安在 - CSO說安全 | 喬慶鵬：對於研發製造業企業信息安全建設的思考－鑽石舞台

由安在新媒體聯合中國網絡安全審查技術與認證中心（CCRC）共同舉辦的第二屆「超級CSO研修班」，於2022年2月27日圓滿結營。20位學員歷時5個月，完成17節專業課程，經歷名企參訪、課堂作業、私董會和賽歌會，更交付了20篇畢業論文，最終，都以優異的成績衝刺達標，獲得由CCRC和安在新媒體聯合頒發的結業證書。

第二屆「超級CSO研修班的學員們分布更加廣泛，不僅有銀行、證券、保險、運營商、互聯網，更涵蓋了汽車、快遞、快消、諮詢、智能製造等多個領域。在導師引領和課程啟發下，其所完成的畢業論文，也都極具代表性，是各自相關領域網絡安全建設、實踐與思考的精華之作。

本着分享交流之精神，我們特別精選幾篇，以連載的方式呈現公眾。希望借「CSO說安全」，讓更多CSO們關注、支持並參與到CSO文化的沉澱積累和廣泛傳播中來。

CSO說安全：對於研發製造業企業信息安全建設的思考

喬慶鵬

某研發製造業安全經理

一、製造業信息安全現狀

不同於金融業企業，在製造業中，由於鮮有監管單位直接約束，企業中信息安全重視程度普遍較低，安全發展的進程也普遍緩慢。企業更加重視「應用性」，輕「安全性」，更加重視技術研發、生產效率、銷售渠道、利潤空間，而輕視企業運作各環節中的安全風險。例如，普遍沒有設立信息安全委員會等組織，基礎架構等硬件條件較差、缺乏最基本的穩定保障，制度缺失、欠完善，沒有信息安全保障措施，甚至大部分員工對於信息安全的理解就是消防安全、人身安全、黑客攻擊，公司重要資料隨意散落，貼滿密碼小紙條的顯示器等。這種背景下，能直接推動信息安全進程向前邁進的就剩下「客戶要求」、「事件驅動」、「老闆重視」（有時候也是吃了虧才重視）了。通常場景如下：

一是客戶對信息安全的要求較高，而企業作為供應商，必須具備某些資質，如ISO27001等，目的是要求企業從生產準備到成品售出的每個環節都有體系化的安全保障措施，企業為了產品銷售不得不被動投入部分精力滿足資質要求，但大多數時候可能只做了些表面功夫。

二是企業嘗過輕「安全性」後的苦果，例如，企業產品核心信息因為涉密員工被競爭對手挖角導致流入競爭對手處，企業核心競爭力因此減弱。再例如，因為安全事件導致生產線機器停運，工廠廠長在規定時間內完不成客戶訂單等。當這些不利局面出現時，企業、老闆才會逐漸注意到安全。

二、研發製造業信息安全建設開篇

對於一個入局研發製造業的信息安全負責人以及其麾下團隊，一定要保持客觀務實、做事嚴謹的安全從業人員基本素質，在信息安全開篇不久、百廢待興的起點時刻，切忌過於盲目推動。由於研發製造業的安全建設起因多半是因為業務需要被保護，因此，信息安全建設應當先始於業務、服務業務，才能逐漸升級到引導業務。

所以在為企業做信息安全規劃前，必定要經歷一個痛苦的階段：對業務不夠了解，工作不知道從哪先開展，除了同行沒人知道你是做什麼的。而這個階段能否安然度過，決定了信息建設道路是否走偏、是否合適，也決定了安全團隊能否生存。

筆者認為，研發製造類企業信息安全成熟度可以分為五級，一到五級分別對應「安全風險不可控」、「基本正式化」、「基本可控」、「全面可控」、「最優化」，每個階段由於特點不同，建設思路也要有所不同。總體思路藍圖如下：

筆者重點依次討論下前三個階段的想法。

三、第一級「安全風險不可控」階段

這個階段，可以概括為「救火式安全」，幾乎無安全能力可言，也是最艱難的階段，此時可能還沒有信息安全專崗。作為新官上任的安全負責人，筆者認為第一件事不是「坐着」，而是要「跑起來」，短期內要儘快熟悉公司組織架構，了解各部門職責以及相互間工作關聯機制，在CIO授權或者陪伴下出動出擊拜訪各部門一把手：一是拜碼頭，初步建立個人印象，爭取未來工作上的提前支持的態度，哪怕暫時只是口頭形式；二是在交談中了解業務部門痛點，引導提問和求助，收集和記錄各類需求，這些是支撐未來工作的有力依據。同時最重要的，是說服老闆對於信息安全資金和人力的投入，因為數字將會很高昂，所以需獲得資金上的支持。

不同於金融企業、互聯網等企業安全起步早、接受度高，在這個階段，信息安全負責人不要急於讓企業內員工快速吸收信息安全的理念，而是在熟悉了企業內部機制後，進行「漸進式」式布局。筆者認為，由於製造業互聯網應用相對較少的特點，不太易招惹網絡攻擊，企業最重要的痛點是研發信息內部泄密導致的企業存亡問題，因此大方向上應當首先開展「數據安全」領域的工作。而企業在此階段，信息化水平普遍較低，大量研發敏感信息仍然主要存儲在辦公電腦、紙質圖紙、移動硬盤等介質上，進入數據中心的數據還比較稀少；且企業信息泄密，更多的是內部泄密。於是，「終端數據安全」就成為了信息安全建設布局的切入點。在這個方向上動刀改革，企業用戶將能第一時間感受到改變，也是喚醒企業整體安全意識的最佳時機。

此時，企業安全負責人同步需要在信息安全管理、信息安全技術、信息安全運營方向招募合適人選，組成精幹的小型團隊（視公司具體情形，可盡力爭取到5人），共同承載即將開拓的第一片戰場：

1、圍繞終端安全開展的一系列建設和優化工作，例如終端准入、終端殺毒、DLP、文件加密、上網行為策略逐漸收緊、第一批研發上桌面雲（可分多期）、USB管控等；

2、信息安全體系的布局，圍繞信息安全組織，開始制度覆蓋、安全意識宣傳、信息安全委員會設立、入職安全培訓、全員安全知識考試、安全點檢審計等。

以上工作報備獲得支持後，在開展的過程中，一定會先進入全員反彈期，此刻安全團隊要頂住壓力，繼續推動建設以及意識宣傳等工作。之後，將逐步進入半推半就期，此時，隨着工作的深入，已有較多企業員工逐漸認識到信息安全能帶來的好處，且有領導壓陣，不接受的員工也將不得不服從。期間設立各部門安全專員，培養種子員工。以上階段，通常需要一年左右的時間沉澱並過渡，同時這一年下來的安全投入也十分巨大，預計成本至少千萬級別。

四、第二級「基本正式化」階段

此階段，可以概括為「預防式」安全，企業已經初具信息安全能力，信息安全在眾多場合均有展露痕跡，但形式仍然不夠樂觀：

1、從人的角度，部分企業員工為了方便，想方設法繞過信息安全措施而且經常成功；

2、從流程的角度，安全還未深度切入生產各環節，不清楚資產變化情況；

3、從技術的角度，匆忙建成的終端管控水土不服，既沒都防住、員工也不方便，數據中心安全空白，滲透一馬平川等。

在仍然是四處漏風的環境，一邊不能停止策略調優的腳步，一邊要抓起信息安全的「隊友們」，即各產品線（包括開發）、基礎架構等，拉通系統外購技術評審、系統上線與日常變更，從各維度安全基線、開發安全要素方面，功能場景安全因素先控制增量。而存量由於積累較多、精力有限，可一步步漏掃、記錄，選取暴露在互聯網的極危、高危優先處置。

對外，要開始展現信息安全的影響力輸出（舉例子）：

1、根據安全技術工具提取的數據，對各部門長、信息安全委員會成員定期輸出高風險行為用戶清單，體現安全審計能力；

2、根據定期各場景審計，通報批評部分嚴重違反信息安全規章制度的員工，與業務、人力溝通績效懲罰機制；

3、申請適宜的專項資金，表揚對信息安全提出改進建議、上報隱患的積極員工，定期地給予物質獎勵；

4、持續加強與業務部門溝通，協助業務部門選型上線滿足業務要求且安全過關的應用產品；

5、各類排行榜公布，如釣魚郵件中招率、安全考試成績高分率等；

…

即做「面上」，也要下足了「里子」：

1、數據中心安全建設，即將數據保護在數據中心圍籠內、業務連續性、防攻擊等。如邊界建設、縱深防禦、暴露面收斂、災備設計等。初步建立數據中心安全基礎防護；

2、繼續研發上桌面雲，加快研發數據不落地；

3、嘗試數據分級分類，DLP逐部門駐點調試精度；

4、全員加密推行、研發數據內部密文流轉；

…

嗯，又是艱苦奮鬥的一年，為了澄清前兩個階段主要圍繞的建設內容，筆者匯總為以下的層狀圖：

五、第三級「基本可控」階段

此階段，終於可以勉強稱為「深入業務的安全」，隨着研發大批量上桌面雲、DLP的逐部門掃蕩、周期性的安全獎懲與排名、各評審會議安全的參會發言、權限的限制與發放等，安全在企業內部的影響力初步建立。我們會欣喜地發現，IT內部工作開展、業務部門各類涉及技術的需求，都有事先徵詢安全意見的趨勢，企業安全局面逐漸打開。

此時，也不是沾沾自喜的階段，依然還有很多危機：

1、安全直接投入、安全影響導致整改的間接投入累計金額巨大，審計關注將成必然，投入產出比要做定性與定量分析；

2、安全經手數據越發機密，安全內審與權限分離要做好榜樣；

3、安全技術工具堆積已達一定程度，增長趨勢應逐漸放緩，我們用好了嗎？有人用心運維嗎？

4、真正的內鬼，我們能幫業務部門及時發現嗎？

5、有黑客進來過？我們是否知道？核心的ERP、MES、SRM等製造業關鍵系統會被攻擊嗎？

…

以上各類問題，驅使着我們除了安全管理和安全技術的快速建設之餘，必須要補足安全運營的進度。筆者總結了安全技術、安全管理、安全運營的邏輯關係如下圖：

安全運營是安全正常運轉的核心。我們需要着手開始建設自己的安全運營中心，可分為幾期落實，將人、流程、工具這幾類安全運營的基礎有效結合，筆者總結邏輯圖如下：

這是一件很有挑戰的事情，包括安全成熟度較高的金融業，這些能做好的也是相對稀少。

安全團隊也要敞開心扉，多與同業交流規則技巧、吸取優秀經驗，促進內部運營快速成型。當然，本階段還有很多能做、需要做的安全工作，筆者就不再贅述了，如Devsecops、SDLC、工控安全等更加深入、專業的工作等，好的方向有很多，還是要結合企業實際評估必要性、投入多少精力等。至於「全面可控」、「最優化」這兩個階段，筆者還未親身經歷，但有對標就有動力，如下是部分安全做得較好的研發企業六方圖，僅供參考：