數(shù)字時(shí)代，信息安全需要“智”理

文｜劉大勇

當(dāng)今世界，數(shù)字技術(shù)正成為科技革命最強(qiáng)生產(chǎn)力，各行各業(yè)都迎來數(shù)字經(jīng)濟(jì)的高速發(fā)展。2020年，中國數(shù)字經(jīng)濟(jì)占GDP的比重已經(jīng)達(dá)到38.6%。然而，隨著人們對(duì)互聯(lián)網(wǎng)依賴程度不斷加深，信息安全的重要程度不言而喻，如何加強(qiáng)信息安全體系建設(shè)，保障各行各業(yè)健康安全運(yùn)行，是當(dāng)前經(jīng)濟(jì)社會(huì)進(jìn)入數(shù)字時(shí)代需要重點(diǎn)關(guān)注的內(nèi)容。

制造業(yè)信息安全保障亟需升級(jí)

當(dāng)前，我國制造業(yè)正由中國制造向中國智造和中國創(chuàng)造推進(jìn)，智能制造已成為我國制造業(yè)轉(zhuǎn)型升級(jí)的重要途徑，及參與國際競爭的先導(dǎo)力量，越來越多的企業(yè)開始加入到推進(jìn)信息化和工業(yè)化“兩化”深度融合的行列中來。創(chuàng)新應(yīng)用數(shù)字化技術(shù)擴(kuò)大了制造業(yè)的互聯(lián)范圍，也推動(dòng)了各種生產(chǎn)資源在線化、網(wǎng)絡(luò)化、智能化發(fā)展，但同時(shí)開放共享的作業(yè)環(huán)境給制造業(yè)信息安全帶來嚴(yán)峻挑戰(zhàn)。

制造業(yè)工業(yè)互聯(lián)網(wǎng)的云、網(wǎng)、端信息安全基礎(chǔ)相對(duì)薄弱。智能制造需要更多的數(shù)據(jù)采集，即人、機(jī)、物、法、環(huán)、測各個(gè)環(huán)節(jié)都需要通過數(shù)采工具進(jìn)行數(shù)據(jù)交換，如利用傳感器、圖像識(shí)別、通訊協(xié)議等方式進(jìn)行對(duì)接，尤其是各個(gè)端到端的數(shù)據(jù)協(xié)同，這些通訊工具有些歷史久遠(yuǎn)并未升級(jí)，或未有隔離，或存在安全漏洞等，整體互聯(lián)互通的安全性較低。

制造業(yè)消費(fèi)互聯(lián)網(wǎng)的數(shù)據(jù)濫用，消費(fèi)者隱私數(shù)據(jù)保護(hù)急需加強(qiáng)?；ヂ?lián)網(wǎng)平臺(tái)的日益壯大，離不開消費(fèi)大數(shù)據(jù)的互聯(lián)互通和應(yīng)用，各大互聯(lián)網(wǎng)平臺(tái)通過合作共同獲取了大量個(gè)人用戶數(shù)據(jù)，不法商家利用獲取的個(gè)人數(shù)據(jù)頻繁營銷，甚至非法買賣消費(fèi)者個(gè)人數(shù)據(jù)，對(duì)消費(fèi)者個(gè)人造成騷擾和危害，嚴(yán)重侵害了消費(fèi)者權(quán)益。

制造業(yè)的產(chǎn)業(yè)鏈協(xié)同各組織數(shù)據(jù)安全標(biāo)準(zhǔn)不統(tǒng)一，造成聯(lián)合泄漏。隨著制造業(yè)產(chǎn)業(yè)鏈上下游企業(yè)協(xié)同業(yè)務(wù)的發(fā)展，大量數(shù)據(jù)需要進(jìn)行共享和交互，傳統(tǒng)的端級(jí)防護(hù)、單點(diǎn)布防安全解決方案已經(jīng)不能完全解決信息安全問題。很多安全漏洞通過產(chǎn)業(yè)互聯(lián)網(wǎng)的通道進(jìn)行滲透，即攻擊某一家防護(hù)能力較差的企業(yè)網(wǎng)絡(luò)，并通過互聯(lián)互通協(xié)同端口針對(duì)合作伙伴進(jìn)行攻擊，最終造成整個(gè)產(chǎn)業(yè)鏈數(shù)據(jù)的泄露。

制造業(yè)從管理信息化到工業(yè)互聯(lián)網(wǎng)的生產(chǎn)數(shù)字化、消費(fèi)數(shù)字化、產(chǎn)業(yè)鏈數(shù)字化，整體信息安全問題都較為突出，保障信息安全成為智能制造發(fā)展的重中之重。

九陽整體信息安全體系圖

保障信息安全首先要提高安全意識(shí)

從九陽保障信息安全工作中的實(shí)踐可以發(fā)現(xiàn)，制造企業(yè)的數(shù)據(jù)一旦生產(chǎn)出來，就會(huì)進(jìn)入傳輸、存儲(chǔ)、處理、分析、訪問與服務(wù)、應(yīng)用等各個(gè)環(huán)節(jié)，其中任何一個(gè)環(huán)節(jié)出現(xiàn)問題，都會(huì)造成企業(yè)數(shù)據(jù)泄露，甚至?xí)绊懻麄€(gè)產(chǎn)業(yè)鏈的信息安全。因此面對(duì)信息安全問題，首先要提高信息安全管理者的安全意識(shí)和安全認(rèn)知。

安全意識(shí)是意識(shí)的一種，是人們對(duì)特定認(rèn)知范圍內(nèi)安全生產(chǎn)形態(tài)的心理反應(yīng)形式，同時(shí)也是建立在人們對(duì)安全事物認(rèn)知的基礎(chǔ)之上，最核心的就是安全知識(shí)體系。往往絕大多數(shù)信息安全事故都源于對(duì)安全認(rèn)知不夠。特洛伊人的疏忽，導(dǎo)致城門失陷；微盟運(yùn)維體系認(rèn)知不夠則導(dǎo)致了SaaS業(yè)務(wù)崩潰。

無知者無畏，知而深深畏?？萍紕?chuàng)新日新月異，安全形態(tài)不斷變化發(fā)展，舊的安全威脅依然存在，新型安全威脅也不斷涌現(xiàn)。信息消費(fèi)者只有不斷提升和豐富自己的知識(shí)體系，對(duì)信息安全要有全新的認(rèn)知，并有足夠的意識(shí)感知到其安全的價(jià)值，信息安全才能從本質(zhì)上從源頭得到重視并進(jìn)行解決。有認(rèn)知，有意識(shí)，就有行動(dòng)，才不會(huì)被各種信息漏洞、病毒所誤導(dǎo)，也不會(huì)千瘡百孔、滿目瘡痍。

推進(jìn)信息安全需要“三借”策略

每個(gè)信息管理者不僅有宏大的信息化戰(zhàn)略思想，并希望能夠盡快落地。快速推進(jìn)信息安全措施的落實(shí)，可以通過“三借”來實(shí)現(xiàn)，即借勢、借事、借士。

借勢，即借力趨勢。近幾年，國家陸續(xù)頒布了不少信息安全的法律法規(guī)，尤其是近期出臺(tái)的《中華人民共和國個(gè)人信息保護(hù)法》，進(jìn)一步明確了個(gè)人信息處理活動(dòng)中的個(gè)人權(quán)利和處理者義務(wù)，該法律已于2021年11月1日起施行?！秱€(gè)人信息保護(hù)法》的頒布，可以為大量的信息工作者提供強(qiáng)有力的推進(jìn)保障。信息工作者可以利用這種大勢所趨的外部環(huán)境，改變過去無法可依、無章可循的困境，順利推進(jìn)信息安全戰(zhàn)略快速落地。

借事，即借機(jī)某件安全事件。由于信息安全領(lǐng)域各個(gè)層級(jí)的每個(gè)角色對(duì)信息安全認(rèn)知和意識(shí)存在很多的偏差，有的因?yàn)樾畔踩录]有威脅到自己而無動(dòng)于衷，有的有想法但迫于沒有預(yù)算沒有執(zhí)行，有的有預(yù)算但沒有組織或人員來推進(jìn)等各種情況不一而足。往往當(dāng)企業(yè)或個(gè)人，受到信息安全威脅甚至相應(yīng)的損失，如發(fā)生服務(wù)器受到勒索病毒入侵，個(gè)人信息嚴(yán)重泄露等安全事件，信息管理者才會(huì)想如何去補(bǔ)救。其實(shí)，信息安全工作者完全可以借某些安全事件向公司最高領(lǐng)導(dǎo)層提出新建或加固信息安全基礎(chǔ)建設(shè)的方案，這并不是以此威脅管理者，而是一種策略，亡羊補(bǔ)牢為時(shí)不晚。

借士，即借助人才、借助團(tuán)隊(duì)。有戰(zhàn)略、有預(yù)算、有趨勢、有事件，最終需要有團(tuán)隊(duì)和組織來落地，才能保障信息安全相關(guān)措施按計(jì)劃執(zhí)行。信息安全管理者需要借最高領(lǐng)導(dǎo)的權(quán)威來為組織亮出尚方寶劍，需要借機(jī)組建相應(yīng)的信息安全組織，需要針對(duì)這個(gè)組織和成員進(jìn)行權(quán)限的賦予并定義相應(yīng)的責(zé)任。信息安全戰(zhàn)略同樣屬于一級(jí)戰(zhàn)略，有了團(tuán)隊(duì)和人才，需要按照既定的戰(zhàn)略目標(biāo)，逐級(jí)分解、責(zé)任到人，按階段分別推進(jìn)落地，不斷優(yōu)化迭代和完善。

信息安全建設(shè)需要持續(xù)運(yùn)營和完善

很多信息管理者在按照既定的策略和目標(biāo)，部署了相應(yīng)的信息安全軟硬件，可能還取得了信息安全I(xiàn)SO27001證書，就以為信息安全加固了，可以高枕無憂。其實(shí)不然，由于信息技術(shù)是在不斷發(fā)展和創(chuàng)新的，原有的信息安全工具可能已不能夠滿足新技術(shù)架構(gòu)發(fā)展的需要，可能存在很多安全漏洞，因此需要有一個(gè)持續(xù)運(yùn)營的過程，并在運(yùn)營過程中不斷地優(yōu)化和完善。

特別是如今，“四個(gè)假設(shè)”正在逐漸變?yōu)榇_定現(xiàn)實(shí)，即信息系統(tǒng)一定有未被發(fā)現(xiàn)的漏洞，一定有已發(fā)現(xiàn)但仍未修補(bǔ)的漏洞，信息系統(tǒng)已經(jīng)被滲透，內(nèi)部人員不可靠。這四個(gè)假設(shè)，每一個(gè)都需要持續(xù)地去運(yùn)營才能把風(fēng)險(xiǎn)降到最低。因?yàn)檎麄€(gè)信息安全體系中，有“人”的參與就會(huì)變得異常復(fù)雜。信息系統(tǒng)需要安全的硬件、安全的軟件以及安全的人。因此，要建立信息安全持續(xù)運(yùn)營的管理體系，如信息系統(tǒng)全壽命周期管理過程；而且應(yīng)從項(xiàng)目立項(xiàng)開始，就讓信息安全運(yùn)營管理體系介入，如安全需求分析、安全設(shè)計(jì)、安全編碼、安全測試、上線評(píng)審、安全發(fā)布、運(yùn)維安全、應(yīng)急處理、預(yù)案及演練等，一直到項(xiàng)目建設(shè)完畢，轉(zhuǎn)為日常運(yùn)維，都需要全程跟進(jìn)。這也是一個(gè)PDCA（即戴明環(huán)）的過程，只有不斷持續(xù)地去識(shí)別風(fēng)險(xiǎn)、評(píng)估風(fēng)險(xiǎn)、風(fēng)險(xiǎn)控制、風(fēng)險(xiǎn)解除，才能守住信息安全的底線。

九陽探索制造企業(yè)信息安全實(shí)踐

九陽股份有限公司（以下簡稱“九陽”）是一家專注于健康飲食電器研發(fā)、生產(chǎn)和銷售的現(xiàn)代制造企業(yè)，擁有線下實(shí)體電器門店銷售渠道、線上電商平臺(tái)渠道、社交網(wǎng)絡(luò)平臺(tái)、特購渠道等銷售網(wǎng)絡(luò)，其產(chǎn)品生產(chǎn)主要以O(shè)EM外協(xié)加工為主，內(nèi)部生產(chǎn)為輔，遠(yuǎn)銷國內(nèi)外多個(gè)國家和地區(qū)。經(jīng)過多年的發(fā)展，九陽的信息安全保障已擁有由一級(jí)部門信息部主導(dǎo)管理，獨(dú)立的二級(jí)建制負(fù)責(zé)整個(gè)公司所有信息安全工作。目前整體信息安全建設(shè)已達(dá)到一定規(guī)模和體系，2020年部分系統(tǒng)已分別獲得二級(jí)和三級(jí)信息安全等級(jí)保護(hù)，并在2021年獲得了信息安全管理體系認(rèn)證ISO27001:2013。

九陽整體信息安全體系圖

九陽的信息安全保障工作重點(diǎn)包含6個(gè)方面：安全治理、安全管理、安全運(yùn)營、安全技術(shù)、安全風(fēng)險(xiǎn)評(píng)估、安全合規(guī)審計(jì)等。在日常的信息安全管理過程中，對(duì)于新啟動(dòng)的信息項(xiàng)目嚴(yán)格執(zhí)行信息系統(tǒng)生命周期管理SDL，如安全需求分析、安全設(shè)計(jì)、安全編碼、安全測試、上線評(píng)審、安全發(fā)布、運(yùn)維安全、應(yīng)急處理、預(yù)案與演練等過程；日常運(yùn)營中，定期開展安全防護(hù)和預(yù)警，安全監(jiān)控與分析工作，如流量監(jiān)控、事件分析及處理等。同時(shí)，每月出具安全風(fēng)險(xiǎn)評(píng)估報(bào)告，在每年由外部第三方機(jī)構(gòu)駐場進(jìn)行安全合規(guī)審計(jì)，并針對(duì)合理化建議進(jìn)行改善和提升。

數(shù)據(jù)是數(shù)字時(shí)代一個(gè)新的生產(chǎn)要素，數(shù)據(jù)能力就是企業(yè)未來高質(zhì)量發(fā)展的生產(chǎn)力。制造業(yè)高質(zhì)量發(fā)展的同時(shí)，就要更加重視信息安全，也需要用科學(xué)的方法來管理全周期的信息安全，從工業(yè)互聯(lián)網(wǎng)、消費(fèi)互聯(lián)網(wǎng)、產(chǎn)業(yè)互聯(lián)網(wǎng)等多個(gè)視角來完善信息制度，提高信息安全認(rèn)知，制定一整套信息安全實(shí)施策略和方法，持續(xù)運(yùn)營、不斷改進(jìn)，既要用好數(shù)據(jù)資源，又要保護(hù)好國家和個(gè)人的信息安全，讓數(shù)據(jù)能夠成為安全支撐制造業(yè)高質(zhì)量發(fā)展的一個(gè)新生產(chǎn)要素。