毋庸置疑，制造業數字化是行業趨勢，隨著數字化技術的深入，對IT系統依賴越來越高，對數字化系統的連續性要求越來越高，有價值的數據也越來越多。許多制造企業經常忽視信息安全的建設，造成難以挽回的損失。

近日，世界最大的半導體制造商臺積電成為勒索軟件黑幫 LockBit 最新一位的受害者，該組織勒索 7000 萬美元以交換不泄露竊取的數據。臺積電已經證實了此次攻擊，表示網絡入侵導致了與服務器初始設置和配置相關的信息泄露，沒有任何客戶信息泄露。

2022年3月，由于一家主要供應商遭受到網絡攻擊，豐田汽車關閉其在日本的所有工廠，暫停的工廠涉及其國內14家工廠和28條生產線的運營。

2022年6月，全球制造業巨頭富士康證實，其墨西哥一家工廠在5月底遭遇了勒索攻擊。黑客組織加密了這家工廠的約1200臺服務器，竊取了100 GB的未加密文件，并刪除了20TB至30TB的備份內容，并索取1804.0955比特幣贖金，約人民幣2.3億元。據外媒報道，本次勒索攻擊一度導致該工廠的業務中斷。

隨著數字化的深入，制造業上云成為趨勢，制造業上云安全面臨挑戰。

01數字化轉型驅動制造業上云勢在必行

制造業的特點是對實時性和可靠性要求高，生產必須保持連續性，并且不能出現絲毫的差錯。所以制造業對IT系統最基本的要求是實時可靠，隨著數字化的深入，同時要求IT系統具備定制化、數據管理能力、集成能力以及安全保密性等特點，以滿足制造業的復雜需求。

實時性和可靠性：制造業需要實時的數據收集和處理能力，以支持生產線的監控和控制。IT系統需要具備高度可靠性，確保數據的準確性和及時性，以避免生產中斷和質量問題。

高度定制化：由于需求的多樣性，IT系統需要具備靈活的定制化能力，以適應不同類型和規模的制造過程。企業需要能夠根據自身需求進行定制開發或選擇適合的行業解決方案。

強大的數據管理能力：制造業產生大量的數據，對于數據的采集、存儲和分析都有較高的要求。IT系統需要提供強大的數據管理功能，包括數據采集接口、大規模數據存儲和處理能力、數據分析和可視化等。

集成能力：制造業通常存在多個獨立的系統和設備，如ERP系統、MES系統、設備控制系統等，這些系統需要進行集成，實現信息的無縫流動和共享。IT系統需要具備良好的集成能力，支持系統之間的數據交換和協同工作。

安全和保密性：制造業涉及到商業機密、產品設計和生產數據等敏感信息，對于安全和保密性有很高的要求。IT系統需要提供強大的安全措施，包括身份認證、數據加密、權限管理等，以保護企業的敏感信息不受未經授權的訪問。

基于以上原因，制造業上云成為行業趨勢。

首先是提高生產效率：制造業上云可以通過數字化技術和云計算平臺提供更高的生產效率。云平臺可以集成并優化制造過程中的各個環節，包括供應鏈管理、生產計劃、物料采購、生產控制等。通過實時數據收集和分析，制造企業可以更好地優化生產流程，減少生產周期，提高交付速度，降低生產成本。

其次促進創新和協作：上云可以為制造企業提供更好的創新和協作環境。云平臺提供了強大的數據存儲和處理能力，可以支持大規模數據分析、人工智能和機器學習應用。制造企業可以利用云上的工具和資源，進行產品設計優化、模擬仿真、智能制造等創新活動。此外，云平臺也為不同部門和團隊之間的協作提供了便利，可以促進信息共享和實時溝通。

第三是強化智能制造和物聯網應用：上云可以為制造業的智能制造和物聯網應用提供技術支持。云平臺可以與設備、傳感器和物聯網連接，實現設備之間的數據共享和遠程監控。制造企業可以利用云平臺來收集和分析來自各種設備和傳感器的數據，實現設備狀態監測、預測性維護和生產優化等智能制造應用。

第四是強化靈活性和可擴展性：云計算提供了靈活的計算和存儲資源，可以根據制造業務的需求進行彈性擴展。制造企業可以根據需要快速調整計算資源的規模，實現高效的資源利用和成本控制。此外，云平臺還可以支持多地點和分布式生產環境的協同工作，提供靈活的部署選項和遠程訪問功能。

與此同時，制造業上云安全面臨挑戰，云計算提供了強大的數據安全和備份機制，可以幫助制造企業保護關鍵業務數據。

但是相比傳統架構，云計算更為復雜，對IT管理方面提出更高要求。

02制造業上云安全面臨挑戰

制造業上云所面臨的安全挑戰包括以下幾個方面：

數據安全和隱私：制造業涉及到大量的敏感數據，包括產品設計、制造工藝、客戶信息等。將這些數據存儲在云平臺上可能增加數據泄露、數據丟失或未經授權訪問的風險。確保數據的機密性、完整性和可用性是制造業上云面臨的首要挑戰。

訪問控制和身份認證：制造業上云需要建立有效的訪問控制和身份認證機制，以確保只有授權人員可以訪問敏感數據和系統。不正確的訪問控制可能導致未經授權的訪問、數據篡改或惡意操作。

威脅和漏洞管理：制造業上云后，需要及時識別和應對可能的威脅和漏洞。云平臺的漏洞、不安全的配置或弱密碼可能被黑客利用，導致系統被入侵或數據被竊取。制造業需要建立有效的威脅管理和漏洞管理機制，及時修補漏洞、監控潛在威脅。

供應鏈安全：制造業涉及到復雜的供應鏈網絡，上云后需要確保供應鏈的安全性。供應鏈中的各個環節可能成為攻擊的目標，黑客可能通過攻擊供應商或分銷商的云平臺來獲取機密數據或破壞生產過程。

物理安全：制造業上云并不意味著物理安全問題就不再重要。云服務提供商的數據中心和網絡設施需要具備高級的物理安全措施，以防止設備盜竊、自然災害或其他物理攻擊。

合規性要求：制造業在上云過程中需要遵守法規和行業標準的合規性要求，如數據保護法規、知識產權保護、行業標準等。確保合規性可能需要制定適當的政策、流程和控制措施。

那么，制造業如何應對上云面臨的安全挑戰，解決方案是什么？華為云在云安全方面有豐富的實踐，總結出方法論，來看看華為云的云安全解決方案。

03制造業上云安全解決方案

在華為云的今年4月份發布的《企業上云安全白皮書》中，華為云給出了企業上云安全的方法論和操作步驟。

云安全的基礎是責任共擔模型，即華為云負責云服務自身的安全，提供安全的云；用戶負責云服務內部的安全，安全使用云。

圖片

企業上云過程，華為云給出了評估調研、規劃設計、遷移實施、遷移驗收四個階段的劃分，每個階段有清晰的步驟。

圖片

本節以企業上云遷移流程為基準，向企業提供上云安全建設步驟指南，指導企業構建云上安全體系。

白皮書指出上云安全建設分為5個步驟：

圖片

制定安全策略

第一個步驟是制定安全策略，分為十一個模塊：

圖片

• 安全管理組織：指定負責云上各個關鍵職能人員/團隊，比如安全運營、系統安全管理等，并定義其職責。
• 身份與訪問管理：定義組織人員身份類型和身份驗證方法，僅授予身份所需的權限，并持續審核和監控賬號和權限的使用。
• 網絡安全：對業務所在網絡進行安全分區管理，并進行相應隔離；在網絡邊界實施防護和監控機制；確保通信線路和設備的冗余以滿足業務需求。
• 數據安全：根據數據保護相關法律法規、標準中定義的分類分級要求對數據進行分類分級管理，并在數據生命周期各個階段實施相對應的保護措施。
• 威脅與漏洞管理：對云上業務定期執行漏洞掃描和分析，并及時對漏洞修補。
• 日志與監控：對云上資源啟用日志功能，集中收集和存儲所有日志，并對日志進行監控和審核；監控安全狀態，并記錄網絡攻擊行為。
• 安全響應與恢復：為安全事件管理提供資源支持，自動對安全事件進行上報和通知，預部署事件響應工具；定期開展安全事件演練與經驗總結。
• 備份與恢復：定義數據備份策略和保護措施，并對備份進行監控與審核。
• 開發安全：對開發代碼進行安全檢查；系統上線前執行安全測試；保護研發資產的安全。
• 證書與密鑰管理：定義組織允許使用的加密算法和密碼技術產品；對密鑰和證書進行集中管理，并在密鑰和證書的生命周期各個階段實施安全控制。
• 隱私保護與合規：識別隱私保護相關法律法規，對業務所涉個人數據進行識別并進行隱私風險評估；減少敏感數據在系統中的暴露風險；持續遵循合規要求。

制定安全計劃

第二個步驟是制訂安全計劃，白皮書分為四個部分：

圖片

準備遷移環境

企業在正式實施遷移上云之前，需確保遷移目的端環境符合企業的合規性和安全性要

求。根據企業已確定的云上產品清單，安全團隊根據云環境安全基準設計方案對云上環境進行配置，并持續審核配置以確認云環境滿足安全基準，這將有效減少在遷移部署期間的安全風險和降低業務遷移上云后再進行安全配置的風險。

實施遷移

企業在實施遷移過程中會可能面臨業務中斷、數據丟失、數據遷移不一致等風險，華為云提供多種遷移工具幫助企業應對遷移實施過程中的安全風險，并能有效縮短遷移中斷時間和提高遷移效率，減少對業務運行的影響。

圖片

04制造業上云安全案例

某化工制造企業，年營收接近100億人民幣，因為業務發展需求進行數字化轉型，需要新上或者升級一批工業系統，尤其是WMS系統，需要7x24小時支撐業務運轉。

經過和客戶多輪溝通，引導客戶使用華為云，華為云在制造行業有突出優勢：

●行業解決方案豐富：華為云提供了豐富的行業解決方案，尤其在制造業方面有較強的專注度和布局；

●產品體系完備：華為云提供了完備的產品體系,包括IaaS、PaaS和SaaS,可全面支撐企業的基礎架構、應用開發和業務運營；

●云邊融合優勢：華為在云計算和網絡領域具有優勢，云邊協同產品成熟，可以幫助制造企業實現云邊融合，將云上和邊緣側的計算資源有機結合；

●安全可控：華為云有較強的安全技術積累，有助于保障企業的業務數據和網絡安全。

在確定使用華為云以后，根據華為云安全最佳實踐，制定安全策略。

●安全管理組織：由甲乙方共同成立安全小組，推進安全事項落地，評估安全措施效果；

●身份與訪問管理：對系統權限和賬號進行梳理，根據最小權限原則只給比要的賬號，云賬號根據權限劃分子帳號，所有的云賬號啟用兩步認證；

●網絡安全：使用vpc、云防護墻、ACL進行分區管理，對網絡邊界實施防護和監控機制；

●數據安全：根據法律法規和企業業務，對數據進行分級分類，在數據生命周期各個階段實施相對應的保護措施；

●威脅與漏洞管理：通過華為云云安全大腦對云上業務定期執行漏洞掃描和分析，并及時對漏洞修補；

●日志與監控：通過華為云云安全大腦對云上資源啟用日志功能，集中收集和存儲所有日志，并對日志進行監控和審核；監控安全狀態，并記錄網絡攻擊行為。

●安全響應與恢復：通過華為云云安全大腦為安全事件管理提供資源支持，自動對安全事件進行上報和通知，預部署事件響應工具；定期開展安全事件演練與經驗總結。

●備份與恢復：對重要數據做到實時備份，對次重要數據每天備份，對普通數據每周備份，并對備份進行監控與審核；

●開發安全：上線前對開發代碼進行安全檢查；系統上線前執行安全測試；

●證書與密鑰管理：制定證書與密鑰管理流程與機制，做到證書與密鑰全生命周期管理；

●隱私保護與合規：按照等級保護三級標準進行安全建設，確保合規要求。

制定安全計劃

根據華為云安全最佳實踐，制定安全計劃

圖片

準備環境

根據安全策略和安全計劃，準備環境

實施上云

根據安全策略和安全計劃，實施部署

持續安全運營

項目上線后，基于華為云安全大腦，新鈦云服提供持續的安全運營服務，新鈦云服的安全運營服務流程如下：

圖片

效果評估

經過按照華為云安全最佳實踐設計和配置，上線以來該企業業務運行穩定，未出現任何安全事件，取得了良好效果。