武鋼為什么會建立甚至稱得上“嚴苛”的信息安全措施？

　　一出武漢機場，映入眼簾的就是“武鋼WISCO”那碩大的廣告牌。雖然人們心目中的中國“鋼都”是鞍山，但你在武漢卻到處可以看到“鋼都”的字眼。作為長江南岸的一座重工業城市，武漢的城市建設已略顯過時，很多企業都不景氣，而武漢鋼鐵（集團）公司（以下簡稱“武鋼”）則是武漢人心目中數一數二的好企業，人們羨慕那里的高工資和半價買房的優惠。
　　
　　遠遠地站在武鋼大門外，就能看到那尊高大的毛主席塑像，會讓你想起武鋼正是在1958年那個大煉鋼鐵的火熱年代正式投產的，是新中國成立后興建的第一個特大型鋼鐵聯合企業。2005年，在完成了與鄂鋼、柳鋼的聯合重組后，武鋼已成為年產鋼2000萬噸規模的大型企業集團，中國排名第三位、世界排名第16位。
　　
　　國內外的競爭形勢讓武鋼在2000年開始了ERP建設，從生產、銷售、技術、質管、財務，再到物流供應鏈、設備管理系統，ERP系統顯然已成為其命脈。如果系統停運，將會造成大面積停產和管理癱瘓，對于年產值達幾百億元人民幣的武鋼來說損失是可以想像的。
　　
　　2003年6月，通過主干網訪問Internet的人數驟然增多，導致接入交換機負荷增長，整個單位直接脫網，中心路由器宕機，大約一周后系統才恢復正常。2003年8月，沖擊波病毒襲擊武鋼，造成全網癱瘓一天，通過切斷大流量局域網、打補丁，持續一周時間系統才得以恢復。2003年9月， 蠕蟲王病毒襲擊了財務服務器， 造成財務部斷網、 打補丁， 一天時間才得以恢復。
　　
　　2004年5月，“振蕩波”網絡攻擊。
　　
　　2004年10月，網絡攻擊。
　　
　　這是武鋼的安全體系建立之前發生的一些安全事件。如今作為國務院信息化工作辦公室推選的ISO/IEC27001的中國惟一的企業試點單位，武鋼對安全的理解也實現了從網絡安全到信息安全的跨越。但嚴格的安全措施遭致部分武鋼員工的不理解，有人提意見，總有人不按照規定做事，這些不和諧的音符反而促使武鋼追逐信息安全的腳步越走越急。
　　
     初嘗勝果
　　
　　武漢夏日的太陽似乎要把人烤干，但武鋼里依然隨處可見穿著長衫長褲、戴著安全帽的工人。《CIOINSIGHT》的記者剛在武鋼工程管理部指揮長張漢欣的辦公室坐下，就有幾位技改部的人來找他，雙方用武漢方言爭執得非常厲害。原來是負責二熱軋廠二級廠建設的德國人在系統中選擇了趨勢科技的防病毒軟件，而張漢欣則堅持全公司都要統一使用諾頓，要他們改過來。
　　
　　這樣的事情在幾年前的武鋼是不可能發生的，那時各單位雖說都按規定安裝了防病毒軟件，但卻五花八門，什么品牌都有。這也不能怪大家，因為本來就沒有從公司的層面規定要統一。但2004年“振蕩波”的來襲，改變了一切。
　　
　　時任武鋼咨詢管理部部長的張漢欣至今還清楚地記得，那是個周六，得到消息后他馬上安排人工進行干涉，因此對武鋼并沒有造成實質性的影響。但他依然心有余悸，似乎都能看到如果處理不及時，星期一上班后大面積癱瘓的可怕場景。實際上當時有幾個管理不到的點，已經遭受攻擊，但由于不屬于生產主線，沒有對整個網絡造成損害，但那也是一個缺口。
　　
　　這件事促使武鋼反思自己在安全方面的問題所在：系統不斷地擴展，網絡范圍也在不斷地延伸，但因為信息化是個新生事物，所以從一開始就沒有總體規劃，缺乏建設標準，設計方面就有結構缺陷；管理不到位，組織不完善，治理不落實；工程建設中間沒有進行安全審計；互聯網的出口漏洞；計算機在日常使用過程中的問題。
　　
　　那時武鋼一門心思想的是如何不讓網絡遭到攻擊、如何防止沖擊波，于是選擇了統一的企業級防病毒軟件體系以及補丁自動分發系統；此外，每年進行審計，加強流程的控制。為了保證這套安全防御體系的執行到位，在組織建設上，武鋼成立了以公司主管領導牽頭的武鋼信息安全保密領導小組；由資訊管理部、保衛部等相關部門組成的信息安全管理小組，建立相關規章制度，加強管理和考核，使安全工作制度化；公司每年召開信息工作會議，每月召開信息工作例會、信息安全研討會，評選網絡安全優秀單位、優秀信息管理員。
　　
　　事實上，從2004年10月份以后，武鋼再也沒有發生過大范圍的信息安全事件。僅在今年4月份，二熱軋廠專管過程控制的二級系統因為病毒的問題耽誤了8小時以上，原因是漏裝了防病毒軟件。二熱軋廠一天的產量是兩萬噸，但其在那時申請進行檢修，而檢修本來就要停產的，所以也未對生產造成影響。
　　
      二次革命
　　
　　似乎做完那套系統后，武鋼的安全大計就該告一段落了，但此時發生了一件意外的事。當時正趕上國務院信息化辦公室和公安部要求推廣信息化安全標準，要選擇5家試點單位。各種因素促使武鋼在2005年11月成為國務院信息化工作辦公室推選的ISO/IEC27001的中國惟一的企業試點單位。
　　
　　當看完ISO17799那本厚厚的書中的39項控制目標、133個控制措施、33個體系文件后，研究了國際和國內的信息安全方面所說的一些東西，本來只想著信息安全就是網絡安全、系統安全的武鋼的面前像是打開了一扇新的大門。張漢欣告訴《CIOINSIGHT》記者，“原來信息化安全不單單是網絡上的安全，而是包括整個信息化體系的安全，最核心的是信息安全。”
　　
　　于是，武鋼開始嘗試最時髦的安全風險管理，把安全上升到了安全管理體系層面。先是請人對武鋼的安全狀況進行了評估，從網絡的信息安全、人員操作的問題，到制度建設、管理規范的方方面面。
　　
　　當專門派到北京接受培訓的3批人回來后，武鋼就按照評估的結果，把ISO17799中的措施和文件挨個剖析，制定了武鋼自己的管理目標，編制成厚厚的一大本《信息安全管理手冊》和《信息安全程序文件》，給全公司各個管理部門都下發一套，要求各單位根據這個標準執行，并制定出本管理部門要做的事情，然后指導每個人去做，比如說生產部針對自己單位要拿出制度來發給每個人，讓他們就按照這個來做。但這本花了半年時間才制定出來的規章制度，在一次安全抽檢時卻被發現都鎖在這些單位的資料柜里。這讓張漢欣很生氣，“我不是說讓他們把這個作為一個文件放在那里，我這一套文件要有承接。”其實當初參與培訓的各單位的人員都有，但從來這種東西執行起來就有一定的困難，有待于意識的提高。張漢欣說現在責令這些部門改正，年底的檢查就要動真格的了，一定要有嚴厲的措施。
　　
　　而這個結果也是張漢欣意料中的，任何東西都是三分建設，七分管理，“管理是最難的，先不說這個，就ERP的實施，我前天下午還給財務上課呢，這都搞了多少年了。” 
　　
      雜音
　　
　　事實上武鋼在信息安全方面工作的推進遇到的阻力，并不只是安全手冊被束之高閣。信息安全不同于人身安全，你很難奢求員工站在企業的層面，去考慮遭受病毒或者攻擊后給企業可能造成的損失。武鋼遭遇的是各個大企業都極為頭痛的事情——終端管理。很多員工把U盤或外面拿來的光盤隨便往PC里面插，“當時廠里也是做了很多工作，貼了紅字條，蓋了章，都不管用”。“你將PC的光驅拆掉，有些懂一點的人就把機箱打開，接上外掛的光驅。最后只能是下去檢查，發現一個處罰一個”。而員工最不理解、不配合的則是內外網隔離政策的實行，尤其是那些工藝人員。張漢欣很清楚地記得員工的質問：“你做信息化是為了方便工作，還是為了安全？”所以直到2006年春節后才徹底斷掉。原先則是逢年過節的時候關閉，主要是防止沒人值班時出意外。
　　
　　每到那時，張漢欣就會接到無數個電話，這個說我在廠里值班，能不能給我開兩個小時，寫封郵件；那個說我在加班，查點東西，給開一會兒吧。每到那時，張漢欣就通知下屬，某人的IP地址是多少，你給他開多長時間。包括武鋼的書記和總經理都打過這樣的電話，但是他們都支持這個政策。為了彌補這種制度帶來的不方便，武鋼在各個單位統一建立了網吧，走的是另外一條電信的線路，與內網進行徹底的物理隔離。
　　
　　采訪張漢欣前就曾聽說最好不要給他發郵件，要發傳真。直至此時記者才明白，因為連他也上不了網，要收郵件的話就得跑到樓上的網吧或是回家。看來這種不方便也直接影響到了與武鋼打交道的外人。
　　
　　張漢欣對自己這種“嚴苛”政策的解釋是，現在其管轄范圍內的服務器有250多臺、PC機有2700臺，而且由于整個公司的資金并非集中投入，各單位做項目還有很多設備。整個公司內上互聯網的有1000多人、有郵箱的是3000多人，“這還是掛了號的，沒有掛號的我還不知道”。實在是太難控制了，有鑒于此，他還正準備通過Mac地址和IP地址捆綁來控制接入。其實員工的呼聲也有其合理性，事實上MSN就是極有爭議的，不過像IBM這樣的大公司都是開放的，因為確實有溝通需要。
　　
　　在現實中，當你問一些萬人企業的安全主管，很少有人敢說終端未安裝防病毒軟件的比率是零，也不敢說自己每個月的病毒數量是零。因為要想做到零的話，成本就會太高，要不犧牲業務，搞得員工特別不方便；要不就得花費太高。
　　
　　而安全和易用性永遠是矛盾，過度安全是不合理的，但不安全也不行。而分寸的把握則有賴于各企業，武鋼的政策是否合理別人也很難評說。但有一點是肯定的，那就是收回權限比管理權限更安全，隔離比訪問控制更安全。為什么張漢欣為武鋼制訂的安全措施如此嚴格？也許與其經歷有關。1979年，在青海當了8年導彈兵后退役的張漢欣即加入武鋼，一直在生產部門，直到1999年成為咨詢管理部部長。
　　
　　他開玩笑地說，武鋼上ERP也和他從1990年～1999年堅持不懈地“忽悠”有關系。事實上，武鋼并沒有像一般的企業那樣，有一個純粹的IT部門，張漢欣所在的工程管理部專門負責新上項目的建設，這讓他看IT項目時更多地從業務和生產角度出發。
　　
　　不知是否是軍旅生涯和ERP上馬中的各種人員管理控制、資源協調過程，讓張漢欣在做安全這一塊的整個部署時顯得有些鐵腕。即使這樣，他也覺得做安全比做ERP更難，因為這一塊就是人的問題。雖然ERP也有人的問題，不過“ERP就是執行難，但是ERP一旦嘗到甜頭就好了，安全這個東西不容易嘗到甜頭”。“包括ISO9000也好，ISO14000也好，都是屬于紙上辦公，文件一大套一大套的，也有總指揮，但是最后執行起來還是不行。”直率的張漢欣毫不掩飾在安全管理上的困難，“說實在的，本身信息化的問題是這樣子的，我的感覺是掉進去了，只有開始，沒有結束。”