“在整個(gè)信息化安全建設(shè)過(guò)程中，很多企業(yè)都會(huì)碰到兩點(diǎn)困惑：第一，信息安全建設(shè)是碎片化、不成體系的，大多數(shù)情況下頭痛醫(yī)頭，腳痛醫(yī)腳，碰到什么問(wèn)題買(mǎi)什么產(chǎn)品;第二，做信息安全投入預(yù)算難，經(jīng)常被管理層、決策層詬病，后續(xù)解釋起來(lái)也相對(duì)困難。”前途汽車(chē)CIO邢紅波在由企業(yè)網(wǎng)D1Net和信眾智聯(lián)合主辦的2019 CIOC全國(guó)CIO大會(huì)上如是說(shuō)到。

【前途汽車(chē)CIO邢紅波】

隱患叢生，企業(yè)信息安全須警鐘長(zhǎng)鳴

大數(shù)據(jù)時(shí)代，信息安全問(wèn)題被屢屢提及，在商業(yè)機(jī)遇和風(fēng)險(xiǎn)不斷演變的背景之下，企業(yè)信息安全該如何保障。“不同的行業(yè)在企業(yè)信息化安全建設(shè)里面有很多共性的東西在。”邢紅波指出，當(dāng)下企業(yè)之所以要做信息安全規(guī)劃，很大程度源于以下四個(gè)層面的思考：

1. 數(shù)字化轉(zhuǎn)型企業(yè)需要對(duì)數(shù)字資產(chǎn)進(jìn)行合理、有效的保護(hù);

隨著企業(yè)數(shù)字化轉(zhuǎn)型的深入，線(xiàn)上線(xiàn)下一體化“數(shù)字化是雙胞胎”的運(yùn)營(yíng)逐步實(shí)現(xiàn)，信息資產(chǎn)已經(jīng)成為企業(yè)最有價(jià)值、最具競(jìng)爭(zhēng)力的核心資產(chǎn)，如何以更合理、更高效的方式實(shí)現(xiàn)信息(數(shù)字)資產(chǎn)的保護(hù)，對(duì)信息安全建設(shè)提出了更高要求。

2. 工業(yè)互聯(lián)網(wǎng)建設(shè)需要企業(yè)有與之匹配的安全管控能力;

工業(yè)互聯(lián)網(wǎng)時(shí)代IT、OT、CT快速融合，IoT模糊了傳統(tǒng)安全邊界，數(shù)據(jù)安全是工業(yè)互聯(lián)網(wǎng)面臨的最大壁壘之一，開(kāi)展針對(duì)性的信息安全建設(shè)是構(gòu)架堅(jiān)固的網(wǎng)絡(luò)安全系統(tǒng)、管理脆弱環(huán)節(jié)、保護(hù)敏感信息與知識(shí)產(chǎn)權(quán)的有效途徑。

3. 利益驅(qū)動(dòng)下的信息安全事件頻發(fā)給企業(yè)造成巨額經(jīng)濟(jì)損失;

信息即財(cái)富的趨勢(shì)下，越來(lái)越多的黑客組織投身于信息資產(chǎn)的竊取，攻擊手段變幻莫測(cè)，攻擊渠道多種多樣，IoT設(shè)備、工業(yè)網(wǎng)已經(jīng)成為不法黑客的攻擊重點(diǎn)，為整個(gè)網(wǎng)絡(luò)空間的安全環(huán)境帶來(lái)全新挑戰(zhàn)。

4. 數(shù)字化轉(zhuǎn)型需要相應(yīng)的信息安全管理體系及技術(shù)手段為企業(yè)合規(guī)運(yùn)營(yíng)保駕護(hù)航;

國(guó)外GDPR、聯(lián)邦數(shù)據(jù)法、國(guó)內(nèi)安全法、工業(yè)控制系統(tǒng)安全指南、信息安全等級(jí)保護(hù)法以及企業(yè)還需通過(guò)ISO27001認(rèn)證，建立相應(yīng)的安全規(guī)劃方案為后續(xù)體系建設(shè)指明方向，確保企業(yè)合規(guī)運(yùn)營(yíng)。

此外，相較于其他行業(yè)，汽車(chē)行業(yè)電動(dòng)化、網(wǎng)聯(lián)化、共享化趨勢(shì)，使得新興技術(shù)的發(fā)展應(yīng)用在提高工作效率，滿(mǎn)足客戶(hù)體驗(yàn)的同時(shí)，特別是政策性影響，也給安全技術(shù)帶來(lái)了新的風(fēng)險(xiǎn)、挑戰(zhàn)和要求。“汽車(chē)行業(yè)的企業(yè)安全需求重點(diǎn)在于全球合規(guī)的遵從、業(yè)務(wù)和產(chǎn)品安全、數(shù)據(jù)資產(chǎn)保護(hù)、防黑客攻擊、系統(tǒng)可用性保障者五個(gè)層面。“邢紅波直言，其實(shí)大多數(shù)企業(yè)安全并沒(méi)有想象中的復(fù)雜，只要仔細(xì)梳理，思路就會(huì)很清晰。從管理角度而言，目前企業(yè)的信息安全現(xiàn)狀主要表現(xiàn)在信息安全管理、信息安全技術(shù)、人員安全意識(shí)和安全事件四個(gè)維度上。

“人防”+“技防”雙輪驅(qū)動(dòng)企業(yè)信息安全建設(shè)

凡事預(yù)則立，不立則廢。從企業(yè)戰(zhàn)略和IT戰(zhàn)略出發(fā)，設(shè)計(jì)出企業(yè)信息安全建設(shè)的整體規(guī)劃，逐步推演，才能制定出信息安全的原則策略。邢紅波透露，前途汽車(chē)的安全規(guī)劃戰(zhàn)略只有四點(diǎn)要求，即和公司戰(zhàn)略保持一致、滿(mǎn)足企業(yè)業(yè)務(wù)需求、體現(xiàn)信息部門(mén)價(jià)值、符合相應(yīng)的法律法規(guī)。

“越安全就越不易用，越易用就越不安全，這是一個(gè)始終無(wú)法解決的矛盾。”邢紅波認(rèn)為，在做信息安全的過(guò)程中，必須在信息安全投入和使用中做好平衡，更關(guān)注安全，還是更關(guān)注業(yè)務(wù)，信息安全原則的選擇需要做好充分考量。

“在保障企業(yè)正常運(yùn)營(yíng)效率的同時(shí)，采取一切必要的管理和技術(shù)手段，保護(hù)企業(yè)的核心數(shù)據(jù)資產(chǎn)和IT系統(tǒng)的機(jī)密性、完整性和可用性;確保企業(yè)信息安全運(yùn)營(yíng)符合相應(yīng)法律法規(guī)的要求，這就是我們整個(gè)企業(yè)信息安全規(guī)劃的整體策略。”邢紅波表示，在完備的規(guī)劃策略之下，前途汽車(chē)希望通過(guò)“人防”+“技防”，實(shí)現(xiàn)“事前防御、事中控制、事后追溯”的管理目標(biāo)，全面降低企業(yè)信息安全風(fēng)險(xiǎn)，實(shí)現(xiàn)合規(guī)合贏，做到涉密信息拿不走、黑客進(jìn)不來(lái)、安全不違規(guī)、特權(quán)不濫用。

信息安全建設(shè)規(guī)劃方面，前途汽車(chē)借用了信息安全成熟度滑動(dòng)標(biāo)尺模型為工具進(jìn)行行業(yè)對(duì)標(biāo)，確定信息安全建設(shè)中期目標(biāo)，包括聯(lián)合安全廠商，與成熟企業(yè)進(jìn)行行業(yè)對(duì)標(biāo)參考。“我們始終認(rèn)為制度和人是關(guān)鍵，是核心，技術(shù)僅僅只是手段。”在前途汽車(chē)的“P.P.T”(Process、Personal、Technology)信息安全建設(shè)指導(dǎo)理念中指出，信息安全工作，管理是核心，技術(shù)是手段，不是緊靠技術(shù)系統(tǒng)上線(xiàn)就可完成，而是融合管理和技術(shù)兩方面的投入，進(jìn)而改變員工的思想、行為和企業(yè)安全文化的一個(gè)持續(xù)過(guò)程。

信息安全建設(shè)不是一蹴而就的，要有一個(gè)漸進(jìn)的過(guò)程

“信息安全建設(shè)有很多內(nèi)容，企業(yè)不能一次性的將它實(shí)施完成，因此需要有自己的實(shí)施線(xiàn)路圖優(yōu)先級(jí)考慮。”在前途汽車(chē)的信息安全建設(shè)過(guò)程中，邢紅波要求從嚴(yán)重性、風(fēng)險(xiǎn)、收益、易實(shí)施性、最佳實(shí)踐五個(gè)維度衡量并進(jìn)行輕重緩急分配，確定事件優(yōu)先級(jí)。

在實(shí)際運(yùn)作中，邢紅波坦言，目前前途汽車(chē)做了3年的安全規(guī)劃投入，預(yù)算控制在1000萬(wàn)以?xún)?nèi)，每年200-300萬(wàn)，最終達(dá)到3.0階段。第一步建體系、搭圍墻，做基礎(chǔ)保障安全;第二步梳理數(shù)據(jù)資產(chǎn)，建保險(xiǎn)柜，實(shí)現(xiàn)縱深防御;第三步運(yùn)維保障，主動(dòng)防御，完成整個(gè)企業(yè)的安全運(yùn)營(yíng)。為此，邢紅波告誡在場(chǎng)觀眾，“信息安全組織的建立一定是自主建立的，一個(gè)企業(yè)沒(méi)有信息安全組織就沒(méi)有組織保障，事情就沒(méi)法做好。安全制度和流程的建立，建議各位請(qǐng)成熟的咨詢(xún)公司先搭建體系，后續(xù)逐步細(xì)化落實(shí)。”

演講末尾，邢紅波再次強(qiáng)調(diào)，信息安全問(wèn)題歸根結(jié)底是人的問(wèn)題，信息安全管理是核心，技術(shù)是手段。然而，道高一尺，魔高一丈，信息安全建設(shè)只有起點(diǎn)，沒(méi)有終點(diǎn)，企業(yè)永遠(yuǎn)在路上。