互联网时代制造业的信息安全探索

我做一个简短的自我介绍，10余年的从业IT老兵，同样也是北大CIO的班长。CIO是苦差事，架构师更是苦差事。我们这一行是说技术牛的人，不牛们不再这样，有想法，有创造力的人去创业了，只留下我们一群人。今天我从两个方面为大家开始今天的议题，首先是对于制造业企业的个人信息安全建议。

从这张图我们可以看到，对于制造业庞大、复杂的信息化流程，对于此，大家对信息化的要求十分复杂，对于各个企业中投入了很多信息化的应用，类似于ERP、CAX、SCM、CRM、PLM、PDM、WEB、OA、邮件等等。对于新宏昌的ERP，是财务到质检等等一系列的贯穿体，CAX是产品设计和开发，与我们的PLM进行了有效的连接。我们的CAX从服务器到桌面端，整体的压力很大，而且时效性并不是很高，但是数据及时性很高。而且我们系统部署之后，经常发生人为的图纸泄漏等等，包括我们的CRM的客户关系泄漏、客户信息泄漏，WEB遭受攻击，遭受各种各样的黄色网站访问，员工的不轨行为，给我们造成了很多的困惑。我们信息人对于硬件和安全的人仅有4人，我们历时一年的改造，可以说很辛苦，最终给集团和信息化交上满意的答卷。尤其是制造业，更多的是从内网高于外网，我们有众多的制造工厂，是产、供、销一体化的企业，我们可以意识到很多的问题，包括众多的服务器，还有历史遗留自各种存储问题，复杂的架构，庞大的压力，是我们新宏昌最大的困惑。

统一数据中心，我们将我们所有的机构统一在一个数据之内，采用一地两中心的模式，把各地的办公网、生产网、财务网和设计网络进行一个有效的统一管理，将外部单位、生产公益线路、监控网络进行有效的统测统管。说到两个平衡，刚才李炜也说过，七分是管理，三分是技术。而且我们是老牌工业化企业，在工业企业中有点不太一样，对于老牌工业企业中，我们随着改革开放20年大潮成长起来，我们存在的问题是员工比较老，跟不上先进的东西，自我意识强，对一个老人家，老员工，你去推进信息化很难。最终我们采用的办法是人事、行政加信息化共同组合的一个IT促进小组进行统筹分配和统筹管理。制造业大家的很有钱，有很多信息化的投入。但是制造业还有另外一点，它的要求很简单，投资一定要有回报，没有回报的东西很难说服老板。我们是以投入和管控做一个很好的结合，以最小的管控获得最大的回报。

对于我们在三个层面是巨大的一个困扰点，包括边界、重保和合规，其中重保是我们的重中之重，包括重点服务器、重要业务系统和重要数据，类似于我们的ERP、PRM，包括我们的CAD，这些都是我们的重保项目。我们的重保项目的保证级别是5分钟之内必须恢复，不许存在任何数据损失。对于边界层面，我们的应用进行了一些相应的隔离策略，不同的人员，不同的级别，不同的部门只能反映相应的应用和存储。对于外部的服务，我们以网络行为作为第一重约束标准，同时基于下一代防火墙和我们的网络审计服务器进行一个有效的联动，对于员工层面是我们最薄弱的环节，下面我单独有一个章节为大家做一个讲解。

对于合规层面，我相信大家也会面临相应的问题。除了正常的日常行为监控审计和行为分析之外，包括我们的使用版权等等，我们都会存在类似的问题。在新宏昌我们历时三年，将微软进行了有效的替换，同时在数据层面，我们规避了微软、Oracle以及IBM，但是这样的过程是痛苦的，我校客观来说，对于新宏昌的信息化是从2013年开始，我们从一年的时间完成了虚拟化，完成了我们的内部私有云，完成了我们的ERP建设。这种艰辛信息化的人会知道的，我不想多说。

实际上我一直同意360的一个观点，也就是说系统一定尤为发现的漏洞，系统有发现未修补的漏洞，系统已经被渗透，员工不可靠。实际在上这里我只强调一点，我认为我们的员工永远不可靠，而且我们的员工异常行为，还有一些坏事情，是我们IT部门面临最多的，而且检测攻击、内部代理，我们因为对员工进行了全网的网络管制，那么他会用一些代理工具，一些人有上网权限，给他们开一些代理。所以基于此，对于员工是我们最强、最大的一个约束点。

我们的安全是宣贯到每一个人。简单举三个点：第一是隔离，生产网、办公网全隔离，办公网内进行等级划分，财务、行政、人力诸多部门，以部门的职能和相关联性我们划分了不同的隔离。办公网对应的主机、服务器不同的应用范围也划分到了不同的线路，对外友不同的业务指向；第二对于制度方面，我们是以预管控作为第一标准，所有的新宏昌员工，无论是移动用户还是固网用户必须强制加入域，而且通过域去推送相应的安全软件。也就是说，进入域之后，他想不装我们的安全软件是不可能的。而且我们在后台相应的机制上做了很多的设置，类似于24小时充气，一次相应的PC端，终端的首先必须实施修复。这是有一个前提，我们的会比360、百度等等晚一天，因为我们的IT部门对所有的更新补丁要经过测试之后才会更新到我们的补丁服务器。对于密码，我们采用15位的强密码，15天作为一个周期轮换；第三是问责，我们提出来三大点：一是小问题警告，超过三次，立马这个人要走掉；二是大问题辞退，没有任何商量的余地；三是问责诛连到部门第一负责人。

这张架构图可能大家已经看到了，我们大致划为四层，包括可管理设备，或者是称为已管理设备、无法管理的设备和未管理的设备。对于第二层和第三层我举个例子，中国2003年的”非典”，我感触很深，我是2003年来北京的，那个时候我们在车站、机场不同的地方设置了关卡，相当于第二层。第三层是政府的相关部门，做出相应的决定和指示。对于更高层，做整体的群策群力的联动，也就是我们的综合运维系统。

基于新宏昌来说我们做了虚拟化，大家知道，虚拟化对于存储的依赖性很重，我们的存储采用的是双机的模式，实时的备份。生产存储和备份存储我们差2分钟，同时我们进行了划分，为了保证更高级别的问题，我们在两个主备存储之间有相应对应的离线备份存储磁带。这张图（PPT）大家看一下，并不复杂，在座的都是专家，我就不详细阐述了。我们的目的是保证存储实时，业务不间断。对于服务器层面，我们采用了基于虚拟化的设置，保证数据重点应用的实时活性。也就是说，我们的系统中可以分几个层面去保障。所服务器模式保障，而且我们对于基于虚拟化的灵活的高可用。基于此，我们建立了一些相应的策略，对于监控层面，全局的服务是进行基于网管的实时监控和流量监听以及集中运维审计。

刚才一些专家也说过，看IDS和IPS这些东西很难，至少我们没有这样做，因为我们的运维系统会实时给我们发出来预警的邮件。同时我们参照了一些国内的运维系统，我们做了自动化运维，可以说简单的故障我们会进行一些处理，数据库的监听和重启，但是也是有一些级别，有一些轻量级的应用并不是十分重要的，十分重要的系统我们会分出来相应的等级进行相应的预警和预告。

对于补漏层面，我们无非是说对于线上的系统实时扫描和互联网上的跟踪，跟踪获取到相应的漏洞之后，我们需要进行人为的测试，无误之后才会进行相应的修补。2007年的时候大家可能记得，赛可达曾经有一个病毒的补丁，我所在的一家外企，全中国区大概是6千多使用者，邮件全部无法使用。基于此，我们对于所有的补丁和应用，我们不信任任何厂商的补丁是安全的，同样我们也不信任我们的员工是安全的。我们信息人很少，要面对这么多问题，真的是压力山大。对于日志层面，我们实时抓取，实时更新，我们以天为周期，以月为周期进行相应的比较分析，做到事前有预警，事后有追查。对于容灾方面，我们是采用一地两中心的实时备份。对于生产系统，每日三次快照。因为我们企业比较特殊，我们是早8点至晚18点为有效的数据响应期，剩余的时间就没有太多的事情。所以我们的安全处理和各种问题有了一大把时间，不像互联网公司那样的压力。对于离线备份，我们是作为最终的一个后援支撑。服务器层面，我们采用HA的实时在线。对于数据保密方面，我们是图文档系统实时加密。同时将所有的文件资料存储在我们的云存储中，在客户端中不存在任何文件，或者对于个别客户需要文件的话，也是加密后的文件。同时我们对各个部门，各个人员，根据他的级别进行了逐渐的分级限制。在昨天我们刚刚完成了内网的约束，对于我们的USB口、串口、并口以及光驱、U盘存储设备，没有我们的认可和允许的话，但是这个认可权我们是归属在行政部门，没有相应的许可的话，这些是禁止访问和禁止获取的。

对于网络层面，我们从监听风暴抑制多种层面实现了我们的网络安全。这是我们一个网络的简单拓扑，基于企业的保密性质，我就不展开我们的整体拓扑了。大家可以看到，我们存在三种网络，对于英特网，我们进行统一管理，SDH是作为我们生产的主线，部署到全国的所有生产基地和办事处，但是对于我们的金融中心是不存在SDH的。对于VPN网络，是对于我们SDH的一个备份，我们SDH连路对于运营商的要求是说双线双环双连路，零中断。因为我们统一数据中心对于我们的网络压力很大，对网络的倚重很高，所以我们采用这种方式。但是随着中企这些大型的国内VPN运营商的投入，我们也会逐步把数据的运营重点迁移到VPN的层面上。但是对于银行业务、金融业务和一些特殊的重保的保密业务以及生产系统，我们的SDH还会保留一些。

对于Wi-Fi层面我们就是受控使用，对于未受控的设备不允许接入我们的网络。我们做到了几点，包括基于MAC地址的认证，不仅仅是我们的Wi-Fi设备，我们的笔记本和台式机都采用MAC地址的方式，我们允许在新宏昌的总部到所有的分支成员单位中的任何一个设备，集团内部的任意地点的漫游。所有的移动设备必须强制加入域，加入域之后才能得到Wi-Fi的认证。另外我们做到了事后追查，通过最后一次的设备发射信号以及三点测量法去测量设备最后的使用地点，谁干坏事我们直接快速定位。但是现在因为我们投入比较少，大概需要一分钟。

对于远程办公设备，现在我们比较薄弱，我们只做到了数据隔离和加密。这样的话，也是对于企业目前一个掣肘点。简单来说，远程设备想要接入企业内部必须通过VPN隧道，我们的VPN有一个约束，必须通过一个VPN，大家知道，连接之后不能进入公网，我们做了第一重保障。第二重保障，对于外部接入的设备，通过VPN访问到公司网络，必须以动态口令作为识别方式，如果非动态口令的话，将不会登录系统。我们对于外部访问到企业内部办公系统，全部执行加密。也就是说，我们两重机制，外网访问是加密系统，内网可信任设备是非加密系统，还有就是基于MAC地址的身份强识别。

谢谢大家，我就讲到这里，请大家批评指正！