NSC2014中國衛星通信集團信息中心主任李煒
責編:rhliu |2014-10-24 10:35:29企業信息安全建設經驗
很榮幸能夠接到組委會的邀請來參加中國網絡安全大會。我也很高興能夠有這個機會跟大家一起就企業的信息安全建設方面的問題來一起探討。
下面我先做一個自我介紹。我是來自中國衛星通信集團公司,是公司信息中心主任,負責整個公司的信息化建設,我的職責包括整個集團公司的信息化規劃,也包括信息應用系統的統籌建設和運維管理,當然也包括我們的信息安全方面的事項。
我也是北京大學CIO班同學會會長,在2012年的時候出于對自身在信息化各方面能力提升的考慮,我參加了北京大學CIO班的培訓,北大的CIO班是我們業內比較有影響力的一個信息總監的培訓基地,是參照MBA的培訓方式,在四個方面提升我們信息主管的能力:一是IT戰略和管理;二是業務和流程;三是IT的技術和架構;四是績效和評價。當時2012年我是這個CIO班14班的班長,在結業之后,又很榮幸的被選為同學會的會長。北大CIO班同學會現在也是比較活躍的,今年我們也組織了很多有意義、有價值的一些交流活動。比如我們曾經走進過南方航空,了解到南航的移動信息化建設、統一移動平臺建設方面的事項,也了解了它的開源技術方面的應用,我們也曾經到過阿里巴巴和淘寶網,了解了大數據在淘寶網的一些應用。最近期的一次活動是在深圳,也就是上周末,同學會組織去了深圳,跟騰訊的微信小組做了一些交流,北大CIO同學會目前還是非常活躍。
另外我也是CIO自媒體聯盟的秘書長,這兩年各種聯盟如雨后春筍般的在成立,大到國家兩化融合推進聯盟,小到我們這個CIO自媒體聯盟。不管這個聯盟是大是小,我覺得都是在給信息化建設盡一份力,做一些這方面推進的事情。今年我們是由一群企業信息化負責人,還有出身CIO的創業人員,我們共同在今年3月份發起成立了CIO自媒體聯盟,我們也是委托微信的公眾帳號,通過微信的平臺來分享和發布一些我們這個群體的人關心的一些技術、管理、職業能力各方面的事項。
今年特別有意義的一個事情,就是由CIO自媒體聯盟發起,有20多位各地的信息化負責人參與我們共同寫了一本書,叫做《CIO新思維》,這本書即將在11月份由電子工業出版社正式出版發行,希望大家能夠關注一下。這本書聚焦在作為一個中高級管理人員的信息主管他應該具備的一些綜合能力上,也都是我們這些信息化負責人把自己多年的建設經驗和一些典型的案例和自己切身的體會融合在這些文章之中,非常有意義。
我也是CIO老友會發起人之一,也是中關村大數據產業聯盟的副秘書長,我們的《CIO新思維》這本書也是我們大數據聯盟的系列圖書之一。今天我們探討的主題是信息主管如何推動企業的信息安全建設。這個主題我們也在考慮納入到《CIO新思維》的一版,作為后續的編寫計劃,正在啟動,歡迎大家持續關注。
下來言歸正傳,我今天主要分享的內容包括這么幾個方面,首先我們探討一下中國企業信息化建設現狀和中國企業信息安全現狀,然后從中可能會發現一些挑戰和機遇,然后討論一下信息安全對企業的價值分析。接著就是從企業文化的視角談一談如何推動企業信息安全建設,最后再給出一個很簡潔的信息安全建設的原則。
在座的有很多企業信息化負責人,我們是不是都有同感?一個企業的信息化推進不是很容易的事情,更何況是其中一個分支的信息安全事項。前兩年有一個分析報告,大概是在2009年,當時指出有這么兩點,中國企業的信息化綜合指數不高,再就是中國企業整體信息化成熟度處于中等偏下的狀態,它是一個統計分析的結果,指的是一個平均水平,是相對發達國家。可能也有中國某些企業他們的信息化水平還是相對來說比較高的,但是這里指的是一個平均的水平。
具體表現在什么方面呢?首先是中國企業信息化建設和應用缺乏前瞻性,信息技術與實際業務發展的需求匹配度比較低。在信息化應用范圍的廣度和深度上遠遠不夠,大多數的信息化應用集中在部分業務上,體現不出整體信息化的效益。也就是說,IT的技術和企業的業務在全面融合方面還有不足。中國企業普遍不重視IT治理,IT的制度不夠完善,IT的績效考核體系也不夠完善,IT的部門設置存在不完善的現象。而且IT部門往往是比較邊緣化,在公司里面相對其他部門來講是處于弱勢地位,話語權還不夠。雖然IT部門承擔了企業信息化建設和應用的職能,但是推動力度欠佳。中國企業的中高層管理人員參與信息化的程度比較低,就是說非IT的那些管理人員較少的參加了信息化的工作,雖然我們平常建設的可能是一個客戶關系管理系統,或者一個其他的財務管理系統或者是合同管理系統等等,但是負責這個業務的中高層管理人員,他參與這個項目的程度還不算太高。整體中國企業的信息化領導力比較弱,當然這是一個相對的比較。
總體來說,跟發達國家相比,中國企業的信息化應用表現,就是信息技術還沒有能夠充分發揮它在中國企業中的應有價值,對企業發展的總體貢獻不足,表現在對企業提高核心競爭力,提升內外部管理能力,落實創新、助力業務發展、提升市場反應能力和決策支持等方面的貢獻仍顯微薄,貢獻明顯低于預期。這是2009年的一個分析報告,據我了解,5年以后,到2014年,中國企業的IT總體水平狀況也沒有特別明顯的改善。以上提到的幾個方面的問題可能仍然存在。
信息安全在中國企業中是一個什么樣的情況?2013年有一份報告,是中國信息安全測評中心發布的,關于國家信息安全態勢評估,提到了中國企業信息安全的一些描述,主要是有這么幾點:”隨著行業新技術新應用的引入、業務多元化的實現以及信息化、工業化的不斷融合,重要行業和企業的信息安全建設明顯滯后于信息化的發展,基礎信息網絡與重要信息系統的脆弱性依然突出,信息安全風險已升至行業風險的高位,關鍵數據的安全和業務的連續性面臨極大的挑戰”。也就是說,中國企業的信息安全存在薄弱環節,還不是說特別理想。
行業新技術、新應用指的是云計算、大數據、移動互聯網這些新技術的普及。信息化和工業化的融合,指的就是工信部一直在推的工業化帶動信息化,信息化促進工業化,走新型工業化道路。重要行業和企業應該是指的一些大型的行業和央企,因為我們國家很多很重要的基礎信息網絡和信息系統都是分布在這些大型的企業和央企中,所以這個報告也應該是根據大型企業的特點來進行統計分析出來的。但是我覺得大企業都這樣了,小的企業可能更不會比他強多少。這種情況主要表現在以下幾點:
第一是行業企業和內部的信息安全發展極不平衡,存在安全短板。從兩個層面來講:
一是行業間是有先有后的,有的行業在信息化建設、信息安全方面走得比較早,比如金融、電力這些行業,他的信息化實力稍微強一點,信息化水平稍微高一點,安全的防護水平也是相對高一些,但是還有部分的行業和企業的信息安全滯后程度相當嚴重。
二是企業內部層面,我們也知道,大型企業有這樣的特點,就是它的規模一般來說都比較龐大,機構也很眾多,業務比較復雜,往往它的業務和網絡都是覆蓋到全國范圍之內的,甚至是延伸到海外。它的下屬的分支機構對信息安全的重視程度不一樣,在信息安全方面投入也是不一樣的。雖然建設的時候可能做了統一的規劃或者是統一的一些要求,但是建設和防護水平是參差不齊的。這樣就造成這個企業整體上系統的整體防御和縱深防御體系比較薄弱,出現了短板的現象,特別容易引發全局性的安全問題。這是中國企業的信息安全現狀的一個表現,就是行業和企業內部發展不平衡,存在短板。
第二是數據安全沒有得到足夠的重視,敏感數據存在泄漏隱患。
這里的敏感數據指的是重要的信息系統和基礎的信息網絡上面存儲覆蓋的數據。這些企業可能還沒有采取切實有效的數據防外泄的措施,數據沒有根據重要程度分類分級進行保護,大量敏感數據采用明文傳輸和存儲,存在泄漏隱患,很多中小企業也存在這種情況。外部邊界,特別是互聯網出口防護不善,網絡隔離不利,應用層安全漏洞大量存在,導致大量敏感數據面臨失竊風險。
第三安全檢測和感知能力不足,無法及時發現和處置攻擊等異常行為。
雖然有很多企業已經部署了入侵檢測的設備,但是存在部署位置不當、規則庫老舊,沒有及時進行更新,報經日志無人查看,這樣的現象比較多,所以它的入侵檢測的設備形同虛設。也有部分企業沒有建立健全應急響應體系和機制,也缺少一些遇到安全事件的實際演練。同時信息化人力資源和技術能力不足,無法發揮出作用來。實際上這兩個問題我覺得主要還是人力資源的問題。前面我也提到了,中國企業信息化的現狀是什么樣子,比如IT的部門不是特別完善,IT的人才可能也沒有那么富余,另外IT人員的水平和培訓不到位,可能就會造成以上這種情況。尤其是對于一些很高級別的攻擊和威脅,可能根本就無法應對,只不過這些威脅現在可能沒有表現出來,但是一旦表現出來,就沒有辦法應對了,所以說企業的信息安全長期處于被動狀態。
第四是關鍵技術受制于人,安全隱患與日俱增。
這個大家都比較好理解了,我們現在絕大多數的企業中,基本上所有的企業廣泛應用的一些核心的信息技術產品,比如從網絡核心設備到大型的主流軟件、核心應用系統到新技術產品依然是國外的產品,對存在的漏洞和后門無法及時的知曉。我們用的CPU、硬盤,包括操作系統、數據庫都是國外的,現在也無可替代,一時還是沒有辦法的事情。部分企業在產品選型中,對信息安全的考量不足,對產品的安全評估、系統上線前的安全測試不夠重視,帶來比較大的安全風險和隱患。我覺得這個現象不是部分企業,可能大部分企業都存在這樣的情況。因為現在我覺得最重要的一點就是我們還沒有安全方面的意識,也沒有幾家企業養成這樣的習慣,我們在上線一個系統的時候,或者在建設一個系統的時候先考慮它對信息安全的要求,或者先做一個等保定級,是幾級的,之后再同步的把安全防護的措施做上來,幾乎還沒有企業養成這樣的一個習慣,都是先上了系統,應用先上來,先滿足業務再說,所以會出現這樣的情況。
第五是安全規劃和建和沒有能夠同步,新技術的風險在不斷引入。
隨著云計算、大數據、移動應用的普及,不少企業在積極跟進新技術的步伐。我覺得這也是因為現在都是互聯網環境,客戶在驅動企業的一些業務,競爭對手可能應用了一些先進的技術,在目前的環境下,其他的企業不得已,必須要跟上。但是在應用這些技術的同時,部分企業沒有充分考量安全的問題,對安全規劃和建設沒有同步實施進行,也沒有進行安全風險評估,沒有落實安全保障措施的情況下,他就強行上線了比如說云平臺、移動辦公系統這些新技術的一些應用,導致會帶來新的安全風險和隱患。
根據報道,有一家大型央企的二級企業,它就是部署了云的平臺,它把所有的應用全部遷移到這個云平臺之上,實現了業務的集中,對業務看來是一個好的事情,但是確實是沒有對這個云的平臺做深入的了解,尤其在安全方面。后來發現,在云平臺上有一個非常嚴重的漏洞,能夠通過外部來對云平臺進行干涉和操控。這樣的話,實際上是給業務帶來非常大的風險。
從上面的表現我們可以看到,實際上中國企業的信息安全形勢是不容樂觀的,信息安全的保障能力目前還無法滿足企業信息化發展的需求。前面我談到了中國企業信息化的現狀,剛才又分析了中國企業信息安全的形勢。總體感覺,我們還是相比發達國家在這方面有很大的差距的,也有很大的不足。但是我覺得,有差距說明我們已經有了目標和方向了,能夠跟別人去比了,有不足,實際上就說明我們還有更大的發展空間。所以我覺得,對于我們信息化負責人來說,實際上現在可能還是一個機遇,有挑戰,有機遇,機遇和挑戰并存。
今年我覺得對我們是有一個契機,能夠推動信息化和信息安全建設出現的一個契機,有兩點因素:一是國家對信息安全的重視前所未有,出現了一個歷史性的機遇;二是企業在現在的環境下越來越認識到信息安全是企業可持續發展的基本要求。
這個機遇實際上大家都明白,今年2月27日,中央網絡安全和信息化領導小組宣告成立,它成立的意義在什么地方?就表明了國家在保障網絡安全、維護國家利益、推動信息化發展方面的決心。從這個機構的職責中我們也能看到,對于信息化負責人和企業IT部門來講有一些興奮點。
下面我談一談在信息化環境下,對于企業的信息安全有哪些價值。現在是全球信息化的環境,企業的信息資產特別寶貴,保護好信息資產往往是這些企業能夠持續發展一個最根本的要素。信息安全的價值體現在幾個方面:
第一是保護企業客戶信息和內部組織信息。
企業的客戶信息或者商務伙伴的資料和數據,以及企業內部的這些組織的信息、員工的信息都是企業賴以生存的基礎,是需要保護的一個主要資產。
第二體現在我們基于互聯網的商務活動過程和數據需要保護。
現在電子商務已經是一個商務的主流方向,相比10年前我們很多的業務,很多的事務,都是通過電子商務來進行處理和完成的,大家也都逐漸的習慣把線下的商務活動放在了線上。越來越多的企業已經在利用大量的電子商務替代了傳統的商務活動,在網絡上我們都知道有很多的風險,為了規避信息泄漏、信息篡改、身份欺詐這些行為給企業造成的一些糾紛和困擾,信息安全保護就顯得特別重要。
第三體現在企業的商業秘密方面。
現在企業的正常運作離不開信息資源的支持,商業秘密的泄漏會使企業喪失一些競爭的優勢,失去市場。所以企業要保持可持續發展,必須做好信息安全方面的工作。
第四是保障業務持續運轉的需要。
我們都知道,像9·11這樣的恐怖事件,可能造成了企業從此就消失了,因為它所有的信息資產都存在一個地方,沒有辦法恢復和還原。所以為了防止在企業的經營活動中發生中斷的情況,保護它關鍵的信息資產免受重大的故障和災難的影響,建設安全的信息系統是必不可少的。
從信息主管的角度,我們怎么樣能夠更加有力的推動企業信息安全建設?前面我提到了信息化,整個中國企業信息化的態勢和信息安全的態勢。我覺得造成這種困擾一個很關鍵的原因主要是人的意識問題,不是一個技術方面的問題,可能是一個管理或者意識方面的問題。信息化工作是我們老生常談的,信息化是三分技術,七分管理,它的來源是哪里?下面這段話就可以很好的說明這個事情,為什么信息化是三分技術和七分管理。從信息論的觀點,我們會看到信息系統是一個比較復雜的系統,是由信息技術系統、系統運行環境和信息組成,不僅包括組成信息技術系統的計算機軟硬件、網絡基礎設施、系統平臺、通信平臺,還包括系統運行內外環境中的人、組織、管理、物理環境這些因素。而且很重要的一點,就是因為這些因素之間它們相互影響,相互作用,相互制約,才稱為一個有機聯系的整體。從這里看到,信息化實際上不僅僅是一個技術的問題,實際上是一個多方面的問題。
信息安全也是同樣的道理,也是三分技術,七分管理,也不是一個單純的技術問題。所以在這里我提出一個觀點,我們要做好企業的信息安全建設方面的工作,不僅僅要考慮到信息安全的技術層面管層面的問題,也要考慮到人員層面、文化層面的問題,這幾個方面也是相互制約、相互作用、相互影響的。我也覺得中國的信息化建設最大的問題不是一個技術問題,往往是人員和文化層面的問題,大家還沒有很多的意識,還沒有意識到信息技術的合理應用能夠給企業發展帶來很大的促進作用。所以說我們必須有全方位的考慮,才能保證信息安全的目標得以實現。
怎么樣來建立信息安全的文化?我先大概說一下企業文化是怎么回事,現在的企業逐漸壯大到一定階段的時候,每個企業都會談到自己的文化,或者都會發展自己的企業文化。那么企業文化是什么?企業文化就是企業內的一套通用的價值體系,通過企業的價值觀、承諾、傳統等社會特征,來無形中約束企業和企業成員的言行,使企業和企業成員的行動向著實現企業發展目標的方向前進。所以有時候當技術和管理規章制度不能約束每一個行為的時候,企業的文化往往可以起到很好的作用。所以我希望能夠發揮企業文化在這方面的作用,來推動我們企業的中高層管理人員在信息化和信息安全方面意識的增強。
這里有一個很典型的例子,就是核電站有一個安全的文化,就是把企業文化和安全有機的結合在一起了,有四個”凡事”,是一個經典的說法,就是凡事有章可循,凡事有人負責,凡事有據可查,凡事有人監督。這是有背景的,這是國際核能界在三里島和切爾諾貝利事故以后,結合”企業文化”的管理思想,提出的新的安全管理思想和原則,而且后面應用和傳播得非常好。它是傳統的縱深防御原則的一個擴充,也是安全管理思想的一個重大變革。實際上我覺得信息安全也是安全體系的一部分,所以它跟核電站的安全文化也有異曲同工的地方。我們可以建立一種信息安全的文化,就是把信息安全看作是企業文化的一個組成部分,把企業文化引入到信息安全管理政策中,通過引導和影響企業員工對待信息安全工作的方式和態度,員工和企業對信息安全或者信息化的態度、行為和實踐一旦形成一種風格或者習慣的話,這些工作就比較好開展了。
這是舉例,某一個企業它的信息安全文化包含了哪些要素,有企業信息安全方面的文化和理念,也有員工在信息安全方面的文化和理念,企業的信息安全理念有安全使命、安全愿景、安全責任、核心安全觀。員工的信息安全理念包括安全意識、全員價值觀、員工行為規范、保守秘密等等要素。說到底,信息安全是對人的行為的一個管控,良好的信息安全文化理念是企業安全的一個靈魂,信息安全文化是企業文化的一個重要組成部分,我覺得這個總結得是非常好。
我們通過什么樣的形式來建成一種信息安全的文化?我覺得有以下幾點建議,主要還是通過宣貫的方式,我們可以在企業中經常的去宣貫國內外的信息安全形勢,國家信息安全方面的政策,還有一些比較典型的信息安全事件,還有這個企業信息安全的制度和企業信息安全的文化理念。
下面是舉個例子,比如到底這個世界上國際的信息安全形勢是什么樣子,就可以給大家講,現在是網絡空間怎么回事,大數據在當中起到什么樣的作用,企業在全球的信息安全戰略中是什么樣的地位和作用等等,經常給員工做一些宣貫,或者請專家來做一些講解。還有國家政策法規的一些宣傳,比如國資委我們對企業的信息安全有什么樣的要求,公安部又是什么樣的要求,人大又有哪些決定,同時我們ISO27001上面是怎么講的,怎么說的,耳濡目染,員工或者是企業的管理人員慢慢的就有這個意識了。這是一個央企的商業秘密信息系統安全技術指引。
另外還有一些信息安全的事件,也可以經常去給員工做一些宣講和宣貫。這是一個入侵的大型離子對撞機的實驗,在2008年9月10日,黑客入侵這個系統,差一點就關閉了。2010年的時候百度的網站突然沒有訪問了,是被伊朗的一個網軍入侵篡改了,這都是比較惡劣、比較震驚的事件。我們企業中也可能建有內網,內網跟互聯網是隔離的,難道它就沒有風險了嗎?通過這樣一個圖示,也可以告知員工,告知大家,內網在什么樣的情況下也是能夠被攻入的。我記得伊朗的那個震網病毒侵入了伊朗的核電站,利用的就是這種方式。
除了文化方面,我們可以從組織和人員的層面來推動這個企業的信息安全建設,這是老生常談的,也沒有什么特色的東西。信息化也是一把手工程,我們要成立企業一個信息安全的管理機構,這個管理機構有這樣的職責,我們實際上不僅僅是要讓企業的一把手來擔任管理機構的領導人,同時還要讓企業的層層一把手也納入這個機構之中,使整個企業對于信息化或者信息安全的工作推進得會比較順利。
我們從安全管理的方面推進信息安全建設,這個都是常規的方法,大家可能普遍采用的也都是這樣。信息安全的管理體系國際標準,還有就是怎么從技術層面上做到信息安全的防護,這也都是我們等保中要求的,比如物理安全、網絡安全等等,就不細講了。
最后我再簡潔的說一下我們做信息安全建設的一些原則:一是要遵循國際國內或者行業信息安全的法規和標準;二是注重投入產出比,安全與投資的平衡。現在信息安全產品很多,信息安全各方面需要防御的或者要部署的也很多,但是是不是我們企業有這個資金,或者有這個能力去實施呢?所以要考慮一個安全和投資的平衡。要從業務的重要性和防護等級上保持一致,按照我們等保的要求去做,你的企業受到入侵或者破壞以后,對這個國家或者對企業影響到什么程度,就把信息系統定為什么樣的級別,相應的去做那些安全的防護;三是要強調三分技術,七分管理,還有誰主管誰負責,有些業務部門負責的系統,它主管的,你就應該有這個安全的意識;四是統一性,在一個集團企業,大型企業中要統一進行安全規劃,統一進行安全策略的設置,統一進行安全標準,統一一個安全的建設;五是全面考慮,分步實施,我們不是一下子把所有的資金全部投入在信息安全方面,分階段、分步實施,一點點投資,一點點建設。
感謝大家,我今天的匯報就到這里,謝謝大家!
