2010 年開(kāi)始�����,我國(guó)已連續(xù) 11 年成為世界最大的制造業(yè)國(guó)家�����。更牛的是,我們還是唯一擁有全部工業(yè)門(mén)類(lèi)國(guó)家����。
從 1956 年新中國(guó)第一輛汽車(chē)下線�����,到 2017 年 C919 一躍飛天����,再到天舟二號(hào)精準(zhǔn)自動(dòng)對(duì)接天和號(hào)核心艙�����,我國(guó)制造業(yè)核心競(jìng)爭(zhēng)力的提升����,一方面得益于自主創(chuàng)新,攻堅(jiān)克難突破卡脖子技術(shù)���,一方面得益于制造業(yè)信息化水平的提升�。
如今制造業(yè)的生產(chǎn)越來(lái)越依賴(lài)信息化技術(shù)����,系統(tǒng)宕機(jī)或數(shù)據(jù)損失將給企業(yè)帶來(lái)巨大的經(jīng)濟(jì)損失。正因如此,黑客也越發(fā)喜歡攻擊制造企業(yè):
1)2018 年 8 月�,知名芯片制造廠臺(tái)積電生產(chǎn)基地遭病毒攻擊,生產(chǎn)線中斷�����,經(jīng)濟(jì)損失約 18 億���。
2)2020 年 11 月�,富士康位于墨西哥工廠的 1200 臺(tái)服務(wù)器被黑客攻擊�����,還加密了與運(yùn)營(yíng)有關(guān)的資料����。
3)2021 年 3 月�����,宏碁北美地區(qū)遭到 REvil 的勒索病毒攻擊��,被黑客索要 5000 萬(wàn)美元的贖金��。
如何避免非計(jì)劃性的停機(jī)、外部攻擊導(dǎo)致的數(shù)據(jù)丟失���,成為制造企業(yè)在信息安全建設(shè)領(lǐng)域的重中之重���。
01
制造企業(yè)安全要求真不少
制造企業(yè)的生產(chǎn)涉及眾多的復(fù)雜流程,且在生產(chǎn)管理層����、過(guò)程監(jiān)控層、現(xiàn)場(chǎng)控制層和現(xiàn)場(chǎng)設(shè)備層中網(wǎng)絡(luò)數(shù)據(jù)資產(chǎn)種類(lèi)繁多���,涉及不同的設(shè)備廠商�、控制系統(tǒng)廠商�、第三方運(yùn)維廠商等,一旦發(fā)生網(wǎng)絡(luò)信息安全事故����,將對(duì)企業(yè)的生產(chǎn)運(yùn)行產(chǎn)生直接影響,因此其安全防護(hù)不僅需要按照《信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》(GB/T20988-2007)����、《中華人民共和國(guó)網(wǎng)絡(luò)安全法》、《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》(GB/T22239-2019) 中的要求進(jìn)行保護(hù)��,還需要按照工業(yè)控制系統(tǒng)安全擴(kuò)展要求進(jìn)行防護(hù),包括物理和環(huán)境安全����、網(wǎng)絡(luò)和通信安全、設(shè)備和計(jì)算安全��、安全建設(shè)管理��、安全運(yùn)維管理等�,其中:
網(wǎng)絡(luò)和通信安全:增加了適配于工業(yè)控制系統(tǒng)網(wǎng)絡(luò)環(huán)境的網(wǎng)絡(luò)架構(gòu)安全防護(hù)要求、通信傳輸要求以及訪問(wèn)控制要求�,增加了撥號(hào)使用控制和無(wú)線使用控制的要求;
設(shè)備和計(jì)算安全:增加了對(duì)控制設(shè)備的安全要求��,控制設(shè)備主要是應(yīng)用到工業(yè)控制系統(tǒng)當(dāng)中執(zhí)行控制邏輯和數(shù)據(jù)采集功能的實(shí)時(shí)控制器設(shè)備�����,如 PLC���、DCS 控制器等����;
安全運(yùn)維管理:調(diào)整了漏洞和風(fēng)險(xiǎn)管理��、惡意代碼防范管理和信息安全事件處置方面的需求���,更加適配工業(yè)場(chǎng)景應(yīng)用和工業(yè)控制系統(tǒng)��。
02
新制造企業(yè)對(duì)數(shù)據(jù)安全要求更高
大數(shù)據(jù)�、AI��、5G 等新一代信息技術(shù)正在深刻影響制造業(yè)的發(fā)展�。制造企業(yè)正在利用互聯(lián)網(wǎng)思維,通過(guò)實(shí)體和虛擬的融合���,打破制造業(yè)和服務(wù)業(yè)的界限����,向新型制造企業(yè)轉(zhuǎn)型升級(jí)�����。新制造企業(yè)的核心競(jìng)爭(zhēng)力不在于制造本身���,而是在于制造背后的創(chuàng)造思想��、體驗(yàn)���、感受以及服務(wù)能力�����。
這一切�,需要以數(shù)據(jù)為關(guān)鍵生產(chǎn)要素做支撐�����。
因此���,新形勢(shì)下���,制造企業(yè)對(duì)數(shù)據(jù)的安全要求遠(yuǎn)高于消費(fèi)行業(yè)數(shù)據(jù)。如果生產(chǎn)部門(mén)在采集�����、存儲(chǔ)和應(yīng)用過(guò)程中發(fā)生數(shù)據(jù)丟失或不可用�,就會(huì)給企業(yè)的生產(chǎn)造成困擾。更嚴(yán)重的�,如果遭遇數(shù)據(jù)被篡改,可能導(dǎo)致生產(chǎn)過(guò)程發(fā)生混亂����,產(chǎn)出成果與要求不符,最后可能會(huì)威脅到關(guān)鍵基礎(chǔ)設(shè)施安全乃至國(guó)家安全��。
為了確保數(shù)據(jù)安全�����、高頻交易�����、高并發(fā)�,以及 7×?24 小時(shí)的業(yè)務(wù)連續(xù)性運(yùn)營(yíng),具有冗余功能的存儲(chǔ)網(wǎng)絡(luò)和數(shù)據(jù)災(zāi)備的建設(shè)需求越來(lái)越緊迫�。但制造行業(yè)還處于數(shù)字化轉(zhuǎn)型過(guò)程中,在災(zāi)備建設(shè)領(lǐng)域還有很大提升空間��,譬如:
01
企業(yè)決策者對(duì)災(zāi)備認(rèn)識(shí)不足���,預(yù)算投入低
目前�����,在制造企業(yè)的總工作鏈條中����,數(shù)據(jù)及系統(tǒng)這種隱形產(chǎn)出并不能直接體現(xiàn)在最終的銷(xiāo)售利潤(rùn)上,而多數(shù)制造企業(yè)的 IT 設(shè)備也較為簡(jiǎn)單���。在企業(yè)的預(yù)算中���,IT 投入被認(rèn)為是消耗公司利潤(rùn)的成本支出。因此����,在很多企業(yè)不管是 CEO 或 CIO 都沒(méi)有提供足夠資源及預(yù)算來(lái)保證災(zāi)備項(xiàng)目的實(shí)施。但是隨著數(shù)據(jù)資產(chǎn)的重要性越來(lái)越明顯����,以及網(wǎng)絡(luò)攻擊越來(lái)越頻繁,管理層的災(zāi)備意識(shí)已經(jīng)在提升�����。
02
災(zāi)備軟件����、硬件種類(lèi)繁多無(wú)從選擇
IT 硬件基礎(chǔ)環(huán)境已由傳統(tǒng)的單機(jī)、雙機(jī)運(yùn)行,逐步轉(zhuǎn)向虛擬化平臺(tái)���。目前市場(chǎng)上有各種各樣的災(zāi)備軟件產(chǎn)品���,有基于存儲(chǔ)虛擬化的��,有基于主機(jī)層字節(jié)級(jí)復(fù)制的�,有基于數(shù)據(jù)庫(kù)語(yǔ)義級(jí)復(fù)制的,有基于卷備份的��,有基于快照的��,有基于 CDP 的等等�����,種類(lèi)繁多�����,良莠不齊��。如何選擇適合自身業(yè)務(wù)需求的災(zāi)備產(chǎn)品��,如何在有限的資源下為企業(yè)提供更高效的數(shù)據(jù)及業(yè)務(wù)保障���,降低 IT 的投資成本��,提升投資回報(bào)率�����,很多企業(yè)的決策者已開(kāi)始在積極思考及甄選產(chǎn)品方案���。
03
3 個(gè)重要場(chǎng)景及方案
一個(gè)統(tǒng)一的數(shù)據(jù)管理平臺(tái)或許會(huì)成為新制造企業(yè)們的選擇�。
因?yàn)槠髽I(yè)規(guī)模不同��,災(zāi)備模式也不盡相同�,而統(tǒng)一的數(shù)據(jù)管理平臺(tái),能夠滿足不同層級(jí)的數(shù)據(jù)容災(zāi)����、備份、傳輸�����、應(yīng)用���、挖掘����、管理、歸檔等多樣性需求��,對(duì)于公有云�、私有云、混合云等環(huán)境都能很好地適應(yīng)���。在統(tǒng)一數(shù)據(jù)管理平臺(tái)模式下,企業(yè)可以按需對(duì)關(guān)鍵系統(tǒng)及數(shù)據(jù)進(jìn)行保護(hù)���,讓災(zāi)備建設(shè)和使用更具彈性�。
根據(jù)制造行業(yè)關(guān)鍵系統(tǒng)的應(yīng)用情況����,我們梳理和羅列了以下 3 個(gè)重要的災(zāi)備保護(hù)場(chǎng)景及應(yīng)用方案。
1.EBS�、PLM、MES����、OA 等核心系統(tǒng)同城雙活和勒索病毒防御
場(chǎng)景特點(diǎn):核心數(shù)據(jù)、多并發(fā);多方調(diào)用����,牽一發(fā)動(dòng)全身。
主要需求:數(shù)據(jù)的實(shí)時(shí)同步�,防病毒軟件勒索;保證數(shù)據(jù)的可用性���、完整性和可恢復(fù)性�����。
應(yīng)用方案:通過(guò)英方數(shù)據(jù)實(shí)時(shí)復(fù)制產(chǎn)品 i2COOPY 實(shí)現(xiàn)關(guān)鍵數(shù)據(jù)的實(shí)時(shí)同步�����,能夠保障兩端數(shù)據(jù)一致性和可用性���;通過(guò)持續(xù)數(shù)據(jù)保護(hù)與恢復(fù)產(chǎn)品 i2CDP 對(duì)核心數(shù)據(jù)進(jìn)行實(shí)時(shí)備份,當(dāng)生產(chǎn)中心發(fā)生邏輯錯(cuò)誤��、病毒攻擊�、火災(zāi)等導(dǎo)致數(shù)據(jù)丟失時(shí),可通過(guò)備份數(shù)據(jù)恢復(fù)業(yè)務(wù)生產(chǎn)�。
2.核心業(yè)務(wù)應(yīng)用的異地�、兩地三中心災(zāi)備
場(chǎng)景特點(diǎn):系統(tǒng)規(guī)模大�、內(nèi)外網(wǎng)環(huán)境;重要程度高�。
主要需求:建設(shè)同城、異地��、兩地三中心災(zāi)備模式��,實(shí)現(xiàn)重要系統(tǒng)同城容災(zāi)�,數(shù)據(jù)異地備份;數(shù)據(jù)庫(kù)數(shù)據(jù)的讀寫(xiě)分離和雙活����。
△ 核心業(yè)務(wù)兩地三中心架構(gòu)示范圖
應(yīng)用方案:例如��,在本地生產(chǎn)中心到同城災(zāi)備中心的過(guò)程中����,通過(guò)英方數(shù)據(jù)庫(kù)災(zāi)備管理產(chǎn)品 i2Active 對(duì)數(shù)據(jù)庫(kù)實(shí)現(xiàn)容災(zāi)備份及讀寫(xiě)分離;同時(shí)通過(guò)高可用災(zāi)備管理產(chǎn)品 i2Availability 實(shí)現(xiàn)異構(gòu)平臺(tái)核心業(yè)務(wù)的容災(zāi)接管����;最后通過(guò)數(shù)據(jù)持續(xù)保護(hù)與恢復(fù)產(chǎn)品 i2CDP 、全服務(wù)器備份管理產(chǎn)品 i2FFO 進(jìn)行本地到同城����,同城到異地的數(shù)據(jù)同步和備份����,可有效防范邏輯錯(cuò)誤�、勒索病毒攻擊造成業(yè)務(wù)停止和數(shù)據(jù)丟失。
3.企業(yè)設(shè)備系統(tǒng)上云和云災(zāi)備
場(chǎng)景特點(diǎn):重要設(shè)備系統(tǒng)及數(shù)據(jù)上云�;云平臺(tái)非自主可控,存在安全隱患��。
主要需求:系統(tǒng)在線熱遷移��,數(shù)據(jù)不丟失�����;備份數(shù)據(jù)實(shí)時(shí)更新����,業(yè)務(wù)不中斷。
△ 系統(tǒng)云災(zāi)備架構(gòu)示范圖
應(yīng)用方案:在本地與云端的環(huán)境下��,通過(guò)英方系統(tǒng)遷移產(chǎn)品 i2Move 將生產(chǎn)數(shù)據(jù)在線熱遷移至云平臺(tái)上���;其次��,通過(guò) i2COOPY 和 i2Availability 將云端數(shù)據(jù)實(shí)時(shí)備份至本地機(jī)房�����,并實(shí)時(shí)監(jiān)控系統(tǒng)運(yùn)作����,保障數(shù)據(jù)和業(yè)務(wù)安全性,防范因云平臺(tái)故障�����、人為誤操作導(dǎo)致的業(yè)務(wù)中斷和數(shù)據(jù)丟失�����。
04
2 個(gè)典型用戶(hù)案例
1.海能達(dá)同城災(zāi)備�����,應(yīng)對(duì)勒索病毒更有底氣
項(xiàng)目亮點(diǎn):首先��,海能達(dá)實(shí)現(xiàn)了 EBS�����、西門(mén)子 PLM�、資金、MES 等核心系統(tǒng)的同城容災(zāi)��,使得海能達(dá)的數(shù)據(jù)災(zāi)備的 RPO 接近于零�����,極大降低了災(zāi)難事件對(duì)數(shù)據(jù)可能造成的損失����;其次,i2CDP 可以快速恢復(fù)業(yè)務(wù)所需的數(shù)據(jù)��;最后���,項(xiàng)目實(shí)施不用改變?cè)械纳a(chǎn)系統(tǒng)架構(gòu)���,且易于災(zāi)備系統(tǒng)的驗(yàn)證和演練。
用戶(hù)需求:隨著海能達(dá)集團(tuán)業(yè)務(wù)的快速發(fā)展�,業(yè)務(wù)開(kāi)展越來(lái)越依賴(lài)于信息系統(tǒng)的穩(wěn)定運(yùn)行。一旦發(fā)生嚴(yán)重災(zāi)難故障���,將有可能使得應(yīng)用�����、數(shù)據(jù)庫(kù)�、辦公等系統(tǒng)無(wú)法恢復(fù)數(shù)據(jù),造成長(zhǎng)時(shí)間的業(yè)務(wù)停滯�。為了保證業(yè)務(wù)的正常開(kāi)展和運(yùn)行,需要在本地高可用架構(gòu)基礎(chǔ)之上����,通過(guò)第三方將深圳的數(shù)據(jù)、應(yīng)用實(shí)時(shí)備份到同城的機(jī)房��,實(shí)現(xiàn)同城災(zāi)備��。
△ 海能達(dá)同城災(zāi)備架構(gòu)圖
方案價(jià)值:根據(jù)海能達(dá)的實(shí)際情況���,在保持原生產(chǎn)機(jī)房基礎(chǔ)架構(gòu)不變的情況下���,在超融合架構(gòu)內(nèi),通過(guò) i2CDP 實(shí)現(xiàn)數(shù)據(jù)的持續(xù)保護(hù)���。i2CDP 通過(guò)基于主機(jī)層的字節(jié)級(jí)復(fù)制技術(shù),可以實(shí)現(xiàn)應(yīng)用層生產(chǎn)機(jī)房與容災(zāi)機(jī)房數(shù)據(jù)的一致性����,確保生產(chǎn)數(shù)據(jù)損壞或遭受病毒攻擊時(shí)�����,可通過(guò) i2CDP 將數(shù)據(jù)恢復(fù)過(guò)來(lái)�,顆粒度達(dá)到百萬(wàn)分之一秒�。
2.蘇美達(dá)異地實(shí)時(shí)備份,面對(duì)病毒攻擊不再恐慌
項(xiàng)目亮點(diǎn):項(xiàng)目?jī)?yōu)化了蘇美達(dá)的數(shù)據(jù)安全保障體系�,保證了業(yè)務(wù)數(shù)據(jù)的零丟失,實(shí)現(xiàn)數(shù)據(jù)災(zāi)后的及時(shí)恢復(fù)�,減少了因數(shù)據(jù)丟失而造成的業(yè)務(wù)中斷和經(jīng)濟(jì)損失,為蘇美達(dá)全球業(yè)務(wù)的開(kāi)拓提供了強(qiáng)有力的支持����。
用戶(hù)需求:為了提升業(yè)務(wù)系統(tǒng)的安全等級(jí),蘇美達(dá)結(jié)合現(xiàn)有需求和未來(lái)發(fā)展規(guī)劃��,對(duì)具有多種操作平臺(tái)和多種數(shù)據(jù)庫(kù)的業(yè)務(wù)系統(tǒng)提出了異地實(shí)時(shí)災(zāi)備的要求��,以實(shí)現(xiàn)數(shù)據(jù)零丟失和任意時(shí)間點(diǎn)的恢復(fù)����。
△ 蘇美達(dá)異地容災(zāi)架構(gòu)圖
方案價(jià)值:蘇美達(dá)基于業(yè)務(wù)系統(tǒng)中數(shù)據(jù)庫(kù)及操作平臺(tái)類(lèi)型的多樣性,采用英方災(zāi)備一體機(jī) i2Box 內(nèi)嵌的持續(xù)數(shù)據(jù)保護(hù)與恢復(fù)產(chǎn)品 i2CDP 和數(shù)據(jù)備份與恢復(fù)產(chǎn)品 i2Backup,實(shí)現(xiàn)關(guān)鍵業(yè)務(wù)數(shù)據(jù)的多策略保護(hù)�。如發(fā)生關(guān)鍵數(shù)據(jù)被勒索病毒攻擊加密時(shí),可通過(guò)多種途徑進(jìn)行快速恢復(fù)�����。
隨著我國(guó)制造業(yè)規(guī)模和水平的持續(xù)增加�,境外勢(shì)力通過(guò)網(wǎng)絡(luò)滲透攻擊國(guó)內(nèi)重要領(lǐng)域的網(wǎng)絡(luò)系統(tǒng),以及通過(guò)黑客技術(shù)加密重要文件的事情越發(fā)頻繁���。從 2014 年開(kāi)始�����,某機(jī)構(gòu)的安全大腦通過(guò)整合海量安全大數(shù)據(jù)�,發(fā)現(xiàn)了多起境外 APT 組織使用“在野”0day 漏洞針對(duì)我國(guó)境內(nèi)目標(biāo)發(fā)起了 APT 攻擊�����,并發(fā)現(xiàn)境外針對(duì)中國(guó)境內(nèi)目標(biāo)的攻擊最早可以追溯到 2007 年�����,至少影響了中國(guó)境內(nèi)超過(guò)萬(wàn)臺(tái)的電腦���。
網(wǎng)絡(luò)安全威脅時(shí)刻都在����。而隨著加密貨幣的推廣使用�,讓黑客收到贖金后變得難以追蹤,可預(yù)見(jiàn)日后的網(wǎng)絡(luò)攻擊行為會(huì)更加猖獗�。制造企業(yè)乃至其他機(jī)構(gòu),需要全員提升安全防范意識(shí)����,加強(qiáng)網(wǎng)絡(luò)防范和容災(zāi)備份的體系建設(shè),做好關(guān)鍵系統(tǒng)及數(shù)據(jù)的保護(hù)工作�����,實(shí)現(xiàn)業(yè)務(wù)不停�����,數(shù)據(jù)不丟���。
