电子制造行业信息资产安全防护策略

美国可口可乐公司前任董事长罗伯特•士普•伍德鲁夫曾说, 即使我的工厂被大火毁灭,即使遭到世界金融风暴,但只要给我留下可口可乐的品牌和配方,我还能东山再起,还能重新开始。有人认为,这是在强调品牌的力量,也有人认为,这是强调信息资产的重要性。

进入信息社会,对于一些信息资产安全的重要性逐步开始超越实物资产的重要性。2014年2月27日,中央网络安全和信息化领导小组宣告成立,中共中央总书记、国家主席、中央军委主席习近平亲自担任组长,李克强、刘云山任副组长。这是中国共产党落实十八届三中全会精神的又一重大举措,既表明了网络信息安全目前面临的形势任务复杂和所处地位的重要,也标志着中国已把信息化和网络信息安全列入了国家发展的高战略方向之一。从国家信息安全的危险看,外部威胁大于内部威胁,反黑客攻击、清除木马和僵尸控制等是国家信息安全防护的重点。

而对于电子制造企业而言,信息资产的安全防护同样重要。而从企业信息安全的危险来看,内部威胁大于外部威胁,信息盗窃的风险高于实物资产的盗窃风险。防止内部盗窃信息资产是企业信息安全管理的重点。然而,对于像可口可乐这样的传统企业还好,信息机密也许就是那张配方;对于以电子信息资产为核心竞争力的电子制造企业来说,需要保护的信息机密就多了,行业领先者的代码、文档、图纸、规划乃至内部管理流程、规范和模板或者培训材料,都是竞争对手欲得之而后学的信息资产。范围之广,防线之漫长,就如同中国超过2.2万公里的漫长国境线一样,防守难度之大可想而知。攻击一点而溃全局的问题时时都是存在的。

一般而言,我国电子制造企业信息安全管理策略上此前大多以防守为主,更多的是从物理隔离、网络隔离、权限管理、文档保密、对外信息传输通道控制等多方面进行控制,通过日常检查、流程管控、日常扫描和事后审计等措施来落实控制力度,带来的问题一方面信息安全管理部门耗时耗力,员工则由于经常被检查和处罚而心生怨言,经常会认为公司不相信自己,以小人之心度君子之腹,降低了自己的工作效率,主管领导则经常需要在安全和效率之间寻求平衡,另一方面则是随着电子制造企业行业发展,其企业规模的扩大,信息安全部门需要的投入也需要成倍的扩大,这也带来信息安全管控成本的扩大。

如何来应对这些威胁和风险呢? 结合当前新技术的发展,个人认为,虚拟化、集中云化和分级分区域管理是电子制造企业信息安全管理的发展方向,而“集中数据于云端,简化终端管控,监控网络边界,以管道技术监控替代人为关卡盘查”则是以电子信息资产为核心的企业后续的达成目标的主要原则。具体而言:

1

集中数据于云端是关键

如果企业的关键数据和信息散落到员工个人的电脑或者各个独立的物理服务器上,要想完全做好防范几乎是不可能的。数据的广泛性、人心的不可知以及网络范围大多广泛决定了分散防守是非常容易被各个击破的。预期费心费力去保护放在很多篮子的鸡蛋,不如把鸡蛋放在一篮子里,然后,把篮子看好。这个篮子,就是企业私有云,电子制造行业的私有云正在逐步形成。

2

简化终端管控是收益

将关键数据和信息大集中到私有云之后,企业员工日常工作需要的就是远程接入,对于信息的使用仅限于云端而不是终端。全面放开终端管控,给员工以充分的自由就会成为现实,从而实现员工个人自由效率和企业信息安全管控之间的有效均衡。从这一简化终端管控环节,就能提升电子制造企业的整体效能。

3

分级分区管控是保障

对于电子制造企业来说,随着新的产品的不断推出,数据量的产生速度是惊人的,越大的公司,数据增长的速度越快。如果简单的把所有的数据全部集中到一起,采用完全一致的管控手法,一方面成本将会很高,另一方面,员工感受也会收到影响,这就需要将信息资产进行分级分层,划分不同的区域,采用不同的管控措施,从而达到成本与安全的均衡。

4

以技术监控替代人工检查是手段

在表面上放开人工管控之后,后台技术手段的监控就要逐渐起到更重要的作用,水印、行为监控、日志审查、内容审计等技术监控手段将取代人工自动化管理信息安全风险,更加高效,更加智能化。

5

提升员工归属感是根本

俗话说,魔高一丈,道高一丈。如果企业能够提升员工的归属感,让员工能够时刻主动为企业利益出发,而不是总是在考虑如何挖企业的墙角,才是电子制造企业信息安全防护的根本。孙子《谋攻篇》说:“故上兵伐谋,其次伐交、其次伐兵,其下攻城”。要想从根本上解决电子信息制造企业的信息安全防护问题,攻心为上的古训才是根本。

作者:李煜浩,北大纵横合伙人