以下為現場速記。

 

前途汽車 CIO 邢紅波

 

邢紅波：各位IT同行，大家中午好!我看了一下表，現在是11:40，按計劃應該是我演講結束的時間，我爭取在組委會給我的25分鐘時間內把想給大家分享的東西的每個點都能講到。今天在會場的我們到新疆來，除了欣賞大美新疆的風景之外，最重要的一點還是要學習。所以我上臺之前特意把外套脫了，我希望赤膊上陣，用我最佳的狀態，不辜負大家的期望。

 

在開始演講之前，我做一個小的調查，各位的企業有沒有企業的發展規劃，中期的或者長期的有沒有，各位舉一下手，我看一下。有沒有做信息化發展規劃的，這個好像更少一點，謝謝大家!為什么這樣說呢?因為我今天給大家分享的是我們整個信息化建設里面的一個分支，叫信息安全建設的規劃。為什么提出這個問題來呢?其實我們在整個信息化安全建設過程中，大家可能會共同碰到的困惑會有兩點：第一，我們的信息安全建設是碎片化、不成體系的，大多數情況下頭痛醫頭，腳痛醫腳，碰到什么樣的問題就買什么樣的產品。第二個難點，我們做信息安全投入預算非常難，經常被管理層、決策層詬病，你們為什么總是沒完沒了的在上面做投入呢，解釋起來也很困難。

 

基于這一點，從我們自己的角度看，因為我這個人做事，我在前一個企業干過大概4年半左右的規劃技術部的工作，所以我喜歡做事先從規劃入手，凡事預則立，不預則廢，這是我個人的一個工作習慣。因為我們汽車行業在整個前途工廠建設的過程中，這三年我們從無到有建設一個新工廠，但是目前我們面臨的信息安全方面的風險也非常多，主要原因是電動汽車行業國家有了非常多的法規上面的限制，所以這是我們整個做安全規劃的一個小的企業自身的背景。閑話少說，正式進入我今天的PPT分享環節。

 

我今天給各位同行分享四個內容：第一是企業信息安全面臨的風險和挑戰，第二是信息規劃的策略和目標是什么，第三是信息規劃的理念，第四是規劃實施的具體落地的方式和方法。

 

這里面可能有一些特殊的東西，更多的在企業信息化安全建設里面是共性的東西比較多，因為汽車行業有一些特殊的要求。像很多企業做體系認證的時候，我們一般都過ISO9000，但是汽車行業里面還有一個另外一個要求，他要過ITF16949，汽車行業的同行應該都知道。因為剛才指掌易的丁總分享的時候談了很多企業安全面臨的東西，我不再展開給大家闡述了。

 

我們現在主要的背景，信息安全面臨的風險，主要是數字化轉型，企業需要對數字資產進行合理的有效的保護。隨著企業數字化轉型的深入，線上線下一體化數字化雙胞胎運營的逐步實現，信息資產已經成為企業最有價值、最有競爭力的核心資產。如何更合理、更高效的實現數字資產的保護，對信息安全提出了更高的要求。其實我個人認為，企業在工業互聯網時代或者是我們之前說的中國制造2025以及工業4.0提出的一些要求上看，西門子提出數字化雙胞胎的概念，我個人覺得更準確的描述了未來企業經營管理的狀態。

 

借用我們原來在消費互聯網的一個概念叫O2O的概念，就是線上線下一體化，我們的數字化雙胞胎其實是在企業的運營過程中未來最終的目標是實現企業的經營和生產運營線上線下一體化，這是我們對數字化雙胞胎的一個認識，包括企業數字化轉型的一個認識。

 

第二，工業互聯網建設要企業與之匹配的安全管控能力。互聯網時代，OT、CT快速融合，IOT模糊了傳統安全邊界，數據安全是工業互聯網面臨的最大閉了之一，開展針對性的信息安全建設是構架堅固的網絡安全系統，管理脆弱環節，保護敏感信號與知識產權的有效途徑。如果各位買了國外的系統是比較難管控的，他必須要求你開放，通過我們自己的網絡去做。這是我們現在面臨的問題，包括很多企業也提供遠程診斷跟蹤和服務，這實際上就是我們面臨的一個很典型的問題。我們面臨諸多的IO等不同的協議，我上個月在成都參加了一個全國信息安全峰會，聽了專家講，我自己聽了以后也很吃驚，我們在信息安全領域老企業的改造要面對的工控協議將近有300多種。其實我們企業很幸運，我們是一個新建企業，我們企業在規劃之前就和工業部門(我們內部叫信息制造部)達成了共識，我們的信息不要參與進去，我們就確定了了選一個供應商、選一類產品，便于以后的管理，我們企業在工控環節用兩種協議管控就OK了。

 

第三，利益驅動下的信息安全事件貧乏給企業造成巨額經濟損失。在當今信息即可財富的背景下，越來越多的黑客組織投身于信息資產的竊取，攻擊手段變幻莫測，而且攻擊渠道日益變換，IOT設備、工業網已經成為不法黑客的攻擊重點，為整個網絡安全環境帶來全新挑戰。未來大量的機械手和機械設備被黑客攻擊之后會傷人，這不僅僅是資產的損失，可能會影響到營商的狀態。原來的黑客是炫技，沒有太多的利益訴求，但是近幾年來大家遭到的攻擊幾乎都是有經濟利益訴求的。以前的沒有經濟利益訴求，有了經濟利益訴求，我們面臨的背景會更復雜。

 

第四，數字化轉型需要相應的信息安全管理體系及技術手段為企業合規運營保駕護航。這個月國家正式發布了等保2.0的國標，其實對很多企業來講國家的戰略“一帶一路”，我們已經和整個世界連接起來了，我們很多中國的企業做生意也做到海外了。比如說像歐洲的GDPR，這個就很麻煩，不知道大家有沒有研究過這個東西。他要求你在歐洲有生意，你達不到他的要求就一定處罰得很嚴格，而且這個要求很難做到，包括歐洲內部現在有很多人對這個東西也有很大的爭議，但是它已經實施了，沒有辦法，只能遵守。國家也在制定控制指南，等保也已經通過了。比如說我們是一家做電動汽車的公司，我們現在也有計劃到美國去開工廠，特斯拉進中國了，我們希望把我們的電動車賣到美國去，我們就要符合美國法律的要求，這是企業層面的要求。

 

這是信息安全建設面臨的風險和挑戰，這個模版給大家展示的是根據我們自己企業的情況做的分析，每個企業的情況不一樣，大家可以做一個參考。隨著企業數字化轉型的深入，傳統意義上固定的安全邊界已經消失了，工業互聯網、移動辦公、云計算、IOT等使信息跨越了辦公邊界而自由流動。尤其是汽車的電動化、網聯化、共享化趨勢，使得新興技術的發展應用在提高工作效率，滿足客戶體驗同時，特別是政策性影響，也給安全技術帶來了新的風險、挑戰和要求。我們從數據保護、移動辦公、云計算、安全運營中心在具體的業務層面，我們從它的特點入手，做了這樣的一個分析。

 

比如汽車在法規上面的風險，可能同行會了解，你買了電動汽車，從你出廠的那一天開始，24小時的數據都要掌握，國家國標要求是必須24小時監控。從理論上來講，各位買了電動汽車走到哪兒去我都能看到，你整個車輛的狀態我也能看到，這是法律要求的。而且國家要求企業能夠隨時上傳這些信息，之前做這個事是為了騙補，但是現在為什么繼續做這件事呢?我個人揣度可能是安全方面的原因?，F在不僅是特斯拉，還有其他國內的廠商放在車庫里面就著了，這是非常危險的一件事情，廠商有義務做這件事，這是法規層面上的。

 

這是基于信息安全建設的必要性和迫切性，我們進行了分析。當然由于行業的不同、企業性質的不同，各位可以參考一下。我們企業安全的要求是從全球合規的遵從、業務和產品安全、數據資產保護、防黑客攻擊、系統可用性保障，其實大多數企業安全這件事也沒有我們想象的那么復雜，大家老覺得做安全千頭萬緒，不知道從哪里入手，只能被動的應對和防御。其實你仔細的去梳理一下，你會發現沒有這么多的內容，你的思路就很清晰了。右側是我們企業現在信息安全的現狀，大家參考一下就好了。我們的信息安全從管理的角度來說，第一是安全組織不完善，安全管理制度和流程不完善，以前是解決有沒有的問題，等工廠建立起來就要解決好不好的問題了。第二是信息安全技術，這個不給大家再讀了。第三是人員安全意識，第四是安全事件。這個還是那句話，每個企業的情況不一樣，大家可以參考，用這樣的思路和方法去開展這項工作。

 

我們的企業信息安全工作怎么做，這張表我給大家展示一下，主要是給大家開拓一下思路，我們的整個工作思路是沿著什么方法去走的。大家注意一下，這里我們把我們的風險分成了兩類，一個是管理的風險、一個是技術的風險。為什么把這張片子給大家，后面我可能還要重點闡述一下。比如說我們特別關注的信息安全組織缺失、信息安全管理制度缺失、員工安全意識不足，我們列到了前面，在技術層面我們可能會把這些問題往后放。

 

前面是關于我們面臨的風險和挑戰，第二部分我想分享的是安全規劃的策略和目標。這張圖是我正式分享之前給大家做一個小調查的原因，其實信息安全總的來源是哪里呢?從企業的戰略規劃到IT規劃，這個時候才有了信息安全的規劃。然后逐步的往后推演，我們才能制定出信息安全的原則選擇，最后制定出我們信息安全的策略。這是我們企業的一個情況，我們從企業戰略規劃到信息化規劃一路下來，我們的安全規劃戰略要求只有4點，和公司的戰略保持一致，滿足企業業務需求，體現信息部門的價值，符合相應的法律法規。我們就梳理了這4點，也是非常宏觀的。

 

其實中間這張圖很有意思，中間這張圖體現了我們在做信息安全過程中所有CIO的痛點，越安全就越不易用，越易用就越不安全，這是一個始終無法解決的矛盾。我們是根據整個公司的企業文化、管理現狀、安全現狀分了左右兩列，信息安全投入和使用是要做一個平衡的，大家看下面是一個蹺蹺板，大家要做好平衡。你是更關注安全，還是更關注業務。因為我們家的母公司是一家設計公司，大多數搞設計的人都比較自由，不喜歡受束縛。所以你看我們會有合規文化和企業文化的對比分析，大家看這張圖要做的工作非常多，今天沒有時間給大家展開分享，如果感興趣的我們可以在會后再展開講。

 

但是這件事非常重要，這件事是整個信息安全尺度平衡的把握，包括對你后面的投資都很重要。你做好了這項工作，就可以把整個策略制定出來了。我們的信息安全策略是保障企業正常運營和效率的同時，采用一切必要的管理和技術手段，我們把管理放在前面了，沒有把技術放在前面。為什么呢，后續給大家分享的時候我還會闡述這個觀點。確保企業信息安全運營符合相應法律法規的要求，這就是我們整個企業信息安全規劃的整體策略。

 

這是我們的目標，這個圖大家看到了，我們的整個信息安全建設的目標就是通過“人防”+“技防”，實現“事前防范、事中控制、事后追溯”的管理目標，全面降低企業信息安全風險，實現合規運營。主要是4點：涉密信息拿不走，黑客進不來，安全不違規，特權不濫用，其實信息安全不復雜，就這么4件事。

 

涉密信息拿不走，主要是防范員工無意泄密，防范員工故意泄密，防范外來人員泄密。我們自己統計過，我們自己企業發生的所有泄密信息60%左右是由于員工的無意識造成的，真正有意識的非常少，不到10%，大概5%到7%。故意泄密這個東西就要不怕賊偷，就怕賊惦記你，我個人認為是無法防范的。黑客進不來是外部攻擊要防范，防范外部攻擊導致系統癱瘓和數據泄露或破壞。安全不違規是遵從國內外法律法規的要求，特權不濫用是做整個信息規劃的時候重點研究的，因為很多企業燈下黑，我這個地方寫的是防止IT人員利用運維權限竊取或破壞，防止IT人員誤操作操作系統故障，實際上里面還有一個問題，就是說我們整個這一塊還有高管層的權限，因為權限比較高，怎么去防范。

 

我們沒有找到一個很好的工具，我們希望找到一個很好的工具做這件事，我們借用了信息安全成熟度滑動標尺作為工具進行行業對標，確定了信息安全建設中期目標。這是我們做安全規劃之前做的企業行業對標，這個是我們和一個安全廠商做的，我們當年規劃的時候是在1.0的水平，威馬未來大概能做到3.0，上汽大概能在3.5左右，國外是蘋果，國內是耳熟能詳的華為。這是我們的指導理念，就是“P.P.T”。在企業是規章制度，再次是人，再次是技術。我們始終認為，制度和人是關鍵、是核心，技術是我們的手段。

 

第四部分，分享一下我們具體的安全規劃的實施方式和方法。這張圖我們花了很大的精力、費了很長的時間做的，大家可以看到這張圖分成了兩個框架，前面是信息管理框架，后面是技術框架。這些部分我們要做的工作非常多，這就是我們現在面臨的現狀，你把它都放在里面，哪些做了、哪些沒做、哪些是著急做的，右上角的位置是我們做的分析，我們會逐步的去做。因為信息安全建設不是一蹴而就的，我們要有一個漸進的過程。

 

剛才大家看到了這么多的內容，企業也不可能一次性把它實施完成，所以我們有自己的實施路線圖優先級的考慮。我們會從嚴重性、風險、收益、易實施性、最佳實踐5個維度進行，把我們的事情進行輕重緩急的分配。這是我們整體上在實際運作的時候做的一個路線圖，我們做了3年安全規劃的投入，大概的投入是控制預算在1000萬以內，每年投200萬到300萬，能達到最終做到3.0。大家可以看到，我們在這個行當做到3.0就OK了，沒必要往4.0做，因為所有投入都是要成本的。這個也是對應我們的安全成熟度滑動標尺，我們第一步在第一年是建體系、搭圍墻，做基礎保障安全。第二步是梳理數據資產，建保險柜，來實現縱深的防御。第三步是運維保障，主動防御，做到整個企業的安全運營。這是每個環節我們要做的一些內容，也把它分解到這張圖里了。

 

這是我們的建設內容實施規劃，1.0的時候要做哪些工作，我們細化出來了，第二年2.0的也細化出來了，第三年3.0要做什么也細化出來了，一步一步，這樣我們的規劃才能落地。這個又細了一步，直接到了建設層面上，大家看一下這些項目，包括方案選型、預算，一個規劃怎么落地、要做哪些事、要花多少錢。這里給大家分享了一個點，建設模式大家一定要想清楚，比如說我們的信息安全組織的建立肯定是自主建設的，一個企業沒有信息安全組織就沒有組織保障，你的事情是做不好的。但是安全制度和流程的建立，我建議各位請外面比較成熟的咨詢公司去搭建一個體系，后面這些可以用外部支持，自己也可以去做。縱深防御階段，我們要做數據放泄露、數據庫審計、工控系統安全等等，這是根據我們企業的情況的缺失部分。這是到3.0以后要做的工作，底下還有一些內容，我只是給大家舉了一下。

 

基本上今天給大家分享的企業信息安全建設規劃方面的情況就是這樣，最后的結束語我想和各位分享一下，信息安全問題歸根結底是人的問題，信息安全管理是核心，技術是手段，道高一尺，魔高一丈，信息安全建設只有起點，沒有終點，我們永遠在路上。我今天的分享就到這里。謝謝各位!