武钢为什么会建立甚至称得上“严苛”的信息安全措施？

　　一出武汉机场，映入眼帘的就是“武钢WISCO”那硕大的广告牌。虽然人们心目中的中国“钢都”是鞍山，但你在武汉却到处可以看到“钢都”的字眼。作为长江南岸的一座重工业城市，武汉的城市建设已略显过时，很多企业都不景气，而武汉钢铁（集团）公司（以下简称“武钢”）则是武汉人心目中数一数二的好企业，人们羡慕那里的高工资和半价买房的优惠。
　　
　　远远地站在武钢大门外，就能看到那尊高大的毛主席塑像，会让你想起武钢正是在1958年那个大炼钢铁的火热年代正式投产的，是新中国成立后兴建的第一个特大型钢铁联合企业。2005年，在完成了与鄂钢、柳钢的联合重组后，武钢已成为年产钢2000万吨规模的大型企业集团，中国排名第三位、世界排名第16位。
　　
　　国内外的竞争形势让武钢在2000年开始了ERP建设，从生产、销售、技术、质管、财务，再到物流供应链、设备管理系统，ERP系统显然已成为其命脉。如果系统停运，将会造成大面积停产和管理瘫痪，对于年产值达几百亿元人民币的武钢来说损失是可以想像的。
　　
　　2003年6月，通过主干网访问Internet的人数骤然增多，导致接入交换机负荷增长，整个单位直接脱网，中心路由器宕机，大约一周后系统才恢复正常。2003年8月，冲击波病毒袭击武钢，造成全网瘫痪一天，通过切断大流量局域网、打补丁，持续一周时间系统才得以恢复。2003年9月， 蠕虫王病毒袭击了财务服务器， 造成财务部断网、 打补丁， 一天时间才得以恢复。
　　
　　2004年5月，“振荡波”网络攻击。
　　
　　2004年10月，网络攻击。
　　
　　这是武钢的安全体系建立之前发生的一些安全事件。如今作为国务院信息化工作办公室推选的ISO/IEC27001的中国惟一的企业试点单位，武钢对安全的理解也实现了从网络安全到信息安全的跨越。但严格的安全措施遭致部分武钢员工的不理解，有人提意见，总有人不按照规定做事，这些不和谐的音符反而促使武钢追逐信息安全的脚步越走越急。
　　
     初尝胜果
　　
　　武汉夏日的太阳似乎要把人烤干，但武钢里依然随处可见穿着长衫长裤、戴着安全帽的工人。《CIOINSIGHT》的记者刚在武钢工程管理部指挥长张汉欣的办公室坐下，就有几位技改部的人来找他，双方用武汉方言争执得非常厉害。原来是负责二热轧厂二级厂建设的德国人在系统中选择了趋势科技的防病毒软件，而张汉欣则坚持全公司都要统一使用诺顿，要他们改过来。
　　
　　这样的事情在几年前的武钢是不可能发生的，那时各单位虽说都按规定安装了防病毒软件，但却五花八门，什么品牌都有。这也不能怪大家，因为本来就没有从公司的层面规定要统一。但2004年“振荡波”的来袭，改变了一切。
　　
　　时任武钢咨询管理部部长的张汉欣至今还清楚地记得，那是个周六，得到消息后他马上安排人工进行干涉，因此对武钢并没有造成实质性的影响。但他依然心有余悸，似乎都能看到如果处理不及时，星期一上班后大面积瘫痪的可怕场景。实际上当时有几个管理不到的点，已经遭受攻击，但由于不属于生产主线，没有对整个网络造成损害，但那也是一个缺口。
　　
　　这件事促使武钢反思自己在安全方面的问题所在：系统不断地扩展，网络范围也在不断地延伸，但因为信息化是个新生事物，所以从一开始就没有总体规划，缺乏建设标准，设计方面就有结构缺陷；管理不到位，组织不完善，治理不落实；工程建设中间没有进行安全审计；互联网的出口漏洞；计算机在日常使用过程中的问题。
　　
　　那时武钢一门心思想的是如何不让网络遭到攻击、如何防止冲击波，于是选择了统一的企业级防病毒软件体系以及补丁自动分发系统；此外，每年进行审计，加强流程的控制。为了保证这套安全防御体系的执行到位，在组织建设上，武钢成立了以公司主管领导牵头的武钢信息安全保密领导小组；由资讯管理部、保卫部等相关部门组成的信息安全管理小组，建立相关规章制度，加强管理和考核，使安全工作制度化；公司每年召开信息工作会议，每月召开信息工作例会、信息安全研讨会，评选网络安全优秀单位、优秀信息管理员。
　　
　　事实上，从2004年10月份以后，武钢再也没有发生过大范围的信息安全事件。仅在今年4月份，二热轧厂专管过程控制的二级系统因为病毒的问题耽误了8小时以上，原因是漏装了防病毒软件。二热轧厂一天的产量是两万吨，但其在那时申请进行检修，而检修本来就要停产的，所以也未对生产造成影响。
　　
      二次革命
　　
　　似乎做完那套系统后，武钢的安全大计就该告一段落了，但此时发生了一件意外的事。当时正赶上国务院信息化办公室和公安部要求推广信息化安全标准，要选择5家试点单位。各种因素促使武钢在2005年11月成为国务院信息化工作办公室推选的ISO/IEC27001的中国惟一的企业试点单位。
　　
　　当看完ISO17799那本厚厚的书中的39项控制目标、133个控制措施、33个体系文件后，研究了国际和国内的信息安全方面所说的一些东西，本来只想着信息安全就是网络安全、系统安全的武钢的面前像是打开了一扇新的大门。张汉欣告诉《CIOINSIGHT》记者，“原来信息化安全不单单是网络上的安全，而是包括整个信息化体系的安全，最核心的是信息安全。”
　　
　　于是，武钢开始尝试最时髦的安全风险管理，把安全上升到了安全管理体系层面。先是请人对武钢的安全状况进行了评估，从网络的信息安全、人员操作的问题，到制度建设、管理规范的方方面面。
　　
　　当专门派到北京接受培训的3批人回来后，武钢就按照评估的结果，把ISO17799中的措施和文件挨个剖析，制定了武钢自己的管理目标，编制成厚厚的一大本《信息安全管理手册》和《信息安全程序文件》，给全公司各个管理部门都下发一套，要求各单位根据这个标准执行，并制定出本管理部门要做的事情，然后指导每个人去做，比如说生产部针对自己单位要拿出制度来发给每个人，让他们就按照这个来做。但这本花了半年时间才制定出来的规章制度，在一次安全抽检时却被发现都锁在这些单位的资料柜里。这让张汉欣很生气，“我不是说让他们把这个作为一个文件放在那里，我这一套文件要有承接。”其实当初参与培训的各单位的人员都有，但从来这种东西执行起来就有一定的困难，有待于意识的提高。张汉欣说现在责令这些部门改正，年底的检查就要动真格的了，一定要有严厉的措施。
　　
　　而这个结果也是张汉欣意料中的，任何东西都是三分建设，七分管理，“管理是最难的，先不说这个，就ERP的实施，我前天下午还给财务上课呢，这都搞了多少年了。” 
　　
      杂音
　　
　　事实上武钢在信息安全方面工作的推进遇到的阻力，并不只是安全手册被束之高阁。信息安全不同于人身安全，你很难奢求员工站在企业的层面，去考虑遭受病毒或者攻击后给企业可能造成的损失。武钢遭遇的是各个大企业都极为头痛的事情——终端管理。很多员工把U盘或外面拿来的光盘随便往PC里面插，“当时厂里也是做了很多工作，贴了红字条，盖了章，都不管用”。“你将PC的光驱拆掉，有些懂一点的人就把机箱打开，接上外挂的光驱。最后只能是下去检查，发现一个处罚一个”。而员工最不理解、不配合的则是内外网隔离政策的实行，尤其是那些工艺人员。张汉欣很清楚地记得员工的质问：“你做信息化是为了方便工作，还是为了安全？”所以直到2006年春节后才彻底断掉。原先则是逢年过节的时候关闭，主要是防止没人值班时出意外。
　　
　　每到那时，张汉欣就会接到无数个电话，这个说我在厂里值班，能不能给我开两个小时，写封邮件；那个说我在加班，查点东西，给开一会儿吧。每到那时，张汉欣就通知下属，某人的IP地址是多少，你给他开多长时间。包括武钢的书记和总经理都打过这样的电话，但是他们都支持这个政策。为了弥补这种制度带来的不方便，武钢在各个单位统一建立了网吧，走的是另外一条电信的线路，与内网进行彻底的物理隔离。
　　
　　采访张汉欣前就曾听说最好不要给他发邮件，要发传真。直至此时记者才明白，因为连他也上不了网，要收邮件的话就得跑到楼上的网吧或是回家。看来这种不方便也直接影响到了与武钢打交道的外人。
　　
　　张汉欣对自己这种“严苛”政策的解释是，现在其管辖范围内的服务器有250多台、PC机有2700台，而且由于整个公司的资金并非集中投入，各单位做项目还有很多设备。整个公司内上互联网的有1000多人、有邮箱的是3000多人，“这还是挂了号的，没有挂号的我还不知道”。实在是太难控制了，有鉴于此，他还正准备通过Mac地址和IP地址捆绑来控制接入。其实员工的呼声也有其合理性，事实上MSN就是极有争议的，不过像IBM这样的大公司都是开放的，因为确实有沟通需要。
　　
　　在现实中，当你问一些万人企业的安全主管，很少有人敢说终端未安装防病毒软件的比率是零，也不敢说自己每个月的病毒数量是零。因为要想做到零的话，成本就会太高，要不牺牲业务，搞得员工特别不方便；要不就得花费太高。
　　
　　而安全和易用性永远是矛盾，过度安全是不合理的，但不安全也不行。而分寸的把握则有赖于各企业，武钢的政策是否合理别人也很难评说。但有一点是肯定的，那就是收回权限比管理权限更安全，隔离比访问控制更安全。为什么张汉欣为武钢制订的安全措施如此严格？也许与其经历有关。1979年，在青海当了8年导弹兵后退役的张汉欣即加入武钢，一直在生产部门，直到1999年成为咨询管理部部长。
　　
　　他开玩笑地说，武钢上ERP也和他从1990年～1999年坚持不懈地“忽悠”有关系。事实上，武钢并没有像一般的企业那样，有一个纯粹的IT部门，张汉欣所在的工程管理部专门负责新上项目的建设，这让他看IT项目时更多地从业务和生产角度出发。
　　
　　不知是否是军旅生涯和ERP上马中的各种人员管理控制、资源协调过程，让张汉欣在做安全这一块的整个部署时显得有些铁腕。即使这样，他也觉得做安全比做ERP更难，因为这一块就是人的问题。虽然ERP也有人的问题，不过“ERP就是执行难，但是ERP一旦尝到甜头就好了，安全这个东西不容易尝到甜头”。“包括ISO9000也好，ISO14000也好，都是属于纸上办公，文件一大套一大套的，也有总指挥，但是最后执行起来还是不行。”直率的张汉欣毫不掩饰在安全管理上的困难，“说实在的，本身信息化的问题是这样子的，我的感觉是掉进去了，只有开始，没有结束。”

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。