數字時代，信息安全需要“智”理

文｜劉大勇

當今世界，數字技術正成為科技革命最強生產力，各行各業都迎來數字經濟的高速發展。2020年，中國數字經濟占GDP的比重已經達到38.6%。然而，隨著人們對互聯網依賴程度不斷加深，信息安全的重要程度不言而喻，如何加強信息安全體系建設，保障各行各業健康安全運行，是當前經濟社會進入數字時代需要重點關注的內容。

制造業信息安全保障亟需升級

當前，我國制造業正由中國制造向中國智造和中國創造推進，智能制造已成為我國制造業轉型升級的重要途徑，及參與國際競爭的先導力量，越來越多的企業開始加入到推進信息化和工業化“兩化”深度融合的行列中來。創新應用數字化技術擴大了制造業的互聯范圍，也推動了各種生產資源在線化、網絡化、智能化發展，但同時開放共享的作業環境給制造業信息安全帶來嚴峻挑戰。

制造業工業互聯網的云、網、端信息安全基礎相對薄弱。智能制造需要更多的數據采集，即人、機、物、法、環、測各個環節都需要通過數采工具進行數據交換，如利用傳感器、圖像識別、通訊協議等方式進行對接，尤其是各個端到端的數據協同，這些通訊工具有些歷史久遠并未升級，或未有隔離，或存在安全漏洞等，整體互聯互通的安全性較低。

制造業消費互聯網的數據濫用，消費者隱私數據保護急需加強。互聯網平臺的日益壯大，離不開消費大數據的互聯互通和應用，各大互聯網平臺通過合作共同獲取了大量個人用戶數據，不法商家利用獲取的個人數據頻繁營銷，甚至非法買賣消費者個人數據，對消費者個人造成騷擾和危害，嚴重侵害了消費者權益。

制造業的產業鏈協同各組織數據安全標準不統一，造成聯合泄漏。隨著制造業產業鏈上下游企業協同業務的發展，大量數據需要進行共享和交互，傳統的端級防護、單點布防安全解決方案已經不能完全解決信息安全問題。很多安全漏洞通過產業互聯網的通道進行滲透，即攻擊某一家防護能力較差的企業網絡，并通過互聯互通協同端口針對合作伙伴進行攻擊，最終造成整個產業鏈數據的泄露。

制造業從管理信息化到工業互聯網的生產數字化、消費數字化、產業鏈數字化，整體信息安全問題都較為突出，保障信息安全成為智能制造發展的重中之重。

九陽整體信息安全體系圖

保障信息安全首先要提高安全意識

從九陽保障信息安全工作中的實踐可以發現，制造企業的數據一旦生產出來，就會進入傳輸、存儲、處理、分析、訪問與服務、應用等各個環節，其中任何一個環節出現問題，都會造成企業數據泄露，甚至會影響整個產業鏈的信息安全。因此面對信息安全問題，首先要提高信息安全管理者的安全意識和安全認知。

安全意識是意識的一種，是人們對特定認知范圍內安全生產形態的心理反應形式，同時也是建立在人們對安全事物認知的基礎之上，最核心的就是安全知識體系。往往絕大多數信息安全事故都源于對安全認知不夠。特洛伊人的疏忽，導致城門失陷；微盟運維體系認知不夠則導致了SaaS業務崩潰。

無知者無畏，知而深深畏。科技創新日新月異，安全形態不斷變化發展，舊的安全威脅依然存在，新型安全威脅也不斷涌現。信息消費者只有不斷提升和豐富自己的知識體系，對信息安全要有全新的認知，并有足夠的意識感知到其安全的價值，信息安全才能從本質上從源頭得到重視并進行解決。有認知，有意識，就有行動，才不會被各種信息漏洞、病毒所誤導，也不會千瘡百孔、滿目瘡痍。

推進信息安全需要“三借”策略

每個信息管理者不僅有宏大的信息化戰略思想，并希望能夠盡快落地。快速推進信息安全措施的落實，可以通過“三借”來實現，即借勢、借事、借士。

借勢，即借力趨勢。近幾年，國家陸續頒布了不少信息安全的法律法規，尤其是近期出臺的《中華人民共和國個人信息保護法》，進一步明確了個人信息處理活動中的個人權利和處理者義務，該法律已于2021年11月1日起施行?！秱€人信息保護法》的頒布，可以為大量的信息工作者提供強有力的推進保障。信息工作者可以利用這種大勢所趨的外部環境，改變過去無法可依、無章可循的困境，順利推進信息安全戰略快速落地。

借事，即借機某件安全事件。由于信息安全領域各個層級的每個角色對信息安全認知和意識存在很多的偏差，有的因為信息安全事件沒有威脅到自己而無動于衷，有的有想法但迫于沒有預算沒有執行，有的有預算但沒有組織或人員來推進等各種情況不一而足。往往當企業或個人，受到信息安全威脅甚至相應的損失，如發生服務器受到勒索病毒入侵，個人信息嚴重泄露等安全事件，信息管理者才會想如何去補救。其實，信息安全工作者完全可以借某些安全事件向公司最高領導層提出新建或加固信息安全基礎建設的方案，這并不是以此威脅管理者，而是一種策略，亡羊補牢為時不晚。

借士，即借助人才、借助團隊。有戰略、有預算、有趨勢、有事件，最終需要有團隊和組織來落地，才能保障信息安全相關措施按計劃執行。信息安全管理者需要借最高領導的權威來為組織亮出尚方寶劍，需要借機組建相應的信息安全組織，需要針對這個組織和成員進行權限的賦予并定義相應的責任。信息安全戰略同樣屬于一級戰略，有了團隊和人才，需要按照既定的戰略目標，逐級分解、責任到人，按階段分別推進落地，不斷優化迭代和完善。

信息安全建設需要持續運營和完善

很多信息管理者在按照既定的策略和目標，部署了相應的信息安全軟硬件，可能還取得了信息安全ISO27001證書，就以為信息安全加固了，可以高枕無憂。其實不然，由于信息技術是在不斷發展和創新的，原有的信息安全工具可能已不能夠滿足新技術架構發展的需要，可能存在很多安全漏洞，因此需要有一個持續運營的過程，并在運營過程中不斷地優化和完善。

特別是如今，“四個假設”正在逐漸變為確定現實，即信息系統一定有未被發現的漏洞，一定有已發現但仍未修補的漏洞，信息系統已經被滲透，內部人員不可靠。這四個假設，每一個都需要持續地去運營才能把風險降到最低。因為整個信息安全體系中，有“人”的參與就會變得異常復雜。信息系統需要安全的硬件、安全的軟件以及安全的人。因此，要建立信息安全持續運營的管理體系，如信息系統全壽命周期管理過程；而且應從項目立項開始，就讓信息安全運營管理體系介入，如安全需求分析、安全設計、安全編碼、安全測試、上線評審、安全發布、運維安全、應急處理、預案及演練等，一直到項目建設完畢，轉為日常運維，都需要全程跟進。這也是一個PDCA（即戴明環）的過程，只有不斷持續地去識別風險、評估風險、風險控制、風險解除，才能守住信息安全的底線。

九陽探索制造企業信息安全實踐

九陽股份有限公司（以下簡稱“九陽”）是一家專注于健康飲食電器研發、生產和銷售的現代制造企業，擁有線下實體電器門店銷售渠道、線上電商平臺渠道、社交網絡平臺、特購渠道等銷售網絡，其產品生產主要以OEM外協加工為主，內部生產為輔，遠銷國內外多個國家和地區。經過多年的發展，九陽的信息安全保障已擁有由一級部門信息部主導管理，獨立的二級建制負責整個公司所有信息安全工作。目前整體信息安全建設已達到一定規模和體系，2020年部分系統已分別獲得二級和三級信息安全等級保護，并在2021年獲得了信息安全管理體系認證ISO27001:2013。

九陽整體信息安全體系圖

九陽的信息安全保障工作重點包含6個方面：安全治理、安全管理、安全運營、安全技術、安全風險評估、安全合規審計等。在日常的信息安全管理過程中，對于新啟動的信息項目嚴格執行信息系統生命周期管理SDL，如安全需求分析、安全設計、安全編碼、安全測試、上線評審、安全發布、運維安全、應急處理、預案與演練等過程；日常運營中，定期開展安全防護和預警，安全監控與分析工作，如流量監控、事件分析及處理等。同時，每月出具安全風險評估報告，在每年由外部第三方機構駐場進行安全合規審計，并針對合理化建議進行改善和提升。

數據是數字時代一個新的生產要素，數據能力就是企業未來高質量發展的生產力。制造業高質量發展的同時，就要更加重視信息安全，也需要用科學的方法來管理全周期的信息安全，從工業互聯網、消費互聯網、產業互聯網等多個視角來完善信息制度，提高信息安全認知，制定一整套信息安全實施策略和方法，持續運營、不斷改進，既要用好數據資源，又要保護好國家和個人的信息安全，讓數據能夠成為安全支撐制造業高質量發展的一個新生產要素。