信息管理与信息安全体系应该如何建设

　　导言：在e-works举办的第二届信息管理与信息安全年会上，来自企业、厂商的嘉宾和信息安全专家就信息管理与信息安全体系应该如何建设的问题进行了深入的探讨。本文根据嘉宾和专家的发言整理而成。

　　主持人：e-words的年会有一个特点，上午听了嘉宾演讲之后有，大家会有一些思考和一些问题。我们也帮大家想了一些企业普遍比较关注的问题，我们邀请今天上午五位演讲的嘉宾到台上进行一个圆桌讨论。

　　信息管理和安全是很大的话题，不同类型的企业在信息管理、信息安全体系的基础方面也不同，但每个公司都有一个体系建设的问题。首先想请曲老师给我们分析一下，制造企业，尤其是非军工的制造企业，他们在信息管理和安全方面有什么样的特点呢，请您谈谈您的体会。
 

图1 e-works总编黄培博士主持现场讨论

　　曲成义：随着工业化和信息化融合的推进，制造业在信息化方面有很大的进展，整个社会和政府都在关注，怎么样使信息化在企业的生存、发展、创新方面发挥更大的作用。这样呢，对企业的信息安全也提出了更高的要求。制造企业的关注点可能不太一样。比如核心技术，这是竞争力的体现，这些核心技术要保护好，要在竞争中发挥作用；比如说你的竞争情报，企业发展过程中，积累了很多竞争情报，如重要的客户关系。这些信息都是比较敏感，需要重点保护的内容。虽然企业信息和国家机密不一样，但这些信息的泄露、破坏、盗用都对企业的生存发展造成影响。安全对制造业来说是非常重要的。在制造业中，发展很快的是网络协同制造，制造业的上下游，产业链、供应链对制造业的发展影响很大。虽然中小企业这方面弱一些，但大型的制造业这方面都非常的鲜明。在协同制造中，安全问题就会提到日程上来。例如在网络协同过程中，你的信息链、供应链怎么监测、控制、管理。既然是链就会很多环节，环节越多，对于安全就越敏感。在这些方面，应该引起制造企业的重视。

　　现在很多企业开始进行IT外包，特别是中小企业。因为信息化的门槛比较高，中小企业可能会把自己的IT外包了，大企业除了把IT外包，可能还会把业务外包。在外包过程中，怎么能够保护企业的信息安全？这里面有制度的问题，有外包企业本身的信誉问题，也有企业本身在外包工作中安全点的控制问题。比如有些企业核心技术自己要管着，一般业务外包出去。总之这里面有很多东西是值得考虑的，制造业在这方面还有很多的发展。另外有很多制造企业建数据中心，特别是大型企业。一旦大型数据中心建成了以后，数据集中了，优势很大，但风险也集中了，如何保护大型数据安全，也是值得关注的一个问题。总之制造业有很多特点，不同的企业还是要根据自己的情况来分析。
   
　　主持人：企业在IT系统的应用过程中，肯定会出现很多问题。我想请各位谈一下，目前制造企业信息管理与安全面临着最突出的问题是什么呢？
   
　　梁良：关于信息管理和安全方面，我们公司目前比较关注是用户桌面端的安全管理。作为一个制造企业，用户的知识水平是参差不齐的，他们桌面所使用的计算机，上面所存储的数据、使用计算机的习惯以及技术水平都不同，一些员工可能会有意或者无意泄露公司的机密信息。大型的制造企业，对用户桌面端数据安全的管理是一项难度很高的工作。
   
　　陈开来：以我跟一些制造业企业的客户交流看，目前在信息安全和管理方面，一个比较大的需要提高的地方，应该是对所谓的信息基础架构的重视程度。我们的IT人员每天都的辛苦，每天工作时间非常长，而且很担心信息安全，包括内联网和外联网的信息安全。但是信息基础架构的重要性，是不是已经提升到和财务、人员同样的高度？企业最生产线的三个流，一个是资金流，一个是人流，一个是信息流。这三个是处在一样的高度，还是信息安全和信息管理的重视程度需要提升？只有把认识提高到一个比较高的程度，我们才能把接下来技术、人员、流程方面的问题逐一解决。
   
　　莫冠文：数据安全可以从三个方面入手。一是管理数据方面的安全，主要在IT桌面方面需要加强；另一个是业务流程的数据安全，业务流程的数据关系到整个业务的正常运作；第三就是制造企业的设计数据，设计数据的安全，也是我们非常重视的问题。
   
　　聂健：我更多的谈的是制造企业应用开发方面的问题。我看到了很多企业，有专注于安全的测试小组。因为安全是比较特殊的问题，需要一些特殊的技巧，发展一段时间之后，一般会需要这样的测试小组来做这样的一些事情。第二点，Web应用是越来越重要了，而且逐渐成为了企业应用的瓶颈，这方面需要做更多的努力。第三个方面，当企业越来越大之后，怎么测，怎么改，在什么阶段测，这实际上是涉及到流程的问题，实际上成为企业的策略，固化到整个开发和上线中，这样才能切实的保证应用整个的安全。
   
　　曲成义：现在有一个数据，一个单位安全事件的70%是内部出现的，内部出现事件的70%是由于培训不够，职工的误操作带来的。在这种情况下，如何加强对企业职工的安全技术和技能的培训，使员工有这方面的意识和觉悟？企业要采取相应的措施，增强系统的安全，这样会大量的减少企业的安全事故。

　　企业要设计一个安全系统，如果安全架构本身不合理，那漏洞就很难填补的。所以在搞一个企业信息化建设过程中，要重视企业信息安全的架构水平，从顶层上看有没有体系上的隐患，如果有马上修正好。
 

图2 信息安全专家曲成义在讨论中发言