扫描二维码

订阅畅享网微信

外忧内控之下,电子制造业“最完善的数据保护”如何实现?

来源:ENI经济和信息化网  
2022/9/30 15:29:53
2022年9月23日,由戴尔科技集团与ENI经济和信息化网联合主办的“应对安全隐患,护航创新发展—新形式下电子制造业的数据安全之道”直播活动中,赛宝信息安全资深顾问鲁立、上海联合汽车电子信息安全总监赵超、戴尔科技集团系统工程师武永民会别就电子制造业数字全体系建设策略、实践路径,企业实践经验的角度进行了分享,为电子制造业的数据安全实践提供了丰富的建议和参考。

本文关键字: 电子制造业 数字技术

2021年,我国电子制造业规模达31.4亿,占GDP比重达27.4%。自2010年以来,已经连续12年保持了世界第一的增长态势。然而。作为供应链高度全球化的产业,中国的电子制造业同样面临着疫情、贸易保护、技术壁垒等一系列的挑战,增强供应链的安全性和稳定性已是刚需。同时,随着产业数字化转型的深入,数据资产的重要性日益彰显,而工业互联、云&边计算、物联网以及产业协同等越来越丰富的数据应用场景,网络攻击、勒索软件带来的巨大损失等等,都使得企业的信息安全建设已是迫在眉睫。

2022年9月23日,由戴尔科技集团与ENI经济和信息化网联合主办的“应对安全隐患,护航创新发展—新形式下电子制造业的数据安全之道”直播活动中,赛宝信息安全资深顾问鲁立、上海联合汽车电子信息安全总监赵超、戴尔科技集团系统工程师武永民会别就电子制造业数字全体系建设策略、实践路径,企业实践经验的角度进行了分享,为电子制造业的数据安全实践提供了丰富的建议和参考。

数百位电子制造业管理人参与了活动,并就企业自身感兴趣的问题与三位讲师进行了互动和交流。

在演讲的开篇,赛宝信息安全顾问鲁立在分享了中国电子制造产业快速发展的现状之后,提出中国电子制造业当下需要实现不确定因素下,供应链稳定性、安全性,以及技术自可控的压力,这称之为“外忧”。国家出台的一系列安全法规、活动,以及正处于征求意见阶段的《工业和信息化领域数据安全管理办法(试行)》,体现了国家对于制造业数据安全“内控”力度的不断加大。

在这样的形式下,电子制造业本身依然存在着“安全管理制度不完善”、“安全环境复杂”、“安全配置管理不足”、“安全建设考虑不全面”的挑战。针对这些问题,鲁立介绍了应对之策,即要明确安全的目的、数据泄露等不安全行为的程度以及与业务紧密结合。通过“数据梳理和采集”、“泄密行为与管理”以及“响应控制与溯源”三步走,实现全生命周期的数据安全管理。

戴尔科技集团系统架构师武永民同样通过“半导体”、“电子消费品”等未来细分市场的巨大潜力,以及电子制造产业数字化转型成果乐观的现状,从“网络攻击、勒索软件”、生产业务需求、合规压力三个方面,提出产业面临的数据安全新挑战。

在例举了2020年初至今部分全球恶意删除和勒索病毒大事件,以及2021年全球网络威胁造成的的损失之后,武永民介绍了数据安全建设的思路,即“40%主动防御+60%底线思维”,并通过“备份所有工作负载数据、重要业务系统容灾、以及核心数据进入避风港保护”三位一体架构帮助企业做到最完善的数据保护。

随后,武永民通过对勒索软件攻击链的分析,详细介绍了戴尔“数据避风港”通过“断开生产、减少攻击面、隔离的环境、数据安全锁定、发现勒索”等理念和方案,让备份数据真正成为最后一道有效安全防线的内容及数据安全建设路径。

上海联合汽车电子信息安全总监赵超在演讲中提到,随着智能网联汽车的快速发展,汽车产业的信息安全问题受到了行业内外的广泛关注。原本封闭环境下的汽车,长出无数具备互联属性的组件,企业信息安全的内涵外延都发生了巨大变化。从原有以知识产权保护、信息系统可用为目的的企业信息资产安全,扩展到产品信息安全,并进一步延伸出消费者数据安全、人身安全、甚至国家安全这样的网络安全概念。

那么在这样的背景下,企业的信息安全如何做?赵超认为,还是要回到最基本的概念层面,进行风险管控的闭环,而这正是各种信息安全体系的核心特点。无论是ISO27001体系还是新近推出的ISO/SAE21434,都是以风险为导向的管控体系。如果认识不到风险,信息安全工作就变得非常盲目。

对于企业的信息安全建设,赵超强调建设思路尤为重要,并从不同的角度提出建议:在企业信息安全、信息资产安全方面要做到“未雨绸缪、亡羊补牢、有备无患”;在意识层面依靠体系的方法论;在实践上则要汲取不同业务领域曾经遇到的各种问题,作为信息安全保护的理论依据。而在具体实施方面,要落实信息资产的主体责任,谁管理/运营/拥有谁负责。基于企业对自身主体责任的落实,安全体系的建立,进一步落实合规。确保数据安全以及消费者信息安全。

值得一提的是, 基于产业链的变化,企业信息系统架构逐步向多云模式转型,与此对应,网络架构和安全技术架构也在向SASE模式发生转变。企业IT和安全技术人员一定要跟上这一新的浪潮

在之后问答环节,针对戴尔提出的避风港原理,嘉宾提出的“避风港方案是数据备份吧?有什么不同吗?”的问题,武永明介绍道,“数据避风港”一定是基于备份的系统,与传统备份的区别在于,传统的备份特别是一些基于Windows的一些备份软件是非常有可能被勒索和攻击。另外就是传统的备份,对于备份里的安全隐患是没办法做到完全识别的。而避风港的解决方案是在一个基础的备份的架构之上,又将安全拔高了一层。避风港里面的数据一定是可恢复的,不会被勒索。

针对“企业员工日常信息安全培训怎么做的?”的问题,赵超分享了自身的经验:首先是新员工入职培训但效果不大,然后就是专业人员偏技术的培训,或者是偏安全体系,有安全管理的一些培训,这是一般的做法。但是首先要明确为什么要做安全培训?大部分企业一定是要提升整个企业信息安全的管理水平,这方面可以参考一些体系来做,把培训这件事情纳入到整个信息安全的规划里去。

快速发展迭代的数字技术,在为制造业带来创新场景和转型机遇的同时,也带来了新的安全挑战。“意识、体系、制度、工具”等要素对于构建企业可靠的数据安全屏障缺一不可,对于在快速发展中要应对“外忧内控”的电子制造业同样重要。

责编:畅享精灵
vsharing微信扫一扫实时了解行业动态
portalart微信扫一扫分享本文给好友

发表评论

         看不清,换一个

著作权声明:畅享网文章著作权分属畅享网、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
畅享
首页
返回
顶部
×
    信息化规划
    IT总包
    供应商选型
    IT监理
    开发维护外包
    评估维权
客服电话
400-698-9918