三一重机作为工程机械行业的领军企业，是在什么背景下开始着手进行信息安全建设的？重点做了哪些方面的工作？

三一重机最早于8年前成立之时就在IT部设立了信息安全工程师的岗位，但主要实施的是技术层面的工作，尚未上升到管理 层面。随着国家的4万亿投资政策，工程机械行业开始井喷，一些盗窃图纸、收买情报等不正当商业竞争行为时有发生。在此背景下，于12年上任的三一重机有限 公司董事长俞宏福先生，本着对信息安全的敏感性，大力加强对信息系统的投入，并着手于保密体系工作的建设。因此可以说，国家政策和不正当行业竞争，是促进 三一重机保密工作发展的契机。

2013年9月，俞宏福董事长正式提出了建立“保密委员会”的建议，并亲任保密委员会主任。保密委员会设 有多个小组，囊括了研发、财务、商务、营销等所有涉及到敏感资料的部门，各小组负责人即是各部门一把手，小组之上设有保密工作推进小组。这个组织架构可称 为是一个基于实体组织的虚拟组织，这种跨越传统组织架构的委员会组织极大促进了部门之间的合作，加快了工作效率。

此委员会以公司层面及小组例会的形式沟通工作进展，协调控制点。委员会主任及小组长必须亲自参与保密会议，听取保密推进办公室的的工作汇报，并由主任下达新的指示。目前在三一重机，保密工作已经成为企业重点关注的工作之一。

从信息安全管理的角度来看，您认为安全保密工作中的关键点在哪里？如何解决？

安全保密工作最关键的还是要解决“人”的问题。在完全市场化的企业里，非核心人员的流动量大。但往往有些普通岗位会接触到敏感资料，比如普通工程师有接触 研发图纸的机会，部门文员整理资料的机会，但普通岗位的流动性较大，如果相应的管控未做到位，很容易成为保密工作的一个漏洞。

再有一个当下突出问题就是人员保密意识不足，安全素养参差不齐。据本人观察，在目前国内企业的大环境，整体安全意识不高。除了那些传统的保密级别较高的企业，如军工、航天等，大多数民营、私营乃至国企（尤其制造业），对保密工作都存在着一定程度的忽视。

出于以上原因，安全保密工作应着重保密文化及保密意识培训，并持之以恒的开展下去。安全技术设备可以买，安全专业人员可以聘，但员工的有无保密意识才是最重要的，因此把人搞定是关键！

三一重工的工控系统是否存在漏洞？您如何看待工控安全？

三一重机有着国内工程机械行业第一条数字化生产线，即计算机辅助装配线，基本实现了生产过程自动化控制。自动化系统中有各种各样的机器人，如数据采集、自动配送、焊接机器人等。

当时在08年开发生产线时，重要的工作集中在设计、控制点、工作效率等方面，加上受时代的局限，管理层缺少对工控安全的关注。因此，毫不避讳的说，我们的工 控安全系统肯定会存在某些漏洞，尤其是某些管理人员极其缺乏工控安全专业的防护意识。虽然工控安全的领域较窄，但由于全球智能化的大势所趋，震网之类的实 际案例相继发生，工控安全已经引起各国能源生产行业的高度重视。所以，我们保密委员会目前已联合IT部门对数字化生产线的漏洞排查和修补加固，此项工作也 将是日后重点的信息安全工作之一。

另外，我们的工控系统水平与国外还有差距，自动化也没有达到完全无人值守的程度，从安全方面来讲这也是一个不容易被数字攻击的利好。

能否具体谈一谈您在信息安全工作中遇到的问题和解决方法？

很多企业都有一种通病，不知道该防什么不该防什么，把很大一分部精力人力物力用到了并不重要的环节，而真正存在风险的地方，由于人员缺乏专业性，以及领导重视程度有所偏颇，导致该防的地方没防住。像图纸泄露这样的事情，会给我们这种行业的公司造成很大的损失。

图 纸泄露与图纸的研发管理工作有一定关系，因此从我主抓保密工作以来，注重加强了图纸资料的管控和权限管理，包括研发基地的隔离，网络的物理隔离，手机的禁 止使用范围，资料归橱等。但严格的保密工作，势必造成工作效率的下降。我觉得，封权限不叫本事，放开权限不出事才叫本事。于是今年下半年，已逐渐开始在一 些方面改善以往旧有安全策略。比如，研发人员与普通工作人员的工作往来，加密系统权限的安全策略调整等。在保证监管的掌控下，开放了一些工作窗口，让工作 人员“透了一口气”。但开放的前提是加强审计，工作可以做，但必须按照规定，违规的话处罚就来了。这种加强审计，按照安全规定放开手脚的方法，较之以前的 “一棍子封死”的保密策略，让工作人员有了不小的工作空间，加强了工作效率，也让员工对保密工作更为理解和支持。

如何顺利开展意识培训工作，并把安全保密知识让非专业人员理解和接受？

信息安全意识工作是我比较有成就感的工作。“保密”这两个字现在在我们企业里是非常敏感的两个字，提到这两个字大家的精神立刻紧绷，已经在公司层面上形成 了良好的安全工作习惯。我的方法分为两个套路，一是从上往下。通过董事长对安全保密工作大力支持，每月定期召开保密会议的同时，保密委还不定期的进行安全 检查。比如我们会在值夜班的时候，进入重点区域的办公室，拿走没有保管好的资料。让该人员第二天直接去我的办公桌上领。或是在例会上、办公系统(OA)中 直接在公司范围进行通报某部门人员的不安全行为。一来二去，大家养成了良好的保密习惯。

二是从下往上。每个月我都会针对不同部门的员工 组织两到三次的培训课，讲课课件全部自己写，而且还会定期更新，并加入社会上发生的真实泄密案例，结合企业内部的事件通报及制度要求，不断的滚动讲课。讲 完之后还会组织考试，并根据结果有奖有罚。近期正在筹备举行有奖知识问答竞赛，以调动大家对保密工作的兴趣及积极性。

另外，信息安全意 识的宣传贯彻是一项持续性的工作，需要不断地通过各种媒介来实施。如海报、杂志、视频、动画，甚至是计算机屏保等，从而形成常规性和系统性的培训工作。我 们今年购置了谷安的信息安全意识产品，把上述的各种宣贯方式一揽子容纳在内，增加了培训效率，节省了培训成本。

通过大量持续的培训工作，安全保密意识已经深入人心，办公室人员资料入柜，离座锁屏，出门上锁，车间人员警醒陌生人，主动举报异常行为，大家的工作中嵌入了良好的保密习惯。可以说保密意识培训工作起到了非常明显的效果。

凌主任，您讲的非常实际中肯，从中可以看出您丰富的安全工作经验和对管理执行工作深刻的理解，并能够深入浅出地给大家讲解出来。这对于所有需要加强安全意识的同行业甚至是其他行业的安全工作都具有良好的借鉴意义。感谢您本次接受采访，谢谢！

也谢谢安全牛给大家带来分享工作体会和实践经验的机会，谢谢！