2019 CIOC全國CIO大會5月23日在烏魯木齊盛大舉辦，來自全國的眾多CIO共聚一堂，最接地氣的觀點、最實用的實戰(zhàn)經(jīng)驗、最前沿的技術、最新的產(chǎn)品在此匯聚，碰撞出屬于CIO的精彩火花。

以下為現(xiàn)場速記。

前途汽車 CIO 邢紅波

邢紅波：各位IT同行，大家中午好！我看了一下表，現(xiàn)在是11：40，按計劃應該是我演講結束的一個時間，我爭取在組委會給我的25分鐘時間內(nèi)把想給大家分享的東西的每個點都能講到。今天在會場的我想是證明我們CIO到新疆來，除了欣賞大美新疆的風景之外，最重要的一點還是要學習。所以我上臺之前特意把外套脫了，我希望我赤膊上陣，用我最佳的狀態(tài)，不辜負大家的期望。

在開始演講之前，我做一個小的調(diào)查，各位的企業(yè)有沒有企業(yè)的發(fā)展規(guī)劃，中期的或者長期的有沒有，各位舉一下手，我看一下。有沒有做信息化發(fā)展規(guī)劃的，這個好像更少一點，謝謝大家！為什么這樣說呢？因為我今天給大家分享的是我們整個信息化建設里面的一個分支，叫信息安全建設的規(guī)劃。為什么提出這個問題來呢？其實我們在整個信息化安全建設過程中，可能大家會共同碰到的困惑會有兩點：第一，我們的信息安全建設是碎片化、不成體系的，大多數(shù)情況下頭痛醫(yī)頭，腳痛醫(yī)腳，碰到什么樣的問題就買什么樣的產(chǎn)品。第二個難點，我們做信息安全投入預算非常難，經(jīng)常被管理層、決策層詬病，你們?yōu)槭裁纯偸菦]完沒了的在上面做投入呢，解釋起來也很困難。

基于這一點，從我們自己的角度看，因為我這個人做事，我在前一個企業(yè)干過大概4年半左右的規(guī)劃技術部的工作，所以我喜歡做事先從規(guī)劃入手，凡事預則立，不預則廢，這是我個人的一個工作習慣。因為我們汽車行業(yè)在整個前途工廠建設的過程中，這三年我們從無到有建設一個新工廠，但是目前我們面臨的信息安全方面的風險也非常多，主要原因是電動汽車行業(yè)國家有了非常多的法規(guī)上面的限制，所以這是我們整個做安全規(guī)劃的一個小的企業(yè)自身的背景。閑話少說，正式進入我今天的PPT分享環(huán)節(jié)。

我今天給各位同行分享四個內(nèi)容：第一是企業(yè)信息安全面臨的風險和挑戰(zhàn)，第二是信息規(guī)劃的策略和目標是什么，第三是信息規(guī)劃的理念，第四是規(guī)劃實施的具體落地的方式和方法。

這里面可能有一些特殊的東西，更多的在企業(yè)信息化安全建設里面是共性的東西比較多，因為汽車行業(yè)有一些特殊的要求。像很多企業(yè)做體系認證的時候，我們一般都過ISO9000，但是汽車行業(yè)里面還有一個另外一個要求，他要過ITF16949，汽車行業(yè)的同行應該都知道。因為剛才指掌易的丁總分享的時候談了很多企業(yè)安全面臨的東西，我不再展開給大家闡述了。

我們現(xiàn)在主要的背景，信息安全面臨的風險，主要是數(shù)字化轉型，企業(yè)需要對數(shù)字資產(chǎn)進行合理的有效的保護。隨著企業(yè)數(shù)字化轉型的深入，線上線下一體化數(shù)字化雙胞胎運營的逐步實現(xiàn)，信息資產(chǎn)已經(jīng)成為企業(yè)最有價值、最有競爭力的核心資產(chǎn)。如何更合理、更高效的實現(xiàn)數(shù)字資產(chǎn)的保護，對信息安全提出了更高的要求。其實我個人認為，企業(yè)在工業(yè)互聯(lián)網(wǎng)時代或者是我們之前說的中國制造2025以及工業(yè)4．0提出的一些要求上看，西門子提出數(shù)字化雙胞胎的概念，我個人覺得更準確的描述了未來企業(yè)經(jīng)營管理的狀態(tài)。

借用我們原來在消費互聯(lián)網(wǎng)的一個概念叫O2O的概念，就是線上線下一體化，我們的數(shù)字化雙胞胎其實是在企業(yè)的運營過程中未來最終的目標是實現(xiàn)企業(yè)的經(jīng)營和生產(chǎn)運營線上線下一體化，這是我們對數(shù)字化雙胞胎的一個認識，包括企業(yè)數(shù)字化轉型的一個認識。

第二，工業(yè)互聯(lián)網(wǎng)建設要企業(yè)與之匹配的安全管控能力�；ヂ�(lián)網(wǎng)時代，OT、CT快速融合，IOT模糊了傳統(tǒng)安全邊界，數(shù)據(jù)安全是工業(yè)互聯(lián)網(wǎng)面臨的最大閉了之一，開展針對性的信息安全建設是構架堅固的網(wǎng)絡安全系統(tǒng)，管理脆弱環(huán)節(jié)，保護敏感信號與知識產(chǎn)權的有效途徑。如果各位買了國外的系統(tǒng)是比較難管控的，他必須要求你開放，通過我們自己的網(wǎng)絡去做。這是我們現(xiàn)在面臨的問題，包括很多企業(yè)也提供遠程診斷跟蹤和服務，這實際上就是我們面臨的一個很典型的問題。我們面臨諸多的IO等不同的協(xié)議，我上個月在成都參加了一個全國信息安全峰會，聽了專家講，我自己聽了以后也很吃驚，我們在信息安全領域老企業(yè)的改造要面對的工控協(xié)議將近有300多種。其實我們企業(yè)很幸運，我們是一個新建企業(yè)，我們企業(yè)在規(guī)劃之前就和工業(yè)部門（我們內(nèi)部叫信息制造部）達成了共識，我們的信息不要參與進去，我們就確定了了選一個供應商、選一類產(chǎn)品，便于以后的管理，我們企業(yè)在工控環(huán)節(jié)用兩種協(xié)議管控就OK了。

第三，利益驅(qū)動下的信息安全事件貧乏給企業(yè)造成巨額經(jīng)濟損失。在當今信息即可財富的背景下，越來越多的黑客組織投身于信息資產(chǎn)的竊取，攻擊手段變幻莫測，而且攻擊渠道日益變換，IOT設備、工業(yè)網(wǎng)已經(jīng)成為不法黑客的攻擊重點，為整個網(wǎng)絡安全環(huán)境帶來全新挑戰(zhàn)。未來大量的機械手和機械設備被黑客攻擊之后會傷人，這不僅僅是資產(chǎn)的損失，可能會影響到營商的狀態(tài)。原來的黑客是炫技，沒有太多的利益訴求，但是近幾年來大家遭到的攻擊幾乎都是有經(jīng)濟利益訴求的。以前的沒有經(jīng)濟利益訴求，有了經(jīng)濟利益訴求，我們面臨的背景會更復雜。