前途汽车 CIO 邢红波：今天给大家分享的是我们整个信息化建设里面的一个分支，叫信息安全建设的规划。为什么提出这个问题来呢？其实我们在整个信息化安全建设过程中，大家可能会共同碰到的困惑会有两点：第一，我们的信息安全建设是碎片化、不成体系的，大多数情况下头痛医头，脚痛医脚，碰到什么样的问题就买什么样的产品。第二个难点，我们做信息安全投入预算非常难，经常被管理层、决策层诟病，你们为什么总是没完没了的在上面做投入呢，解释起来也很困难。

基于这一点，从我们自己的角度看，因为我这个人做事，我在前一个企业干过大概4年半左右的规划技术部的工作，所以我喜欢做事先从规划入手，凡事预则立，不预则废，这是我个人的一个工作习惯。因为我们汽车行业在整个前途工厂建设的过程中，这三年我们从无到有建设一个新工厂，但是目前我们面临的信息安全方面的风险也非常多，主要原因是电动汽车行业国家有了非常多的法规上面的限制，所以这是我们整个做安全规划的一个小的企业自身的背景。

我今天给各位同行分享四个内容：第一是企业信息安全面临的风险和挑战，第二是信息规划的策略和目标是什么，第三是信息规划的理念，第四是规划实施的具体落地的方式和方法。

一、企业信息安全面临的风险和挑战

我们现在主要的背景，信息安全面临的风险，主要是数字化转型，企业需要对数字资产进行合理的有效的保护。随着企业数字化转型的深入，线上线下一体化数字化双胞胎运营的逐步实现，信息资产已经成为企业最有价值、最有竞争力的核心资产。如何更合理、更高效的实现数字资产的保护，对信息安全提出了更高的要求。其实我个人认为，企业在工业互联网时代或者是我们之前说的中国制造2025以及工业4.0提出的一些要求上看，西门子提出数字化双胞胎的概念，我个人觉得更准确的描述了未来企业经营管理的状态。

1.1数字化双胞胎

借用我们原来在消费互联网的一个概念叫O2O的概念，就是线上线下一体化，我们的数字化双胞胎其实是在企业的运营过程中未来最终的目标是实现企业的经营和生产运营线上线下一体化，这是我们对数字化双胞胎的一个认识，包括企业数字化转型的一个认识。

1.2工业互联网建设要企业与之匹配的安全管控能力

互联网时代，OT、CT快速融合，IOT模糊了传统安全边界，数据安全是工业互联网面临的最大弊病之一，开展针对性的信息安全建设是构架坚固的网络安全系统，管理脆弱环节，保护敏感信号与知识产权的有效途径。如果各位买了国外的系统是比较难管控的，他必须要求你开放，通过我们自己的网络去做。这是我们现在面临的问题，包括很多企业也提供远程诊断跟踪和服务，这实际上就是我们面临的一个很典型的问题。我们面临诸多的IO等不同的协议，我上个月在成都参加了一个全国信息安全峰会，听了专家讲，我自己听了以后也很吃惊，我们在信息安全领域老企业的改造要面对的工控协议将近有300多种。其实我们企业很幸运，我们是一个新建企业，我们企业在规划之前就和工业部门(我们内部叫信息制造部)达成了共识，我们的信息不要参与进去，我们就确定了了选一个供应商、选一类产品，便于以后的管理，我们企业在工控环节用两种协议管控就OK了。

1.3利益驱动下的信息安全事件频繁给企业造成巨额经济损失

在当今信息即可财富的背景下，越来越多的黑客组织投身于信息资产的窃取，攻击手段变幻莫测，而且攻击渠道日益变换，IOT设备、工业网已经成为不法黑客的攻击重点，为整个网络安全环境带来全新挑战。未来大量的机械手和机械设备被黑客攻击之后会伤人，这不仅仅是资产的损失，可能会影响到营商的状态。原来的黑客是炫技，没有太多的利益诉求，但是近几年来大家遭到的攻击几乎都是有经济利益诉求的。以前的没有经济利益诉求，有了经济利益诉求，我们面临的背景会更复杂。

1.4数字化转型需要相应的信息安全管理体系及技术手段为企业合规运营保驾护航

这个月国家正式发布了等保2.0的国标，其实对很多企业来讲国家的战略“一带一路”，我们已经和整个世界连接起来了，我们很多中国的企业做生意也做到海外了。比如说像欧洲的GDPR，这个就很麻烦，不知道大家有没有研究过这个东西。他要求你在欧洲有生意，你达不到他的要求就一定处罚得很严格，而且这个要求很难做到，包括欧洲内部现在有很多人对这个东西也有很大的争议，但是它已经实施了，没有办法，只能遵守。国家也在制定控制指南，等保2.0也已经通过了。比如说我们是一家做电动汽车的公司，我们现在也有计划到美国去开工厂，特斯拉进中国了，我们希望把我们的电动车卖到美国去，我们就要符合美国法律的要求，这是企业层面的要求。

这是信息安全建设面临的风险和挑战，随着企业数字化转型的深入，传统意义上固定的安全边界已经消失了，工业互联网、移动办公、云计算、IOT等使信息跨越了办公边界而自由流动。尤其是汽车的电动化、网联化、共享化趋势，使得新兴技术的发展应用在提高工作效率，满足客户体验同时，特别是政策性影响，也给安全技术带来了新的风险、挑战和要求。我们从数据保护、移动办公、云计算、安全运营中心在具体的业务层面，我们从它的特点入手，做了这样的一个分析。

这是基于信息安全建设的必要性和迫切性，我们进行了分析。当然由于行业的不同、企业性质的不同，各位可以参考一下。我们企业安全的要求是从全球合规的遵从、业务和产品安全、数据资产保护、防黑客攻击、系统可用性保障，其实大多数企业安全这件事也没有我们想象的那么复杂，大家老觉得做安全千头万绪，不知道从哪里入手，只能被动的应对和防御。其实你仔细的去梳理一下，你会发现没有这么多的内容，你的思路就很清晰了。右侧是我们企业现在信息安全的现状，大家参考一下就好了。我们的信息安全从管理的角度来说，第一是安全组织不完善，安全管理制度和流程不完善，以前是解决有没有的问题，等工厂建立起来就要解决好不好的问题了。第二是信息安全技术，这个不给大家再读了。第三是人员安全意识，第四是安全事件。这个还是那句话，每个企业的情况不一样，大家可以参考，用这样的思路和方法去开展这项工作。

 企业信息安全工作怎么做，我们把我们的风险分成了两类，一个是管理的风险、一个是技术的风险。比如说我们特别关注的信息安全组织缺失、信息安全管理制度缺失、员工安全意识不足，我们列到了前面，在技术层面我们可能会把这些问题往后放。

二、信息规划的策略和目标

第二部分我想分享的是安全规划的策略和目标。信息安全总的来源是哪里呢?从企业的战略规划到IT规划，这个时候才有了信息安全的规划。然后逐步的往后推演，我们才能制定出信息安全的原则选择，最后制定出我们信息安全的策略。这是我们企业的一个情况，我们从企业战略规划到信息化规划一路下来，我们的安全规划战略要求只有4点，和公司的战略保持一致，满足企业业务需求，体现信息部门的价值，符合相应的法律法规。我们就梳理了这4点，也是非常宏观的。

三、信息规划的理念

越安全就越不易用，越易用就越不安全，这是一个始终无法解决的矛盾。我们是根据整个公司的企业文化、管理现状、安全现状分了左右两列，信息安全投入和使用是要做一个平衡的，大家看下面是一个跷跷板，大家要做好平衡。你是更关注安全，还是更关注业务。因为我们家的母公司是一家设计公司，大多数搞设计的人都比较自由，不喜欢受束缚。所以你看我们会有合规文化和企业文化的对比分析。

但是这件事非常重要，这件事是整个信息安全尺度平衡的把握，包括对你后面的投资都很重要。你做好了这项工作，就可以把整个策略制定出来了。我们的信息安全策略是保障企业正常运营和效率的同时，采用一切必要的管理和技术手段，我们把管理放在前面了，没有把技术放在前面。为什么呢，后续给大家分享的时候我还会阐述这个观点。确保企业信息安全运营符合相应法律法规的要求，这就是我们整个企业信息安全规划的整体策略。

这是我们的目标，我们的整个信息安全建设的目标就是通过“人防”+“技防”，实现“事前防范、事中控制、事后追溯”的管理目标，全面降低企业信息安全风险，实现合规运营。主要是4点：涉密信息拿不走，黑客进不来，安全不违规，特权不滥用，其实信息安全不复杂，就这么4件事。

涉密信息拿不走，主要是防范员工无意泄密，防范员工故意泄密，防范外来人员泄密。我们自己统计过，我们自己企业发生的所有泄密信息60%左右是由于员工的无意识造成的，真正有意识的非常少，不到10%，大概5%到7%。故意泄密这个东西就要不怕贼偷，就怕贼惦记你，我个人认为是无法防范的。黑客进不来是外部攻击要防范，防范外部攻击导致系统瘫痪和数据泄露或破坏。安全不违规是遵从国内外法律法规的要求，特权不滥用是做整个信息规划的时候重点研究的，因为很多企业灯下黑，我这个地方写的是防止IT人员利用运维权限窃取或破坏，防止IT人员误操作操作系统故障，实际上里面还有一个问题，就是说我们整个这一块还有高管层的权限，因为权限比较高，怎么去防范。

我们没有找到一个很好的工具，我们希望找到一个很好的工具做这件事，我们借用了信息安全成熟度滑动标尺作为工具进行行业对标，确定了信息安全建设中期目标。这是我们做安全规划之前做的企业行业对标，这个是我们和一个安全厂商做的，我们当年规划的时候是在1.0的水平，威马未来大概能做到3.0，上汽大概能在3.5左右，国外是苹果，国内是耳熟能详的华为。这是我们的指导理念，就是“P.P.T”。在企业是规章制度，再次是人，再次是技术。我们始终认为，制度和人是关键、是核心，技术是我们的手段。

四、规划实施具体落地的方式和方法

分享一下我们具体的安全规划的实施方式和方法，分成了两个框架，前面是信息管理框架，后面是技术框架。这些部分我们要做的工作非常多，这就是我们现在面临的现状，你把它都放在里面，哪些做了、哪些没做、哪些是着急做的，我们会逐步的去做；因为信息安全建设不是一蹴而就的， 我们有自己的实施路线优先级的考虑。我们会从严重性、风险、收益、易实施性、最佳实践5个维度进行，把我们的事情进行轻重缓急的分配。这是我们整体上在实际运作的时候做的一个路线图，我们做了3年安全规划的投入，大概的投入是控制预算在1000万以内，每年投200万到300万，能达到最终做到3.0。大家可以看到，我们在这个行当做到3.0就可以了，没必要往4.0做，因为所有投入都是要成本的。这个也是对应我们的安全成熟度滑动标尺，我们第一步在第一年是建体系、搭围墙，做基础保障安全。第二步是梳理数据资产，建保险柜，来实现纵深的防御。第三步是运维保障，主动防御，做到整个企业的安全运营。

这是我们的建设内容实施规划，1.0的时候要做哪些工作，我们细化出来了，第二年2.0的也细化出来了，第三年3.0要做什么也细化出来了，一步一步，这样我们的规划才能落地。这个又细了一步，直接到了建设层面上，大家看一下这些项目，包括方案选型、预算，一个规划怎么落地、要做哪些事、要花多少钱。这里给大家分享了一个点，建设模式大家一定要想清楚，比如说我们的信息安全组织的建立肯定是自主建设的，一个企业没有信息安全组织就没有组织保障，你的事情是做不好的。但是安全制度和流程的建立，我建议各位请外面比较成熟的咨询公司去搭建一个体系，后面这些可以用外部支持，自己也可以去做。纵深防御阶段，我们要做数据防止泄露、数据库审计、工控系统安全等等，这是根据我们企业的情况的缺失部分。

信息安全问题归根结底是人的问题，信息安全管理是核心，技术是手段，道高一尺，魔高一丈，信息安全建设只有起点，没有终点，我们永远在路上。