海尔工业互联网安全实践



2018年5月28日 | 工业制造

      

5月24日,海尔集团首席信息安全官陈云峰在TÜV莱茵举办的“质胜之道——信息风险管理论坛”上分享了海尔在信息安全方面的实践,本文根据现场实录整理而成。

陈云峰

海尔集团首席信息安全官

 

工业互联网时代的安全挑战

我认为,第一就是安全管理覆盖的范围扩大了很多。以前是聚焦在企业的内部情况,而现在就要覆盖到一整个工厂。随着智能家电的普及,包括智能电视机、洗衣机、空调等,我们需要考虑如何对它们进行安全监管。也就是说,安全管理覆盖到了移动端,甚至包括了门店、仓储与物流。从工业制造的流程角度来讲,海尔是一个工业制造企业,就会牵涉到用户端。从这个角度来说,安全监管还包括了销售这一块。

第二就是要强调全流程业务数据保护。除了工业互联网特别关注的能源、交通、石油化工、电力等领域,从海尔的角度来讲,我们在智能制造中的一个重要突破点就是用户交互。用户方可以直接下订单,然后我们按需定制。现在,大多数工厂,或者说一些传统制造企业的人员,虽然知道有订单,但他并不了解订单的整体生命流程。我们需要一个平台去打通这些信息。

谈到终端设备这块,WannaCry病毒在去年5月爆发的情景还历历在目,影响了很多企业。就我所知,国内某制造型企业受到病毒感染,整整停产了3天。目前海尔采用自主研发的COSMOPlat安全生态体系,这是我国工信部制定的首个重点智能制造平台,将所有的用户、模块商、网器、微店、营销资源统筹在一起,通过COSMOPlat实现用户参与大规模的制定,目前已实现3亿多人次的线上交互。这个体系的底层,就是由“海安盾”提供安全支持,来保护我们的工业制造平台。

 

海安盾平台保护实践,大致分了这么几块:

– 物理安全:其中数据中心安全配套有严格的控制管理,包括防冲撞等科学的保护措施

– 基础架构安全:主要是服务于设备及我们的互联网终端,即智能家电产品,这是我们重点保护的对象。

– 应用安全:如APP安全开发等。

– 数据安全:从传统制造企业走向互联网转型的过程中,与用户的大量沟通是核心所在。在沟通期间,如果没有加密或数据保护,则会引起数据泄露,遭受黑客攻击窃取用户密码等信息。针对数据安全,我们会比较强调分类保护、用户隐私保护。特别是GDPR(欧盟《通用数据保护条例》)于5月25日正式生效,对海尔这样的跨国企业来说,这是非常重要的一个合规要求。

– 账号权限和访问

– 安全事件管理

 

如何保障工业互联网安全

第一,网络隔离。我们看到,IT与OT(operation technology运营技术)融合最大的问题就是,IT人员不懂OT,OT人员不懂IT,很多做OT设计的相关同事,因为他所涉及的主要是制造这块,所以根本没有考虑信息安全的问题,所以亟需解决在OT领域导入信息安全的保护要求。

第二,对工业协议进行加密认证,如果是要暴露在外的话,一定要加密认证。

第三,在碰到病毒感染的情况下,需要对设备进行快速恢复。

第四,制定应急措施与应急机制,并提前进行演练,确保该措施的有效性。

第五,明确安全责任负责人,并进行定期考核

 

需要信息与网络安全协助?TÜV 莱茵可以帮你

随着商业环境的全球化和高度互联,企业面临的信息和网络威胁与日俱增。信息安全风险持续演变,攻击手段层出不穷,因而信息安全管理的实践和标准都在不断发展,企业唯一要做的就是保持警惕,随时准备抵御风险,最大程度地降低信息安全风险所造成的不良影响。TÜV 莱茵对此提供完善并通行全球的解决方案。

 

服务:智能产品隐私数据安全

报名:公开课与人员资格课程

了解:ISO 27001认证

下载:2018 GDPR业务发展白皮书