在的位置有針對(duì)性的推薦相關(guān)的IDS/IPS特征庫(kù)和防火墻策略���,從而避免了傳統(tǒng)邊界安全的無(wú)效監(jiān)控�����。
在問(wèn)答環(huán)節(jié)��,吳天耀��、趙超及在線的嘉賓就“技術(shù)性的操作是否會(huì)成為企業(yè)的負(fù)擔(dān)”����、“企業(yè)在處理安全問(wèn)題時(shí)如何才能做到未雨綢繆��,而不是亡羊補(bǔ)牢?”等問(wèn)題做了探討�����。吳天耀在談到如果企業(yè)只靠拍腦袋決策是不可行的�,可以把事前防范與事后補(bǔ)救相結(jié)合。工業(yè)互聯(lián)網(wǎng)的發(fā)展���,必然會(huì)產(chǎn)生大量的數(shù)據(jù)����,企業(yè)可以用數(shù)據(jù)驅(qū)動(dòng)分析各個(gè)環(huán)節(jié)的關(guān)聯(lián)度和密切性��,關(guān)聯(lián)性的密切程度決定了數(shù)據(jù)的重要程度,以此做為評(píng)判風(fēng)險(xiǎn)等級(jí)的依據(jù)�,來(lái)決策目前企業(yè)的防線防護(hù)是否足夠。萬(wàn)一遇到勒索病毒��,戴爾科技集團(tuán)有數(shù)據(jù)避風(fēng)港解決方案做重要數(shù)據(jù)的恢復(fù)���。
正如一位CIO提到的�����,當(dāng)前的企業(yè)正處于向工業(yè)互聯(lián)網(wǎng)時(shí)代數(shù)字化轉(zhuǎn)型的過(guò)渡階段��,在這個(gè)過(guò)程中�����,企業(yè)原有的安全策略和規(guī)劃勢(shì)必會(huì)面臨挑戰(zhàn)����。當(dāng)下�����,正處于不斷的探索階段,需要產(chǎn)業(yè)生態(tài)和企業(yè)共同努力��。同時(shí)�,不斷成熟和落地的創(chuàng)新數(shù)字技術(shù)��,也將成為賦能工業(yè)互聯(lián)網(wǎng)時(shí)代企業(yè)安全的核心力量�。
