看天马微电子若何守卫信息安然？

近年来，随着我国两化领悟的不断深入，以及以云打算、大数据、工业互联网、人工智能及5G通讯技能等为代表的新兴技能的发达发展，制造业正加速朝着以数字化、网络化与智能化为紧张特色的智能制造方向发展。
然而，在制造企业积极拥抱并加速推进智能制造的同时，也给企业的信息安全带来了新的威胁与寻衅，特殊是IT/OT的一体化领悟，工业信息系统与设备愈加开放互联，进一步加大了工业系统与设备的安全风险。

为了更好地理解在智能制造背景下，制造企业工业信息安全的运用现状，e-works采访了武汉天马微电子有限公司G4.5 CIM部/信息中央总监张斌。

01

将安全事宜

造成的丢失和影响降到最低

e-works：贵公司是否有企业级的安全计策及方案？是否有干系流程保障？

张总：有企业级的安全计策与规则，公司目前正在开展ISO27000认证，干系信息安全的整体方案、管理方案、技能方案等的制订基本上是遵照该体系，并基于此形成了对应的管控策略。
详细包括安全计策方针与框架、风险合规性方案，网络安全评估和相应的制度，内外部信息安全通报制度，以及信息安全应急机制等。

为了保障干系方案与流程的有效实行，天马微电子将信息安全中央从上到下分为了两块：一是IT部之下的信息安全组，紧张卖力IT设备与干系系统的安全，并卖力所有流程包括合法合规流程以及应急方针政策、信息资产管掌握度的制订；二是CIM（打算机集成制造）部门，紧张卖力所有与生产干系的安全。
值得的一提的是，在OT安全规则订定方面，CIM也会参与到信息安全组，由双方共同互换沟通之后来确定生产干系的信息安全规则。

e-works：企业对付整体安全监测和应急预案的实行情形如何？

张总：在我看来，工业安全更主要的是保障生产安全。
对此，天马微电子实施的是“一把手”卖力制，各级部门卖力人都有明确的任务与分工。
在天马微电子，生产安全包括两个方面，并通过两个部门协同来管理：一是环境安全部，管理全体工厂的生产安全；二是信息安全中央，紧张是管理工厂信息方面的安全。

其余,公司已形成针对安全监测与安全应急预案的行政文件，包括如何对信息安全事宜程度进行分级、各种信息安全事宜管理流程及信息安全事宜的申报请示制度等。
总体来说，信息安全事宜大体上可以分为可控与不可控，天马微电子履行安全监测和应急预案的终极目标是将安全事宜造成的丢失和影响降到最低。

e-works：工厂的安全环境若何？详细采纳了哪些安全方法，特殊是对付工业掌握系统（OT）安全管理机制是若何的？

张总：对付工厂信息的安全管控，我们紧张采纳的方法包括：

1）针对所有的BYOD（Bring Your Own Device，自带设备），工厂是严令禁止进入的；如果厂商须要进行设备维修，会提前对其设备进行USB禁止、病毒查杀等。

2）U盘管控，有专门防病毒的U盘进行资料拷贝和程序安装。

3）机台设备信息读取权限掌握，例如针对机台的工艺、设备参数等的读取有相应的权限管理。

4）所有工厂系统的登录都要进行了身份认证与权限管控，例如PLC有密码管控。

5）运用了企业级的防火墙，IT与OT之间基本上是物理隔离，只许可暴露最少端口进行数据交流。

6）当在异地通过PC、BYOD移动设备访问工厂系统时，须要通过堡垒机作为中介统一访问，从而达到安全防护的目的。

7）供应商进行设备的运程运维，须要安装RJS远程掌握系统，并通过跳板性能力操作远程的设备。
例如对付日本/韩国品牌的设备，公司会哀求供应商安装RJS模块，通过远程共享电脑屏幕，再结合跳板机到目标设备进行掩护和操作，如升级软件程序/操作系统、调试等。

e-works：企业工业信息安全自我检讨重点内容包含哪些方面？检讨周期多久？

张总：自我检讨重点包括：在用系统的安全防护方案设计方案与策略、在用系统的基本情形、应急处置及容灾备份情形、边界防护方法、数据传输与存贮安全防护方法、资产安全情形等。
个中，对付工控网络的自查是参照《工业掌握网络安全风险评估规范》这一国家标准，紧张是对工业掌握网络的安全风险进行评估，从系统构造方面，评估范围包括工业掌握网络的现场设备层、过程监控层、企业管理层等逻辑层；从评估要素方面，评估范围包括技能、管理、运行等各个层面。
其余，根据ISO27000，当前的检讨周期是1次/月。

02

IT与OT安全统一管理

e-works：IT安全团队是如何看待或者管理OT安全的？

张总：首先，对付IT与OT的安全防护，我们是统一管理，只是团队分工不同、保障目标不同。

其次，在天马微电子，OT与IT安全同样主要，乃至更主要。
相较于IT系统，OT系统的目标代价更高，工厂的很多资产，像生产塑机、设备参数、工艺参数等，是企业的主要财富，发生安全事宜的后果也相称严重。
因此，公司对付OT安全也相称重视，并坚持不断提高OT安全整体防护能力。

值得一提的是，公司的OT职员，均具有IT背景，并且对OT职员根据不同的职责进行了细分，例如在OT安全方面，配备了IT安全出身的资深安全工程师，可以更安全、专业地保障全体OT系统的安全，并能有效与IT安全职员进行协同。

e-works：IT与OT根本架构之间是否存在联系？边界安全防护的情形如何？

张总：IT与OT根本架构之间有联系，例如生产运营MES与ERP、WMS之间是有数据交互的，但IT与OT之间是通过硬件防火墙来保障内部信息的安全。
其余，对付IT与OT之间的数据交互，系统之间不能直接访问，紧张是通过SOW暴露接口，并采纳最小原则，即最小授权，最少端口暴露。

其余，如果须要和外协厂、客户或者供应商进行数据对接，会在互联网端增加第二道防火墙。

03

数据安全策略

多种防护方法联动

e-works：企业对付数据安全紧张的考虑是什么？是否有可借鉴和遵照的政策或准则？

张总：数据安全紧张考虑的是数据遗失落，包括备份失落效、数据规复不堪利、病毒毁坏、盗窃。

紧张可借鉴准则有：1）数据灾备，包括异地磁带保存、周期性备份、备份数据规复测试等。
2）数据加密，对付一些敏感的数据如设计图纸、G类文件等，通过加密进行数据防透露保护；3）防止人为数据遗失落，例如将研发部定为高保密级别部门，手机禁止带入，其门禁卡也与普通门禁卡的不一样。

e-works：当前对付数据紧张采纳了哪些安全方法？难点在哪？

张总：在数据存储方面，将存放在数据库的数据都升级到数据仓库，数据仓库比较数据库更弘大，并且保存的韶光更长，例如生产数据在数据库只保存3个月，在数据仓库保存3年；在数据备份方面，采取了磁带备份，,生产机实时向备份机发送关键数据，并在关键数据节点进行了冗余设计，例如Oracle数据库中的指向性灾备方案，使全体管理过程透明、可视。

当前，高等持续性威胁(Advanced Persistent Threat)已成为信息安全家当界的热点,针对这种新的攻击媒介，是我们的防护重点。

e-works：如何看待数据安全与其他网络安全功能的关系，如网络边界安全、身份和访问管理等？

张总：网络边界安全、身份和访问管理等网络安全功能是数据安全的根本，两者是巢倾卵破的关系。
如果网络边界安全、身份和访问管理等这些根本功能缺失落，数据的安全也无法担保。
例如在网络边界安全方面，公司已将硬件防火墙从传统的三层防火墙升级到了新一代防火墙，可以全面应对运用层威胁，防止数据泄露，有效地担保了数据安全。