FDI nhà máy: Tách mạng văn phòng – sản xuất – khách thế nào để giảm rủi ro?

Trong nhà máy FDI, một lỗi tưởng như rất nhỏ như laptop nhiễm mã độc, Wi-Fi khách lộ mật khẩu hay tài khoản vendor được cấp quyền quá rộng cũng có thể lan sang hệ thống quan trọng hơn nếu mạng không được tách đúng cách.

Khi đã ảnh hưởng tới OT, SCADA hoặc PLC, vấn đề không còn là lỗi máy tính thông thường nữa mà có thể dẫn đến gián đoạn sản xuất, tăng rủi ro vận hành và gây thiệt hại lớn.

Điều đáng nói là nhiều rủi ro không đến từ kỹ thuật quá phức tạp, mà đến từ việc dùng chung một mạng hoặc chỉ “tách cho có”. Đây là lý do nhà máy FDI cần phân tách mạng bài bản hơn.

Vì sao nhà máy FDI bắt buộc phải tách mạng?

Tách mạng không phải để làm hệ thống phức tạp hơn. Mục tiêu là để dễ kiểm soát và an toàn hơn.

Có 3 lợi ích rõ nhất:

Giảm lây lan sự cố

Thiết bị văn phòng và thiết bị sản xuất có vòng đời, cách cập nhật và mức độ chịu rủi ro rất khác nhau. Nếu dùng chung mạng, một sự cố ở khu văn phòng hoàn toàn có thể lan sang khu sản xuất.

Kiểm soát truy cập theo vai trò

Nhân sự văn phòng, kỹ sư vận hành, nhà thầu và khách không thể có cùng mức quyền. Tách mạng giúp doanh nghiệp kiểm soát rõ ai được vào đâu.

Giữ hiệu năng ổn định

Wi-Fi khách, camera, họp trực tuyến, upload dữ liệu lớn nếu không được tách riêng có thể ảnh hưởng đến ERP, MES, SCADA hoặc thoại IP.

Tư duy đúng: chốt zone trước, chia VLAN sau

Nhiều nơi bắt đầu bằng cách tạo VLAN rồi mới nghĩ xem sẽ cho ai đi đâu. Cách này dễ thiếu logic. Cách đúng là phải chốt zone trước, sau đó mới chia mạng và đặt chính sách.

Một mô hình tối thiểu, dễ triển khai thường có 5 vùng:

• Office Zone: mạng văn phòng
• Production Zone: mạng sản xuất
• Guest Zone: mạng khách
• Industrial DMZ: vùng đệm giữa IT và OT
• Management Zone: vùng quản trị thiết bị mạng và bảo mật

Sau khi có zone, doanh nghiệp mới xác định luồng nào được phép đi giữa các vùng.

Luồng truy cập nên được kiểm soát thế nào?

Điểm quan trọng không phải là “có VLAN”, mà là chỉ cho đúng luồng cần thiết.

Ví dụ:

• Office được đi ERP, email, internet theo nhu cầu
• Office mặc định không đi thẳng vào OT
• Guest chỉ được ra internet, không vào mạng nội bộ
• Vendor muốn vào OT phải đi qua jump server ở DMZ, có MFA và giới hạn thời gian

Nói gọn, nguyên tắc tốt nhất là: mặc định chặn, chỉ mở đúng cái cần dùng.

Kiến trúc gợi ý cho nhà máy FDI

1. Mạng khách: tách tuyệt đối

Mạng khách chỉ nên phục vụ internet. Không nên có đường nào quay vào hệ thống nội bộ.

Tối thiểu nên có:

• SSID riêng
• VLAN riêng
• NAT ra internet
• Chặn toàn bộ truy cập nội bộ
• Có giới hạn băng thông nếu cần

2. Mạng văn phòng: không nên để một dải duy nhất

Ngay cả mạng văn phòng cũng không nên gom tất cả vào một chỗ. Có thể tách thành các nhóm như:

• User văn phòng
• Máy in và thiết bị IoT
• Camera hoặc hệ thống an ninh
• Server nội bộ

Nguyên tắc là mọi luồng nhạy cảm phải đi qua firewall hoặc chính sách L3, không để chạy tự do.

3. Mạng sản xuất: ưu tiên ổn định

Mạng OT thường nên tách theo line, khu vực hoặc mức độ quan trọng. Cần hạn chế broadcast, kiểm soát thiết bị lạ cắm vào và siết chặt remote access.

Với môi trường sản xuất, yếu tố ổn định luôn phải được đặt cao hơn sự tiện.

Industrial DMZ là gì và vì sao cần?

Industrial DMZ là vùng đệm giữa IT và OT. Đây là nơi đặt các thành phần trung gian để doanh nghiệp không phải mở kết nối trực tiếp từ văn phòng sang khu sản xuất.

Trong vùng này thường có:

• Jump server cho truy cập có kiểm soát
• Historian hoặc bản sao dữ liệu phục vụ báo cáo
• Máy staging cập nhật
• Công cụ monitoring hoặc thu log

DMZ chỉ hiệu quả khi đi kèm chính sách chặn mặc định, chỉ mở theo danh sách rõ ràng và có giám sát.

Khi nào cần firewall, khi nào cần NAC?

Firewall hoặc ACL: bắt buộc để kiểm soát luồng

Nếu muốn kiểm soát Office, DMZ, Server, OT đi với nhau thế nào thì firewall hoặc ACL gần như là bắt buộc. Mục tiêu là ít rule nhưng đúng rule, có log và dễ audit.

NAC hoặc 802.1X: cần khi muốn kiểm soát thiết bị lạ

Trong nhà máy, rủi ro phổ biến là:

• Khách hoặc nhà thầu cắm dây LAN vào cổng nội bộ
• Thiết bị lạ vào Wi-Fi
• Máy tạm thời thay thế nhưng không đúng chuẩn

NAC giúp doanh nghiệp quyết định thiết bị nào được vào vùng nào. Nếu chưa đủ nguồn lực triển khai NAC đầy đủ, vẫn nên có biện pháp tối thiểu như khóa cổng không dùng, giới hạn MAC và quy trình cấp cổng tạm có thời hạn.

Quy trình triển khai 6 bước

Bước 1: Vẽ lại bản đồ thiết bị và luồng dữ liệu

Phải biết rõ đang có những nhóm thiết bị nào và ứng dụng nào cần đi qua đâu. Không nên làm theo cảm tính.

Bước 2: Chốt zone và nguyên tắc truy cập

Ví dụ:

• Văn phòng không vào OT trực tiếp
• Guest chỉ ra internet
• Vendor chỉ vào qua DMZ, có log

Bước 3: Thiết kế VLAN, subnet và policy

Mỗi zone tối thiểu nên có subnet riêng. Toàn bộ traffic đi giữa các zone cần đi qua lớp kiểm soát.

Bước 4: Thiết kế DMZ và remote access

Phải chốt mô hình jump server, bật MFA, giới hạn thời gian truy cập, cấp tài khoản theo người và ghi log đầy đủ.

Bước 5: Pilot trước, rollout sau

Nên làm thử ở 1 line sản xuất và 1 khu văn phòng trước. Sau khi đo tác động và chỉnh rule ổn định mới triển khai rộng.

Bước 6: Giám sát và kiểm tra định kỳ

Nếu không kiểm tra định kỳ, hệ thống rất dễ “trôi chuẩn”. Cần theo dõi luồng bất thường, review rule mới, thiết bị mới và diễn tập các tình huống như Wi-Fi khách bị lộ hay máy văn phòng dính mã độc.

Những lỗi phổ biến khiến tách mạng rồi vẫn rủi ro

Một số lỗi rất hay gặp là:

• Tách VLAN nhưng vẫn cho inter-VLAN tự do
• Cho vendor vào OT bằng VPN toàn mạng
• Đặt dịch vụ trung gian sai chỗ
• Wi-Fi khách dùng chung hạ tầng và cấu hình lỏng
• Khi có sự cố thì mở rule tạm nhưng quên đóng lại

Những lỗi này khiến hệ thống nhìn như đã tách, nhưng thực tế rủi ro vẫn cao.

Checklist nhanh cho doanh nghiệp

Khi trình ký hoặc thống nhất nội bộ, doanh nghiệp nên chốt rõ:

• Có phân vùng Office, OT, Guest, DMZ, Management
• Luồng giữa các vùng theo nguyên tắc chặn mặc định
• Vendor truy cập qua jump server, có MFA và log
• Guest tách tuyệt đối, chỉ ra internet
• Có giám sát và cảnh báo luồng bất thường
• Có kiểm tra định kỳ và diễn tập tình huống

Kết luận

Tách mạng văn phòng, sản xuất và khách trong nhà máy FDI không phải để làm cho hệ thống rối hơn, mà để giảm khả năng sự cố lan rộng và giúp khôi phục nhanh hơn khi có vấn đề.

Làm đúng theo hướng zone → luồng → policy → DMZ → vận hành sẽ giúp hệ thống vừa an toàn hơn, vừa ổn định hơn, mà không làm chậm sản xuất.

CDC Technologies có thể hỗ trợ doanh nghiệp theo hướng thực tế:

• Khảo sát hiện trạng và luồng ứng dụng để chốt zone phù hợp
• Thiết kế phân vùng mạng và DMZ theo mục tiêu giảm rủi ro, dễ audit
• Triển khai pilot và rollout theo từng khu vực hoặc line
• Bàn giao runbook, monitoring và checklist kiểm tra định kỳ

Liên hệ CDC Technologies để chuẩn hóa kiến trúc mạng cho nhà máy FDI theo hướng dễ vận hành, dễ kiểm soát và giảm rủi ro lâu dài.