• 关于我们 联系我们
当前位置:安全行业动态 → 正文

张礼立:信息安全是实现中国制造2025的新挑战

责任编辑:editor006 作者:张礼立 |来源:企业网D1Net  2016-04-11 17:14:19 本文摘自:新浪智库

文|张礼立,盘古智库学术委员、智慧城市研究中心秘书长,玖道科技首席战略官

李克强总理在本次政府工作报告中提出,要实施“中国制造2025”,加快从制造大国转向制造强国。对中国企业提出了由大到强的制造业发展的方向,把制造业和信息化推向了一个前所未有的高度,其中把先进制造和高端装备,新一代信息通信技术产业、高档数控机床和机器人、等10领域作为发展重点。总体上看,作为中国制造强国战略的行动纲领,智能化的中国制造必定需要国内的信息化企业与制造业企业携手共创。

从哲学的高度审视,信息本身的是物质的普遍属性,是客观存在事物有序性的度量。任何事物只要存在一定的“序”,它就包含着一定的信息。因此,信息是客观世界无私地“馈赠”于人类的无形的宝藏。然后,如果信息的安全出了问题,就无法保护信息的价值,这和人生如果失去安宁,那就失去做人的价值是一样的。

信息化与工业化深度融合,意味着跨领域的全面一体化合作以及大数据信息交叉的融合。随着互联网特别是移动互联网的高速发展,越来越多的企业的信息安全的范围从传统的IT系统延伸到了工业系统,工业控制系统自身存在的安全漏洞加上物联网化带来的广泛安全威胁,使安全问题被视为未来实现中国制造2025在管理上的又一新挑战。

根据《福布斯》显示,电子安全是面临服务信息块的三大问题之一,在2012年所有攻击的31%瞄准了小于250人的企业单位。无论这攻击是来自外部还是内部无聊的雇员,维护安全的成本都很可观,容易把小企业逼上绝路。2013年国家互联网应急中心监测发现,境内1.5万台主机被APT木马控制。针对境内网站的钓鱼站点有90.2%位于境外,境内1090万余台主机受到境外服务器控制,其中美国占30.2%。

中国互联网协会发布《中国互联网发展报告(2014)》,数据显示,去年中国境内6.1万个网站被境外通过植入后门实施控制,较2012年大幅增长62.1%。境内网站跨平台钓鱼攻击增多,基础网络信息系统、移动互联网环境等均产生较多安全风险。除了境外攻击,境内网络安全隐患也存在不断增长态势。数据显示,2013年,针对我国银行等境内网站的钓鱼页面数量和涉及的IP地址数量分别较2012年增长35.4%和64.6%。

发展服务型制造和生产性服务业是创新的未来。所有的这些目标的实现就是基于人人互联,物物互联,生产设备和环境的互联形成的新的工业智能共同体。工业智能共同体的实现为广大的中国工业信息服务产业发展带来了春天般的新鲜气的同时又带来了新的挑战。“从百里不同凡,千里不同俗”在逐步接纳和认同其“最佳实践”的过程中,基于受到强大的习惯的抵触和新技术的广泛采纳的两头化特点,目前的工业信息服务流程管理和信息安全管理已经不完全适用于今天的云化大数据工业时代的需求,我们迫切需要深入变革。

就当前的信息安全建设驱动来看,主要来自政策性合规驱动和市场需求驱动这两个重要的驱动点。信息化自十八大以来成为“新四化”之一,进一步提升信息化在国家经济和信息安全的作用和地位。信息化的行业自主可控与创新称为重点。对国家安全,一路一带,PPP等战略提供了全视角的组织架构资产管理,最终构建以组织的资产为核心,信息化规划,投资,建设,安全运行闭环的全周期管控体系。

现代的信息方法,高度重视信息过程的及时性。它要求信息流在需要它的时候必须畅通,这样的信息过程才有实效性。大数据的理念已经广为大众所接受。其核心都会强调价值。究其整个价值的产生,就是数据转变为有价信息的过程。从数据到信息的工作,包含了“人为数据或与人相关的数据”以及“机器数据或工业数据”,如设备控制器、传感器、制造系统等。

信息安全管理,取决于业务的安全需求,这种需求是来自与“中国制造2025”中的流程制造、智能化产品和服务、智能化管理、由此而产生的新业态、后服务等领域信息系统日益增长的安全风险所决定的。因此,保护信息的安全性,保护信息的价值,是产业信息化和工业化融合发展过程中的重要举措。

而信息安全管理是一项重要的活动,它致力于控制信息的供应,并防止未经授权的使用来确保信息的安全性,使信息系统和IT服务不易遭到已知风险的侵袭,并且尽可能地规避未知风险。安全措施的目标是要保护信息的价值,这种价值取决于机密性、完整性和可用性三个方面。安全管理实际上是一个由计划、实施、检查和改进所组成的一个无限循环。由于人人互联,人机互联的广泛全面融合,使得信息安全的战线大大拉长。并且在原来的以内部安全漏洞为主的环境升级为内外同时的安全威胁。

安全措施的目标是要保护信息的价值,需要考虑与其他服务流程建立和谐紧密的关系。信息安全管理流程的引入,取决于业务的安全需求,这种需求是信息系统日益增长的安全风险所决定的。因此,保护信息的安全性和价值是现今产业信息化发展过程中的重要举措。服务级别协议是所有云化后信息服务管理最重要的触发器。客户在风险分析的基础上确定安全需求,服务级别协议中包括的安全部分应与客户的安全需求保持一致。而运营级别协议则把服务级别协议有关安全部分的总体性描述转化为具体的服务项目,使之与组织内部的责任联系在一起。

客户在风险分析的基础上确定安全需求,因此需要注意的是服务级别协议中包括的安全部分是否与客户的安全需求保持一致。而运营级别协议则把服务级别协议有关安全部分的总体性描述转化为具体的服务项目,使之与组织内部的责任联系在一起。安全管理既要满足服务级别协议中的安全需求以及合同、法律和外部政策的外部要求,又要提供一个独立于外部需求的基本的安全性级别(基线)。基于这样的目标、安全管理流程通过控制子流程以及计划、实施、检查和改进子流程所组成的无限循环,建立一套动态的管理模式,以适应不断变化的业务流程、信息系统和规避风险的需求。

在实施安全管理的各项措施过程中,要确保在战略层、战术层和操作层三个层面都得到贯彻。尤其要防止战略层和战术层之间的脱节。许多组织制定了战略层次的信息政策和信息计划,也在实际运营中通过购买安全工具和其它安全产品来保障信息安全。但是,一方面由于缺乏安全需求和环境变化后的持续的分析,另一方面又未能将相关政策转化为技术方案从而确保安全措施的有效性。因而,在信息安全管理的主动性方面还没有引起足够的重视。

信息安全服务于企业的利益,有些信息和信息服务对于组织来说可能比其它信息重要得多。安全性需求的优先级和重要性由信息系统的数据和它所包的业务内容决定(例如管理信息的完整性显得尤其重要,而个人工资信息或医疗信息的机密性则显得更加重要)。因此,实施信息安全管理必须要合乎信息的重要性。

特定的安全性的提供取决于在安全措施、信息的价值以及处理环境中的威胁之间获得某种平衡。那么,为什么一个具备足够信息安全的有效的信息供应对组织是非常重要的?我们要从内部与外部两个角度来分析。从内部看,只有当正确和完整的信息在任何需要时都可获得,组织才可以有效地运营。信息安全级别必须符合这方面要求。而外部的主要原因是,组织的流程通过向市场或社会提供所需的产品和服务来实现其预定的目标。信息供应不足可能导致产生不合标准的产品和服务,从而不能实现组织目标甚至威胁组织的生存。足够的信息安全是保证充足的信息供应的重要条件。

基于安全性是管理质量的重要方面,所有工业信息服务管理流程都涉及相关的安全活动。安全管理流程一方面取得其他流程在安全性措施方面的支持,另一方面又在安全性活动方面给其它流程以必要的指导。这是一种和谐的交互关系。西方文化重视用科学的态度把事办好。科学及时进入到信息时代的今天,信息方法的运用也引出了一个信息安全的问题。

在调查云计算服务提供商的方多案可行性、可靠性及安全性时,最关键的环节是要制定出一份较完善的需求方案说明书(RFP)。从较高层面来讲,需求方案说明书需要企业针对自身的业务去收集某个方面或全部技术的需求。在这些需求制定好后,就能收集来自各个投标者的正式需求提议,而这些投标者所提交的需求提议肯定是根据前面的需求来制定的,但又各有差异,企业应在慎重比较之后选择真正符合自身可行性,可靠性及安全性的方案。

标准的需求方案说明书应该包括服务提供商的财务状况和可行性两部分信息。为了完成需求方案说明书,我们需要从已投标的企业中获取这两方面的信息。在收集信息的过程中,由于一些传统服务提供商具备更高的知名度、公认度和信誉度,而新的服务提供商普遍存在着消费者基础薄弱、财务状况不稳定且信誉度很低等问题,因而收集前者的信息存在更多的价值。

即使选择了有一定经验和知名度的供应商,也不代表万事大吉。需求方案说明书中除了主要包含上述两部分信息以外,还应该包括服务提供商的发展年限、拥有消费者的数目、财务状况以及消费者信誉度等信息。这些信息能帮助潜在的消费者有效地评价众多服务提供商提出的解决方案,仅仅根据服务提供商的财务状况去预测其未来的发展状况是不可靠的。

所有的这些因素,都使得用户选择云计算服务提供商成为了一个难题。随着新的云计算提供商和大量云计算解决方案的涌现(既包括大型服务提供商也包括新兴的小型服务提供商),云计算服务提供商所具备的财务能力将变得至关重要。我并不是建议所有用户都只选择有名的云计算供应商,因为如同一般商业规律一样,有名气的店往往价格也更高,而无名小店也并非没有价廉物美的情况。作为企业,在考虑云计算系统中的数据传输和资源管理时,毋庸置疑最关心的仍旧是数据安全问题。实际上,这种新的方式不仅对数据的安全性是一个挑战,也同样是对企业根深蒂固的文化和价值观的一个不容忽视并且刻不容缓的挑战。

在引入安全管理后,技术的措施远没有组织措施重要。重视安全措施,珍惜信息价值,使全体组织人员齐心合力,在安全风险相关方面形成一种习惯力量和忧患意识,形成一种组织文化,更需要一种循序渐进的方法,需要更长的时间。组内人员风险意识的沟通是非常关键的。安全措施,往往限制人们以及越轨了的自由和并不规范的行为。这就需要运用所有的沟通方式,通过多种渠道各种形式,化大力气来确保用户遵循安全管理人员期望的行为。

在移动互联网和云计算时代,信息管理将面临不少新的安全挑战,除了传统的互联网安全风险(如病毒、攻击等)外,云计算引入的同时也带来了更多的不安全因素,例如IaaS服务的虚拟化系统、PaaS的分布式计算系统等存在的软件漏洞和不稳定性,对此我们需要进行更多的研究才能应对。数据中心的安全防护是一个系统性的工程,需要从现实空间区域的分区规划、网络隔离和过滤、服务监测和设备本身的安全加固等方面考虑,并且需要将整个数据中心的系统维护流程和用户身份认证审计等各要素统筹考虑进去。信息安全技术会在2016年有长足的发展。

中国传统文化中倡导的修身、齐家、治国、平天下的大道,其目的无非就是为了个人、家庭、国家与世界的安宁。中国式管理把管理视为修己安人的历程。中国人重视伦理道德,主张通过好好做人把工作做好。这就是所谓“管理是外在的伦理,而伦理却是内在的管理”。

所谓:“事以密成,语以泄败”(《韩非子·说难》),事情因为缜密而成功,话语因为泄露而失败。中国古人十分珍视信息的安全性。尽管他们还没有信息的科学概念,但其朴素而又精辟的见解中,不难看出信息安全观念的雏型。类似的见解,在中国文化的宝库中,所见甚多,值得我们在实现中国制造2025的过程中去学习和借鉴。

关键字:安全需求信息安全管理

本文摘自:新浪智库

x 张礼立:信息安全是实现中国制造2025的新挑战 扫一扫
分享本文到朋友圈
当前位置:安全行业动态 → 正文

张礼立:信息安全是实现中国制造2025的新挑战

责任编辑:editor006 作者:张礼立 |来源:企业网D1Net  2016-04-11 17:14:19 本文摘自:新浪智库

文|张礼立,盘古智库学术委员、智慧城市研究中心秘书长,玖道科技首席战略官

李克强总理在本次政府工作报告中提出,要实施“中国制造2025”,加快从制造大国转向制造强国。对中国企业提出了由大到强的制造业发展的方向,把制造业和信息化推向了一个前所未有的高度,其中把先进制造和高端装备,新一代信息通信技术产业、高档数控机床和机器人、等10领域作为发展重点。总体上看,作为中国制造强国战略的行动纲领,智能化的中国制造必定需要国内的信息化企业与制造业企业携手共创。

从哲学的高度审视,信息本身的是物质的普遍属性,是客观存在事物有序性的度量。任何事物只要存在一定的“序”,它就包含着一定的信息。因此,信息是客观世界无私地“馈赠”于人类的无形的宝藏。然后,如果信息的安全出了问题,就无法保护信息的价值,这和人生如果失去安宁,那就失去做人的价值是一样的。

信息化与工业化深度融合,意味着跨领域的全面一体化合作以及大数据信息交叉的融合。随着互联网特别是移动互联网的高速发展,越来越多的企业的信息安全的范围从传统的IT系统延伸到了工业系统,工业控制系统自身存在的安全漏洞加上物联网化带来的广泛安全威胁,使安全问题被视为未来实现中国制造2025在管理上的又一新挑战。

根据《福布斯》显示,电子安全是面临服务信息块的三大问题之一,在2012年所有攻击的31%瞄准了小于250人的企业单位。无论这攻击是来自外部还是内部无聊的雇员,维护安全的成本都很可观,容易把小企业逼上绝路。2013年国家互联网应急中心监测发现,境内1.5万台主机被APT木马控制。针对境内网站的钓鱼站点有90.2%位于境外,境内1090万余台主机受到境外服务器控制,其中美国占30.2%。

中国互联网协会发布《中国互联网发展报告(2014)》,数据显示,去年中国境内6.1万个网站被境外通过植入后门实施控制,较2012年大幅增长62.1%。境内网站跨平台钓鱼攻击增多,基础网络信息系统、移动互联网环境等均产生较多安全风险。除了境外攻击,境内网络安全隐患也存在不断增长态势。数据显示,2013年,针对我国银行等境内网站的钓鱼页面数量和涉及的IP地址数量分别较2012年增长35.4%和64.6%。

发展服务型制造和生产性服务业是创新的未来。所有的这些目标的实现就是基于人人互联,物物互联,生产设备和环境的互联形成的新的工业智能共同体。工业智能共同体的实现为广大的中国工业信息服务产业发展带来了春天般的新鲜气的同时又带来了新的挑战。“从百里不同凡,千里不同俗”在逐步接纳和认同其“最佳实践”的过程中,基于受到强大的习惯的抵触和新技术的广泛采纳的两头化特点,目前的工业信息服务流程管理和信息安全管理已经不完全适用于今天的云化大数据工业时代的需求,我们迫切需要深入变革。

就当前的信息安全建设驱动来看,主要来自政策性合规驱动和市场需求驱动这两个重要的驱动点。信息化自十八大以来成为“新四化”之一,进一步提升信息化在国家经济和信息安全的作用和地位。信息化的行业自主可控与创新称为重点。对国家安全,一路一带,PPP等战略提供了全视角的组织架构资产管理,最终构建以组织的资产为核心,信息化规划,投资,建设,安全运行闭环的全周期管控体系。

现代的信息方法,高度重视信息过程的及时性。它要求信息流在需要它的时候必须畅通,这样的信息过程才有实效性。大数据的理念已经广为大众所接受。其核心都会强调价值。究其整个价值的产生,就是数据转变为有价信息的过程。从数据到信息的工作,包含了“人为数据或与人相关的数据”以及“机器数据或工业数据”,如设备控制器、传感器、制造系统等。

信息安全管理,取决于业务的安全需求,这种需求是来自与“中国制造2025”中的流程制造、智能化产品和服务、智能化管理、由此而产生的新业态、后服务等领域信息系统日益增长的安全风险所决定的。因此,保护信息的安全性,保护信息的价值,是产业信息化和工业化融合发展过程中的重要举措。

而信息安全管理是一项重要的活动,它致力于控制信息的供应,并防止未经授权的使用来确保信息的安全性,使信息系统和IT服务不易遭到已知风险的侵袭,并且尽可能地规避未知风险。安全措施的目标是要保护信息的价值,这种价值取决于机密性、完整性和可用性三个方面。安全管理实际上是一个由计划、实施、检查和改进所组成的一个无限循环。由于人人互联,人机互联的广泛全面融合,使得信息安全的战线大大拉长。并且在原来的以内部安全漏洞为主的环境升级为内外同时的安全威胁。

安全措施的目标是要保护信息的价值,需要考虑与其他服务流程建立和谐紧密的关系。信息安全管理流程的引入,取决于业务的安全需求,这种需求是信息系统日益增长的安全风险所决定的。因此,保护信息的安全性和价值是现今产业信息化发展过程中的重要举措。服务级别协议是所有云化后信息服务管理最重要的触发器。客户在风险分析的基础上确定安全需求,服务级别协议中包括的安全部分应与客户的安全需求保持一致。而运营级别协议则把服务级别协议有关安全部分的总体性描述转化为具体的服务项目,使之与组织内部的责任联系在一起。

客户在风险分析的基础上确定安全需求,因此需要注意的是服务级别协议中包括的安全部分是否与客户的安全需求保持一致。而运营级别协议则把服务级别协议有关安全部分的总体性描述转化为具体的服务项目,使之与组织内部的责任联系在一起。安全管理既要满足服务级别协议中的安全需求以及合同、法律和外部政策的外部要求,又要提供一个独立于外部需求的基本的安全性级别(基线)。基于这样的目标、安全管理流程通过控制子流程以及计划、实施、检查和改进子流程所组成的无限循环,建立一套动态的管理模式,以适应不断变化的业务流程、信息系统和规避风险的需求。

在实施安全管理的各项措施过程中,要确保在战略层、战术层和操作层三个层面都得到贯彻。尤其要防止战略层和战术层之间的脱节。许多组织制定了战略层次的信息政策和信息计划,也在实际运营中通过购买安全工具和其它安全产品来保障信息安全。但是,一方面由于缺乏安全需求和环境变化后的持续的分析,另一方面又未能将相关政策转化为技术方案从而确保安全措施的有效性。因而,在信息安全管理的主动性方面还没有引起足够的重视。

信息安全服务于企业的利益,有些信息和信息服务对于组织来说可能比其它信息重要得多。安全性需求的优先级和重要性由信息系统的数据和它所包的业务内容决定(例如管理信息的完整性显得尤其重要,而个人工资信息或医疗信息的机密性则显得更加重要)。因此,实施信息安全管理必须要合乎信息的重要性。

特定的安全性的提供取决于在安全措施、信息的价值以及处理环境中的威胁之间获得某种平衡。那么,为什么一个具备足够信息安全的有效的信息供应对组织是非常重要的?我们要从内部与外部两个角度来分析。从内部看,只有当正确和完整的信息在任何需要时都可获得,组织才可以有效地运营。信息安全级别必须符合这方面要求。而外部的主要原因是,组织的流程通过向市场或社会提供所需的产品和服务来实现其预定的目标。信息供应不足可能导致产生不合标准的产品和服务,从而不能实现组织目标甚至威胁组织的生存。足够的信息安全是保证充足的信息供应的重要条件。

基于安全性是管理质量的重要方面,所有工业信息服务管理流程都涉及相关的安全活动。安全管理流程一方面取得其他流程在安全性措施方面的支持,另一方面又在安全性活动方面给其它流程以必要的指导。这是一种和谐的交互关系。西方文化重视用科学的态度把事办好。科学及时进入到信息时代的今天,信息方法的运用也引出了一个信息安全的问题。

在调查云计算服务提供商的方多案可行性、可靠性及安全性时,最关键的环节是要制定出一份较完善的需求方案说明书(RFP)。从较高层面来讲,需求方案说明书需要企业针对自身的业务去收集某个方面或全部技术的需求。在这些需求制定好后,就能收集来自各个投标者的正式需求提议,而这些投标者所提交的需求提议肯定是根据前面的需求来制定的,但又各有差异,企业应在慎重比较之后选择真正符合自身可行性,可靠性及安全性的方案。

标准的需求方案说明书应该包括服务提供商的财务状况和可行性两部分信息。为了完成需求方案说明书,我们需要从已投标的企业中获取这两方面的信息。在收集信息的过程中,由于一些传统服务提供商具备更高的知名度、公认度和信誉度,而新的服务提供商普遍存在着消费者基础薄弱、财务状况不稳定且信誉度很低等问题,因而收集前者的信息存在更多的价值。

即使选择了有一定经验和知名度的供应商,也不代表万事大吉。需求方案说明书中除了主要包含上述两部分信息以外,还应该包括服务提供商的发展年限、拥有消费者的数目、财务状况以及消费者信誉度等信息。这些信息能帮助潜在的消费者有效地评价众多服务提供商提出的解决方案,仅仅根据服务提供商的财务状况去预测其未来的发展状况是不可靠的。

所有的这些因素,都使得用户选择云计算服务提供商成为了一个难题。随着新的云计算提供商和大量云计算解决方案的涌现(既包括大型服务提供商也包括新兴的小型服务提供商),云计算服务提供商所具备的财务能力将变得至关重要。我并不是建议所有用户都只选择有名的云计算供应商,因为如同一般商业规律一样,有名气的店往往价格也更高,而无名小店也并非没有价廉物美的情况。作为企业,在考虑云计算系统中的数据传输和资源管理时,毋庸置疑最关心的仍旧是数据安全问题。实际上,这种新的方式不仅对数据的安全性是一个挑战,也同样是对企业根深蒂固的文化和价值观的一个不容忽视并且刻不容缓的挑战。

在引入安全管理后,技术的措施远没有组织措施重要。重视安全措施,珍惜信息价值,使全体组织人员齐心合力,在安全风险相关方面形成一种习惯力量和忧患意识,形成一种组织文化,更需要一种循序渐进的方法,需要更长的时间。组内人员风险意识的沟通是非常关键的。安全措施,往往限制人们以及越轨了的自由和并不规范的行为。这就需要运用所有的沟通方式,通过多种渠道各种形式,化大力气来确保用户遵循安全管理人员期望的行为。

在移动互联网和云计算时代,信息管理将面临不少新的安全挑战,除了传统的互联网安全风险(如病毒、攻击等)外,云计算引入的同时也带来了更多的不安全因素,例如IaaS服务的虚拟化系统、PaaS的分布式计算系统等存在的软件漏洞和不稳定性,对此我们需要进行更多的研究才能应对。数据中心的安全防护是一个系统性的工程,需要从现实空间区域的分区规划、网络隔离和过滤、服务监测和设备本身的安全加固等方面考虑,并且需要将整个数据中心的系统维护流程和用户身份认证审计等各要素统筹考虑进去。信息安全技术会在2016年有长足的发展。

中国传统文化中倡导的修身、齐家、治国、平天下的大道,其目的无非就是为了个人、家庭、国家与世界的安宁。中国式管理把管理视为修己安人的历程。中国人重视伦理道德,主张通过好好做人把工作做好。这就是所谓“管理是外在的伦理,而伦理却是内在的管理”。

所谓:“事以密成,语以泄败”(《韩非子·说难》),事情因为缜密而成功,话语因为泄露而失败。中国古人十分珍视信息的安全性。尽管他们还没有信息的科学概念,但其朴素而又精辟的见解中,不难看出信息安全观念的雏型。类似的见解,在中国文化的宝库中,所见甚多,值得我们在实现中国制造2025的过程中去学习和借鉴。

关键字:安全需求信息安全管理

本文摘自:新浪智库

电子周刊
回到顶部
网站地图

企业网D1Net 信众智-CIO社交平台 第1培训-企业数字化培训平台 会展活动

CIO 数字化转型 云计算 数据中心 大数据 元宇宙 物联网 人工智能 安全

移动办公 服务器 存储 访谈 区块链 数据网络 智慧城市 视频会议 芯片

统一通信 企业应用软件 创新技术 新闻中心

联系我们:

d1neteditor#d1net.com (发送邮件时,请把#换成@)

投稿信箱:

d1neteditor#d1net.com (发送邮件时,请把#换成@)

关于我们联系我们版权声明隐私条款广告服务友情链接投稿中心招贤纳士

企业网版权所有 ©2010-2024 京ICP备09108050号-6 京公网安备 11010502049343号

^