&

技術(shù)丨思科零信任，助力制造業(yè)筑牢安全屏障

中國經(jīng)濟(jì)正處于高質(zhì)量發(fā)展的重要時(shí)期，通過積極促進(jìn)數(shù)字技術(shù)與實(shí)體經(jīng)濟(jì)深度融合，數(shù)字經(jīng)濟(jì)發(fā)展成果顯著。制造業(yè)是實(shí)體經(jīng)濟(jì)的基礎(chǔ)，其數(shù)字化轉(zhuǎn)型正朝著更深層次邁進(jìn)，無論是研發(fā)、供應(yīng)鏈，還是生產(chǎn)、營銷，數(shù)字化應(yīng)用都已進(jìn)入深水區(qū)。建設(shè)現(xiàn)代化產(chǎn)業(yè)體系，堅(jiān)持把發(fā)展經(jīng)濟(jì)的著力點(diǎn)放在實(shí)體經(jīng)濟(jì)上，推進(jìn)新型工業(yè)化，加快建設(shè)制造強(qiáng)國、質(zhì)量強(qiáng)國、航天強(qiáng)國、交通強(qiáng)國、網(wǎng)絡(luò)強(qiáng)國、數(shù)字中國，這也為制造業(yè)提供了更加清晰的目標(biāo)。通過采用創(chuàng)新的數(shù)字技術(shù)實(shí)現(xiàn)降低成本、提高質(zhì)量、增加效益和保障安全的制造業(yè)核心業(yè)務(wù)價(jià)值，最終實(shí)現(xiàn)數(shù)字化轉(zhuǎn)型，是中國制造行業(yè)的共識(shí)。

越來越多的制造企業(yè)對(duì)網(wǎng)絡(luò)進(jìn)行現(xiàn)代化升級(jí)，終端設(shè)備不斷增加的同時(shí)，企業(yè)也在使用越來越多樣的系統(tǒng)和應(yīng)用來加快全數(shù)字化進(jìn)程。局域網(wǎng)、無線網(wǎng)、廣域網(wǎng)，分散的網(wǎng)絡(luò)策略，多樣化的終端接入方式，不計(jì)其數(shù)的遠(yuǎn)程連接，都讓企業(yè)網(wǎng)絡(luò)的規(guī)模和復(fù)雜性不斷增加，達(dá)到了網(wǎng)絡(luò)設(shè)計(jì)意圖始料未及的程度。當(dāng)前，制造行業(yè)在信息安全上主要面臨三大風(fēng)險(xiǎn)：

一、層次不清晰，隔離不力；

二、系統(tǒng)安全漏洞未知，缺乏風(fēng)險(xiǎn)與威脅情報(bào)；

三、訪問控制手段粗放，難以有效控制和管理。

為什么很多企業(yè)目前采用的安全措施還不是那么有效？首先，在部署網(wǎng)絡(luò)安全時(shí)，大部分企業(yè)都會(huì)選擇多家廠商的安全產(chǎn)品或解決方案，這些產(chǎn)品之間的集成聯(lián)動(dòng)沒有取得預(yù)期的效果；其次，企業(yè)的受攻擊面不斷擴(kuò)大，安全防護(hù)的技術(shù)難度也在與日俱增，許多終端附近可能沒有專人來提供保護(hù)。IT 永遠(yuǎn)在 “救火式” 響應(yīng)問題，企業(yè)投入大量成本，取得的效果卻難以言述。

思科大中華區(qū)副總裁，安全事業(yè)部總經(jīng)理卜憲錄表示：

“

在安全方面，客戶很難一次性投資所有事情，因此，思科提出‘零信任之旅’的概念，這是一個(gè)很清晰的脈絡(luò)和旅程。借助思科零信任，企業(yè)可以一致地實(shí)施基于策略的控制；全面洞察整個(gè)環(huán)境中的所有用戶、設(shè)備、組件等；獲得有助于更好地檢測(cè)和應(yīng)對(duì)威脅的詳細(xì)日志、報(bào)告和警報(bào)；利用思科零信任安全框架提供更加安全的訪問，防止可視性方面的缺漏，并縮小受攻擊面。

”

思科零信任，打造制造企業(yè)安全屏障

企業(yè)面臨的網(wǎng)絡(luò)安全難關(guān)已經(jīng)從數(shù)據(jù)安全上升到企業(yè)安全。思科強(qiáng)調(diào)企業(yè)安全無差別、無邊界、零信任、端到端，致力于在零信任的網(wǎng)絡(luò)架構(gòu)基礎(chǔ)上做到端到端的安全性。

零信任是什么？它是一種為網(wǎng)絡(luò)、應(yīng)用和環(huán)境中的所有訪問全面提供安全保護(hù)的方法。這種方法有助于為來自用戶、最終用戶設(shè)備、API、物聯(lián)網(wǎng)、微服務(wù)、容器等的訪問提供保護(hù)。它可以保護(hù)員工、工作負(fù)載和工作場(chǎng)所。

零信任是一種安全策略，其核心理念是在組織網(wǎng)絡(luò)架構(gòu)中避免一切默認(rèn)的信任。與傳統(tǒng)方法的區(qū)別在于，零信任方法從不默認(rèn)信任，會(huì)為每個(gè)訪問請(qǐng)求建立信任，確保只有正確的用戶和設(shè)備才可以訪問應(yīng)用程序和網(wǎng)絡(luò)。

思科的零信任概念包括三個(gè) W ，分別適合IT環(huán)境下三個(gè)主要角色，一是 Workload ，主要是在數(shù)據(jù)中心領(lǐng)域；二是 Workforce ，是指使用 IT 資源的參與者；三是 Workplace ，是指提供辦公的基礎(chǔ)環(huán)境。

零信任的基本概念是去除缺省信任，同時(shí)僅僅按照業(yè)務(wù)實(shí)際需求給予最低訪問權(quán)限。思科的零信任方案端到端覆蓋了任意場(chǎng)景的安全需求，同時(shí)通過打破缺省信任實(shí)現(xiàn)整個(gè)方案的零信任戰(zhàn)略。Workforce 為用戶及其設(shè)備建立信任度，以訪問應(yīng)用程序和資源。Workplace 為所有用戶和設(shè)備，包括物聯(lián)網(wǎng)，建立對(duì)網(wǎng)絡(luò)的最小特權(quán)訪問控制。Workload 基于風(fēng)險(xiǎn)評(píng)估、情景策略和經(jīng)過驗(yàn)證的業(yè)務(wù)需求，限制對(duì)工作負(fù)載的訪問。

隨著 IT 技術(shù)的不斷升級(jí)，用戶場(chǎng)景更加多變，設(shè)備類型也更加多樣化，應(yīng)用虛擬化技術(shù)不斷迭代，以及業(yè)務(wù)安全的邊界越來越模糊，企業(yè)安全面臨更大的挑戰(zhàn)。思科的零信任安全通過 4 個(gè) A 來實(shí)現(xiàn)，即任何用戶（Any User）、任何設(shè)備（Any Device）、任何應(yīng)用（Any App）、任何地點(diǎn)（Any Where），都需要打破原有的默認(rèn)信任機(jī)制，通過集成化的方案實(shí)現(xiàn)對(duì) 4 個(gè) A 的端到端的安全認(rèn)證和賦能，以此尋求證明用戶、設(shè)備、應(yīng)用和行為的可信性。

4A 的目的是為了實(shí)現(xiàn)任何用戶都能夠?qū)崿F(xiàn)可信的接入，包括物聯(lián)網(wǎng)在內(nèi)，每個(gè)用戶都能夠可信地接入到網(wǎng)絡(luò)。同時(shí)，保證任何接入設(shè)備本身都是受保護(hù)的、安全的。再者，保證任何應(yīng)用都是安全的，不管應(yīng)用是在傳統(tǒng)數(shù)據(jù)中心還是在公有云中，都具備可視性并實(shí)現(xiàn)相應(yīng)的安全保護(hù)。最后，用戶從任何地方接入網(wǎng)絡(luò)，不管應(yīng)用部署在哪里，都能夠?qū)崿F(xiàn)一致性的安全策略，保證其合規(guī)性。

構(gòu)筑零信任的橋梁，思科助力企業(yè)實(shí)現(xiàn)智能制造

工業(yè) 4.0 和 IoT 等創(chuàng)新技術(shù)的發(fā)展給制造業(yè)網(wǎng)絡(luò)安全帶來了新的挑戰(zhàn)，OT 和 IT 已經(jīng)變得密不可分。在制造業(yè)場(chǎng)景中，IT 和 OT 人員有不同的操作程序和角色分工，他們的關(guān)注點(diǎn)有很大的不同。OT 人員的任務(wù)是建立和維護(hù)物聯(lián)網(wǎng)/ OT 網(wǎng)絡(luò)以及連接到這些網(wǎng)絡(luò)的設(shè)備。他們專注于安全性、可靠性和生產(chǎn)力。IT 安全人員則專注于維護(hù)信息的保密性以及 IT 系統(tǒng)的完整性和可用性。二者最終目標(biāo)都是為了確保組織的安全，將風(fēng)險(xiǎn)降到最低。

但是，制造業(yè)普遍存在 IT 和 OT 疏離的問題。分工不同導(dǎo)致二者之間出現(xiàn)巨大的認(rèn)知鴻溝：IT 人員有技術(shù)知識(shí)，卻不了解 OT 運(yùn)營方式；OT 人員對(duì)運(yùn)營很清楚，但缺乏 IT 知識(shí)。另外，在某些制造場(chǎng)景中，企業(yè)的很多設(shè)備使用時(shí)間過長，非常老舊，IT 的方案并不能與之匹配；OT 的一些溝通協(xié)議，或是一些特殊設(shè)備，必須有更加適合 OT 的場(chǎng)景，同時(shí)又要滿足 IT 對(duì) OT 的可視要求。企業(yè)顧此失彼，導(dǎo)致 IT 與 OT 無法很好地融合在一起。

針對(duì)這些問題，思科推出了 “ IT / OT 的融合方案” 。采用了專門針對(duì)工廠，適合 OT 的防火墻 ISA3000 ，能夠滿足特殊的 OT 場(chǎng)景的安全需求。思科 Cyber Vision 可以幫助管理員快速發(fā)現(xiàn)并定義 OT 資產(chǎn)，生成實(shí)時(shí)網(wǎng)絡(luò)通信視圖，讓 OT 工程師在任意位置都能夠清楚地看到他們的 OT 網(wǎng)絡(luò)在不同條件下的運(yùn)行情況，更好地計(jì)劃安全和生產(chǎn)的連續(xù)性；同時(shí)，與 IT 網(wǎng)絡(luò)安全團(tuán)隊(duì)合作，通過多系統(tǒng)集成將 OT 的背景、理解和知識(shí)帶給 IT 團(tuán)隊(duì)，為實(shí)現(xiàn)整個(gè)企業(yè)網(wǎng)絡(luò)，包括任何用戶（Any User）、任何設(shè)備（Any Device）、任何應(yīng)用（Any App）、任何地點(diǎn)（Any Where）在內(nèi)的安全目標(biāo)奠定堅(jiān)實(shí)的基礎(chǔ)。

另外，思科的 ISE 系統(tǒng)幫助客戶進(jìn)一步完成了 IT / OT 融合，將 IT 網(wǎng)絡(luò)及 OT 網(wǎng)絡(luò)的接入控制及可視統(tǒng)一起來。Stealthwatch 流量分析系統(tǒng)將 IT/OT 流量統(tǒng)一呈現(xiàn)，方便管理回溯及異常問題發(fā)現(xiàn)。思科 Firepower 下一代防火墻用戶負(fù)責(zé) IT / OT 的訪問隔離及策略控制，這些產(chǎn)品同時(shí)都與 Cyber Vision 系統(tǒng)深度集成，形成一體化的架構(gòu)方案，讓任意 OT 設(shè)備的每個(gè)接入和每次訪問都十分清楚。通過這種方式，IT 和 OT 加強(qiáng)了溝通，他們之間的知識(shí)可以相互分享，最終為企業(yè)提供完美的解決方案。

零信任安全策略是一個(gè)長期的過程，思科以 “工業(yè)網(wǎng)絡(luò)零信任四步保護(hù)法” 保護(hù)企業(yè)資產(chǎn)。首先，資產(chǎn)發(fā)現(xiàn)，識(shí)別企業(yè)所有工業(yè)資產(chǎn)以構(gòu)建正確的安全策略；其次，網(wǎng)絡(luò)分段，隔離網(wǎng)絡(luò)以建立安全域和可控訪問通道，以避免攻擊蔓延；再次，威脅檢測(cè)，檢測(cè) IT 入侵和異常 OT 行為，以保持流程完整性。最后，IT / OT 集成 SOC ,全面了解安全事件以簡化調(diào)查和補(bǔ)救措施。

思科基于 3W 戰(zhàn)略為企業(yè)制定了具體的零信任方案，并在國內(nèi)制造企業(yè)進(jìn)行了實(shí)施。方案包含并覆蓋：零信任辦公、零信任靈活辦公、零信任數(shù)據(jù)中心，及零信任工廠四個(gè)部分。

思科的零信任方案為制造企業(yè)在各種應(yīng)用和整個(gè)環(huán)境中，來自任意用戶、設(shè)備和位置的訪問提供完善的保護(hù)，員工、工作負(fù)載和工作場(chǎng)所都處于思科零信任安全框架的安全防護(hù)中。零信任辦公場(chǎng)景下，思科身份服務(wù)引擎（ISE）可實(shí)時(shí)調(diào)配有關(guān)網(wǎng)絡(luò)接入設(shè)備的策略，使移動(dòng)用戶或遠(yuǎn)程用戶能夠以可信合規(guī)的方式通過無線連接獲得與有線連接一致的服務(wù)訪問體驗(yàn)。在混合辦公場(chǎng)景下，無論員工在任何場(chǎng)所，都可以通過安全專用通道連接公司的各種業(yè)務(wù)程序，實(shí)現(xiàn)靈活安全辦公。

思科在數(shù)據(jù)中心安全架構(gòu)中，通過思科 Firepower 下一代防火墻與數(shù)據(jù)中心 ACI 方案相結(jié)合，利用微分段技術(shù)來完成數(shù)據(jù)中心安全區(qū)域及邊界的安全隔離，并通過思科專利技術(shù)防火墻集群技術(shù)，將思科防火墻更加高效的集成至數(shù)據(jù)中心 Fabric 網(wǎng)絡(luò)。同時(shí)，將集群應(yīng)用在雙活數(shù)據(jù)中心場(chǎng)景，幫助用戶解決雙活數(shù)據(jù)中心場(chǎng)景中遇到的異步流量及策略一致性的問題。通過中長期分步實(shí)施網(wǎng)絡(luò)安全策略，思科助力制造企業(yè)向全域智能制造零信任穩(wěn)步演進(jìn)。

思科建議企業(yè)在執(zhí)行零信任建設(shè)時(shí)可以從三點(diǎn)出發(fā)：

首先，企業(yè)從領(lǐng)導(dǎo)到執(zhí)行側(cè)，認(rèn)可零信任原則，避免由于信任導(dǎo)致的安全風(fēng)險(xiǎn)，可信是臨時(shí)的，針對(duì)必要訪問采取最小權(quán)限原則；
其次，制定企業(yè)自身的零信任安全戰(zhàn)略，分場(chǎng)景、分階段制定方案，逐漸向全域智能制造零信任演進(jìn)；
最后，基于戰(zhàn)略進(jìn)行方案細(xì)化并進(jìn)行零信任能力建設(shè)，提高企業(yè)的信任驗(yàn)證能力，授權(quán)的執(zhí)行能力，可信狀態(tài)持續(xù)跟蹤能力，權(quán)限動(dòng)態(tài)變更能力以及事件回溯分析能力。

通過網(wǎng)絡(luò)及安全的逐漸演進(jìn)，最終達(dá)到全域零信任狀態(tài)。

毫無疑問，企業(yè)正在加速上云的步伐，無論是公有云、私有云，還是混合云，加速向云遷移正在推動(dòng)著對(duì)云原生技術(shù)和云消費(fèi)體驗(yàn)需求的產(chǎn)生，安全防護(hù)必須無處不在。

正如卜憲錄所言：

“

安全沒有一體適用的萬全之策，零信任不僅僅是技術(shù)，還有關(guān)思維和過程。思科零信任的愿景在于，讓網(wǎng)絡(luò)安全賦能 IT 轉(zhuǎn)型，當(dāng)訪問無處不在，從任何設(shè)備連接到任何應(yīng)用程序的所有用戶都能實(shí)現(xiàn)安全訪問。同時(shí)，思科在中國市場(chǎng)有一個(gè)重要使命，就是將思科先進(jìn)的科技用開放的平臺(tái)賦能給國內(nèi)的生態(tài)合作伙伴，為不同行業(yè)的客戶提供最值得信賴的安全策略和無處不在的專業(yè)保障。

”

要了解更多信息，請(qǐng)關(guān)注武漢恒景科技有限公司微信公眾號(hào)，或留言聯(lián)系我們。

黄网在线观看免_先锋影音欧美在线_97zyz超碰最新总站_国产中文无码日韩

技術(shù)丨思科零信任，助力制造業(yè)筑牢安全屏障

關(guān)注恒景

黄网在线观看免_先锋影音欧美在线_97zyz超碰最新总站_国产中文无码日韩

技術(shù)丨思科零信任，助力制造業(yè)筑牢安全屏障

關(guān)注恒景

技術(shù)丨思科零信任，助力制造業(yè)筑牢安全屏障