制造业作为国家经济的基石,其网络安全面临着独特的挑战。出于合规和安全考虑,企业内部往往划分出多个相互隔离的网络区域,如办公网、研发网等,以提升整体安全防护能力。然而,网络隔离在保障安全的同时,也带来了数据流通的障碍,尤其是在与外部供应商协作办公场景,给办公带来诸多不便。
制造业需求场景
日常工作中,互联网的供应商要到办公网BOM系统提交申请图纸工单,由用户领导审批通过后,设计师从PDM系统将设计好的图纸文件发送给用户;再由用户发送给供应商。
业务挑战
1.多人多种手动拷贝的操作,效率低下;2.通过U盘和即时通讯发送文件,容易泄密且无审计留痕可追溯;3.用户也考虑通过部署网盘类产品解决:在研发网部署网盘+网闸(或防火墙放开端口)+在互联网部署一套网盘,但这种部署方式架构复杂,且互联网网盘安全性不高,容易成为跳板攻击到研发网;另外一种通过放开跨网间防火墙端口方式,是不合规的操作。
解决方案
在互联网侧部署一套联软SDP,供应商通过加密隧道安全访问办公网;在办公网BOM提交申请,用户领导审批通过后;安渡自动调用研发网的PDM系统下载CAD图纸,并通过安渡专用数据通道摆渡到办公网提供给供应商下载。申请流程不变,剩余动作全由自动化实现。
▲解决方案逻辑架构
▲数据提取流程
联软安渡:构建更全面的暴露面收敛能力
联软安渡正是为解决用户的这一类难题而设计。它不依赖于传统的网络安全设备(如防火墙、普通网闸或API网关),而是从自身架构和自身通讯协议的本质出发,构建了一套具有独特暴露面收敛能力的解决方案。安渡的核心能力体现在以下四个方面:
▶ ++++IP协议栈隔离,IP通信阻断:++++ 安渡在进行数据交换时,是通过专用协议交互,不依赖于传统的TCP/IP协议进行跨网络的数据包交互。这意味着数据在通过安渡摆渡时,不会在源和目标之间建立IP层面的直接连接,从根本上阻断了基于IP协议的攻击路径,消除了因开放网络和路由端口带来的暴露面。
▶ ++++数据与指令通道分离:++++ 安渡将数据传输的通道与控制管理指令的通道严格分离。即使数据通道受到威胁,攻击者也难以通过数据通道发送恶意控制指令,大大提高了系统的抗攻击能力,减少了指令层面的暴露面。(历史上,具有跨时代意义的安全产品:电信传输SS7和零信任设计,就是基于控制平面和数据平面分离)
▶ ++++交换数据的安全性检测:++++ 在数据跨域传输过程中,安渡可以对交换的数据进行内容检测,例如病毒扫描、敏感信息识别等。这确保了即使是合法流程传输的数据,也能在通过安渡时得到安全审查,防止恶意文件或敏感信息非法传输。
▶ ++++多域交换,方向可控:++++ 安渡能够清晰识别并管理不同安全域(如研发网、办公网),并严格控制数据在这些域之间的交换方向(例如,只允许从研发网到办公网单向流动敏感文件,不允许反向)。这种精细化的方向控制,最小化了数据流动的暴露面。
与传统的防火墙(基于IP/端口过滤)、API网关(暴露API接口)、普通网闸(可能存在协议转换暴露面)或单向网闸(通常只支持物理单向,灵活性差)相比,联软安渡通过 IP 协议栈隔离和数据/指令分离等机制,提供了更为深入和全面的暴露面收敛能力。
部署这一套方案后,给用户带去了一系列实用价值:
- 在不破坏原有隔离网络的基础上,安渡自动取数并由专用协议(非TCP/IP协议)跨网摆渡,数据通道暴露面收敛,提升了服务器取数的安全性。
- 安渡全自动化提取数据流程,大大提升了用户办公效率,实现降本增效。
- 结合联软SDP产品,实现互联网访问通道加密,提升互联网访问的安全性。