互联网时代制造业的信息安全探索.pdf

互联网时代制造业的信息安全探索齐亚卓atlsicohotmail目录 制造型企业信息安全见解 新宏昌重工信息安全分享2装备制造行业的管理重点和难点快速报价、多样化需求、交期承诺项目进度计划和调度项目物料资源计划调度项目成本控制和盈利分析信息的整合客户项目需求设计生产装配交付技术条款客户订单订单变更 BOM工艺生产准备生产计划采购计划工作令跟踪专用件计划通用件计划客户指定产品工序外协库存供应采购供应物料外协部装总配调试运输产品交付资料交付使用维修服务多工厂制造 多工厂制造销售部4企业全面走向信息化 ERP：企业资源管理 CAX系统：产品设计与开发 SCM系统：物资供应链管理，管理企业的供货资源 CRM系统：客户关系管理，管理企业的客户资源 PLM系统：产品生命周期管理，与生产、销售密切相关 PDM系统：产品数据管理，与生产、销售密切相关 WEB/代理服务：信息发布和信息获取 OA/邮件系统：管理内部邮件和日常办公的公文流转归纳企业 IT面临的风险和问题5系统可用性硬件故障软件故障人为误操作灾难IT基础设施信息存储架构互操作性管理复杂使用效率成本问题信息安全互联网威胁防御端点资源管理准入控制数据防泄密法规遵从IT最佳实践行业法规公司政策企业信息系统的挑战6网络 应用 数据库 服务器 存储访问复杂性风险安全威胁意外或人为事故法规遵从成本信息安全服务质量客户端目录 制造型企业信息安全见解 新宏昌重工信息安全分享7新宏昌四风险三博弈一中心 两平衡一中心办公网外部机构 生产网10 多个 Lan办公网络众多个外部机构生产 网络两平衡投入平衡管控平衡三博弈边界 应用 对外服务 员工 重要服务器 重要业务系统 重要数据 监控 审计 行为分析合规重保四风险 如何发现漏洞利用行为 如何检测攻击行为系统一定有未发现的漏洞系统一定有已发现但仍未修补的漏洞员工并不可靠系统已经被渗透 及时发现漏洞 强制修补漏洞 如何发现系统已经被渗透 如何处理已经被渗透的漏洞 如果重现攻击过程 如何溯源 如何发现员工的异常行为 如何检测并阻断来自内部的攻击安全是责任员工是第一道防线也是最脆弱的防线制度隔离 所有用户必须加入域 必须安装指定的安全软件 24小时必须重启一次 终端有漏洞必须修复 密码最少 15位 生产网与办公网隔离 办公网与办公网隔离 办公网内部主机间隔离 小问题警告（事不到三） 大问题辞退（零容忍） 问责诛连到部门负责人问责安全管理架构策略决策点策略管理接入设备已管理的台式机未管理的 已管理的移动 用 户策略强制点远 程接入SSL & IPsec认证 服 务 -RADIUS局域网交 换 机 & 无 线端点安全管理服 务 器(分布式 , 高 弹 性 , 与目 录 技 术 集成 )LAN Enforcer无法管理的端点 - PFWIP地址服 务- DHCP透明网关Gig-EACGateway Enforcer Self Enforcer DHCP Enforcer On-Demand EnforcerPDAAP存储集群存储集群生产存储生产数据基于阵列同步复制数据副本备份存储故障生产存储故障时服务 自动 转移服务器 自动切换 访问备份存储，业务不中断服务器与业务系统监控全局服务实时监测全局流量实时听包补洞实时扫描线上系统漏洞抓取最新发布漏洞测试分析后迅速修复日志分析实时抓取系统日志到日志服务器识别日志异常并报警综合运维统一登陆认证集中运维审计异地容灾一地两中心在线同步负载均衡，灾难调度离线备份作为后援网络访问控制统一管理平台防火墙管理员网络访问控制统一管理平台配置ACLR3680E生产基地 2生产基地 3集团总部办事处SDHVPN生产基地 1金融中心生产基地 1Internet领先架构 丰富功能 IP等策略对象缺乏明确含义 多人共用一个终端无法区分策略 策略对象可以精确到具体的用户 可针对每一个终端用户制定策略精确性 策略绑定 IP，不能应对网络变化 策略固化，无法支撑人员流动办公 安全策略与网络结构解耦 安全策略灵活支持移动办公灵活性 IP缺乏组织架构含义，应对困难 复杂策略难以实施 管理层次自然对应企业组织架构 法规制度无缝融合管理策略易用性用户管理 本地 /第三方用户管理 组织架构管理 &同步 用户状态管理用户认证 本地 /第三方认证 事前 /会话认证 Web/AD/Radius/LDAP多认证方式安全策略 基于用户的策略 基于用户的审计基于用户的架构架构 -基于用户的安全策略Wifi终端设备：受控使用 通过 MAC认证的设备才能使用公司内部的 Wifi上网 只有使用域账号才能连接上公司内部的 Wifi 可以通过 AC定位到 Wifi终端的物理位置远程办公：数据隔离与加密VPN通道加密动态口令识别办公数据加密基于 MAC地址的身份识别请各位专家批评指正 ！