信息化觀察網(wǎng)

美國可口可樂公司前任董事長羅伯特•士普•伍德魯夫曾說,即使我的工廠被大火毀滅,即使遭到世界金融風(fēng)暴，但只要給我留下可口可樂的品牌和配方，我還能東山再起，還能重新開始。有人認(rèn)為，這是在強(qiáng)調(diào)品牌的力量，也有人認(rèn)為，這是強(qiáng)調(diào)信息資產(chǎn)的重要性。

進(jìn)入信息社會，對于一些信息資產(chǎn)安全的重要性逐步開始超越實(shí)物資產(chǎn)的重要性。2014年2月27日，中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組宣告成立，中共中央總書記、國家主席、中央軍委主席習(xí)近平親自擔(dān)任組長，李克強(qiáng)、劉云山任副組長。這是中國共產(chǎn)黨落實(shí)十八屆三中全會精神的又一重大舉措，既表明了網(wǎng)絡(luò)信息安全目前面臨的形勢任務(wù)復(fù)雜和所處地位的重要，也標(biāo)志著中國已把信息化和網(wǎng)絡(luò)信息安全列入了國家發(fā)展的最高戰(zhàn)略方向之一。從國家信息安全的危險看，外部威脅大于內(nèi)部威脅，反黑客攻擊、清除木馬和僵尸控制等是國家信息安全防護(hù)的重點(diǎn)。

而對于電子制造企業(yè)而言，信息資產(chǎn)的安全防護(hù)同樣重要。而從企業(yè)信息安全的危險來看，內(nèi)部威脅大于外部威脅，信息盜竊的風(fēng)險高于實(shí)物資產(chǎn)的盜竊風(fēng)險。防止內(nèi)部盜竊信息資產(chǎn)是企業(yè)信息安全管理的重點(diǎn)。然而，對于像可口可樂這樣的傳統(tǒng)企業(yè)還好，信息機(jī)密也許就是那張配方；對于以電子信息資產(chǎn)為核心競爭力的電子制造企業(yè)來說，需要保護(hù)的信息機(jī)密就多了，行業(yè)領(lǐng)先者的代碼、文檔、圖紙、規(guī)劃乃至內(nèi)部管理流程、規(guī)范和模板或者培訓(xùn)材料，都是競爭對手欲得之而后學(xué)的信息資產(chǎn)。范圍之廣，防線之漫長，就如同中國超過2.2萬公里的漫長國境線一樣，防守難度之大可想而知。攻擊一點(diǎn)而潰全局的問題時時都是存在的。

一般而言，我國電子制造企業(yè)信息安全管理策略上此前大多以防守為主，更多的是從物理隔離、網(wǎng)絡(luò)隔離、權(quán)限管理、文檔保密、對外信息傳輸通道控制等多方面進(jìn)行控制，通過日常檢查、流程管控、日常掃描和事后審計等措施來落實(shí)控制力度，帶來的問題一方面信息安全管理部門耗時耗力，員工則由于經(jīng)常被檢查和處罰而心生怨言，經(jīng)常會認(rèn)為公司不相信自己，以小人之心度君子之腹，降低了自己的工作效率，主管領(lǐng)導(dǎo)則經(jīng)常需要在安全和效率之間尋求平衡，另一方面則是隨著電子制造企業(yè)行業(yè)發(fā)展，其企業(yè)規(guī)模的擴(kuò)大，信息安全部門需要的投入也需要成倍的擴(kuò)大，這也帶來信息安全管控成本的擴(kuò)大。

如何來應(yīng)對這些威脅和風(fēng)險呢？結(jié)合當(dāng)前新技術(shù)的發(fā)展，個人認(rèn)為，虛擬化、集中云化和分級分區(qū)域管理是電子制造企業(yè)信息安全管理的發(fā)展方向，而“集中數(shù)據(jù)于云端，簡化終端管控，監(jiān)控網(wǎng)絡(luò)邊界，以管道技術(shù)監(jiān)控替代人為關(guān)卡盤查”則是以電子信息資產(chǎn)為核心的企業(yè)后續(xù)的達(dá)成目標(biāo)的主要原則。具體而言：

1、集中數(shù)據(jù)于云端是關(guān)鍵

如果企業(yè)的關(guān)鍵數(shù)據(jù)和信息散落到員工個人的電腦或者各個獨(dú)立的物理服務(wù)器上，要想完全做好防范幾乎是不可能的。數(shù)據(jù)的廣泛性、人心的不可知以及網(wǎng)絡(luò)范圍大多廣泛決定了分散防守是非常容易被各個擊破的。預(yù)期費(fèi)心費(fèi)力去保護(hù)放在很多籃子的雞蛋，不如把雞蛋放在一籃子里，然后，把籃子看好。這個籃子，就是企業(yè)私有云，電子制造行業(yè)的私有云正在逐步形成。

2、簡化終端管控是收益

將關(guān)鍵數(shù)據(jù)和信息大集中到私有云之后，企業(yè)員工日常工作需要的就是遠(yuǎn)程接入，對于信息的使用僅限于云端而不是終端。全面放開終端管控，給員工以充分的自由就會成為現(xiàn)實(shí)，從而實(shí)現(xiàn)員工個人自由效率和企業(yè)信息安全管控之間的有效均衡。從這一簡化終端管控環(huán)節(jié)，就能提升電子制造企業(yè)的整體效能。

3、分級分區(qū)管控是保障

對于電子制造企業(yè)來說，隨著新的產(chǎn)品的不斷推出，數(shù)據(jù)量的產(chǎn)生速度是驚人的，越大的公司，數(shù)據(jù)增長的速度越快。如果簡單的把所有的數(shù)據(jù)全部集中到一起，采用完全一致的管控手法，一方面成本將會很高，另一方面，員工感受也會收到影響，這就需要將信息資產(chǎn)進(jìn)行分級分層，劃分不同的區(qū)域，采用不同的管控措施，從而達(dá)到成本與安全的均衡。

4、以技術(shù)監(jiān)控替代人工檢查是手段

在表面上放開人工管控之后，后臺技術(shù)手段的監(jiān)控就要逐漸起到更重要的作用，水印、行為監(jiān)控、日志審查、內(nèi)容審計等技術(shù)監(jiān)控手段將取代人工自動化管理信息安全風(fēng)險，更加高效，更加智能化。

5、提升員工歸屬感是根本

俗話說，魔高一丈，道高一丈。如果企業(yè)能夠提升員工的歸屬感，讓員工能夠時刻主動為企業(yè)利益出發(fā)，而不是總是在考慮如何挖企業(yè)的墻角，才是電子制造企業(yè)信息安全防護(hù)的根本。孫子《謀攻篇》說：“故上兵伐謀，其次伐交、其次伐兵，其下攻城”。要想從根本上解決電子信息制造企業(yè)的信息安全防護(hù)問題，攻心為上的古訓(xùn)才是根本。