NSC2013 中國網絡安全大會分會場二 馮朝輝
責編:rhliu |2013-12-11 17:48:50毛文波:我是道里公司的毛文波,最近我看到云的大潮又開始,還是非常有持續性的起來了,我們的云安全準備好了沒有,我們終端,會議的話題是云安全,終端安全有什么挑戰,我們有幸請來六位嘉賓,首先是愛康國賓集團的馮朝輝,演講的題目是“企業信息安全戰略”。
馮朝輝:今天非常有幸跟大家一起來談安全,我演講的內容與今天分會場有很大關系,會范圍更寬一點兒,今天一天的會議下來,大家都看到網絡和信息安全是很多企業面臨的一個非常殘酷的現實,我自己在美國工作了十多年,然后再回到國內有五六年的時間,我的感覺,在美國的企業信息安全對企業來說可能不是第一也是第二的一個非常重大的戰略的問題,在中國企業,絕大多數企業,除了金融、證券,大家是抱著一種很僥幸的當鴕鳥的態度希望不要發生,大家對這塊并不重視。
今天借這個機會分享一下愛康國賓作為全國最大的體檢的連鎖機構,我們每年有將近200萬人在企業體檢,對我們來說,對我們體檢人信息的安全非常重視,因為你的健康狀況可能是你非常重要的個人隱私,如果這種信息得不到保障的話,對我們客戶是一個非常大的損失。所以,在這個領域值得我們很多企業思考,我覺得中國的企業不應該抱著鴕鳥心態希望不要發生,有一天安全泄漏是一定會發生的,我們看到國外很多的案例,我想中國一樣也會發生。
企業怎么考慮?我們應該從一個戰略的層面綜合考慮,前面的演講講了很多了,這是一個長期戰略的投入,大家可以分享一下我們的一些體驗。
我不再講現在形勢有多么嚴峻,我們前面講了很多這種話題了,對企業來說,信息安全從有IT開始就是一個命題,只是變的越來越嚴酷,許多我們新的技術的使用,云的技術,虛擬化的技術,包括我們現在移動終端的使用,這個問題變的越來越嚴峻,我們傳統的一些方法,防火墻這些東西已經在新的時代里已經不能再保護一個企業邊界的安全了。這種情況下我們作為企業應該怎么應對,這些新的技術,他帶來很多便利,但是同時也帶來很多的挑戰,特別是在安全方面的挑戰。具體怎么去保護我們的云,我相信后面的嘉賓會有很多解決手段,更多的是作為一個企業IT的從業人員應該怎么面對不斷出現的新的技術,不斷出現的一些新的安全,應該怎么應對他們做一些分享。
數據中心變的越來越嚴酷。我們提到云安全,我們云方面的供應商會給我們分享他們安全的防護,但是從目前國外的經驗來說,從美國來說,千萬不要相信你的供應商能保護你的安全,作為企業我們還是應該有一套自己安全防護的手段。
移動終端的出現,對所有的IPO這是一個惡夢,以前我可以保護起來,現在老板要用iPAD,用手機看每天的財務信息,怎么保護移動的終端對所有的IT從業人都是一個惡夢,對一個企業來說,總IT的角度,在你的安全戰略里一定要充分的考慮你的移動終端的安全問題,不然你的信息一定會通過各種各樣的方式泄漏出去。
其實我覺得在手機端一個非常可惜的事件就是黑霉的沒落,黑霉是一個非常重視安全的企業,但是因為它被蘋果這樣的企業擊敗了,蘋果的安全保護做的很不夠的,以前企業大部分用黑霉,現在轉向蘋果,給我們帶來很多的挑戰,因為在這方面的惡意軟件有很多,我相信安全的技術它的生命周期,一般一個心的系統出現有三到五年的潛伏期,三到五年會有一個爆發,隨著蘋果大量的在企業應用,很快會有一個安全問題大的爆發期,這基本上是國外的一些趨勢,安卓也是一樣,基本上3—5年就會出現一個大的安全漏洞爆發的時期。
對我們企業來說,現在有這么多新的技術,影響到我們企業的安全,數據中心逐漸的虛擬化,逐漸的轉向公有云,放到公有云上的數據如何得到保護,我們終端從PC到移動終端越來越多使用Web的技術,以前大家做股票交易,要去大廳里操作一個終端,現在都在手機上做,如何保護你客戶的安全,越來越多技術的出現使得安全變的越來越復雜。
我們可以看到各種各樣新的技術出現,使得本身我們的網絡,我們企業本身IT基礎的架構就越來越復雜,它帶來很多安全挑戰,希望我們在座的這些做IT的供應商,希望你們真正為企業提供更多更好的解決方案。
另外一方面,從業務的角度來說,安全永遠不只是一個IT的問題,安全里有三個非常核心的因素,一個是人的因素。我們發現很多安全的泄漏可能是因為人的原因造成的,一個是企業內部流程的因素,你的流程控制的因素,都造成安全的漏洞。第三個因素才是我們IT的因素。所以,我們作為安全的角度,我想我們今天探討的很多是關于技術層面的,我們如何保護網絡,如何保護我的服務器,我們作為一個企業里,如果你承擔一個信息安全的責任,你不光要考慮到IT的基礎測試的安全,同時一定要考慮人的安全,一定要考慮你業務的安全,這是你整個安全策略里一個不可忽略的兩個非常重要的部分,你的流程,你的人員如何控制它。
安全的困境,我們無數企業已經出了安全事故了,對我們來說,我們企業如何保護自己的安全,我們的信息安全是我作為一個公司負責信息技術安全的高管最擔心的事情,但是這個工作,這個困難你逃不掉,你只能有一個戰略的思想,一步步區市縣,這也不是一天能建成的,就像長城不是一天能建成的,你應該怎么做呢?有一些簡單的安全治理方面的。
安全治理,首先應該對企業內部的安全現狀做一個評估,所謂企業安全度模型,我想我們絕大多數的中國企業都處于一種被動的方式,被迫的做一些安全,而沒有主動的做一些安全的防護,更多的談不上合規,可能很多美國的企業在合規和主動安全方面做了很多工作,最后我們會做到安全的優化,我們中國的企業很多還處于非常被動的階段,如何進行安全的建設,其實最理想的方式是從治理向下一種方法,首先安全治理,然后有合規的管理,流程的改進,信息技術的安全,IT基礎架構的安全,這是治理項下的方法。
大多數中國企業的現狀你不得不采用治理向上的方法,先解決基礎的安全架構,為了保護網站,再慢慢的往上做,但是我覺得如果你是一個企業IT的負責,從頂往下,先可以做一些考慮,同時在基礎建設方面也做一定的投入和工作。ISO信息安全管理體系大家有時間可以看一看,對你做企業信息安全戰略規劃的時候會有很大的幫助,里面對ISO企業安全的管理做了很多的分類,大家在做規劃的時候可以參照這個分類,首先安全策略,這是總業務角度控制,人力資源的安全是從人的角度考慮,我資產的安全,其次才是訪問的控制,我的基礎設施,這些東西我們有時間都可以找到。
我最終要強調一下企業要做安全一定是持續不斷的改進的過程,根據流程不斷的做實施,做評估,做感應,做提高。黑客想做什么事情我們控制不了,我們能做的事情只是把自己的鎧甲做的越來越強,只有這樣才能保護我們企業自己的安全。一個企業安全體系規劃從統一身份認證開始,到安全管理分級,一直到病毒的防護,這都是整個安全體系規劃要考慮的非常重要的一些工作。
大家會看到安全是一個非常復雜的問題,這是一個全面的信息化建構的一個工程。時間關系,我不會一點點累贅,這是一個信息安全的模型,每個企業如果你真正的對安全非常重視的話,你應該去做一個安全的模型。首先是考慮到你的策略問題,策略問題非常重要的是你一定要得到你的管理層的支持,你要跟老板講我們為什么要做信息安全,然后安全的分析,其次是對你的資產的導入,你有什么樣的安全資產,對我體檢行業來說,體檢客人的隱私信息、病例檔案這是我的安全資產,我怎么管理,它的優先級是什么,弱點是什么,我漏洞在什么地方,只有這樣,再反過來分析你的威脅是什么,有什么可能威脅你,風險的監控,最后落實到你具體要做什么事情,怎么防護它,怎么保護它。從基礎設施到業務流程的改變,我怎么改變我的工作流,怎么改變我的業務。最后一步是合規,對中國企業來說比較幸運,也是一種不幸,我們沒有太多的合規工作去做,對國外的企業他們不幸也有幸,他們有很多合規工作要做,在美國信息安全很多政府的法規必須去,這樣很多企業可以做的好一些,對企業本身的利益來說,不管有沒有合規的要求,我們都應該把安全的工作作為一個戰略,有一個長期的規劃,然后逐步的實施,今天就跟大家分享這些。謝謝
