從被動(dòng)防御到主動(dòng)防護(hù)，看一家鋼鐵企業(yè)如何筑牢智能制造的安全底座

    杭州灣大橋、南京地鐵、日照山字河機(jī)場(chǎng)、石島灣核電站、滬蘇湖高鐵……這些重大基建工程的建設(shè)現(xiàn)場(chǎng)，都有「鑌鑫鋼鐵」的身影。

    作為中國(guó)民營(yíng)企業(yè)500強(qiáng)之一，鑌鑫鋼鐵已徹底擺脫了鋼鐵行業(yè)“傻大粗黑”的傳統(tǒng)形象。在鑌鑫鋼鐵智慧中心，由144塊液晶屏組成的巨幅顯示屏尤為引人注目。屏幕上實(shí)時(shí)動(dòng)態(tài)呈現(xiàn)煉鐵、煉鋼、能源、安全、環(huán)保、物流、倉(cāng)儲(chǔ)等關(guān)鍵業(yè)務(wù)數(shù)據(jù)。這些數(shù)據(jù)通過采集設(shè)備持續(xù)輸入，經(jīng)可視化處理后，完整還原各工序生產(chǎn)場(chǎng)景的全流程信息，使生產(chǎn)狀態(tài)清晰可見。這正是鑌鑫鋼鐵自2020年以來(lái)持續(xù)推進(jìn)數(shù)字化轉(zhuǎn)型與智能制造所取得的顯著成果。

圖片來(lái)源：鑌鑫鋼鐵

    然而，數(shù)字化轉(zhuǎn)型也帶來(lái)了新挑戰(zhàn)——業(yè)務(wù)數(shù)據(jù)量激增，數(shù)據(jù)泄密風(fēng)險(xiǎn)隨之攀升。“我們最擔(dān)心員工離職后將重要數(shù)據(jù)帶到同行其他企業(yè)，這將嚴(yán)重影響公司的核心競(jìng)爭(zhēng)力”。鑌鑫鋼鐵信息部的擔(dān)憂，折射出制造企業(yè)在數(shù)字化轉(zhuǎn)型中面臨的共同難題。

    針對(duì)數(shù)據(jù)泄密風(fēng)險(xiǎn)，傳統(tǒng)解決方案通常采用DLP或文檔加密技術(shù)。然而，這類方案僅聚焦于數(shù)據(jù)外發(fā)階段的管控，不僅存在誤報(bào)率高、易被繞過的局限性，還對(duì)員工辦公體驗(yàn)造成影響。事實(shí)上，數(shù)據(jù)泄密涉及“訪問-下載-存儲(chǔ)-操作-主動(dòng)外發(fā)/被動(dòng)泄密”等多個(gè)環(huán)節(jié)構(gòu)成的完整鏈條，單純依靠外發(fā)環(huán)節(jié)管控難以實(shí)現(xiàn)有效的閉環(huán)防護(hù)。

    為此，在連云港市工信局、網(wǎng)信辦等單位的指導(dǎo)下，鑌鑫鋼鐵積極探索創(chuàng)新解決方案，從終端融合技術(shù)、動(dòng)態(tài)權(quán)限訪問控制、數(shù)據(jù)全生命周期防護(hù)、網(wǎng)端一體的安全運(yùn)營(yíng)四個(gè)方面，建設(shè)鑌鑫鋼鐵的“四維縱深”網(wǎng)絡(luò)安全一體化聯(lián)動(dòng)防護(hù)體系，并成功構(gòu)建零信任一體化防泄密體系。該體系在實(shí)現(xiàn)業(yè)務(wù)訪問與數(shù)據(jù)流轉(zhuǎn)全流程安全防護(hù)的同時(shí)，有力保障了員工的辦公體驗(yàn)。

    01

    數(shù)字化管理3000+員工辦公

    收縮30+業(yè)務(wù)系統(tǒng)的暴露面

    要解決數(shù)據(jù)泄密問題，首先要做到敏感數(shù)據(jù)不被無(wú)權(quán)限的員工看到和拿到，全面收斂業(yè)務(wù)系統(tǒng)暴露面。

    鑌鑫鋼鐵擁有員工3000+人，關(guān)鍵辦公終端設(shè)備1000+臺(tái)。公司業(yè)務(wù)部門分布于集團(tuán)總部及各生產(chǎn)廠區(qū)，日常存在大量員工跨區(qū)域出差的工作需求。目前，公司已部署包括CRM、ERP、OA在內(nèi)的30+業(yè)務(wù)系統(tǒng)，支撐企業(yè)運(yùn)營(yíng)管理。

    此前，員工訪問內(nèi)部系統(tǒng)缺乏統(tǒng)一管控，不僅操作混亂，暴露在公網(wǎng)中的業(yè)務(wù)系統(tǒng)也面臨高頻掃描攻擊風(fēng)險(xiǎn)。鑌鑫鋼鐵信息部系統(tǒng)管理經(jīng)理任英豪坦言：“過去集團(tuán)網(wǎng)絡(luò)就像一個(gè)黑盒子，誰(shuí)接入網(wǎng)絡(luò)干了什么事，我們都無(wú)從得知，安全管控很被動(dòng)�！�

    現(xiàn)在，鑌鑫鋼鐵通過一體化辦公安全解決方案，完成零信任SDP體系建設(shè)，構(gòu)建起“以身份為中心”的訪問安全機(jī)制——

    員工在訪問內(nèi)網(wǎng)前必須通過多因子身份認(rèn)證與動(dòng)態(tài)授權(quán)，確保“人、設(shè)備、權(quán)限”三者匹配。

    嚴(yán)格遵循“最小權(quán)限原則”，從源頭限制員工訪問數(shù)據(jù)的范圍，杜絕越權(quán)訪問行為。

    減少業(yè)務(wù)系統(tǒng)非必要的公網(wǎng)暴露，避免直接映射公網(wǎng)帶來(lái)的攻擊風(fēng)險(xiǎn)，有效防御掃描攻擊行為。

    該方案從遠(yuǎn)程辦公場(chǎng)景到內(nèi)網(wǎng)逐步延伸，無(wú)論員工在總部、廠區(qū)還是出差途中，都能隨時(shí)隨地安全訪問內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)，實(shí)現(xiàn)全場(chǎng)景覆蓋、全流程可控。

02

    核心數(shù)據(jù)流轉(zhuǎn)可視

    泄密響應(yīng)縮短至30分鐘

    要解決數(shù)據(jù)泄密問題，其次，要看清數(shù)據(jù)流轉(zhuǎn)情況，全流程追蹤和分析泄密行為，并針對(duì)不同業(yè)務(wù)場(chǎng)景、不同密級(jí)數(shù)據(jù)，制定分層分級(jí)的事中管控手段。

    過去，鑌鑫鋼鐵各業(yè)務(wù)部門的核心數(shù)據(jù)（如財(cái)務(wù)數(shù)據(jù)、合同文件、生產(chǎn)研發(fā)數(shù)據(jù)等）隨意外發(fā)，缺乏高效輕量的保護(hù)機(jī)制。一旦發(fā)生泄密事件，只能依靠人工事后追溯，溯源成本高，且難以快速、準(zhǔn)確定位問題。

    如今，鑌鑫鋼鐵全面管控敏感文件下載、操作及外發(fā)等全流程，自動(dòng)識(shí)別員工操作中的泄密風(fēng)險(xiǎn)，還可以通過XDLP數(shù)據(jù)防泄密運(yùn)營(yíng)平臺(tái)，對(duì)泄密事件進(jìn)行全鏈路追蹤，迅速且精準(zhǔn)地完成溯源與取證工作。

    而且，深信服還根據(jù)不同業(yè)務(wù)場(chǎng)景需求，為鑌鑫鋼鐵制定分層防泄密管控方案——

    低密普通辦公場(chǎng)景：無(wú)外發(fā)限制，基于文件來(lái)源，做好全鏈條、端到端的數(shù)據(jù)記錄。

    中密業(yè)務(wù)辦公場(chǎng)景：通過XDLP數(shù)據(jù)防泄密進(jìn)行“輕管控”，實(shí)時(shí)阻斷敏感文件外發(fā)。

    高密核心辦公場(chǎng)景：采用桌面云，實(shí)現(xiàn)數(shù)據(jù)不落地，做好業(yè)務(wù)落地隔離，從源頭杜絕核心數(shù)據(jù)拷貝、外發(fā)風(fēng)險(xiǎn)。

    方案實(shí)施后，鑌鑫鋼鐵響應(yīng)處置泄密事件的時(shí)間從原來(lái)的1天縮短至30分鐘，每日識(shí)別200+泄密事件風(fēng)險(xiǎn)，實(shí)現(xiàn)事前預(yù)警-事中阻斷-事后追溯的閉環(huán)管理。

03

    運(yùn)維壓力降低50%

    2人即可管理全員辦公安全

    要解決數(shù)據(jù)泄密問題，最后，在保障安全的前提下，要提供輕量化的管理運(yùn)維和極致的員工辦公體驗(yàn)。

    在數(shù)字化轉(zhuǎn)型過程中，鑌鑫鋼鐵曾面臨IT運(yùn)維與業(yè)務(wù)發(fā)展“不同步”的問題：傳統(tǒng)安全運(yùn)維以事后處置為主，事前無(wú)感知，無(wú)法提前加固進(jìn)行規(guī)避。加之，系統(tǒng)之間缺乏聯(lián)動(dòng)，難以形成體系化防護(hù)，運(yùn)維人員需要投入大量精力去處理安全事件。

    現(xiàn)在，引入深信服一體化辦公安全解決方案后，運(yùn)維效率得到質(zhì)的提升——

    通過統(tǒng)一平臺(tái)進(jìn)行管控，整合權(quán)限配置、終端管理、安全管控等能力，減少跨平臺(tái)操作。

    通過自動(dòng)化運(yùn)維工具，如異常行為自動(dòng)告警、權(quán)限自助申請(qǐng)等，大幅降低人工投入。

    一個(gè)AIO客戶端集成零信任接入、數(shù)據(jù)防泄密、上網(wǎng)安全等能力，只需一次認(rèn)證，多能力統(tǒng)一上線，簡(jiǎn)化客戶端推廣工作，提升員工的安裝和使用體驗(yàn)。

    目前，鑌鑫鋼鐵的辦公運(yùn)維壓力降低50%，每日運(yùn)維管理時(shí)間從4小時(shí)縮短至30分鐘，僅需2名運(yùn)維管理人員，即可完成全公司3000+員工、1000+終端的辦公安全管理。

    從被動(dòng)防御轉(zhuǎn)向主動(dòng)防護(hù)，深信服基于“以身份為中心的一體化辦公安全架構(gòu)”，為鑌鑫鋼鐵構(gòu)建起智能制造的安全基礎(chǔ)。該方案不僅為業(yè)務(wù)線上化進(jìn)程提供了安全穩(wěn)定的數(shù)字化環(huán)境，也顯著提升了員工辦公體驗(yàn)，切實(shí)做到了以安全賦能業(yè)務(wù)發(fā)展。此外，這一實(shí)踐已成為政府部門推動(dòng)區(qū)域企業(yè)數(shù)字化轉(zhuǎn)型、強(qiáng)化信息安全建設(shè)的示范案例，為眾多制造企業(yè)提供了可復(fù)制、可推廣的寶貴經(jīng)驗(yàn)。