文|張禮立，盤古智庫學術委員、智慧城市研究中心秘書長，玖道科技首席戰略官

李克強總理在本次政府工作報告中提出，要實施“中國制造2025”，加快從制造大國轉向制造強國。對中國企業提出了由大到強的制造業發展的方向，把制造業和信息化推向了一個前所未有的高度，其中把先進制造和高端裝備，新一代信息通信技術產業、高檔數控機床和機器人、等10領域作為發展重點。總體上看，作為中國制造強國戰略的行動綱領，智能化的中國制造必定需要國內的信息化企業與制造業企業攜手共創。

從哲學的高度審視，信息本身的是物質的普遍屬性，是客觀存在事物有序性的度量。任何事物只要存在一定的“序”，它就包含著一定的信息。因此，信息是客觀世界無私地“饋贈”于人類的無形的寶藏。然后，如果信息的安全出了問題，就無法保護信息的價值，這和人生如果失去安寧，那就失去做人的價值是一樣的。

信息化與工業化深度融合，意味著跨領域的全面一體化合作以及大數據信息交叉的融合。隨著互聯網特別是移動互聯網的高速發展，越來越多的企業的信息安全的范圍從傳統的IT系統延伸到了工業系統，工業控制系統自身存在的安全漏洞加上物聯網化帶來的廣泛安全威脅，使安全問題被視為未來實現中國制造2025在管理上的又一新挑戰。

根據《福布斯》顯示，電子安全是面臨服務信息塊的三大問題之一，在2012年所有攻擊的31%瞄準了小于250人的企業單位。無論這攻擊是來自外部還是內部無聊的雇員，維護安全的成本都很可觀，容易把小企業逼上絕路。2013年國家互聯網應急中心監測發現，境內1.5萬臺主機被APT木馬控制。針對境內網站的釣魚站點有90.2%位于境外，境內1090萬余臺主機受到境外服務器控制，其中美國占30.2%。

中國互聯網協會發布《中國互聯網發展報告（2014）》，數據顯示，去年中國境內6.1萬個網站被境外通過植入后門實施控制，較2012年大幅增長62.1%。境內網站跨平臺釣魚攻擊增多，基礎網絡信息系統、移動互聯網環境等均產生較多安全風險。除了境外攻擊，境內網絡安全隱患也存在不斷增長態勢。數據顯示，2013年，針對我國銀行等境內網站的釣魚頁面數量和涉及的IP地址數量分別較2012年增長35.4%和64.6%。

發展服務型制造和生產性服務業是創新的未來。所有的這些目標的實現就是基于人人互聯，物物互聯，生產設備和環境的互聯形成的新的工業智能共同體。工業智能共同體的實現為廣大的中國工業信息服務產業發展帶來了春天般的新鮮氣的同時又帶來了新的挑戰。“從百里不同凡，千里不同俗”在逐步接納和認同其“最佳實踐”的過程中，基于受到強大的習慣的抵觸和新技術的廣泛采納的兩頭化特點，目前的工業信息服務流程管理和信息安全管理已經不完全適用于今天的云化大數據工業時代的需求，我們迫切需要深入變革。

就當前的信息安全建設驅動來看，主要來自政策性合規驅動和市場需求驅動這兩個重要的驅動點。信息化自十八大以來成為“新四化”之一，進一步提升信息化在國家經濟和信息安全的作用和地位。信息化的行業自主可控與創新稱為重點。對國家安全，一路一帶，PPP等戰略提供了全視角的組織架構資產管理，最終構建以組織的資產為核心，信息化規劃，投資，建設，安全運行閉環的全周期管控體系。

現代的信息方法，高度重視信息過程的及時性。它要求信息流在需要它的時候必須暢通，這樣的信息過程才有實效性。大數據的理念已經廣為大眾所接受。其核心都會強調價值。究其整個價值的產生，就是數據轉變為有價信息的過程。從數據到信息的工作，包含了“人為數據或與人相關的數據”以及“機器數據或工業數據”，如設備控制器、傳感器、制造系統等。

信息安全管理，取決于業務的安全需求，這種需求是來自與“中國制造2025”中的流程制造、智能化產品和服務、智能化管理、由此而產生的新業態、后服務等領域信息系統日益增長的安全風險所決定的。因此，保護信息的安全性，保護信息的價值，是產業信息化和工業化融合發展過程中的重要舉措。

而信息安全管理是一項重要的活動，它致力于控制信息的供應，并防止未經授權的使用來確保信息的安全性，使信息系統和IT服務不易遭到已知風險的侵襲，并且盡可能地規避未知風險。安全措施的目標是要保護信息的價值，這種價值取決于機密性、完整性和可用性三個方面。安全管理實際上是一個由計劃、實施、檢查和改進所組成的一個無限循環。由于人人互聯，人機互聯的廣泛全面融合，使得信息安全的戰線大大拉長。并且在原來的以內部安全漏洞為主的環境升級為內外同時的安全威脅。

安全措施的目標是要保護信息的價值，需要考慮與其他服務流程建立和諧緊密的關系。信息安全管理流程的引入，取決于業務的安全需求，這種需求是信息系統日益增長的安全風險所決定的。因此，保護信息的安全性和價值是現今產業信息化發展過程中的重要舉措。服務級別協議是所有云化后信息服務管理最重要的觸發器。客戶在風險分析的基礎上確定安全需求，服務級別協議中包括的安全部分應與客戶的安全需求保持一致。而運營級別協議則把服務級別協議有關安全部分的總體性描述轉化為具體的服務項目，使之與組織內部的責任聯系在一起。

客戶在風險分析的基礎上確定安全需求，因此需要注意的是服務級別協議中包括的安全部分是否與客戶的安全需求保持一致。而運營級別協議則把服務級別協議有關安全部分的總體性描述轉化為具體的服務項目，使之與組織內部的責任聯系在一起。安全管理既要滿足服務級別協議中的安全需求以及合同、法律和外部政策的外部要求，又要提供一個獨立于外部需求的基本的安全性級別（基線）。基于這樣的目標、安全管理流程通過控制子流程以及計劃、實施、檢查和改進子流程所組成的無限循環，建立一套動態的管理模式，以適應不斷變化的業務流程、信息系統和規避風險的需求。

在實施安全管理的各項措施過程中，要確保在戰略層、戰術層和操作層三個層面都得到貫徹。尤其要防止戰略層和戰術層之間的脫節。許多組織制定了戰略層次的信息政策和信息計劃，也在實際運營中通過購買安全工具和其它安全產品來保障信息安全。但是，一方面由于缺乏安全需求和環境變化后的持續的分析，另一方面又未能將相關政策轉化為技術方案從而確保安全措施的有效性。因而，在信息安全管理的主動性方面還沒有引起足夠的重視。

信息安全服務于企業的利益，有些信息和信息服務對于組織來說可能比其它信息重要得多。安全性需求的優先級和重要性由信息系統的數據和它所包的業務內容決定（例如管理信息的完整性顯得尤其重要，而個人工資信息或醫療信息的機密性則顯得更加重要）。因此，實施信息安全管理必須要合乎信息的重要性。

特定的安全性的提供取決于在安全措施、信息的價值以及處理環境中的威脅之間獲得某種平衡。那么，為什么一個具備足夠信息安全的有效的信息供應對組織是非常重要的？我們要從內部與外部兩個角度來分析。從內部看，只有當正確和完整的信息在任何需要時都可獲得，組織才可以有效地運營。信息安全級別必須符合這方面要求。而外部的主要原因是，組織的流程通過向市場或社會提供所需的產品和服務來實現其預定的目標。信息供應不足可能導致產生不合標準的產品和服務，從而不能實現組織目標甚至威脅組織的生存。足夠的信息安全是保證充足的信息供應的重要條件。

基于安全性是管理質量的重要方面，所有工業信息服務管理流程都涉及相關的安全活動。安全管理流程一方面取得其他流程在安全性措施方面的支持，另一方面又在安全性活動方面給其它流程以必要的指導。這是一種和諧的交互關系。西方文化重視用科學的態度把事辦好。科學及時進入到信息時代的今天，信息方法的運用也引出了一個信息安全的問題。

在調查云計算服務提供商的方多案可行性、可靠性及安全性時，最關鍵的環節是要制定出一份較完善的需求方案說明書（RFP）。從較高層面來講，需求方案說明書需要企業針對自身的業務去收集某個方面或全部技術的需求。在這些需求制定好后，就能收集來自各個投標者的正式需求提議，而這些投標者所提交的需求提議肯定是根據前面的需求來制定的，但又各有差異，企業應在慎重比較之后選擇真正符合自身可行性，可靠性及安全性的方案。

標準的需求方案說明書應該包括服務提供商的財務狀況和可行性兩部分信息。為了完成需求方案說明書，我們需要從已投標的企業中獲取這兩方面的信息。在收集信息的過程中，由于一些傳統服務提供商具備更高的知名度、公認度和信譽度，而新的服務提供商普遍存在著消費者基礎薄弱、財務狀況不穩定且信譽度很低等問題，因而收集前者的信息存在更多的價值。

即使選擇了有一定經驗和知名度的供應商，也不代表萬事大吉。需求方案說明書中除了主要包含上述兩部分信息以外，還應該包括服務提供商的發展年限、擁有消費者的數目、財務狀況以及消費者信譽度等信息。這些信息能幫助潛在的消費者有效地評價眾多服務提供商提出的解決方案，僅僅根據服務提供商的財務狀況去預測其未來的發展狀況是不可靠的。

所有的這些因素，都使得用戶選擇云計算服務提供商成為了一個難題。隨著新的云計算提供商和大量云計算解決方案的涌現（既包括大型服務提供商也包括新興的小型服務提供商），云計算服務提供商所具備的財務能力將變得至關重要。我并不是建議所有用戶都只選擇有名的云計算供應商，因為如同一般商業規律一樣，有名氣的店往往價格也更高，而無名小店也并非沒有價廉物美的情況。作為企業，在考慮云計算系統中的數據傳輸和資源管理時，毋庸置疑最關心的仍舊是數據安全問題。實際上，這種新的方式不僅對數據的安全性是一個挑戰，也同樣是對企業根深蒂固的文化和價值觀的一個不容忽視并且刻不容緩的挑戰。

在引入安全管理后，技術的措施遠沒有組織措施重要。重視安全措施，珍惜信息價值，使全體組織人員齊心合力，在安全風險相關方面形成一種習慣力量和憂患意識，形成一種組織文化，更需要一種循序漸進的方法，需要更長的時間。組內人員風險意識的溝通是非常關鍵的。安全措施，往往限制人們以及越軌了的自由和并不規范的行為。這就需要運用所有的溝通方式，通過多種渠道各種形式，化大力氣來確保用戶遵循安全管理人員期望的行為。

在移動互聯網和云計算時代，信息管理將面臨不少新的安全挑戰，除了傳統的互聯網安全風險（如病毒、攻擊等）外，云計算引入的同時也帶來了更多的不安全因素，例如IaaS服務的虛擬化系統、PaaS的分布式計算系統等存在的軟件漏洞和不穩定性，對此我們需要進行更多的研究才能應對。數據中心的安全防護是一個系統性的工程，需要從現實空間區域的分區規劃、網絡隔離和過濾、服務監測和設備本身的安全加固等方面考慮，并且需要將整個數據中心的系統維護流程和用戶身份認證審計等各要素統籌考慮進去。信息安全技術會在2016年有長足的發展。

中國傳統文化中倡導的修身、齊家、治國、平天下的大道，其目的無非就是為了個人、家庭、國家與世界的安寧。中國式管理把管理視為修己安人的歷程。中國人重視倫理道德，主張通過好好做人把工作做好。這就是所謂“管理是外在的倫理，而倫理卻是內在的管理”。

所謂：“事以密成，語以泄敗”（《韓非子·說難》），事情因為縝密而成功，話語因為泄露而失敗。中國古人十分珍視信息的安全性。盡管他們還沒有信息的科學概念，但其樸素而又精辟的見解中，不難看出信息安全觀念的雛型。類似的見解，在中國文化的寶庫中，所見甚多，值得我們在實現中國制造2025的過程中去學習和借鑒。