思科零信任，助力制造业筑牢安全屏障

中国经济正处于高质量发展的关键时期，数字经济的发展取得了令人瞩目的成就，数字技术与实体经济深度融合的积极推动。制造业是实体经济的基础，其数字化转型正朝着更深层次发展，如研发、供应链、生产、营销等。数字应用正在进入深海。建设现代化工业体系，把经济发展重点放在实体经济上，推进新型工业化，加快建设制造业、质量、航天、交通、网络化、数字化中国，为制造业提供更加明确的目标。中国制造业的共识是，通过采用创新的数字技术，实现制造业的核心商业价值，如降低成本、提高质量、提高效率、确保安全，最终实现数字化转型。随着越来越多的制造企业实现网络现代化，终端设备不断增加，企业正在使用越来越多的系统和应用来加速数字化进程。局域网、无线网、广域网、分布式网络策略、多种终端接入模式和无数远程连接，使企业网络的规模和复杂性不断增加，达到了网络设计意图意想不到的水平。目前，制造业在信息安全方面面临着三大风险：一是级别不明确，隔离不充分;二是系统安全漏洞未知，缺乏风险和威胁情报;三是访问控制手段广泛，难以进行有效控制和管理。为什么现在很多企业采用的安全措施还没有奏效首先，在实施网络安全时，大多数企业选择了多家厂商的安全产品或解决方案，这些产品之间的集成协作没有达到预期的效果;其次，企业受攻击的面在不断扩大，安全防护的技术难度也在日益增加，很多终端附近可能没有专职人员来提供防护。IT始终是“消防”来应对问题，企业投入了大量的成本，取得的成果是无法形容的。思科大中华区副总裁兼安全业务部总经理卜宪录表示：“在安全方面，客户很难一次性投资于每件事，因此思科提出了'零信任之旅”的概念。这是一个非常清晰的脉络和旅程。借助思科零信任，组织可以始终如一地实施基于策略的控制，提供对整个环境中所有用户、设备、组件等的全面洞察，获取详细的日志、报告和警报，以帮助检测和响应威胁，并使用思科零信任安全框架提供更安全的访问，防止可见性差距。你可以减少攻击面。思科零信任为制造业企业建立安全屏障企业面临的网络安全挑战已经从数据安全上升到企业安全。思科致力于基于零信任网络架构的端到端安全，强调差异化、无边界、零信任和端到端企业安全。零信任是一种为网络、应用程序和环境中的所有访问提供全面安全性的方法。这种方法有助于保护用户、最终用户设备、API、物联网、微服务、容器等的访问。保护您的员工、工作负载和工作场所。零信任是一种安全策略，其核心是避免组织网络架构中的默认信任。零信任方法与传统方法的区别在于，零信任方法没有默认信任，而是为每个访问请求建立信任，确保只有合适的用户和设备才能访问应用程序和网络。思科的零信任概念包括三个W，适合IT环境中的三个主要角色：一个是工作负载，主要是在数据中心领域。第二个问题涉及IT资源的使用。第三是指提供一个工作场所，一个基本的办公环境。零信任的基本概念是消除默认信任，并根据业务的实际需求提供最小的访问权限。思科的零信任解决方案提供了端到端的安全需求，并通过打破默认信任来实现整个解决方案的零信任策略。Workforce为访问应用程序和资源的用户及其设备建立信任。Workplace为所有用户和设备（包括物联网）建立对网络的最低权限访问控制。工作负载根据风险评估、情景策略和经过验证的业务需求限制对工作负载的访问。

随着IT技术的不断升级，用户场景的多样化，设备类型的多样化，虚拟化技术的不断迭代，业务安全边界的模糊，企业安全面临着更大的挑战。思科的零信任安全是通过四个A实现的。也就是说，要打破任何用户、任何设备、任何应用、任何位置、任何默认的信任机制，通过统一的方案实现4A端到端的安全认证和启用，以证明用户、设备、应用和行为的可靠性。4A的目的是为所有用户提供可信的访问，包括物联网，并为所有用户提供对网络的可信访问。同时，它还确保接入设备本身受到保护和安全。此外，无论应用程序是在传统数据中心还是在公共云中，都可以确保具有可见性和相应安全保护的应用程序是安全的。最后，无论应用程序部署在何处，您都可以从任何地方访问网络，并实施一致的安全策略，以确保合规性。构建零信任桥梁思科表示，智能制造4.0和物联网等创新技术的发展给制造业的网络安全带来了新的挑战，使OT和IT密不可分。在制造业场景中，IT人员和OT人员有着不同的工作流程和角色分工，他们的工作重点有很大不同。OT人员的工作是建立和维护IoT/OT网络以及连接到这些网络的设备。我们专注于安全性、可靠性和生产力。IT安全人员专注于维护信息的机密性，以及IT系统的完整性和可用性。这两个最终目标都是确保组织的安全，并将风险降至最低。然而，IT和OT之间的疏远在制造业中非常普遍。IT专业人员拥有技术知识，但他们不了解OT是如何运作的。OT负责人对运营有一定的了解，但缺乏IT知识。此外，在一些制造场景中，企业的许多设备太长，太陈旧，IT解决方案无法与之匹配。OT通信协议的一部分，或一些专用设备，必须适合OT场景，但要满足IT的视觉需求。企业忽略了这一点，IT和OT无法很好地整合。为了解决这些问题，思科推出了“IT/OT集成解决方案”。工厂专用的OT防火墙ISA3000可以满足特殊OT场景的安全需求。Cisco CyberVision使管理员能够快速识别和定义OT资产，生成网络通信的实时视图，使OT工程师能够从任何地方清楚地了解OT网络在各种条件下的运行情况，从而改善安全性和生产连续性规划。同时，我们将与IT网络安全团队合作，通过多系统集成，将OT的背景、理解和知识带给IT团队，为实现整个企业网络的安全目标奠定坚实的基础，包括每个用户、每个设备、每个应用程序和每个地点。此外，思科的ISE系统将IT和OT网络的访问控制和可见性集成在一起，有助于进一步实现IT/OT融合。Stealthwatch流量分析系统集成了IT/OT流量，并轻松管理回溯和异常检测。思科Firepower下一代防火墙用户负责IT/OT访问隔离和策略控制，并与CyberVision系统深度集成，形成了一个统一的架构，可以明确来自任何OT设备的所有访问和访问。通过这种方式，IT和OT可以加强沟通，分享知识，并最终为企业提供完美的解决方案。

零信任安全策略是思科在工业网络中使用零信任四步保护法来保护企业资产的长期过程。第一，资产检测，识别企业的所有工业资产，并建立适当的安全策略;第二，网络分段，隔离网络，建立安全域和可控的访问通道，以避免攻击的蔓延;第三，威胁检测，检测IT入侵和异常OT行为，以维护流程完整性。最后，IT/OT集成了SOC，以全面了解安全事件，并简化了调查和补救。

思科基于3W战略，为企业制定了具体的零信任方案，并在国内制造企业实施。该解决方案涵盖四个部分：零信任办公室、零信任灵活办公室、零信任数据中心和零信任工厂。思科的零信任解决方案确保员工、工作负载和工作场所受到思科零信任安全框架的保护，从而为来自任何用户、设备或位置的任何应用程序和环境的访问提供全面保护。在零信任办公环境中，思科身份服务引擎（ISE）实时提供网络接入设备的策略，使移动和远程用户能够以可信、合规的方式通过无线连接实现有线和一致的服务接入。在混合办公场景中，无论员工在哪里，都可以通过安全专用通道将公司的各种工作程序连接起来，实现灵活安全的办公。在数据中心安全架构上，将思科Firepower下一代防火墙与数据中心ACI解决方案相结合，利用微分段技术完成数据中心安全区域和边界的安全隔离，并采用思科专利技术--防火墙集群技术。更有效地将Cisco防火墙集成到数据中心结构网络中。同时，集群应用于双活数据中心场景，有助于解决用户在双活数据中心场景中遇到的异步流量和策略一致性问题。通过实施中长期网络安全战略，思科将帮助制造企业稳步向全球智能制造零信任迈进。思科建议企业在执行零信任建设时可以从三个方面出发，企业从领导到执行方，批准零信任原则，避免信任带来的安全风险，信任是暂时的，对必要的访问采取最小权限原则;其次，制定企业自身的零信任安全战略，分场景、分阶段制定方案，逐步向全域智能制造零信任发展;最后，基于策略对方案进行细化，构建零信任能力，提高企业的信任验证能力、授权执行能力、持续跟踪信任状态能力、动态更改授权能力和事件回顾分析能力。通过网络和安全的逐步发展，我们最终将达到全球零信任状态。毫无疑问，企业正在加速向云迁移，无论是公有云、私有云还是混合云。向云的加速迁移推动了对云原生技术和云消费者体验的需求。“没有一刀切的安全方法，零信任不仅涉及技术，还涉及思维和流程。”思科的零信任愿景是，网络安全将改变IT，因为每个用户从任何设备连接到任何应用程序时都将无处不在。与此同时，思科在中国市场有着重要的使命。通过开放平台，将思科的先进技术赋能国内生态系统合作伙伴，为各行各业的客户提供最值得信赖的安全策略和无处不在的专业保障。”