安全预算有限，同时又面临数字化转型和电商、数字工厂创新业务和新威胁挑战，新冠疫情下供应链安全和远程办公面临严峻安全形势，面对以上三座大山，制造业网络安全如何打造安全体系，如何将安全能力转化为核心竞争力？带着以上问题，安全牛专访了立邦集团网络安全主管严伟。

严伟，现任立邦网络安全主管，他从2007年入行至今，从事网络和安全相关的工作，先后也通过CCIE、CISP、CISSP、CISA、CISM和ISO27K等技能能力认证，同时工作中不断学习和总结完成逻辑思维和知识结构的自我训练，具有行业内丰富的网络和安全经验。

安全牛：立邦怎么看待制造业的网络安全现状，存在哪些问题？可以结合立邦自身的经验给些建议。

严伟：许多传统制造业的安全还停留在生产安全，产品安全等初级阶段，对信息安全的认识更是处于萌芽期，对于制造行业来说安全的特点是比较重视成本，注重实际效果，实实在在解决安全问题，不摆花架子。但是随着信息技术的发展，传统的制造业不可避免的会遇到更多，以及相比较以往也更加复杂的安全环境和问题。而作为立邦网络安全部门的负责人以及安全体系的架构师，我本人经历和见证了立邦网络安全体系从无到有的建设过程，在这个过程中养成了不管什么安全方案和解决措施，都注重安全有效性和实践的思维模式。

立邦是从2016年开始重视起网络安全建设的工作。在互联网这个大环境下，在业务数字化转型的过程中，用户多样化，设备多样化、平台多样化、业务多样化，边界越来越模糊，同时异构数据在企业内部不同的业务系统和平台之间流动，增加安全风险，立邦意识到问题的解决刻不容缓，积极寻求应对的解决方案，包括从自身内部的安全体系建设、安全数据的治理、身份的治理、安全意识加强、软件安全开发管理、业务连续性管理、公有云安全等方方面面全方位的思考，到外部服务供应商的解决方案的寻找。

立邦过去存在的安全问题，在制造业中有一定的代表性：

01、安全未能嵌入开发中

由于立邦属于传统制造业，不同于金融和互联网行业对信息安全的依赖程度那么高，加上程序开发人员很少进行安全能力与意识的培训，开发管理者不了解安全开发的管理流程和方法，不清楚安全开发过程中使用的各类方法和思想。开发人员大多仅学会了编程技巧，不了解安全漏洞的成因、技术原理与安全危害，不能更好地将软件安全需求、安全特性和编程方法互相结合，这直接导致在开发新产品的过程中，开发人员过多的关注在产品功能性的满足上，而轻视甚至忽略其安全性。

02、信息安全体系建设尚不完善

所谓信息安全管理体系，是在组织内部建立信息安全管理目标，以及完成这些目标所用方法的体系。同程序开发人员缺乏安全培训一样，信息安全体系建设也是刻不容缓的一件事。我们参照了IOS27000的标准对立邦114个安全控制点进行排查，发现早期立邦在安全体系建设上也存在着较大的缺失，这势必也对安全管理造成极大的隐患。

03、技术层面的滞后

这里包括了软件、硬件设备及人员意识形态上的老旧。立邦当前急需改进的技术面就是建立起自己的SOC中心和SIEM平台，借助于SOC中心，依靠技术解决方案和强健的一套流程检测、分析并且响应网络安全事件，借助于SIEM平台帮助我们进行漏洞管理、入侵检测、行为分析、日志存储、检索报警管理等工作。立邦在此前聘请某外包服务商做大数据安全分析时，也正是因为此类数据的不完整，从而导致整个DEMO测试的失败。

在发现安全问题的同时，我也积极的与其他国家的同事进行沟通交流，虽然那边也会进行大数据分析的工作，例如系统监控、网络监控、SIEM平台的搭建等，但其工作进程也仅仅只停留在可操作的步骤，并未对后续工作进行持续性的推进和发展。由此可见，对整个立邦的安全体系而言，需要做的事还有很多很多，任重而道远。这样的境况反倒更加激发起我们对建立整个立邦安全体系的决心。

安全牛：立邦目前有哪些安全需求优先级较高的业务场景，面临什么样的安全威胁？

严伟：目前有三个最迫切的业务场景需求：核心知识产权保护、创新电商业务（包括面向C端的一些服务）、新建数字化工厂的工控系统安全。

核心知识产权保护方面，我们有需要多商业机密数据，例如公司的配方、 BOM物料清单，尤其是一些核心机密产品配方，此外，内部的重要文档、报价清单等也都是属于需要重点保护的敏感数据。

创新业务的安全支撑方面，立邦近年来有很多数字化转型业务创新，例如面向终端消费者提供的个性化服务，推出后市场反应热烈，目前已经做到一定的规模和销售业绩，我们在打通端到端的数字化业务时，安全问题就随之产生，我们业务服务会受到一定的威胁或攻击，由此带来创新业务的损失，但我们没有停止脚步，一直不断的在满足外部用户和企业业务部门的需求同时，加深自身安全建设工作。

第三个是数字工厂的工控系统安全问题，包括新老数字工厂的安全问题。近几年的永恒之蓝漏洞在影响办公网络同时，渗透到工控网络中，加上数字化工厂建设之初缺少工控网络安全技术规范和管理标准，导致我们在工控防护方面投入不足而带来一定影响，鉴于此我们详细研读《工业控制系统信息安全防护指南》（338 号），这是一份针对中国企业开展工控安全防护工作的整体性指导文件。我们根据轻重缓急列了几条优先级较高并且需要解决的问题：老工厂的物理或逻辑上的网络隔离，并开放特定策略允许特定的业务数据传输（有一些技术挑战）、面对很多的老旧主机，不适合安装防病毒产品、我们联系了相关专家，帮助我们提供最优的解决方案，优先解决关键场景，另外我们还通过加强对远程连接的管控和主机的管理规范工作，提升工控网络的整体安全性，未来在工控网络安全的道路上还有很多事情要做，不能仅限于此。

安全牛：新冠疫情掀起了全球企业的远程办公热潮，但同时对企业网络安全，尤其是身份与访问管理提出了更高要求，立邦在这个领域有何措施，对零信任架构有何计划或者看法？

严伟：立邦在这方面比较“幸运”，我们未雨绸缪，在过去一年的信息安全体系建设中，已经完成了IAM（身份与访问管理）与PAM（特权账号管理）的系统建设。在IAM系统中，从员工入职当日起直至离职，已经完全实现了员工账号生命周期管理的全自动化。在数字化时代，一个成熟的IAM系统与企业的安全和生产力是密不可分的。企业可以运用身份管理来保护资产不受日益增多的勒索软件、黑客活动、钓鱼软件或其他恶意软件攻击的影响。而PAM系统的建立，不但可以对账号持有者所有的行为操作出审计追溯，同时还能评估外包人员工作质量。

安全牛：业界比较流行的说法是CISO是救火队员，哪里冒烟去哪里，那么立邦的安全团队除了要支撑和应对新业务和新威胁外，是否也有整体网络安全体系和架构规划，都有哪些重点项目？

严伟：我们的总体安全体系有十四项规划，如下图：

除了刚才提到的IAM， 我重点介绍五个：

01、信息安全意识的宣贯（基础+强化）

我们把安全意识宣贯摆在了安全治理的关键位置。信息安全意识说白了就是人们头脑中所建立起来的对信息化工作所具备的安全观念，这样的观念必须通过各种形式的信息安全意识教育、培训及宣传，逐步融入到人们的工作当中，使其变成一种常态化的工作。通俗点说就是要让员工知道企业的安全点在哪，在什么领域，这也是做安全最基础的工作。企业安全的起点并不是取决于设备或技术，而是每个企业的员工，无论基层还是高层都能有意识的认识到信息安全的重要性，治本先治人。而这里所说的强化，指的就是根据企业高层所关注的领域来加强信息安全的宣传与贯彻。正所谓知己知彼，百战不殆，我们从企业内部员工的安全意识着手，从企业文化上来体现信息安全的重要性。

02、数据敏感保护咨询

正如前面提到过的，对于像立邦这样的制造业来说，除了用户数据需要保证不被泄露之外，同时还涉及到配方的保密，甚至是重要文档的保密。而应对这样的信息安全问题，我们采用DLP（“数据泄露防护”）系统的解决方案，在DLP的推行上，选择从部分场景先试点运行，再根据实际的反馈做整体的调整。

03、应用数据交换平台（应用网关）

所谓应用网关，就是将一个网络与另一个网络进行相互的连通，安全为何做应用网关？因为立邦在数字化转型中，其内部的核心系统必然要和许多外围系统对接，这些外围系统不仅包含立邦本身的系统，也可能是与其他SaaS平台对接。如果将核心系统直接相连，那势必大幅增加其危险指数，也正鉴于此，应用网关的建设应运而生。为了监控数据的流向和接口，我们规划在立邦建立起一个统一的应用网关。我们可以在大脑中想象这个网关就好比一个通行的岗哨，进出的人就好比交换的数据，而岗哨则是唯一的通行入口，所有进出立邦的数据都需要经过它的审查。

04、安全监控与产品分析

立邦本身其实已经具备了系统监控和网络监控的能力。这里提出所要建设的安全监控更多指的是应用监控。顾名思义，应用监控主要是为了确保应用性能正常运转而设置的，立邦则赋予它一个更为有趣的定义—Robot。这个Robot是可以周期性的为立邦整个系统做检测，从而了解其可用性状态，在发现异常后，发出预警，在用户反馈问题之前预先部署并将问题解决。同时在APM系统的选择上则需要贴近企业实际的需求，也要便于企业部署。

05、信息系统灾备建设项目

正所谓“不怕一万，只怕万一”。我们前面所提及的项目主要都是针对信息安全事件发生之前所作的预警和规划，而信息系统灾备建设则更倾向于对事件发生后的应急响应，例如容灾系统的建立。当前立邦的数字化工厂已经建立，其整个业务系统也向某云端服务商做了迁移，信息安全建设必须步步紧跟。在容灾方案的建设上，首先确保线下系统宕机的时候数据不会丢失，其次能使整个应用系统可以切换到另一处，使该系统功能可以继续正常工作。当然，我们建设容灾系统的目的并非仅仅为了做一个备份或切换，更多是考虑到事件在对ERP业务数据造成破坏后，企业是否能快速恢复业务数据和ERP系统，因为对制造业来说，生产线停止所造成损失可能是其他行业人员所预想不到的，哪怕一分钟都可能都是百万或千万级的。

由于时间原因，我们无法将十四项规划一一细数，但是从当前提到的五项规划中可以看出，我们的信息安全体系建设思路是从最基层的企业文化入手，通过治理、管理、技术三大类，以及对事前、事中、事后三个时间节点的把控，层层推进，一步一个脚印，为立邦构筑起一道多姿多彩的安全堡垒。通过治理层面的建设，将信息安全体系建设融入到企业文化之中；通过管理层面的建设，构建起一套成熟完备的安全管理体系；通过技术层面的建设，打造出一条纵深的安全防御架构。这三者缺一不可，相辅相成，它们共同组成了立邦整套信息安全的防线。

对于信息安全的建设，我们不只是停留在设计与规划阶段，我们建立的CMMI企业能力成熟度模型，便是对自己三年规划所做的最好的检验。

在这个CMMI列表中，立邦三年的安全体系建设共分为五个层级，而当前立邦一年内已实现了第二层级的项目。在过去一年的信息安全建设中，我们的重点工作就是刚才提到的IAM，目前看来正好是对上了疫情远程办公的需求。

安全牛：面对未来日益严峻的网络安全威胁态势，立邦安全体系的建设和强化重点有哪些？

严伟：身份管理、数据和安全的标准化与可视化、SOC和SIEM的规划与建设、应急响应。

相关阅读

将安全纳入数字化转型的4项关键挑战