数字时代，信息安全需要“智”理

文｜刘大勇

当今世界，数字技术正成为科技革命最强生产力，各行各业都迎来数字经济的高速发展。2020年，中国数字经济占GDP的比重已经达到38.6%。然而，随着人们对互联网依赖程度不断加深，信息安全的重要程度不言而喻，如何加强信息安全体系建设，保障各行各业健康安全运行，是当前经济社会进入数字时代需要重点关注的内容。

制造业信息安全保障亟需升级

当前，我国制造业正由中国制造向中国智造和中国创造推进，智能制造已成为我国制造业转型升级的重要途径，及参与国际竞争的先导力量，越来越多的企业开始加入到推进信息化和工业化“两化”深度融合的行列中来。创新应用数字化技术扩大了制造业的互联范围，也推动了各种生产资源在线化、网络化、智能化发展，但同时开放共享的作业环境给制造业信息安全带来严峻挑战。

制造业工业互联网的云、网、端信息安全基础相对薄弱。智能制造需要更多的数据采集，即人、机、物、法、环、测各个环节都需要通过数采工具进行数据交换，如利用传感器、图像识别、通讯协议等方式进行对接，尤其是各个端到端的数据协同，这些通讯工具有些历史久远并未升级，或未有隔离，或存在安全漏洞等，整体互联互通的安全性较低。

制造业消费互联网的数据滥用，消费者隐私数据保护急需加强。互联网平台的日益壮大，离不开消费大数据的互联互通和应用，各大互联网平台通过合作共同获取了大量个人用户数据，不法商家利用获取的个人数据频繁营销，甚至非法买卖消费者个人数据，对消费者个人造成骚扰和危害，严重侵害了消费者权益。

制造业的产业链协同各组织数据安全标准不统一，造成联合泄漏。随着制造业产业链上下游企业协同业务的发展，大量数据需要进行共享和交互，传统的端级防护、单点布防安全解决方案已经不能完全解决信息安全问题。很多安全漏洞通过产业互联网的通道进行渗透，即攻击某一家防护能力较差的企业网络，并通过互联互通协同端口针对合作伙伴进行攻击，最终造成整个产业链数据的泄露。

制造业从管理信息化到工业互联网的生产数字化、消费数字化、产业链数字化，整体信息安全问题都较为突出，保障信息安全成为智能制造发展的重中之重。

九阳整体信息安全体系图

保障信息安全首先要提高安全意识

从九阳保障信息安全工作中的实践可以发现，制造企业的数据一旦生产出来，就会进入传输、存储、处理、分析、访问与服务、应用等各个环节，其中任何一个环节出现问题，都会造成企业数据泄露，甚至会影响整个产业链的信息安全。因此面对信息安全问题，首先要提高信息安全管理者的安全意识和安全认知。

安全意识是意识的一种，是人们对特定认知范围内安全生产形态的心理反应形式，同时也是建立在人们对安全事物认知的基础之上，最核心的就是安全知识体系。往往绝大多数信息安全事故都源于对安全认知不够。特洛伊人的疏忽，导致城门失陷；微盟运维体系认知不够则导致了SaaS业务崩溃。

无知者无畏，知而深深畏。科技创新日新月异，安全形态不断变化发展，旧的安全威胁依然存在，新型安全威胁也不断涌现。信息消费者只有不断提升和丰富自己的知识体系，对信息安全要有全新的认知，并有足够的意识感知到其安全的价值，信息安全才能从本质上从源头得到重视并进行解决。有认知，有意识，就有行动，才不会被各种信息漏洞、病毒所误导，也不会千疮百孔、满目疮痍。

推进信息安全需要“三借”策略

每个信息管理者不仅有宏大的信息化战略思想，并希望能够尽快落地。快速推进信息安全措施的落实，可以通过“三借”来实现，即借势、借事、借士。

借势，即借力趋势。近几年，国家陆续颁布了不少信息安全的法律法规，尤其是近期出台的《中华人民共和国个人信息保护法》，进一步明确了个人信息处理活动中的个人权利和处理者义务，该法律已于2021年11月1日起施行。《个人信息保护法》的颁布，可以为大量的信息工作者提供强有力的推进保障。信息工作者可以利用这种大势所趋的外部环境，改变过去无法可依、无章可循的困境，顺利推进信息安全战略快速落地。

借事，即借机某件安全事件。由于信息安全领域各个层级的每个角色对信息安全认知和意识存在很多的偏差，有的因为信息安全事件没有威胁到自己而无动于衷，有的有想法但迫于没有预算没有执行，有的有预算但没有组织或人员来推进等各种情况不一而足。往往当企业或个人，受到信息安全威胁甚至相应的损失，如发生服务器受到勒索病毒入侵，个人信息严重泄露等安全事件，信息管理者才会想如何去补救。其实，信息安全工作者完全可以借某些安全事件向公司最高领导层提出新建或加固信息安全基础建设的方案，这并不是以此威胁管理者，而是一种策略，亡羊补牢为时不晚。

借士，即借助人才、借助团队。有战略、有预算、有趋势、有事件，最终需要有团队和组织来落地，才能保障信息安全相关措施按计划执行。信息安全管理者需要借最高领导的权威来为组织亮出尚方宝剑，需要借机组建相应的信息安全组织，需要针对这个组织和成员进行权限的赋予并定义相应的责任。信息安全战略同样属于一级战略，有了团队和人才，需要按照既定的战略目标，逐级分解、责任到人，按阶段分别推进落地，不断优化迭代和完善。

信息安全建设需要持续运营和完善

很多信息管理者在按照既定的策略和目标，部署了相应的信息安全软硬件，可能还取得了信息安全ISO27001证书，就以为信息安全加固了，可以高枕无忧。其实不然，由于信息技术是在不断发展和创新的，原有的信息安全工具可能已不能够满足新技术架构发展的需要，可能存在很多安全漏洞，因此需要有一个持续运营的过程，并在运营过程中不断地优化和完善。

特别是如今，“四个假设”正在逐渐变为确定现实，即信息系统一定有未被发现的漏洞，一定有已发现但仍未修补的漏洞，信息系统已经被渗透，内部人员不可靠。这四个假设，每一个都需要持续地去运营才能把风险降到最低。因为整个信息安全体系中，有“人”的参与就会变得异常复杂。信息系统需要安全的硬件、安全的软件以及安全的人。因此，要建立信息安全持续运营的管理体系，如信息系统全寿命周期管理过程；而且应从项目立项开始，就让信息安全运营管理体系介入，如安全需求分析、安全设计、安全编码、安全测试、上线评审、安全发布、运维安全、应急处理、预案及演练等，一直到项目建设完毕，转为日常运维，都需要全程跟进。这也是一个PDCA（即戴明环）的过程，只有不断持续地去识别风险、评估风险、风险控制、风险解除，才能守住信息安全的底线。

九阳探索制造企业信息安全实践

九阳股份有限公司（以下简称“九阳”）是一家专注于健康饮食电器研发、生产和销售的现代制造企业，拥有线下实体电器门店销售渠道、线上电商平台渠道、社交网络平台、特购渠道等销售网络，其产品生产主要以OEM外协加工为主，内部生产为辅，远销国内外多个国家和地区。经过多年的发展，九阳的信息安全保障已拥有由一级部门信息部主导管理，独立的二级建制负责整个公司所有信息安全工作。目前整体信息安全建设已达到一定规模和体系，2020年部分系统已分别获得二级和三级信息安全等级保护，并在2021年获得了信息安全管理体系认证ISO27001:2013。

九阳整体信息安全体系图

九阳的信息安全保障工作重点包含6个方面：安全治理、安全管理、安全运营、安全技术、安全风险评估、安全合规审计等。在日常的信息安全管理过程中，对于新启动的信息项目严格执行信息系统生命周期管理SDL，如安全需求分析、安全设计、安全编码、安全测试、上线评审、安全发布、运维安全、应急处理、预案与演练等过程；日常运营中，定期开展安全防护和预警，安全监控与分析工作，如流量监控、事件分析及处理等。同时，每月出具安全风险评估报告，在每年由外部第三方机构驻场进行安全合规审计，并针对合理化建议进行改善和提升。

数据是数字时代一个新的生产要素，数据能力就是企业未来高质量发展的生产力。制造业高质量发展的同时，就要更加重视信息安全，也需要用科学的方法来管理全周期的信息安全，从工业互联网、消费互联网、产业互联网等多个视角来完善信息制度，提高信息安全认知，制定一整套信息安全实施策略和方法，持续运营、不断改进，既要用好数据资源，又要保护好国家和个人的信息安全，让数据能够成为安全支撑制造业高质量发展的一个新生产要素。