运通集团安全转型实践

企业数字化是大势所趋，而数字化过程中的网络安全问题是企业不得不面对的一大难题。正所谓网络安全和信息化是一体之两翼，驱动之双轮，如何实现二者的同步规划与同步建设，成为企业CIO们所重点考虑的方面。

运通集团作为传统集团化公司，业务涵盖汽车板块、地产板块和投资板块，目前员工近万余人，成员企业分布在国内多个省、市、自治区。如此庞大的企业规模，决定了运通集团信息化与安全的转型并非易事。

北京运通汽车集团CIO张伟在2020 CIO信息安全高峰论坛上分享了运通集团的安全转型之路。

信息技术与互联网技术对汽车业的“拥抱”早已开始，并不断掀起新的高潮。传统汽车销售与服务模式正在向新零售发生改变。新零售为汽车销售与服务行业提供了新思路。

运通汽车板块在数字化过程中有着完善的整体规划。例如，通过引入运通汇(CRM）会员系统，实现智能道闸、访客登记等功能。

北京运通汽车集团CIO 张伟

张伟表示，由于对互联网技术的大量应用，新零售转型会带来大量信息的数据化要求，这将不可避免地面临数据安全挑战。

因此，运通汽车集团的基础设施与信息安全建设共分为以下几个层级：

首先是系统层级，通过系统自身权限的分配做控制，实施信息安全控制，对数据进行统一安全管理；

在部署层面，针对IT人员，对于数据的运维要有严格的规定，不同层级的IT人员掌握不同的数据库、服务器权限，实现分级分层的管理；

在终端层面，要求所有员工对信息安全有一个基础认识，控制人员使用企业数据的权限，选用固定的通讯工具进行远程办公，部署防入侵系统或设备。

基于此，集团对信息安全进行了总体方案规划，以实现集中化安全。

对于具体的信息安全建设路径，集团主要遵循了以下步骤：从数据来源上，主动提取必要有效数据；进行智能分析，能够不依赖规则检测，实现低概率安全威胁；基于业务的可视化，在宏观辅助决策的同时，在微观上也有利于运维；一键处置，实现多设备协同响应联动。

张伟介绍，在数字化时代，运通信息安全防护整体方案的侧重点主要在信息系统数据防护、基础设施安全防护、终端信息安全防护与数据信息防泄漏四个方面，分别针对不同的应用场景进行了针对性部署。

企业网络安全建设是一个长期且曲折的过程，运通集团在信息化与安全转型中的成功尝试为传统企业数字化转型树立了标杆。