2010 年開始,我國已連續(xù) 11 年成為世界最大的制造業(yè)國家。更牛的是�����,我們還是唯一擁有全部工業(yè)門類國家�。
從 1956 年新中國第一輛汽車下線�,到 2017 年 C919 一躍飛天���,再到天舟二號(hào)精準(zhǔn)自動(dòng)對(duì)接天和號(hào)核心艙,我國制造業(yè)核心競爭力的提升�,一方面得益于自主創(chuàng)新,攻堅(jiān)克難突破卡脖子技術(shù)�,一方面得益于制造業(yè)信息化水平的提升。
如今制造業(yè)的生產(chǎn)越來越依賴信息化技術(shù)�,系統(tǒng)宕機(jī)或數(shù)據(jù)損失將給企業(yè)帶來巨大的經(jīng)濟(jì)損失。正因如此�����,黑客也越發(fā)喜歡攻擊制造企業(yè):
1)2018 年 8 月����,知名芯片制造廠臺(tái)積電生產(chǎn)基地遭病毒攻擊,生產(chǎn)線中斷��,經(jīng)濟(jì)損失約 18 億�����。
2)2020 年 11 月����,富士康位于墨西哥工廠的 1200 臺(tái)服務(wù)器被黑客攻擊,還加密了與運(yùn)營有關(guān)的資料�。
3)2021 年 3 月,宏碁北美地區(qū)遭到 REvil 的勒索病毒攻擊�,被黑客索要 5000 萬美元的贖金。
如何避免非計(jì)劃性的停機(jī)����、外部攻擊導(dǎo)致的數(shù)據(jù)丟失,成為制造企業(yè)在信息安全建設(shè)領(lǐng)域的重中之重�。
01
制造企業(yè)安全要求真不少
制造企業(yè)的生產(chǎn)涉及眾多的復(fù)雜流程,且在生產(chǎn)管理層����、過程監(jiān)控層、現(xiàn)場控制層和現(xiàn)場設(shè)備層中網(wǎng)絡(luò)數(shù)據(jù)資產(chǎn)種類繁多��,涉及不同的設(shè)備廠商�����、控制系統(tǒng)廠商���、第三方運(yùn)維廠商等���,一旦發(fā)生網(wǎng)絡(luò)信息安全事故����,將對(duì)企業(yè)的生產(chǎn)運(yùn)行產(chǎn)生直接影響��,因此其安全防護(hù)不僅需要按照《信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》(GB/T20988-2007)���、《中華人民共和國網(wǎng)絡(luò)安全法》���、《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》(GB/T22239-2019) 中的要求進(jìn)行保護(hù),還需要按照工業(yè)控制系統(tǒng)安全擴(kuò)展要求進(jìn)行防護(hù)��,包括物理和環(huán)境安全����、網(wǎng)絡(luò)和通信安全、設(shè)備和計(jì)算安全�、安全建設(shè)管理、安全運(yùn)維管理等���,其中:
網(wǎng)絡(luò)和通信安全:增加了適配于工業(yè)控制系統(tǒng)網(wǎng)絡(luò)環(huán)境的網(wǎng)絡(luò)架構(gòu)安全防護(hù)要求�����、通信傳輸要求以及訪問控制要求�,增加了撥號(hào)使用控制和無線使用控制的要求��;
設(shè)備和計(jì)算安全:增加了對(duì)控制設(shè)備的安全要求��,控制設(shè)備主要是應(yīng)用到工業(yè)控制系統(tǒng)當(dāng)中執(zhí)行控制邏輯和數(shù)據(jù)采集功能的實(shí)時(shí)控制器設(shè)備�����,如 PLC��、DCS 控制器等��;
安全運(yùn)維管理:調(diào)整了漏洞和風(fēng)險(xiǎn)管理�����、惡意代碼防范管理和信息安全事件處置方面的需求���,更加適配工業(yè)場景應(yīng)用和工業(yè)控制系統(tǒng)����。
02
新制造企業(yè)對(duì)數(shù)據(jù)安全要求更高
大數(shù)據(jù)���、AI�、5G 等新一代信息技術(shù)正在深刻影響制造業(yè)的發(fā)展。制造企業(yè)正在利用互聯(lián)網(wǎng)思維�,通過實(shí)體和虛擬的融合,打破制造業(yè)和服務(wù)業(yè)的界限�,向新型制造企業(yè)轉(zhuǎn)型升級(jí)。新制造企業(yè)的核心競爭力不在于制造本身�����,而是在于制造背后的創(chuàng)造思想�、體驗(yàn)、感受以及服務(wù)能力����。
這一切,需要以數(shù)據(jù)為關(guān)鍵生產(chǎn)要素做支撐���。
因此����,新形勢下�����,制造企業(yè)對(duì)數(shù)據(jù)的安全要求遠(yuǎn)高于消費(fèi)行業(yè)數(shù)據(jù)。如果生產(chǎn)部門在采集����、存儲(chǔ)和應(yīng)用過程中發(fā)生數(shù)據(jù)丟失或不可用�,就會(huì)給企業(yè)的生產(chǎn)造成困擾。更嚴(yán)重的�,如果遭遇數(shù)據(jù)被篡改,可能導(dǎo)致生產(chǎn)過程發(fā)生混亂�����,產(chǎn)出成果與要求不符�,最后可能會(huì)威脅到關(guān)鍵基礎(chǔ)設(shè)施安全乃至國家安全。
為了確保數(shù)據(jù)安全��、高頻交易�����、高并發(fā)����,以及 7×?24 小時(shí)的業(yè)務(wù)連續(xù)性運(yùn)營,具有冗余功能的存儲(chǔ)網(wǎng)絡(luò)和數(shù)據(jù)災(zāi)備的建設(shè)需求越來越緊迫�。但制造行業(yè)還處于數(shù)字化轉(zhuǎn)型過程中,在災(zāi)備建設(shè)領(lǐng)域還有很大提升空間,譬如:
01
企業(yè)決策者對(duì)災(zāi)備認(rèn)識(shí)不足���,預(yù)算投入低
目前��,在制造企業(yè)的總工作鏈條中�,數(shù)據(jù)及系統(tǒng)這種隱形產(chǎn)出并不能直接體現(xiàn)在最終的銷售利潤上��,而多數(shù)制造企業(yè)的 IT 設(shè)備也較為簡單�。在企業(yè)的預(yù)算中,IT 投入被認(rèn)為是消耗公司利潤的成本支出����。因此,在很多企業(yè)不管是 CEO 或 CIO 都沒有提供足夠資源及預(yù)算來保證災(zāi)備項(xiàng)目的實(shí)施����。但是隨著數(shù)據(jù)資產(chǎn)的重要性越來越明顯,以及網(wǎng)絡(luò)攻擊越來越頻繁���,管理層的災(zāi)備意識(shí)已經(jīng)在提升�����。
02
災(zāi)備軟件���、硬件種類繁多無從選擇
IT 硬件基礎(chǔ)環(huán)境已由傳統(tǒng)的單機(jī)�、雙機(jī)運(yùn)行����,逐步轉(zhuǎn)向虛擬化平臺(tái)。目前市場上有各種各樣的災(zāi)備軟件產(chǎn)品�,有基于存儲(chǔ)虛擬化的���,有基于主機(jī)層字節(jié)級(jí)復(fù)制的�����,有基于數(shù)據(jù)庫語義級(jí)復(fù)制的����,有基于卷備份的�����,有基于快照的����,有基于 CDP 的等等����,種類繁多��,良莠不齊���。如何選擇適合自身業(yè)務(wù)需求的災(zāi)備產(chǎn)品���,如何在有限的資源下為企業(yè)提供更高效的數(shù)據(jù)及業(yè)務(wù)保障,降低 IT 的投資成本�,提升投資回報(bào)率,很多企業(yè)的決策者已開始在積極思考及甄選產(chǎn)品方案�����。
03
3 個(gè)重要場景及方案
一個(gè)統(tǒng)一的數(shù)據(jù)管理平臺(tái)或許會(huì)成為新制造企業(yè)們的選擇����。
因?yàn)槠髽I(yè)規(guī)模不同,災(zāi)備模式也不盡相同��,而統(tǒng)一的數(shù)據(jù)管理平臺(tái)�,能夠滿足不同層級(jí)的數(shù)據(jù)容災(zāi)、備份���、傳輸����、應(yīng)用、挖掘�����、管理���、歸檔等多樣性需求�����,對(duì)于公有云、私有云�、混合云等環(huán)境都能很好地適應(yīng)。在統(tǒng)一數(shù)據(jù)管理平臺(tái)模式下�����,企業(yè)可以按需對(duì)關(guān)鍵系統(tǒng)及數(shù)據(jù)進(jìn)行保護(hù)���,讓災(zāi)備建設(shè)和使用更具彈性���。
根據(jù)制造行業(yè)關(guān)鍵系統(tǒng)的應(yīng)用情況��,我們梳理和羅列了以下 3 個(gè)重要的災(zāi)備保護(hù)場景及應(yīng)用方案����。
1.EBS���、PLM����、MES���、OA 等核心系統(tǒng)同城雙活和勒索病毒防御
場景特點(diǎn):核心數(shù)據(jù)��、多并發(fā)���;多方調(diào)用,牽一發(fā)動(dòng)全身��。
主要需求:數(shù)據(jù)的實(shí)時(shí)同步����,防病毒軟件勒索��;保證數(shù)據(jù)的可用性����、完整性和可恢復(fù)性����。
應(yīng)用方案:通過英方數(shù)據(jù)實(shí)時(shí)復(fù)制產(chǎn)品 i2COOPY 實(shí)現(xiàn)關(guān)鍵數(shù)據(jù)的實(shí)時(shí)同步,能夠保障兩端數(shù)據(jù)一致性和可用性����;通過持續(xù)數(shù)據(jù)保護(hù)與恢復(fù)產(chǎn)品 i2CDP 對(duì)核心數(shù)據(jù)進(jìn)行實(shí)時(shí)備份,當(dāng)生產(chǎn)中心發(fā)生邏輯錯(cuò)誤�、病毒攻擊、火災(zāi)等導(dǎo)致數(shù)據(jù)丟失時(shí)����,可通過備份數(shù)據(jù)恢復(fù)業(yè)務(wù)生產(chǎn)�。
2.核心業(yè)務(wù)應(yīng)用的異地、兩地三中心災(zāi)備
場景特點(diǎn):系統(tǒng)規(guī)模大���、內(nèi)外網(wǎng)環(huán)境���;重要程度高�����。
主要需求:建設(shè)同城�、異地����、兩地三中心災(zāi)備模式,實(shí)現(xiàn)重要系統(tǒng)同城容災(zāi)���,數(shù)據(jù)異地備份�����;數(shù)據(jù)庫數(shù)據(jù)的讀寫分離和雙活�����。
△ 核心業(yè)務(wù)兩地三中心架構(gòu)示范圖
應(yīng)用方案:例如�����,在本地生產(chǎn)中心到同城災(zāi)備中心的過程中�����,通過英方數(shù)據(jù)庫災(zāi)備管理產(chǎn)品 i2Active 對(duì)數(shù)據(jù)庫實(shí)現(xiàn)容災(zāi)備份及讀寫分離��;同時(shí)通過高可用災(zāi)備管理產(chǎn)品 i2Availability 實(shí)現(xiàn)異構(gòu)平臺(tái)核心業(yè)務(wù)的容災(zāi)接管�;最后通過數(shù)據(jù)持續(xù)保護(hù)與恢復(fù)產(chǎn)品 i2CDP 、全服務(wù)器備份管理產(chǎn)品 i2FFO 進(jìn)行本地到同城����,同城到異地的數(shù)據(jù)同步和備份,可有效防范邏輯錯(cuò)誤�����、勒索病毒攻擊造成業(yè)務(wù)停止和數(shù)據(jù)丟失����。
3.企業(yè)設(shè)備系統(tǒng)上云和云災(zāi)備
場景特點(diǎn):重要設(shè)備系統(tǒng)及數(shù)據(jù)上云;云平臺(tái)非自主可控����,存在安全隱患。
主要需求:系統(tǒng)在線熱遷移��,數(shù)據(jù)不丟失����;備份數(shù)據(jù)實(shí)時(shí)更新,業(yè)務(wù)不中斷�。
△ 系統(tǒng)云災(zāi)備架構(gòu)示范圖
應(yīng)用方案:在本地與云端的環(huán)境下,通過英方系統(tǒng)遷移產(chǎn)品 i2Move 將生產(chǎn)數(shù)據(jù)在線熱遷移至云平臺(tái)上���;其次�����,通過 i2COOPY 和 i2Availability 將云端數(shù)據(jù)實(shí)時(shí)備份至本地機(jī)房����,并實(shí)時(shí)監(jiān)控系統(tǒng)運(yùn)作���,保障數(shù)據(jù)和業(yè)務(wù)安全性�,防范因云平臺(tái)故障��、人為誤操作導(dǎo)致的業(yè)務(wù)中斷和數(shù)據(jù)丟失�。
04
2 個(gè)典型用戶案例
1.海能達(dá)同城災(zāi)備,應(yīng)對(duì)勒索病毒更有底氣
項(xiàng)目亮點(diǎn):首先����,海能達(dá)實(shí)現(xiàn)了 EBS、西門子 PLM、資金�����、MES 等核心系統(tǒng)的同城容災(zāi)��,使得海能達(dá)的數(shù)據(jù)災(zāi)備的 RPO 接近于零���,極大降低了災(zāi)難事件對(duì)數(shù)據(jù)可能造成的損失���;其次,i2CDP 可以快速恢復(fù)業(yè)務(wù)所需的數(shù)據(jù)�;最后,項(xiàng)目實(shí)施不用改變?cè)械纳a(chǎn)系統(tǒng)架構(gòu)�����,且易于災(zāi)備系統(tǒng)的驗(yàn)證和演練����。
用戶需求:隨著海能達(dá)集團(tuán)業(yè)務(wù)的快速發(fā)展,業(yè)務(wù)開展越來越依賴于信息系統(tǒng)的穩(wěn)定運(yùn)行�。一旦發(fā)生嚴(yán)重災(zāi)難故障,將有可能使得應(yīng)用�����、數(shù)據(jù)庫��、辦公等系統(tǒng)無法恢復(fù)數(shù)據(jù)����,造成長時(shí)間的業(yè)務(wù)停滯。為了保證業(yè)務(wù)的正常開展和運(yùn)行��,需要在本地高可用架構(gòu)基礎(chǔ)之上�,通過第三方將深圳的數(shù)據(jù)、應(yīng)用實(shí)時(shí)備份到同城的機(jī)房��,實(shí)現(xiàn)同城災(zāi)備���。
△ 海能達(dá)同城災(zāi)備架構(gòu)圖
方案價(jià)值:根據(jù)海能達(dá)的實(shí)際情況����,在保持原生產(chǎn)機(jī)房基礎(chǔ)架構(gòu)不變的情況下���,在超融合架構(gòu)內(nèi)�,通過 i2CDP 實(shí)現(xiàn)數(shù)據(jù)的持續(xù)保護(hù)�����。i2CDP 通過基于主機(jī)層的字節(jié)級(jí)復(fù)制技術(shù),可以實(shí)現(xiàn)應(yīng)用層生產(chǎn)機(jī)房與容災(zāi)機(jī)房數(shù)據(jù)的一致性���,確保生產(chǎn)數(shù)據(jù)損壞或遭受病毒攻擊時(shí)����,可通過 i2CDP 將數(shù)據(jù)恢復(fù)過來���,顆粒度達(dá)到百萬分之一秒����。
2.蘇美達(dá)異地實(shí)時(shí)備份��,面對(duì)病毒攻擊不再恐慌
項(xiàng)目亮點(diǎn):項(xiàng)目優(yōu)化了蘇美達(dá)的數(shù)據(jù)安全保障體系�,保證了業(yè)務(wù)數(shù)據(jù)的零丟失,實(shí)現(xiàn)數(shù)據(jù)災(zāi)后的及時(shí)恢復(fù)��,減少了因數(shù)據(jù)丟失而造成的業(yè)務(wù)中斷和經(jīng)濟(jì)損失��,為蘇美達(dá)全球業(yè)務(wù)的開拓提供了強(qiáng)有力的支持���。
用戶需求:為了提升業(yè)務(wù)系統(tǒng)的安全等級(jí)�����,蘇美達(dá)結(jié)合現(xiàn)有需求和未來發(fā)展規(guī)劃���,對(duì)具有多種操作平臺(tái)和多種數(shù)據(jù)庫的業(yè)務(wù)系統(tǒng)提出了異地實(shí)時(shí)災(zāi)備的要求,以實(shí)現(xiàn)數(shù)據(jù)零丟失和任意時(shí)間點(diǎn)的恢復(fù)�。
△ 蘇美達(dá)異地容災(zāi)架構(gòu)圖
方案價(jià)值:蘇美達(dá)基于業(yè)務(wù)系統(tǒng)中數(shù)據(jù)庫及操作平臺(tái)類型的多樣性,采用英方災(zāi)備一體機(jī) i2Box 內(nèi)嵌的持續(xù)數(shù)據(jù)保護(hù)與恢復(fù)產(chǎn)品 i2CDP 和數(shù)據(jù)備份與恢復(fù)產(chǎn)品 i2Backup�,實(shí)現(xiàn)關(guān)鍵業(yè)務(wù)數(shù)據(jù)的多策略保護(hù)。如發(fā)生關(guān)鍵數(shù)據(jù)被勒索病毒攻擊加密時(shí)���,可通過多種途徑進(jìn)行快速恢復(fù)�。
隨著我國制造業(yè)規(guī)模和水平的持續(xù)增加�,境外勢力通過網(wǎng)絡(luò)滲透攻擊國內(nèi)重要領(lǐng)域的網(wǎng)絡(luò)系統(tǒng),以及通過黑客技術(shù)加密重要文件的事情越發(fā)頻繁�。從 2014 年開始,某機(jī)構(gòu)的安全大腦通過整合海量安全大數(shù)據(jù)�,發(fā)現(xiàn)了多起境外 APT 組織使用“在野”0day 漏洞針對(duì)我國境內(nèi)目標(biāo)發(fā)起了 APT 攻擊,并發(fā)現(xiàn)境外針對(duì)中國境內(nèi)目標(biāo)的攻擊最早可以追溯到 2007 年���,至少影響了中國境內(nèi)超過萬臺(tái)的電腦�。
網(wǎng)絡(luò)安全威脅時(shí)刻都在��。而隨著加密貨幣的推廣使用,讓黑客收到贖金后變得難以追蹤�����,可預(yù)見日后的網(wǎng)絡(luò)攻擊行為會(huì)更加猖獗��。制造企業(yè)乃至其他機(jī)構(gòu)����,需要全員提升安全防范意識(shí),加強(qiáng)網(wǎng)絡(luò)防范和容災(zāi)備份的體系建設(shè)����,做好關(guān)鍵系統(tǒng)及數(shù)據(jù)的保護(hù)工作,實(shí)現(xiàn)業(yè)務(wù)不停����,數(shù)據(jù)不丟。
