行业新闻

解析ESIS|紫光展锐陈立贞：数智时代数字化转型

2024-07-10

大家下午好！非常荣幸在上海这个最好的季节，能够跟大家分享一下我个人对于数字化转型的个人看法和数字化转型过程中的一些安全问题。

企业数字化转型趋势

企业数字化转型背景

刚才刘总也分享了很多在数字化转型过程中，数字化转型的趋势和数字化转型中存在的困难。

我这里可能就说的更直接一些，不从数字化转型趋势、国家数字化产业战略说起了：

第一，数字化转型就是企业利用新的数字技术，实现我们企业在未来一些新的创新能力的过程。

我们去做数字化转型，我们要得到什么呢？就是像刚才刘总也提到过数字化的价值，我觉得像我们平时提到我们质量检验能力、全面质量管控能力，整个产业链的管控能力，规模化生产能力，以及下一步按用户订单柔性生产能力，和未来个性化定制生产的能力。这是我们要得到的价值。

渠道建设能力一直到平台直销能力到客户需求实时感知、响应和服务能力，另外一个技术研发上，将来能不能做到协同研发设计的能力，还有就是在线异地协同开发，研发制造一体化的能力，还有我们从最基本的成本控制到我们的成本管控能力，还有就是我们将来的平时经常提到成本精细化管理，其中中间有一条，就是服务能力。

我觉得我们不管是利用信息化也好、数字化转型也好，对于企业来讲，企业的本质是盈利，那么无非是我们把成本降到最低，把服务做到最贴近于客户的需求，也就是说我们原来提B2B、B2C，将来我们很有可能要响应C2B，我们从客户需求出发，反馈到我们企业做到柔性的生产。

第二我觉得数字化转型其实就是数据核心要素的一个价值重构，举个很简单的例子，现在有很多企业进入到大模型或者AI通道里面去，这个AI大模型的卖点卖的什么呢？最核心的东西是数据，没有数据你现在基于人工神经网络去训练什么呢？训练不出来东西的。

所以现在有很多技术就是在把原来的传统数据重新进行标准化，去把它各种属性统一、孤岛打通，从而利用新的一些数字技术去把数据价值实现。像我们传统信息化，它本质上来讲基本上就是在应用信息技术加快企业内外部的信息共享；另外就是我们是有一部分业务流程的优化和重构；再一个是企业要求的提质降本增效。

对于数字化转型可能我们有更深的应用，它会融合云计算、大数据、物联网、人工智能、区块链等这些技术，来激发数据要素对企业发展的驱动潜能。

在数字化转型时代，其实我们最重要的是提升企业生存和发展的新型能力，从而加速我们公司业务创新以及优化和重构，最终构建一个新的生态。

企业数字化转型之路

当然数字化转型过程当中，我们势必要经历这么一个过程，那就是由标准化到自动化，然后再到数字化，之后我们讲智能化，再往上我们讲现在的AI技术。为什么这么说呢？因为标准化一定是基础，我曾经遇到过有些企业做一些项目，去上我们ERP系统也好或者CRM、SRM系统也好，到最后说我是为了推进数字化，系统在所有的数据、企业内部基本属性没有统一的情况下、没有标准化的情况下，在线下业务流程没有跑通的情况下，盲目地去打着数字化名义做一些系统的开发。到最后你会发现这个项目是劳民伤财的。

基于标准化的数据也好或者是一些标准化的结构或者顶层设计也好，我们再去做基础的信息系统的智能化，从而我们利用系统的高度集成、流程的优化和建设实现它的数智化，之后我们借助一些BI之类的技术能力实现智能化的建设。

企业数字化转型的目标

当然再往上我们可能基于海量的数据，一些大模型去实现AI。我们的目标都是希望构建智慧型企业、智能工厂，但是数字化建设过程一定是基于底层基础IT治理和数字化转型文化，数字化转型过程当中，最重要一点是企业内部的数字化战略。

因为我们知道数字化转型离不开数字化的战略、数字化的人才、数字化的技术和数字化的文化，也就是说它的理念。

企业数字化转型进程及影响面

在数字化转型过程当中，我觉得其实有三个很关键的进程：

第一，数字转换。这是最初级的，关注点是定利用数字技术把我们企业内部信息由模拟格式转为数字格式，包括我们有很多线下的操作数据、操作流程等。这个点上影响是什么？就是我们信息格式上的变化。

第二，流程。关注点是数字技术应用到流程当中，并帮助我们企业实现管理上的优化，这个点它影响什么呢？就是我们企业现有的业务流程或者是管理模式的变化。

第三，生态模式。最后提数字化转型，数字化转型是构建新的生态，我们是在企业内部打通企业单个业务点、业务线、业务面甚至说打通所有的业务上下游，它是在构建一个新的生态。

这个时候我们是在去重塑客户价值、增强我们和客户交互协作、构建业务新体系的过程。说白了数字化转型是基于数据、利用流程、借助于我们新的数字化技术去实现新的生态模式的过程，过程当中最根本的点是我们打通了各种数据孤岛，也引进了很多新的信息化系统，势必给我们的安全也会带来一定的新挑战。

半导体研发企业安全风险识别与分析

我们在半导体企业里面讲，我们现在都在推企业的数字化，我们看研发型企业其实相对简单，因为它不涉及到制造、不涉及到工控，它整个的核心技术点，基本上都基于整个项目管理上，我们从项目管理这条线讲，无非从需求定义、工程研发到产品交付，需求定义的话对我们来讲，安全涉及到什么呢？市场、产品、需求、合同、审批、立项、资源规划、芯片设计规格定义，这个环节我们有一系列的我们内部文档产出。

半导体研发型企业研发过程风险识别

在工程研发阶段，我们有逻辑设计、物理设计等等，这个阶段我们会涉及到各种工程开发技术文档、产品需求、变更信息、软硬件的一些源代码。另外，我们在产品交付环节，涉及到什么样的数据以什么形式传递至上下游合作伙伴。

所以，在整个研发过程当中，我们更多的是要做整个生命周期的管理，那就是我们人、机、料、法、环。

半导体研发型企业办公过程风险识别

我们对于半导体企业或者其他任何企业，整个安全是可以描绘出一张图分析的，无非纸质数据和电子数据，我们有物理的流转模式，我们也有电子的数据流转模式。其实我们现在讲数字化转型一定会引来一些新的挑战，重点就是在电子数据上，我们在不同的网络安全域之间的数据流转，我们在不同的系统与系统之间以及不同的人员角色去操纵不同的网络安全域内的各种系统或者各种设备的时候，它所引进的各种各样的风险。如果是我们把这样一张图描绘出来，我们很容易去分析在企业内部每一个节点上，节点与节点之间的一些安全风险，从而也更有利于我们结合公司内部的实际业务现状，去采取一定的风控测试。

半导体企业安全风险分析

如果说半导体企业整个全局的话，我们不光是有研发，还有制造、还有质保，两边有企业的战略规划、销售市场、库存物流，这一块来讲从这个角度我们去把整个公司安全风险分类的话可能更清晰，就是说我每条业务线，它有什么样的数据，这个数据会产生哪些风险，我们应该采取什么样的措施控制。

半导体行业安全治理全景

这里我分享一个安全治理的全景图，这个里面既涉及到我们业务网、办公网、也涉及到我们网络边界的安全防御以及我们终端安全还有就是我们安全的基础设施建设，基于安全基础设施，我们去构建了各种虚拟化、各种容器、VDI等等，再有就是各类应用安全，还有最关键的一点就是数据安全，因为所有的信息最终对于企业来讲，它的产出就是数据。

这个里面涉及到范围很广，每个企业结合自己的现状也好或者内部的特点也好，可能采用的一些管控措施是不一样的。

半导体制造业工控安全风险识别与分析

基于典型网络架构的工控安全风险识别

还有一个就是我们在半导体制造业这一块，这一块其实我觉得制造业通用的办公安全大家是一样的，不一样的地方是涉及到工控，因为我们整个工控安全范围涉及到产线与产线之间、环网与环网之间、车间与车间之间的风险控制。

但是，我们在整个IOT数据采集、数据交互也都会存在一系列的安全风险，一个典型的半导体制造，这个过程可能会涉及到晶圆的加工、氧化、光刻等等，但是在每一个节点上，它的风险出现对于业务的影响一定是不同的，这一点其实对于我们制造业来讲，我们是需要分析每个节点的风险对于业务的影响，因为，安全它的风险本身就是基于业务，如果我们没有业务一定没有风险。

半导体制造业工控安全风险分析

另外一个就是在工控领域，它有它的一些不同点，就是说工控是有它的固有风险的，那么我们工控设备其实和我们IT设备是有很大差别的，比如说工控领域，我们的工控操作系统，它的安全基线、它的边界防护措施、工控协议、工控系统固有的漏洞以及一些人为错误，车间或者操作人员上操作带来的问题。

其实每个固有的风险点或者是脆弱点它都会带来不同的安全隐患，对于这种安全隐患我们要想的是有它们可能会怎么被利用，比如说我们对于边界防护措施，那么工控边界的隔离、工控网络的分区确实挺难，但是它确实会带来非授权访问、越权访问、跨IOT病毒扩散等。

半导体制造业工控安全防护要点

对于工业控制网络来讲，我们经典基本上分为五层：

第一，现场设备层。像我们说的机器人、机械臂或者物流小车等等。原来的时候可能没有这么多末端的或者是机器人，而现在我们发现我们末端的机械臂或者机器人也好，它自带了系统，甚至自带了外设接口，所以我们要考虑最末端操作层的风险点。

第二，现场控制层。很好理解，控制机器人的工控机或者PLC，PLC这种控制器我觉得我可以举个很简单的例子，我们有时候很多时候PLC可能来源于外部的采购，特别是可能还不是国内的，有的时候我们为了做PLC的支持可能不得不开放一些通道，但是我们反过来想，它去控制机器人，很简单的例子我们假如说在车企，你的PLC控制器本来一个螺丝该扭10圈我扭了5圈，这一批汽车可能就会出问题了。

L2层过程监控，就是人机交互，防护重点就是操作员站、HMI交互设备、OPC服务器等等。

L3就是生产管理层，重点关注应该是和制造相关的仓储管理、先进控制、工艺管理系统，以及相应的数据资产不要被恶意篡改或者破坏。

再往上我们企业资源层了，就是我们办公层，这一块来讲我觉得其实它的重点可能在办公安全里面更多一些，但是它有一个反向考虑到，我们现在说IOT，很多数据采集直接送到我的企业资源层。如果是办公网反向到工控网，我们该怎么办，这个一定是我们考虑的重点，反向的入侵，我们一般不太担心工控网络会影响办公网，因为办公网毕竟和生产相比，还要好一些，但是更多的问题点是出现在办公网，它的安全风险引入到工控网络。

今天其实我分享的这些都是一些大的范围，每个点没有时间详细展开，后续如果有问题我们可以线下再交流。谢谢！