软考安全案例：趋势服务重机制造业信息安全

　　这一次我们的报道指向了黑龙江省齐齐哈尔市——一个典型的高纬度工业城市，位于“哈大齐工业走廊”的最西端。建国以来，倚靠资源优势和政策扶植，齐齐哈尔形成了典型的工业文化，打下了良好的重工业基础，诞生了一大批国内顶尖的重型加工制造企业，中国第一重型机械集团公司(中国一重)就是其中之一。始建于1954年的中国一重，前身是第一重型机器厂。1995年实行国家计划单列，成为中央直接管理的国有重要骨干企业之一。中国一重是国内最大的铸锻钢生产基地，每年可提供优质钢水20万吨，最大铸件500吨，生产技术装备的精度和制造能力达到国际先进水平，是重型机械加工行业的典型代表。

　　虽然室外还是零下三十度的严寒。但满眼望去，中国一重的车间里依然一派热火朝天的景象：大单不断。对于一重来说，忙碌早已经成为一种常态。

　　维持生产线上这种忙碌的状态，需要后方做好大量的保障工作——电力保障、人力保障、资源保障等等。当然，现代化的重型加工企业中，信息安全保障也绝对不可或缺。

　　“现在的大型重机工厂已经基本实现了信息化，九成以上的机器直接由中央控制台控制，通过内网操作，实现即时管控，人工干预只在极少的情况发生。如果内网遭遇病毒入侵，后果难以想象”，中国一重IT组闫博打了一个形象的比喻，如果工厂的信息保障工作做不好，被病毒入侵，就好比一个人进入感冒状态，手脚完全不听指挥，其他的生产、防疫系统全部形同虚设。

　　相比其他行业，重型制造业有着更强的信息化需求。近些年来，能源及原材料价格的持续上涨，重型制造业面临着前所未有的成本压力。人力、资源成本不断攀高，降低管理成本成为行业突破口，信息化是一条很好的解决途径。多家钢企都在尝试信息化转型，通过现代化管理降低管理成本，淘汰落后产能，实现企业结构优化。

　　“集团对信息安全非常重视，但很多时候还停留在硬件层面，软件方面投入还不多”，闫博介绍道。“重硬轻软”也正是制造业的普遍状态，不过当下越来越频繁的网络攻击让这种观念有所改变。“我们也在尝试部署专业的企业级安全产品，比如去年年初购买的趋势中小企业包5.0，效果非常不错”，闫博笑着说，现在已经逐渐迈入“重软轻硬”的时代了。

　　解决了“软硬问题”，还有“内外问题”。不仅在重型机械制造业，银行、汽车、电信等多数行业普遍信奉“二八法则”，即内网与外网安全投入比例约为2:8，将信息安全防御的重点放在防御外网威胁上。不过，今天看来这套法则越来越不适用。“经常会一些误操作，或者U盘病毒导致内网故障，引发一系列的问题，外网的威胁反而微不足道”。闫博认为，今天的内网管理已经不再是简单的监控审计、数据加密，而是涵盖到身份认证、授权管理等方面，需要一个强大的协作平台，解决内网面临的诸多问题。

　　“一款安全产品的内网安全方面做得如何，要涉及到很多细节的处理，比如邮件管理”，闫博介绍道，当下邮件已经成为内网使用最为频繁的应用之一，邮件能否安全送达，邮件病毒能否快速查杀、邮件保密性如何……都成为考量一款安全软件性能的重要指标。“这些方面，趋势做得还不错。”

　　“客观来说，除了IT组的同事，集团内部其他员工的安全意识和IT水平参差不齐。之前使用的一款安全产品很多时候需要人工操作，由于误操作，曾经给我们的生产工作带来过一些麻烦。”这让闫博感到一些无奈，任何一家企业中，人员误操作总是成为信息安全的一大隐患，“想要避免的话只有依靠安全产品的全面自动化，减少人为管理的次数，这样才降低了误操作的几率”，闫博认为，一款安全产品优秀与否，智能管理的程度非常重要。

　　“制造业的信息安全有个很典型的特点，就是各部门、各公司‘各自为政’，容易造成网络安全的孤岛，缺乏沟通与协同管理”。由于各子公司之间职能独立，可以独自完成工作，平时少有往来，这样就形成了一个个信息安全的“孤岛”。“上下级网络间没有很好的联动管理和维护，信息安全资源不共享，这都成为影响企业信息安全建设的壁垒”。

　　“信息安全软件的采购是一种危机投资、前瞻性部署，等你真正发现问题再去亡羊补牢，等着你的可能是非常严重的损失。”