8月7日���,由深圳CIO協(xié)會(huì)主辦的中國(guó)(深圳)數(shù)字化轉(zhuǎn)型大會(huì)暨粵港澳大灣區(qū)CIO高峰論壇在深圳舉行����,下午深圳特區(qū)的央企國(guó)企與民企CIO進(jìn)行了高峰對(duì)話(huà)�。
央企國(guó)企代表隊(duì):華潤(rùn)集團(tuán)智能與信息化部常務(wù)副總監(jiān)董坤磊先生,中廣核集團(tuán)網(wǎng)信辦副主任鄒來(lái)龍先生��,中國(guó)南山開(kāi)發(fā)集團(tuán)IT共享中心總經(jīng)理杜汪洋先生����。
民企代表隊(duì):暨南大學(xué)碩導(dǎo)、智能制造專(zhuān)家委員董輝先生�����,比亞迪集團(tuán)信息中心總經(jīng)理裘彥先生。
(本篇為對(duì)話(huà)第4部分)
第二個(gè)問(wèn)題就是今天還談了咱們另一個(gè)主題叫信創(chuàng)未來(lái),剛才鄒主任也把話(huà)題拋出來(lái)了���,提到安全。信創(chuàng)(信息技術(shù)應(yīng)用創(chuàng)新產(chǎn)業(yè))本質(zhì)是解決底層技術(shù)的安全性問(wèn)題和帶來(lái)整個(gè)新信息技術(shù)應(yīng)用創(chuàng)新的生態(tài)體系���。中央企業(yè)毫無(wú)疑問(wèn)掌握著國(guó)家更多的戰(zhàn)略性資源或者戰(zhàn)略性任務(wù),在安全層面上投入都是比較大的���。數(shù)據(jù)已成為非常重要的要素�,未來(lái)數(shù)據(jù)也成為資產(chǎn)�,數(shù)據(jù)的安全也是未來(lái)面臨的重要問(wèn)題�。民營(yíng)企業(yè)在數(shù)據(jù)安全的問(wèn)題上���,我不知道你們會(huì)怎么去應(yīng)對(duì)���?
董輝:謝謝國(guó)企和央企三位大咖分享����,關(guān)于數(shù)字化轉(zhuǎn)型,我們要開(kāi)始走信創(chuàng)�。傳統(tǒng)民營(yíng)企業(yè)中����,更多是提到等保2.0,這是其中的一個(gè)落腳點(diǎn)�,還是有請(qǐng)彥總做一個(gè)分享。
裘彥:說(shuō)到安全����,實(shí)際上作為民營(yíng)制造業(yè),有數(shù)據(jù)安全�,還有現(xiàn)場(chǎng)客戶(hù)信息的選擇�����。以前跟諾基亞在做產(chǎn)品和新產(chǎn)品開(kāi)發(fā)的時(shí)候�����,整個(gè)工廠(chǎng)管理沒(méi)有意識(shí)����。今天可以生產(chǎn)諾基亞的產(chǎn)品,邊上就是摩托羅拉的���,或者邊上又有海爾等的����?�?蛻?hù)一來(lái)���,說(shuō)你不對(duì)�����,因?yàn)樗坏焦S(chǎng)里面�����,怎么可能會(huì)看到客戶(hù)信息�?他說(shuō)我看到其他的我不管�,但是我的信息絕對(duì)不允許這樣做�����。后來(lái)他們就要求工廠(chǎng)車(chē)間要物理隔離,包括文檔、工藝的圖紙都必須安全管控���。
后來(lái)�,整個(gè)公司慢慢地有這種安全意識(shí)�����,也是客戶(hù)的信息是不能隨意透露的��。以前做諾基亞的手機(jī)的時(shí)候�,很漂亮的手機(jī),剛好客戶(hù)有新樣品在公司做���,我們的銷(xiāo)售人員覺(jué)得很好看��,他好奇,為了顯示一下�����,他拍了個(gè)圖片�����,幾個(gè)手機(jī)擺在一起很漂亮���,顏色也是比較多是,就發(fā)到網(wǎng)上去了����?���?蛻?hù)看到了��,認(rèn)為這是一件很?chē)?yán)重的事情����,公司一倒查是一個(gè)銷(xiāo)售人員覺(jué)得這個(gè)手機(jī)很漂亮����,他自己就把它發(fā)出去了。當(dāng)時(shí)他也沒(méi)意識(shí)到這是客戶(hù)信息的泄露和產(chǎn)品信息的泄露��,考核的客戶(hù)就一定要處罰。當(dāng)時(shí)�,公司跟客戶(hù)也解釋了很多���,客戶(hù)還是原諒,但是還是處罰了�����。這種事情就教育到我們信息安全的重要性。后來(lái)我做信息化的時(shí)候發(fā)現(xiàn)有的部門(mén)安全意識(shí)來(lái)講沒(méi)概念���。總覺(jué)得這個(gè)東西很簡(jiǎn)單�,好像公司生產(chǎn)什么東西輕而易舉。
當(dāng)時(shí)我們做汽車(chē)的時(shí)候�,在想汽車(chē)的圖紙、工藝是不是要做加密��,還是怎么管控����?當(dāng)時(shí)有個(gè)領(lǐng)導(dǎo)覺(jué)得無(wú)所謂,他說(shuō)這個(gè)東西好像不值錢(qián)�����。但有一件事情�,當(dāng)時(shí)我們有個(gè)車(chē)型08年����、09年很暢銷(xiāo),備件供不應(yīng)求���,有一個(gè)供應(yīng)商花了10萬(wàn)塊錢(qián),從我們工程師那里買(mǎi)了一套備件圖紙出去了�。當(dāng)時(shí)我們(研發(fā)���、工藝)也沒(méi)有系統(tǒng)管理��,整個(gè)設(shè)計(jì)��、工藝圖紙是比較亂的��。結(jié)果那個(gè)供應(yīng)商還來(lái)找我們負(fù)責(zé)研發(fā)工程的院長(zhǎng)抱怨���,說(shuō)我好不容易花了10萬(wàn)塊錢(qián)買(mǎi)個(gè)東西出去�,怎么還對(duì)不上?后來(lái)我就笑起來(lái)�����,說(shuō)這個(gè)事情剛剛我在交流�。碰巧那時(shí)候我們對(duì)圖紙的管理也很差��,沒(méi)有什么版本號(hào)�����、版本管理,也沒(méi)什么BOM(物料清單)對(duì)應(yīng)�,管理相對(duì)來(lái)說(shuō)比較混亂,歪打正著���,所以人家買(mǎi)了還沒(méi)用���,什么備品備件的信息基本都對(duì)不上,都要通過(guò)編碼去對(duì)。以這個(gè)事件為契機(jī),當(dāng)時(shí)院長(zhǎng)也意識(shí)到公司的所有資產(chǎn)數(shù)據(jù)是值錢(qián),我們就上了個(gè)研發(fā)管理系統(tǒng)。
現(xiàn)在整個(gè)公司對(duì)數(shù)字安全系統(tǒng)有概念了。我們?cè)?3年的時(shí)候加強(qiáng)了網(wǎng)絡(luò)管理�,你不是公司員工,你的電腦不加入的話(huà)����,你是不能進(jìn)入內(nèi)網(wǎng)的����。我們也做了身份認(rèn)證管理����,就是你的電腦上你進(jìn)來(lái)�,但如果不是比亞迪員工的話(huà)�����,你也進(jìn)不了系統(tǒng)��,從網(wǎng)絡(luò)入侵這方面我們也做了管控,此外�����,重要文件都做加密����。我們關(guān)鍵的數(shù)據(jù)做了一個(gè)加密���。只要業(yè)務(wù)部門(mén)說(shuō)核心數(shù)據(jù)�,這個(gè)數(shù)據(jù)很關(guān)鍵��,需要加密,馬上就可以給他做一些加密��。
在13年��,實(shí)際上我們真正做到兩地三中心災(zāi)備��,所有幾十個(gè)T的數(shù)據(jù),每天晚上會(huì)通過(guò)西安與深圳兩地實(shí)時(shí)同步��。當(dāng)時(shí)我們就是保證數(shù)據(jù)出問(wèn)題在短時(shí)間內(nèi)恢復(fù),在數(shù)據(jù)上做災(zāi)備也是最安全的考慮。現(xiàn)在所有的系統(tǒng)從網(wǎng)絡(luò)層面�����、應(yīng)用層面��、數(shù)據(jù)層面以及終端電腦都集中管控���,包括生產(chǎn)電腦��。為什么����?有USB接口����,員工晚上上班沒(méi)事自己會(huì)插進(jìn)來(lái)�,玩游戲�,看小說(shuō),很容易帶病毒進(jìn)來(lái)的���。
17年就從我們生產(chǎn)線(xiàn)電腦爆發(fā)出來(lái)���,當(dāng)時(shí)一個(gè)晚上就是幾百臺(tái)電腦���,第二個(gè)晚上幾千臺(tái)生產(chǎn)電腦被感染了�。所以,現(xiàn)在我們都很重視對(duì)生產(chǎn)電腦的管控,比如����,禁止U盤(pán)、加裝終端殺毒軟件。還有網(wǎng)絡(luò)出口管控����,因?yàn)槲覀児驹?jīng)發(fā)生幾件事情�,就是北京的一個(gè)終端���。我們某一個(gè)部門(mén)在里面做軟件開(kāi)發(fā),當(dāng)時(shí)業(yè)務(wù)需求,他就在電腦裝了兩個(gè)網(wǎng)卡���,一個(gè)對(duì)網(wǎng)��,一個(gè)外網(wǎng)的�,后來(lái)員工辭職這臺(tái)電腦沒(méi)人管��。
在17、18年的時(shí)候�,我們做充電樁的時(shí)候就發(fā)現(xiàn)了充值系統(tǒng)被黑掉了�����,就順著軌跡一查�,發(fā)現(xiàn)北京這臺(tái)電腦有一個(gè)人通過(guò)外網(wǎng)進(jìn)來(lái)以后再跳到內(nèi)網(wǎng)來(lái),跳完了他沒(méi)事干嘛�,我們這個(gè)充值系統(tǒng)相對(duì)來(lái)講比較弱勢(shì)���,自己開(kāi)發(fā)的一個(gè)平臺(tái)���,進(jìn)去了����,看里面也沒(méi)錢(qián)也沒(méi)啥東西����,那就好玩����,就把所有的我們整個(gè)深圳市出租車(chē)公司的充值卡清空掉,第二天出租車(chē)充不了電�,整個(gè)電話(huà)打爆的時(shí)候也不知道什么原因,當(dāng)時(shí)我進(jìn)系統(tǒng)一看���,是黑客干的�。把我們充電樁平臺(tái)的充電卡全部清零,我就順著信息一查���,查的是北京一個(gè)人,電腦網(wǎng)卡被人家利用����,后來(lái)我們就對(duì)外網(wǎng)網(wǎng)卡做一個(gè)清理�。
但是在2020年有疫情要異地辦公,我們又發(fā)生一個(gè)管理人員����,有個(gè)權(quán)限���,他為了工作方便���,把負(fù)責(zé)生產(chǎn)MES系統(tǒng)的權(quán)限就連接到私人電腦上去了,剛好他這個(gè)私人電腦被種了木馬,有一個(gè)木馬病毒潛伏在里面一直沒(méi)動(dòng)。后來(lái)(黑客)進(jìn)到我們系統(tǒng)�,一看也好玩,他也給MES加密了����。發(fā)現(xiàn)這個(gè)內(nèi)網(wǎng)電腦權(quán)限就移植到外面去了�,就通過(guò)第三方也找到那個(gè)病毒公司當(dāng)時(shí)要二十幾萬(wàn)談?wù)劦綆兹f(wàn)塊錢(qián)�,反正也沒(méi)什么價(jià)值,9萬(wàn)塊錢(qián)還成交了,就把它解掉了��。但是通過(guò)這種事情就是說(shuō)���,第一個(gè)是數(shù)字安全的話(huà)���,它分幾個(gè)層面的,一個(gè)是網(wǎng)絡(luò)層面���,網(wǎng)絡(luò)層面就是個(gè)出口���。其實(shí)還有應(yīng)用層面�����,還有一個(gè)數(shù)據(jù)。比亞迪基本上都做到有防控手段��,現(xiàn)在正在評(píng)估那個(gè)流量檢測(cè)��,現(xiàn)在跟幾個(gè)大廠(chǎng)都在做一些測(cè)試�。
目前來(lái)講的話(huà),除了我們把網(wǎng)絡(luò)整個(gè)入口終端管起來(lái)�,包括應(yīng)用在管起來(lái)�,其次�,我們還有做一個(gè)流量分析���。分析流量是從哪來(lái)到哪去�,因?yàn)楝F(xiàn)在現(xiàn)在泄密最大的可能還就是我們的員工,而且你的級(jí)別也高��,可能泄密的危害性就更高�。但是你又不能說(shuō)對(duì)他的權(quán)限去做管控,現(xiàn)在我們只能通過(guò)一些工具����,是通信技術(shù)手段監(jiān)控����。當(dāng)時(shí)做準(zhǔn)入的時(shí)候,有的總經(jīng)理,也就是說(shuō)找各種理由不接入���,我說(shuō)很簡(jiǎn)單不接入�,就不能用比亞迪系統(tǒng)���。這是技術(shù)手段倒逼他,現(xiàn)在通過(guò)流量的分析�����,我也知道你電腦里面你的流量就是從哪來(lái)到哪里去�,而且流量里面特別多,現(xiàn)在分析能不能解析到顆粒度����,就是里面的內(nèi)容�����,但據(jù)說(shuō)是要解析到內(nèi)容相對(duì)還是有難度�,現(xiàn)在就是要看一下流量就到哪去,因?yàn)槲铱丛诮衲昴瓿?�,就是有一個(gè)利用比亞迪服務(wù)器作為肉機(jī)進(jìn)行網(wǎng)絡(luò)攻擊的事件��,所以未來(lái)的話(huà)就是說(shuō)信息安全��、數(shù)字安全�����、網(wǎng)絡(luò)安全是很關(guān)鍵的�����。公司在網(wǎng)絡(luò)信息安全的投入是比較大的����,現(xiàn)在整個(gè)業(yè)務(wù)也很重視��,我們王總也很重視信息安全��。未來(lái)數(shù)據(jù)安全重視度應(yīng)該會(huì)提得更高�。好,謝謝��!
(深圳CIO協(xié)會(huì)PK辯論約2萬(wàn)多字����,未完待續(xù)~)
