浅谈汉得协同制造产品的信息安全之路 数字化时代:信息安全重要且必要 作者 / 王婷婷 智造美好生活专栏文章第二季的主题是安全,此前的两篇文章,围绕“自主可控”这个关键词,从人才培养、产品架构设计两方面,阐述了汉得对于“自主可控”的理解和主张,重点介绍了HCM产品和实施团队,如何帮助企业搭建自主可控的制造运营平台,进行知识转移,帮助企业培养自己的信息化队伍。 要想做到真正的自主可控,信息安全是一个永恒的话题,本文将向各位读者展开汉得智能制造团队对于信息安全的认识和行动。 2016年年初,网络信息安全被正式划入“十三五”规划重点建设方向,在政府未来5年的100项重大建设项目中排在第六位,政府重视程度达到前所未有的高度。《网络安全法》、《数据安全法》以及《个人信息保护法》的陆续发布和实施,进一步遏阻了信息安全形势的恶化,为企业的信息安全提供了良好的政策环境和法律保护。同时,大家也充分认识到,信息安全的日常防控和保障,必须依赖于企业强化自身信息安全意识,提高技术防范水平,完善配套机制建设。 企业对信息安全的重视程度取决于其对于自身信息价值的认知程度,以及对于信息安全的担忧程度。对于信息价值的认知程度,随着产业数字化进程的不断推进,信息不仅成为了多数企业业务的一部分甚至成为了业务本身,信息安全不仅影响着信息数据本身的价值和连带的商誉认可,更是直接影响着组织运营是否可正常运转。 智能制造平台是制造型企业最重要的业务平台,平台支撑着制造企业的核心业务运转,承载着企业核心的产品数据和运营数据,是制造企业数据资产最重要的一部分,对企业运营改善和产品改善都发挥着极大的作用和价值,智能制造平台的安全性决定了制造企业的数据安全性和发展安全性。 在对信息安全的担忧上,根据Gartner的调查研究分析,信息安全投入占总体IT支出的比例逐年上升,已经真实反应了企业对自身信息安全的担忧和重视程度越来越高。 Source: Gartner 在技术防范方面,汉得智能制造产品——汉得协同制造套件HCM (HAND Collaborative Manufacturing),为企业实施智能制造提供全面可靠的技术防范手段和方法。 在常用的的防范技术上,我们在数据库层进行数据安全防范,对数据库软件更新、数据访问和操作,以及数据库层服务均提供完备的权限控制; 在操作系统层进行日志审计和追踪,通过安全日志和审计措施,能够对可疑操作进行追踪,并通过及时提醒更新服务,防止遗漏重要的安全补丁; 在网络传输层保障信息传输安全,配合企业的防火墙和DMZ规划,通过SSL加密提供安全的数据传输; 在应用安全层提供应用接入安全通道,通过SQL 注入攻击预防、XSS 跨域脚本工具防御、高强度加密的方式最大限度地保证应用安全。 在部署实践中,汉得智能制造产品的底层框架已在3000+大中型企业和50+行业进行实践验证,私有云、公有云、混合云以及各种OP方式部署均有实例,可以为企业的安全部署提供最丰富的解决方案。 在有效防范外部攻击者的信息窃取或操作控制(即狭义的信息安全,如下图所示)同时,保障信息与数据在组织内部的良好运转更是信息安全的重要环节。 区别于外患,内忧往往是控制效果更好和更加迫切、但又是最容易忽略的部分,在没有外力干扰的时候,如何保证信息仍然能够正常流转是非常值得关注和管理的问题。企业的内部信息防控主要针对于存储安全、访问安全以及防泄密三个方面。 Source: 《信息安全研究框架》 信息和数据存储本身与软硬件的综合建设有关:可靠的存储电子产品,稳健的加密体系与上层应用,以及最关键的备份!备份!备份! 汉得智能制造产品经过近20年的项目实施积累,已针对生产计划、车间执行、仓储物流以及设备互联等制造运营场景,打造完备的数据存储方案,主从配置、多节点集群的部署方式以及读写分离、冷热分层技术路线的场景运用,配合科学有效的灾备体系,切实保障企业现场的高可用信息通路。 单个微服务节点的性能在大业务量时性能会遇到瓶颈,无法满足企业对业务系统的要求,HZERO服务采用无状态化设计,能够实现水平扩展部署,任何一个节点宕机都不会导致系统停止服务。据真实案例,HCM在每秒2000并发请求,每天300GB的数据增量下依然运行平稳,稳健可靠。 Source: 《HZERO开源版白皮书》 为了提供更高级别的访问安全控制,在更高的技术安全和数据安全要求下,汉得智能制造产品配合底层框架HZERO能够提供极高级别的数据安全控制技术:对操作记录的详细审计、基于RBAC的访问权限控制体系、数据防串改放置水平越权操作、多级管理员设计、权限与权限集以及多层次权限控制机制等,对敏感数据提供更高等级的安全保护。 同时,聚焦于数据易得性与应用连接性,对于已经存储妥当的海量数据,汉得智能制造产品具备支持海量数据的采集和分析、软件和分布式存储能力的建设以及规范化数据治理能力,避免企业在需要数据时难以便捷获取,小则影响工作效率,大则延误有序经营。 很多时候,泄密不仅仅来源于外部攻击,也有可能起源于内部泄密,不管是有意无意,此类事件需进行规避。2004年成立的耶利哥论坛提出的“从不信任、始终验证”零信任安全理念正逐渐被广泛认知和认可。因此,没有单一的产品或解决方案能够使企业独自实现零信任。 疫情使远程办公日趋常态,零信任的安全架构针对远程办公场景,要求在人员、设备和业务之间构建一张虚拟的基于身份的边界,针对各种场景构建一体化的零信任动态访问控制体系。 汉得智能制造产品采用业内普遍认可的软件定义边界(SDP)、身份识别与访问管理(IAM)、微隔离(MSG)是实现零信任的三大技术路径进行防泄密设计。 底层框架HZERO平台基于前后端分离的思路进行设计,前端采用统一的访问服务与后端数据库进行交互,可有效防范前端对后端数据的窥探。HZERO提供完整的REST API接口,可以同时高效支持移动APP、Web、小程序等应用的开发场景,同时结合Spring Security的OAuth2扩展,采用统一的认证中心,保障REST API的安全性。业务数据可基于租户、组织、角色与用户多种维护进行隔离,进一步提升数据的访问安全,为企业系统的内部信息安全提供坚实而稳健的可靠支撑。 Source: 《HZERO开源版白皮书》 最后,无论是安全意识还是技术防范,都必须建立在企业制度的基础上。只有将日常安全机制制度化,才能将信息安全教育常态化,才能让信息安全意识真正深入人心,才能将信息安全真正融入业务流程,才能为技术防范提供基础保障,才能真正构建一个全员参与的信息安全网。 数字化的新时代,数据、信息正成为越来越重要的生产要素之一,紧密的业务链与信息流愈发成为常态,信息安全已成为生产经营的必要保障。没有信息安全,就没有企业的数字化业务安全,就没有企业的业务安全。外防内稳,汉得信息愿协力夯实企业数字化信息安全新环境,与企业共创安全、普惠、个性、低碳的美好生活。
_副本_副本.jpg)
