2019 CIOC全國(guó)CIO大會(huì)5月23日在烏魯木齊盛大舉辦，來(lái)自全國(guó)的眾多CIO共聚一堂，最接地氣的觀點(diǎn)、最實(shí)用的實(shí)戰(zhàn)經(jīng)驗(yàn)、最前沿的技術(shù)、最新的產(chǎn)品在此匯聚，碰撞出屬于CIO的精彩火花。

以下為現(xiàn)場(chǎng)速記。

前途汽車 CIO 邢紅波

邢紅波：各位IT同行，大家中午好！我看了一下表，現(xiàn)在是11：40，按計(jì)劃應(yīng)該是我演講結(jié)束的一個(gè)時(shí)間，我爭(zhēng)取在組委會(huì)給我的25分鐘時(shí)間內(nèi)把想給大家分享的東西的每個(gè)點(diǎn)都能講到。今天在會(huì)場(chǎng)的我想是證明我們CIO到新疆來(lái)，除了欣賞大美新疆的風(fēng)景之外，最重要的一點(diǎn)還是要學(xué)習(xí)。所以我上臺(tái)之前特意把外套脫了，我希望我赤膊上陣，用我最佳的狀態(tài)，不辜負(fù)大家的期望。

在開始演講之前，我做一個(gè)小的調(diào)查，各位的企業(yè)有沒(méi)有企業(yè)的發(fā)展規(guī)劃，中期的或者長(zhǎng)期的有沒(méi)有，各位舉一下手，我看一下。有沒(méi)有做信息化發(fā)展規(guī)劃的，這個(gè)好像更少一點(diǎn)，謝謝大家！為什么這樣說(shuō)呢？因?yàn)槲医裉旖o大家分享的是我們整個(gè)信息化建設(shè)里面的一個(gè)分支，叫信息安全建設(shè)的規(guī)劃。為什么提出這個(gè)問(wèn)題來(lái)呢？其實(shí)我們?cè)谡麄�(gè)信息化安全建設(shè)過(guò)程中，可能大家會(huì)共同碰到的困惑會(huì)有兩點(diǎn)：第一，我們的信息安全建設(shè)是碎片化、不成體系的，大多數(shù)情況下頭痛醫(yī)頭，腳痛醫(yī)腳，碰到什么樣的問(wèn)題就買什么樣的產(chǎn)品。第二個(gè)難點(diǎn)，我們做信息安全投入預(yù)算非常難，經(jīng)常被管理層、決策層詬病，你們?yōu)槭裁纯偸菦](méi)完沒(méi)了的在上面做投入呢，解釋起來(lái)也很困難。

基于這一點(diǎn)，從我們自己的角度看，因?yàn)槲疫@個(gè)人做事，我在前一個(gè)企業(yè)干過(guò)大概4年半左右的規(guī)劃技術(shù)部的工作，所以我喜歡做事先從規(guī)劃入手，凡事預(yù)則立，不預(yù)則廢，這是我個(gè)人的一個(gè)工作習(xí)慣。因?yàn)槲覀兤�車行業(yè)在整個(gè)前途工廠建設(shè)的過(guò)程中，這三年我們從無(wú)到有建設(shè)一個(gè)新工廠，但是目前我們面臨的信息安全方面的風(fēng)險(xiǎn)也非常多，主要原因是電動(dòng)汽車行業(yè)國(guó)家有了非常多的法規(guī)上面的限制，所以這是我們整個(gè)做安全規(guī)劃的一個(gè)小的企業(yè)自身的背景。閑話少說(shuō)，正式進(jìn)入我今天的PPT分享環(huán)節(jié)。

我今天給各位同行分享四個(gè)內(nèi)容：第一是企業(yè)信息安全面臨的風(fēng)險(xiǎn)和挑戰(zhàn)，第二是信息規(guī)劃的策略和目標(biāo)是什么，第三是信息規(guī)劃的理念，第四是規(guī)劃實(shí)施的具體落地的方式和方法。

這里面可能有一些特殊的東西，更多的在企業(yè)信息化安全建設(shè)里面是共性的東西比較多，因?yàn)槠�車行業(yè)有一些特殊的要求。像很多企業(yè)做體系認(rèn)證的時(shí)候，我們一般都過(guò)ISO9000，但是汽車行業(yè)里面還有一個(gè)另外一個(gè)要求，他要過(guò)ITF16949，汽車行業(yè)的同行應(yīng)該都知道。因?yàn)閯偛胖刚埔椎亩】偡窒淼臅r(shí)候談了很多企業(yè)安全面臨的東西，我不再展開給大家闡述了。

我們現(xiàn)在主要的背景，信息安全面臨的風(fēng)險(xiǎn)，主要是數(shù)字化轉(zhuǎn)型，企業(yè)需要對(duì)數(shù)字資產(chǎn)進(jìn)行合理的有效的保護(hù)。隨著企業(yè)數(shù)字化轉(zhuǎn)型的深入，線上線下一體化數(shù)字化雙胞胎運(yùn)營(yíng)的逐步實(shí)現(xiàn)，信息資產(chǎn)已經(jīng)成為企業(yè)最有價(jià)值、最有競(jìng)爭(zhēng)力的核心資產(chǎn)。如何更合理、更高效的實(shí)現(xiàn)數(shù)字資產(chǎn)的保護(hù)，對(duì)信息安全提出了更高的要求。其實(shí)我個(gè)人認(rèn)為，企業(yè)在工業(yè)互聯(lián)網(wǎng)時(shí)代或者是我們之前說(shuō)的中國(guó)制造2025以及工業(yè)4．0提出的一些要求上看，西門子提出數(shù)字化雙胞胎的概念，我個(gè)人覺(jué)得更準(zhǔn)確的描述了未來(lái)企業(yè)經(jīng)營(yíng)管理的狀態(tài)。

借用我們?cè)瓉?lái)在消費(fèi)互聯(lián)網(wǎng)的一個(gè)概念叫O2O的概念，就是線上線下一體化，我們的數(shù)字化雙胞胎其實(shí)是在企業(yè)的運(yùn)營(yíng)過(guò)程中未來(lái)最終的目標(biāo)是實(shí)現(xiàn)企業(yè)的經(jīng)營(yíng)和生產(chǎn)運(yùn)營(yíng)線上線下一體化，這是我們對(duì)數(shù)字化雙胞胎的一個(gè)認(rèn)識(shí)，包括企業(yè)數(shù)字化轉(zhuǎn)型的一個(gè)認(rèn)識(shí)。

第二，工業(yè)互聯(lián)網(wǎng)建設(shè)要企業(yè)與之匹配的安全管控能力。互聯(lián)網(wǎng)時(shí)代，OT、CT快速融合，IOT模糊了傳統(tǒng)安全邊界，數(shù)據(jù)安全是工業(yè)互聯(lián)網(wǎng)面臨的最大閉了之一，開展針對(duì)性的信息安全建設(shè)是構(gòu)架堅(jiān)固的網(wǎng)絡(luò)安全系統(tǒng)，管理脆弱環(huán)節(jié)，保護(hù)敏感信號(hào)與知識(shí)產(chǎn)權(quán)的有效途徑。如果各位買了國(guó)外的系統(tǒng)是比較難管控的，他必須要求你開放，通過(guò)我們自己的網(wǎng)絡(luò)去做。這是我們現(xiàn)在面臨的問(wèn)題，包括很多企業(yè)也提供遠(yuǎn)程診斷跟蹤和服務(wù)，這實(shí)際上就是我們面臨的一個(gè)很典型的問(wèn)題。我們面臨諸多的IO等不同的協(xié)議，我上個(gè)月在成都參加了一個(gè)全國(guó)信息安全峰會(huì)，聽了專家講，我自己聽了以后也很吃驚，我們?cè)谛畔�安全領(lǐng)域老企業(yè)的改造要面對(duì)的工控協(xié)議將近有300多種。其實(shí)我們企業(yè)很幸運(yùn)，我們是一個(gè)新建企業(yè)，我們企業(yè)在規(guī)劃之前就和工業(yè)部門（我們內(nèi)部叫信息制造部）達(dá)成了共識(shí)，我們的信息不要參與進(jìn)去，我們就確定了了選一個(gè)供應(yīng)商、選一類產(chǎn)品，便于以后的管理，我們企業(yè)在工控環(huán)節(jié)用兩種協(xié)議管控就OK了。

第三，利益驅(qū)動(dòng)下的信息安全事件貧乏給企業(yè)造成巨額經(jīng)濟(jì)損失。在當(dāng)今信息即可財(cái)富的背景下，越來(lái)越多的黑客組織投身于信息資產(chǎn)的竊取，攻擊手段變幻莫測(cè)，而且攻擊渠道日益變換，IOT設(shè)備、工業(yè)網(wǎng)已經(jīng)成為不法黑客的攻擊重點(diǎn)，為整個(gè)網(wǎng)絡(luò)安全環(huán)境帶來(lái)全新挑戰(zhàn)。未來(lái)大量的機(jī)械手和機(jī)械設(shè)備被黑客攻擊之后會(huì)傷人，這不僅僅是資產(chǎn)的損失，可能會(huì)影響到營(yíng)商的狀態(tài)。原來(lái)的黑客是炫技，沒(méi)有太多的利益訴求，但是近幾年來(lái)大家遭到的攻擊幾乎都是有經(jīng)濟(jì)利益訴求的。以前的沒(méi)有經(jīng)濟(jì)利益訴求，有了經(jīng)濟(jì)利益訴求，我們面臨的背景會(huì)更復(fù)雜。