隨著兩化融合的不斷深入�,IT基礎設施和信息安全體系已經不僅是支撐軍工制造企業信息化發展的基本條件���,更會以新的連接�、共享方式促進企業的發展�,成為產業升級的重要推力���。但是�,部分行業性政策限制了很多新技術的使用�����,使新技術落地無門�,所以我們需要了解技術發展趨勢�����,明確自身需求與面臨的困惑�����,并根據實際情況提出解決之道�����。
安全技術發展趨勢
信息技術的爆炸式發展已經改變了我們周圍的一切���。IT基礎設施的網絡�����、服務器���、存儲���、基礎軟件和信息安全技術���,幾乎每年都在發生著驚人的改變�����。
網絡技術上看�,組網形態���、網絡帶寬���、網絡管理技術都在發生深刻變化�����。物聯網應用使無線傳感器網絡與傳統互聯網進一步融合�,以平流層氣球和無人機平臺作為蜂窩網絡以及未來量子通信技術可能帶來網絡顛覆性變化�����,5G網絡帶寬較3G網絡提高了至少三個數量級�����,SDN(軟件定義網絡)技術對網絡結構���、流量的控制更加靈活和智能���。
計算技術上看�����,計算能力由依靠提高資源的數量級和CPU本身的計算能力���,逐步發展為CPU+加速卡的方式���,計算能力的增長進入穩定期���,而計算模式呈現快速變化�,亞馬遜AWS�����、阿里云等各種基礎設施云勢頭強勁���,基于虛擬化技術的VDI(虛擬桌面架構)在企業內部大范圍推廣�����。
存儲技術上看�����,除了閃存技術等存儲部件本身的躍進外���,已從將計算�����、存儲�、網絡以及服務器虛擬化等基本組成部分融合在一起的融合基礎架構���,發展到包括備份軟件�、快照技術���、重復數據刪除�����、在線數據壓縮和廣域網鏈路優化等元素在內的超融合系統�����。
在基礎服務能力方面���,除了類似于自助域名服務系統這一類云應用外�,國外有公司開發企業虛擬基礎設施生命周期自動化管理軟件�����,基于專家知識系統自動感知和自動學**虛擬基礎設施環境并提供10倍于現有效率的自動化管理和服務�����。
在信息安全方面���,網絡攻擊技術似乎也適應了新應用技術的發展速度�����。例如���,BYOD移動設備和可穿戴設備大量的進入工作場合���,為攻擊者提供了新的潛在滲透方式�;帶有大量傳感器網絡的物聯網使企業網絡入口的界定越來越困難���,基于傳統網絡邊界的準入控制不再可靠���,如何確保數據入口和數據流的安全正變得越來越復雜�����;針對老系統�����、新應用的各種漏洞層出不窮�����,網絡整體安全視圖混沌�����;攻擊技術逐步具備自動化�����、智能化和全球協同化特征�����,針對于物聯網���、工業控制網絡的安全攻擊大比例上升���,跨網攻擊已不鮮見���。因此���,從信息安全技術�、組件到體系都將會有有顛覆性的變化���。
需求與困惑
隨著《中國制造2025》的規劃���、路線���、方案逐步明朗���,軍工制造業急需以新技術應用為依托���,打破現有條件束縛, 構建新型的IT基礎設施和信息安全體系���,以適應技術發展和企業轉型的巨大壓力和迫切需求�。
1.新技術應用有巨大需求�。企業需要管理越來越多的IT基礎設施�,但在運行管理中永遠會遇到這幾個問題:基礎設施投資不知其效益如何�����,感覺有大量經費投入卻似乎永遠不夠�;運行故障帶來的業務連續性問題和數據風險如何解決�����;安全問題總是最大的隱患���,等等���。顯然�,對IT基礎設施資源整合已經成為企業的“剛需”���。
在智能制造已經成為國家戰略的大形勢下���,企業面對市場競爭�,需要將移動互聯網���、物聯網等與企業內部信息網絡進行連接以適應業務發展節奏���。對于軍工單位而言就是與涉密信息系統進行信息交互���,即需要在一定的安全機制下應用移動互聯���、無線組網等新技術�����。
所以企業需要徹底解決“信息孤島”等問題�,對新技術應用的訴求就是使基礎設施具備安全地泛在連接特性���,可以縱向快速集成���、橫向平滑擴展�,提供一個融合企業業務和信息化發展的可控�����、智能�、彈性架構模型�。
2.新技術應用受到政策環境的巨大制約�。但是�,新技術應用的需求并不能突破國家安全的底線�����。隨著新技術的廣泛應用���,帶來的安全問題也日益嚴重�����。一是很多國外產品的技術細節對中國封閉�,同時還不能排除其在系統中留有“后門”�����;二是某些國家網絡攻擊能力極強�����,經常針對他們所謂的敵對國家進行網絡攻擊�,典型的如伊朗“震網”病毒�;三是國際上一些協同性強的黑客組織帶有政治動機�����,網絡攻擊行為與意識形態等相關�����,如烏克蘭東部電力系統攻擊事件���。有鑒于此���,國家主管機構對新技術應用特別是對不同網絡形態的連接極為慎重���,如虛擬化技術在涉密信息系統中的應用�、工控網絡和涉密信息系統的連接都不被允許���,其他新興技術的應用也會受到較大限制���,某些看似很“高大上”的國外產品也不能使用�。
3.傳統規劃建設方式存在的弊端�����。傳統的IT基礎設施和信息安全體系規劃建設�����,采用孤立的���、以項目為基礎的方式�,只考慮到企業當前的業務需求���,不能對企業業務未來的發展進行長期規劃���。另外���,產品供應商只關心自己的產品或與之相關的技術趨勢���,不能完整把握新技術在特定環境下應用所需的政策條件�,新產品大量被塞到方案中���,超出用戶實際需求的情況很常見�����。
安全體系推進思路
面對技術發展趨勢�����,信息技術中心結合自身經驗提出以下推進思路:
1.量體裁衣���,統一IT架構下的適度選擇���。集團統一IT架構是依據系統思維和架構方法�、匯總行業信息化專家和機構的經驗編制而成���,各單位應據其進行IT基礎設施和信息安全規劃與設計�,很大程度上可以解決一些傳統規劃�����、建設方式存在的弊端�。企業的CIO和信息化部門主管在規劃IT基礎設施和信息安全體系時�,不能選擇削足適履而須量體裁衣:考慮配置與企業業務相適應的資源���,而非獨立于業務外的過量投入和過保護�;考慮適用�、合理的技術�,而非盲目追趕新技術�����;考慮適度超前�����,而非為省錢放棄擴展性�。
2.國產化���,新技術落地的最優選擇�����。和企業大量使用的設計軟件不同���,實現云計算�、物聯網等新技術在軍工制造業的應用���,國產化是當下最優先的選擇�����。雖然國產化產品在性能和質量上可能與國外先進產品比有一定差距����,但是考慮到國外商業產品大而全的功能未必可用����,在主要功能達到使用目標時��,國產產品性價比一定高于國外產品��。此外����,采用國產化技術可以在很大程度上滿足政策合規性要求����。
3.集團作戰����,獲得影響力的有效途徑��。新技術的落地不是一個單位的事情����,特別是事關國家政策時�,應由集團指導信息技術中心和相關單位�,開展與國家級研究機構��、團隊的合作��,并與國家主管部門積極溝通����,選擇適當的試點單位進行試點��,才可保障新技術最終落地����。以虛擬化技術為例�,信息技術中心采用合作����、試點模式��,在集團支持下已經完成了國產安全虛擬化產品的研發和測評等工作��,得到國家相關管理部門認可�,并已在金航網�、金航商網上開始應用��。
建立行業級的新技術應用和新產品驗證虛擬組織����。改變原有各單位“單打獨斗”的工作方式��,在集團信息化專家組指導下�,從集團各單位共性需求的角度與供應商進行技術和商務方面的交流����、談判����,并進行技術研究和項目高端支持����。
另外����,IT基礎設施與信息安全體系在規劃建設和運行管理必須實現兩個階段相互延伸��,緊密配合��,協同發展����,形成建管聯合作戰����,這也是集團作戰的另一種體現��。提煉運行管理過程中的普遍需求與最佳實踐����,反饋到設計和建設環節�,更加契合實際需求��;借助先進的架構思想和系統集成技術完善運行管理體系�。
最后����,從信息技術中心角度提出IT 基礎設施與信息安全在2016年需要解決的幾個問題:確保企業基礎設施云的虛擬化技術落地����,通過虛擬化技術解決設計過程中的高端硬件資源瓶頸����;開展服務于智能制造的涉密信息網絡和工控網絡互聯的試點��,尤其是連接包含無線傳感器網絡的工控系統��;應對復雜物理環境�、多形態組網環境�,建立針對復雜使用者背景的����、基于非信任機制的全視圖動態安全機制����。
