2019 CIOC全国CIO大会5月23日在乌鲁木齐盛大举办，来自全国的众多CIO共聚一堂，最接地气的观点、最实用的实战经验、最前沿的技术、最新的产品在此汇聚，碰撞出属于CIO的精彩火花。

以下为现场速记。

前途汽车 CIO 邢红波

邢红波：各位IT同行，大家中午好！我看了一下表，现在是11：40，按计划应该是我演讲结束的一个时间，我争取在组委会给我的25分钟时间内把想给大家分享的东西的每个点都能讲到。今天在会场的我想是证明我们CIO到新疆来，除了欣赏大美新疆的风景之外，最重要的一点还是要学习。所以我上台之前特意把外套脱了，我希望我赤膊上阵，用我最佳的状态，不辜负大家的期望。

在开始演讲之前，我做一个小的调查，各位的企业有没有企业的发展规划，中期的或者长期的有没有，各位举一下手，我看一下。有没有做信息化发展规划的，这个好像更少一点，谢谢大家！为什么这样说呢？因为我今天给大家分享的是我们整个信息化建设里面的一个分支，叫信息安全建设的规划。为什么提出这个问题来呢？其实我们在整个信息化安全建设过程中，可能大家会共同碰到的困惑会有两点：第一，我们的信息安全建设是碎片化、不成体系的，大多数情况下头痛医头，脚痛医脚，碰到什么样的问题就买什么样的产品。第二个难点，我们做信息安全投入预算非常难，经常被管理层、决策层诟病，你们为什么总是没完没了的在上面做投入呢，解释起来也很困难。

基于这一点，从我们自己的角度看，因为我这个人做事，我在前一个企业干过大概4年半左右的规划技术部的工作，所以我喜欢做事先从规划入手，凡事预则立，不预则废，这是我个人的一个工作习惯。因为我们汽车行业在整个前途工厂建设的过程中，这三年我们从无到有建设一个新工厂，但是目前我们面临的信息安全方面的风险也非常多，主要原因是电动汽车行业国家有了非常多的法规上面的限制，所以这是我们整个做安全规划的一个小的企业自身的背景。闲话少说，正式进入我今天的PPT分享环节。

我今天给各位同行分享四个内容：第一是企业信息安全面临的风险和挑战，第二是信息规划的策略和目标是什么，第三是信息规划的理念，第四是规划实施的具体落地的方式和方法。

这里面可能有一些特殊的东西，更多的在企业信息化安全建设里面是共性的东西比较多，因为汽车行业有一些特殊的要求。像很多企业做体系认证的时候，我们一般都过ISO9000，但是汽车行业里面还有一个另外一个要求，他要过ITF16949，汽车行业的同行应该都知道。因为刚才指掌易的丁总分享的时候谈了很多企业安全面临的东西，我不再展开给大家阐述了。

我们现在主要的背景，信息安全面临的风险，主要是数字化转型，企业需要对数字资产进行合理的有效的保护。随着企业数字化转型的深入，线上线下一体化数字化双胞胎运营的逐步实现，信息资产已经成为企业最有价值、最有竞争力的核心资产。如何更合理、更高效的实现数字资产的保护，对信息安全提出了更高的要求。其实我个人认为，企业在工业互联网时代或者是我们之前说的中国制造2025以及工业4．0提出的一些要求上看，西门子提出数字化双胞胎的概念，我个人觉得更准确的描述了未来企业经营管理的状态。

借用我们原来在消费互联网的一个概念叫O2O的概念，就是线上线下一体化，我们的数字化双胞胎其实是在企业的运营过程中未来最终的目标是实现企业的经营和生产运营线上线下一体化，这是我们对数字化双胞胎的一个认识，包括企业数字化转型的一个认识。

第二，工业互联网建设要企业与之匹配的安全管控能力。互联网时代，OT、CT快速融合，IOT模糊了传统安全边界，数据安全是工业互联网面临的最大闭了之一，开展针对性的信息安全建设是构架坚固的网络安全系统，管理脆弱环节，保护敏感信号与知识产权的有效途径。如果各位买了国外的系统是比较难管控的，他必须要求你开放，通过我们自己的网络去做。这是我们现在面临的问题，包括很多企业也提供远程诊断跟踪和服务，这实际上就是我们面临的一个很典型的问题。我们面临诸多的IO等不同的协议，我上个月在成都参加了一个全国信息安全峰会，听了专家讲，我自己听了以后也很吃惊，我们在信息安全领域老企业的改造要面对的工控协议将近有300多种。其实我们企业很幸运，我们是一个新建企业，我们企业在规划之前就和工业部门（我们内部叫信息制造部）达成了共识，我们的信息不要参与进去，我们就确定了了选一个供应商、选一类产品，便于以后的管理，我们企业在工控环节用两种协议管控就OK了。

第三，利益驱动下的信息安全事件贫乏给企业造成巨额经济损失。在当今信息即可财富的背景下，越来越多的黑客组织投身于信息资产的窃取，攻击手段变幻莫测，而且攻击渠道日益变换，IOT设备、工业网已经成为不法黑客的攻击重点，为整个网络安全环境带来全新挑战。未来大量的机械手和机械设备被黑客攻击之后会伤人，这不仅仅是资产的损失，可能会影响到营商的状态。原来的黑客是炫技，没有太多的利益诉求，但是近几年来大家遭到的攻击几乎都是有经济利益诉求的。以前的没有经济利益诉求，有了经济利益诉求，我们面临的背景会更复杂。