“零信任”网络安全解决方案

随着中航工业菲舍尔近年来业务的快速发展，原本孤岛方式建设的IT和OT系统，在协同、整合、统一决策上，已经无法满足企业的快速扩展的要求，因此企业站在两化融合的高度，统一思想，从2020年启动了为期3到5年的工业互联网平台建设规划，目前已经启动规划基于PON光网为企业核心骨干网的的基础网络设施和5G专用安全网络的建设。

一、航空行业5G专网下沉企业侧定制的安全解决方案

随着5G技术的到来和概念的普及，人工智能、物联网和大数据分析等都成为技术演进的方向。由此引发了业务的需求向多元化方向发展：智能制造、智能办公等增值业务需求已经开始涌现，目前对于新型无线网络系统的关注点，除了系统容量和覆盖提升方面等，还亟需打造新型商业模式，形成端到端行业应用，实现业务增值。

结合菲舍尔的网络架构和公司工业互联网的发展需求，明确提出了5G专用网络的建设要求，在企业端，采用5G+MEC下沉的架构模式。MEC，即移动边缘计算，是5G演进的关键技术之一，指将计算能力下沉到网络边缘侧，提供面向企业内部的无线网络信息服务。MEC可将需要访问企业内网的数据直接旁路到内网，无需经过核心网，有效降低了网络时延，保障了数据安全性。同时，MEC是在实际的端到端用例中提供预期 5G 性能的关键。如果说4G时代的智能终端技术全面促进了传统PC互联网同移动网络的深度融合，那么在5G时代，MEC技术将会推动云计算平台同移动网络的融合，并可能在技术及商业生态上带来新一轮的变革和颠覆。

MEC下沉企业侧的安全防护策略在本行业是首次应用，其内部安全策略的制定如何即防止电信骨干网不受企业侧入侵破坏，同时又能防护企业侧不受骨干网的威胁入侵，本方案采取内部隔离技术，确保下沉部分业务和骨干网业务是逻辑分离的，从而保障彼此安全，同时对接入设备提高接入的认证强度，确保物联网设备的可信接入。

二、基于SD-SBN的安全业务网络技术应用

当前菲舍尔的业务存在全球协同设计和办公的特点，不仅包括员工存在远程办公的情况，更有分支机构、供应商、客户等多个角色需要远程接入，进行远程办公和协同设计。这不可避免存在大量的互联网接入情况，为了解决安全接入和有限访问，以及避免接入后网络被横向穿透，从而导致内网业务被暴露在互联网上，本项目采用基于意图的网络（IBN）构建理念，设计安全、高强度认证、逻辑隔离的安全业务子网。

软件定义边界（SDP）概念由来已久，但有效的产品和行业应用仍处于试点和推广阶段，结合菲舍尔全球协同设计和制造的业务特点，即要利用工业互联网的万物物联特性，同时又要进行业务层的隔离和访问控制，本次项目决定采用定制开发的SD-SBN（软件定义安全业务子网）产品，保障全球协同办公的安全。

三、解决了全球化协同制造企业在工业互联网中的典型安全问题

本项目由菲舍尔牵头，联合中国电信镇江分公司和北京东方棱镜科技有限公司共同建设，其中使用了最为先进的无源光网组网技术和最新的5G通讯技术，并且利用MEC下沉技术构建5G专用网络，是使用新技术进行工业物联网构建的突破性尝试，即是业务发展的助推动力，也让企业面临了新的安全挑战。菲舍尔是典型的离散型制造企业，在全球化的趋势下，其业务特点主要为全球协同设计，对快速响应，个性化制造有着极高的诉求，同时生产工艺特点为多批次、少批量，这就导致对供应链和生产工艺的管理要求也非常高，本方案针对菲舍尔的业务特点，提出了4大安全业务场景，分别是5G专用网安全场景、网络层分区隔离场景、协同办公安全业务场景、统一安全管理场景。这是全球化协同制造企业在建设新型企业工业互联网中遇到的典型安全问题，因此本项目成果在同行业中具有很高的推广价值。

在未来，本项目预计可以带来如下社会效益：

l  保证了菲舍尔产业链的信息化安全，保障飞机材料选型、图纸设计、加工工艺等机密数据的绝对安全和关键信息的零泄露。

l  转变产业上下游、相关配套经销商的信息化安全理念，树立科学、安全管理的信息化新观念，从而进一步推动我国航空产业化和信息安全化的步伐。

l  通过引进工业PON、5G等工厂新型连接技术，融合信息化安全理念和工具，更安全地向上下游企业和服务商提供产品、信息和服务，最大限度地保证本行业内资金、市场、技术和服务方面数据的安全、可靠，形成行业间安全服务体系模式推广。

通过网络安全体系和“全球协同设计平台”的建立，能够更加紧密地并且可以长期保持和供应商、主机厂的友好关系，进一步扩大公司的营收规模，带来就业、产业链拉动等社会效益。