制造業(yè)是實體經(jīng)濟的基礎(chǔ)���,其數(shù)字化轉(zhuǎn)型正朝著更深層次邁進�����,無論是研發(fā)�、供應(yīng)鏈����,還是生產(chǎn)、營銷���,數(shù)字化應(yīng)用都已進入深水區(qū)���。建設(shè)現(xiàn)代化產(chǎn)業(yè)體系,堅持把發(fā)展經(jīng)濟的著力點放在實體經(jīng)濟上�����,推進新型工業(yè)化,加快建設(shè)制造強國��、質(zhì)量強國�、航天強國、交通強國����、網(wǎng)絡(luò)強國�、數(shù)字中國,這也為制造業(yè)提供了更加清晰的目標�����。通過采用創(chuàng)新的數(shù)字技術(shù)實現(xiàn)降低成本�����、提高質(zhì)量��、增加效益和保障安全的制造業(yè)核心業(yè)務(wù)價值����,最終實現(xiàn)數(shù)字化轉(zhuǎn)型,是中國制造行業(yè)的共識����。
越來越多的制造企業(yè)對網(wǎng)絡(luò)進行現(xiàn)代化升級��,終端設(shè)備不斷增加的同時���,企業(yè)也在使用越來越多樣的系統(tǒng)和應(yīng)用來加快全數(shù)字化進程。局域網(wǎng)����、無線網(wǎng)、廣域網(wǎng)��,分散的網(wǎng)絡(luò)策略�,多樣化的終端接入方式,不計其數(shù)的遠程連接���,都讓企業(yè)網(wǎng)絡(luò)的規(guī)模和復(fù)雜性不斷增加��,達到了網(wǎng)絡(luò)設(shè)計意圖始料未及的程度��。當(dāng)前��,制造行業(yè)在信息安全上主要面臨三大風(fēng)險:
一�、層次不清晰��,隔離不力;
二、系統(tǒng)安全漏洞未知����,缺乏風(fēng)險與威脅情報;
三、訪問控制手段粗放���,難以有效控制和管理����。
為什么很多企業(yè)目前采用的安全措施還不是那么有效?首先�����,在部署網(wǎng)絡(luò)安全時����,大部分企業(yè)都會選擇多家廠商的安全產(chǎn)品或解決方案�����,這些產(chǎn)品之間的集成聯(lián)動沒有取得預(yù)期的效果;其次�,企業(yè)的受攻擊面不斷擴大,安全防護的技術(shù)難度也在與日俱增����,許多終端附近可能沒有專人來提供保護����。IT永遠在“救火式”響應(yīng)問題����,企業(yè)投入大量成本,取得的效果卻難以言述�����。
思科大中華區(qū)副總裁�,安全事業(yè)部總經(jīng)理卜憲錄表示:“在安全方面,客戶很難一次性投資所有事情��,因此����,思科提出‘零信任之旅’的概念,這是一個很清晰的脈絡(luò)和旅程�。借助思科零信任,企業(yè)可以一致地實施基于策略的控制;全面洞察整個環(huán)境中的所有用戶�、設(shè)備、組件等;獲得有助于更好地檢測和應(yīng)對威脅的詳細日志、報告和警報;利用思科零信任安全框架提供更加安全的訪問����,防止可視性方面的缺漏,并縮小受攻擊面��。”
思科零信任�,打造制造企業(yè)安全屏障
企業(yè)面臨的網(wǎng)絡(luò)安全難關(guān)已經(jīng)從數(shù)據(jù)安全上升到企業(yè)安全。思科強調(diào)企業(yè)安全無差別�、無邊界、零信任�、端到端,致力于在零信任的網(wǎng)絡(luò)架構(gòu)基礎(chǔ)上做到端到端的安全性�。
零信任是什么?它是一種為網(wǎng)絡(luò)、應(yīng)用和環(huán)境中的所有訪問全面提供安全保護的方法����。這種方法有助于為來自用戶���、最終用戶設(shè)備�、API�����、物聯(lián)網(wǎng)、微服務(wù)�����、容器等的訪問提供保護��。它可以保護員工�����、工作負載和工作場所�����。
零信任是一種安全策略�����,其核心理念是在組織網(wǎng)絡(luò)架構(gòu)中避免一切默認的信任��。與傳統(tǒng)方法的區(qū)別在于���,零信任方法從不默認信任����,會為每個訪問請求建立信任,確保只有正確的用戶和設(shè)備才可以訪問應(yīng)用程序和網(wǎng)絡(luò)����。
思科的零信任概念包括三個W,分別適合IT環(huán)境下三個主要角色�����,一是Workload���,主要是在數(shù)據(jù)中心領(lǐng)域;二是Workforce��,是指使用IT資源的參與者;三是Workplace�����,是指提供辦公的基礎(chǔ)環(huán)境�。
零信任的基本概念是去除缺省信任�,同時僅僅按照業(yè)務(wù)實際需求給予最低訪問權(quán)限。思科的零信任方案端到端覆蓋了任意場景的安全需求�����,同時通過打破缺省信任實現(xiàn)整個方案的零信任戰(zhàn)略��。Workforce為用戶及其設(shè)備建立信任度���,以訪問應(yīng)用程序和資源�����。Workplace為所有用戶和設(shè)備����,包括物聯(lián)網(wǎng)���,建立對網(wǎng)絡(luò)的最小特權(quán)訪問控制��。Workload基于風(fēng)險評估�����、情景策略和經(jīng)過驗證的業(yè)務(wù)需求����,限制對工作負載的訪問���。
隨著IT技術(shù)的不斷升級���,用戶場景更加多變�����,設(shè)備類型也更加多樣化��,應(yīng)用虛擬化技術(shù)不斷迭代��,以及業(yè)務(wù)安全的邊界越來越模糊�,企業(yè)安全面臨更大的挑戰(zhàn)�。思科的零信任安全通過4個A來實現(xiàn),即任何用戶(Any User)����、任何設(shè)備(Any Device)、任何應(yīng)用(Any App)�、任何地點(Any Where),都需要打破原有的默認信任機制����,通過集成化的方案實現(xiàn)對4個A的端到端的安全認證和賦能,以此尋求證明用戶�����、設(shè)備����、應(yīng)用和行為的可信性。
4A的目的是為了實現(xiàn)任何用戶都能夠?qū)崿F(xiàn)可信的接入���,包括物聯(lián)網(wǎng)在內(nèi)�����,每個用戶都能夠可信地接入到網(wǎng)絡(luò)���。同時,保證任何接入設(shè)備本身都是受保護的�、安全的。再者����,保證任何應(yīng)用都是安全的,不管應(yīng)用是在傳統(tǒng)數(shù)據(jù)中心還是在公有云中���,都具備可視性并實現(xiàn)相應(yīng)的安全保護���。最后���,用戶從任何地方接入網(wǎng)絡(luò),不管應(yīng)用部署在哪里�,都能夠?qū)崿F(xiàn)一致性的安全策略,保證其合規(guī)性�。
構(gòu)筑零信任的橋梁,思科助力企業(yè)實現(xiàn)智能制造
工業(yè)4.0和IoT等創(chuàng)新技術(shù)的發(fā)展給制造業(yè)網(wǎng)絡(luò)安全帶來了新的挑戰(zhàn)����,OT和IT已經(jīng)變得密不可分。在制造業(yè)場景中����,IT和OT人員有不同的操作程序和角色分工,他們的關(guān)注點有很大的不同��。OT人員的任務(wù)是建立和維護物聯(lián)網(wǎng)/OT網(wǎng)絡(luò)以及連接到這些網(wǎng)絡(luò)的設(shè)備�����。他們專注于安全性��、可靠性和生產(chǎn)力��。IT安全人員則專注于維護信息的保密性以及IT系統(tǒng)的完整性和可用性��。二者最終目標都是為了確保組織的安全,將風(fēng)險降到最低���。
但是,制造業(yè)普遍存在IT和OT疏離的問題�����。分工不同導(dǎo)致二者之間出現(xiàn)巨大的認知鴻溝:IT人員有技術(shù)知識��,卻不了解OT運營方式;OT人員對運營很清楚�,但缺乏IT知識。另外����,在某些制造場景中,企業(yè)的很多設(shè)備使用時間過長�,非常老舊,IT的方案并不能與之匹配;OT的一些溝通協(xié)議����,或是一些特殊設(shè)備,必須有更加適合OT的場景�����,同時又要滿足IT對OT的可視要求。企業(yè)顧此失彼����,導(dǎo)致IT與OT無法很好地融合在一起。
針對這些問題���,思科推出了“IT/OT的融合方案”�����。采用了專門針對工廠����,適合OT的防火墻ISA3000�����,能夠滿足特殊的OT場景的安全需求���。思科Cyber Vision可以幫助管理員快速發(fā)現(xiàn)并定義OT資產(chǎn)���,生成實時網(wǎng)絡(luò)通信視圖,讓OT工程師在任意位置都能夠清楚地看到他們的OT網(wǎng)絡(luò)在不同條件下的運行情況,更好地計劃安全和生產(chǎn)的連續(xù)性;同時����,與IT網(wǎng)絡(luò)安全團隊合作,通過多系統(tǒng)集成將OT的背景�����、理解和知識帶給IT團隊�����,為實現(xiàn)整個企業(yè)網(wǎng)絡(luò)�,包括任何用戶(Any User)�、任何設(shè)備(Any Device)、任何應(yīng)用(Any App)�����、任何地點(Any Where)在內(nèi)的安全目標奠定堅實的基礎(chǔ)����。
另外,思科的ISE系統(tǒng)幫助客戶進一步完成了IT/OT融合���,將IT網(wǎng)絡(luò)及OT網(wǎng)絡(luò)的接入控制及可視統(tǒng)一起來�。Stealthwatch流量分析系統(tǒng)將IT/OT流量統(tǒng)一呈現(xiàn),方便管理回溯及異常問題發(fā)現(xiàn)��。思科Firepower下一代防火墻用戶負責(zé)IT/OT的訪問隔離及策略控制�,這些產(chǎn)品同時都與Cyber Vision系統(tǒng)深度集成,形成一體化的架構(gòu)方案��,讓任意OT設(shè)備的每個接入和每次訪問都十分清楚�����。通過這種方式��,IT和OT加強了溝通����,他們之間的知識可以相互分享,最終為企業(yè)提供完美的解決方案���。
零信任安全策略是一個長期的過程���,思科以“工業(yè)網(wǎng)絡(luò)零信任四步保護法”保護企業(yè)資產(chǎn)。首先��,資產(chǎn)發(fā)現(xiàn),識別企業(yè)所有工業(yè)資產(chǎn)以構(gòu)建正確的安全策略;其次���,網(wǎng)絡(luò)分段���,隔離網(wǎng)絡(luò)以建立安全域和可控訪問通道,以避免攻擊蔓延;再次����,威脅檢測,檢測IT入侵和異常OT行為����,以保持流程完整性�。最后,IT/OT集成SOC���,全面了解安全事件以簡化調(diào)查和補救措施���。
思科基于3W戰(zhàn)略為企業(yè)制定了具體的零信任方案,并在國內(nèi)制造企業(yè)進行了實施�。方案包含并覆蓋:零信任辦公、零信任靈活辦公����、零信任數(shù)據(jù)中心�����,及零信任工廠四個部分���。
思科的零信任方案為制造企業(yè)在各種應(yīng)用和整個環(huán)境中,來自任意用戶�、設(shè)備和位置的訪問提供完善的保護,員工�、工作負載和工作場所都處于思科零信任安全框架的安全防護中。零信任辦公場景下����,思科身份服務(wù)引擎(ISE)可實時調(diào)配有關(guān)網(wǎng)絡(luò)接入設(shè)備的策略,使移動用戶或遠程用戶能夠以可信合規(guī)的方式通過無線連接獲得與有線連接一致的服務(wù)訪問體驗��。在混合辦公場景下��,無論員工在任何場所�����,都可以通過安全專用通道連接公司的各種業(yè)務(wù)程序����,實現(xiàn)靈活安全辦公��。
思科在數(shù)據(jù)中心安全架構(gòu)中����,通過思科Firepower下一代防火墻與數(shù)據(jù)中心ACI方案相結(jié)合�����,利用微分段技術(shù)來完成數(shù)據(jù)中心安全區(qū)域及邊界的安全隔離����,并通過思科專利技術(shù)防火墻集群技術(shù),將思科防火墻更加高效的集成至數(shù)據(jù)中心Fabric網(wǎng)絡(luò)�����。同時���,將集群應(yīng)用在雙活數(shù)據(jù)中心場景,幫助用戶解決雙活數(shù)據(jù)中心場景中遇到的異步流量及策略一致性的問題�����。通過中長期分步實施網(wǎng)絡(luò)安全策略,思科助力制造企業(yè)向全域智能制造零信任穩(wěn)步演進��。
思科建議企業(yè)在執(zhí)行零信任建設(shè)時可以從三點出發(fā):
• 首先���,企業(yè)從領(lǐng)導(dǎo)到執(zhí)行側(cè)���,認可零信任原則,避免由于信任導(dǎo)致的安全風(fēng)險����,可信是臨時的,針對必要訪問采取最小權(quán)限原則;
• 其次��,制定企業(yè)自身的零信任安全戰(zhàn)略�����,分場景�、分階段制定方案,逐漸向全域智能制造零信任演進;
• 最后����,基于戰(zhàn)略進行方案細化并進行零信任能力建設(shè),提高企業(yè)的信任驗證能力��,授權(quán)的執(zhí)行能力,可信狀態(tài)持續(xù)跟蹤能力����,權(quán)限動態(tài)變更能力以及事件回溯分析能力。
通過網(wǎng)絡(luò)及安全的逐漸演進�,最終達到全域零信任狀態(tài)。
毫無疑問�,企業(yè)正在加速上云的步伐,無論是公有云��、私有云���,還是混合云���,加速向云遷移正在推動著對云原生技術(shù)和云消費體驗需求的產(chǎn)生,安全防護必須無處不在���。
正如卜憲錄所言:“安全沒有一體適用的萬全之策����,零信任不僅僅是技術(shù)���,還有關(guān)思維和過程����。思科零信任的愿景在于�����,讓網(wǎng)絡(luò)安全賦能IT轉(zhuǎn)型����,當(dāng)訪問無處不在,從任何設(shè)備連接到任何應(yīng)用程序的所有用戶都能實現(xiàn)安全訪問����。同時,思科在中國市場有一個重要使命�,就是將思科先進的科技用開放的平臺賦能給國內(nèi)的生態(tài)合作伙伴,為不同行業(yè)的客戶提供最值得信賴的安全策略和無處不在的專業(yè)保障����。”
關(guān)于思科
思科(NASDAQ:CSCO)是致力于賦能互聯(lián)網(wǎng)的全球科技領(lǐng)導(dǎo)廠商。思科通過重新定義應(yīng)用程序�����、保護企業(yè)安全��、促進基礎(chǔ)架構(gòu)轉(zhuǎn)型、幫助客戶賦能團隊實現(xiàn)全球化及包容性的未來��,從而激發(fā)無限創(chuàng)新可能����。您可以在cisco.com.cn獲取更多信息,并關(guān)注我們的微信公眾號“思科聯(lián)天下”��。
思科和思科徽標是思科或其附屬機構(gòu)在美國和其他國家地區(qū)的商標或注冊商標�。您可以查看Cisco商標列表www.cisco.com/go/trademarks,其中提及的第三方商標是其各自所有者的財產(chǎn)��。使用“伙伴”一詞并不能直接表示思科與任何其他公司之間存在合作關(guān)系��。
京公網(wǎng)安備 11010502041587號