压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

北京燃?xì)饧瘓F(tuán)信息檔案中心總工程師王廣清王總，他分享的主題是燃?xì)庑袠I(yè)信息安全體系建設(shè)，掌聲有請(qǐng)。

王廣清：感謝主持人，各位專家各位朋友下午好！我是北京燃?xì)庑畔n案中心的總工，也是北大CIO18屆的學(xué)員。非常高興有這樣的機(jī)會(huì)和大家交流，我演講的題目是燃?xì)庑袠I(yè)信息安全體系建設(shè)，主要是將我們企業(yè)在信息安全方面的經(jīng)驗(yàn)進(jìn)行了整理，與大家進(jìn)行分享，希望對(duì)大家有所啟發(fā)。

不知道在座的各位有多少是在企業(yè)負(fù)責(zé)信息安全工作的，或者做著與信息安全相關(guān)工作的？因?yàn)槲铱赡苁侵v企業(yè)信息安全的一些事情。我們有一個(gè)微信公眾號(hào)，這里面有一些信息安全的知識(shí)，大家可以關(guān)注。我的演講的內(nèi)容包含三個(gè)方面：燃?xì)庑袠I(yè)信息安全的現(xiàn)狀及存在問題。燃?xì)庑袠I(yè)信息安全體系建設(shè)方法。最后介紹一下我們企業(yè)信息安全的實(shí)踐。

由于城鎮(zhèn)化和PM2.5的原因，國內(nèi)天然氣業(yè)務(wù)發(fā)展這幾年高速增長，就北京燃?xì)鉃槔?014年底我們的用戶500萬戶，年用氣量達(dá)到100億，北京也是全球第四個(gè)年用氣量超過100億的城市。所以，業(yè)務(wù)高速的發(fā)展，要求我們的信息化對(duì)業(yè)務(wù)安全能夠支撐，倒逼我們的信息化快速的發(fā)展。我們?cè)倏匆幌掳踩蝿?shì)。外部的安全形勢(shì)非常嚴(yán)峻，前面各位專家提到了各種安全事件，斯諾登和震網(wǎng)等等，這些安全事件都給我們敲響了安全的警鐘。

據(jù)歐洲信息安全統(tǒng)計(jì)，黑客們?cè)絹碓结槍?duì)國家的基礎(chǔ)設(shè)施進(jìn)行攻擊。2012年受到攻擊最多的行業(yè)是能源行業(yè)占41%，供水15%，2013年有一個(gè)數(shù)據(jù)關(guān)于工控的安全事件顯示受到攻擊最多的還是能源行業(yè)，大概是59%，可想而知外部的安全形勢(shì)非常嚴(yán)峻，黑客們?cè)絹碓结槍?duì)一些國家的基礎(chǔ)設(shè)施和公用設(shè)施來進(jìn)行攻擊。

我們看一下燃?xì)庑袠I(yè)信息的特點(diǎn)。這幾年燃?xì)鈽I(yè)務(wù)的快速發(fā)展，我們?nèi)細(xì)馄髽I(yè)已經(jīng)建設(shè)了相應(yīng)的信息系統(tǒng)，涵蓋了生產(chǎn)運(yùn)營領(lǐng)域，比如SCADA系統(tǒng)，我們的市場營銷領(lǐng)域，比如我們用戶系統(tǒng)還有客服系統(tǒng)，還有? 經(jīng)營管理的領(lǐng)域ERP等等，這些系統(tǒng)基本都已經(jīng)建成了。燃?xì)庑袠I(yè)信息化存在著一些問題，或者說有這樣一些特點(diǎn)。

第一，它的孤島效應(yīng)比較明顯，系統(tǒng)之間雖然建成了，但系統(tǒng)間的互聯(lián)互通比較少。第二，信息化綜合管控能力比較弱。第三，我們信息化更多的還是有賴于第三方。第四，工業(yè)體系的安全核心在轉(zhuǎn)變。這句話什么意思呢？以前更多的是關(guān)注工控的物理安全，但現(xiàn)在更多的是往信息安全方面轉(zhuǎn)變。

燃?xì)庑袠I(yè)信息安全的現(xiàn)狀又是什么樣呢？作為傳統(tǒng)的能源企業(yè)，燃?xì)馄髽I(yè)對(duì)信息化的認(rèn)識(shí)和適應(yīng)性普遍偏低，對(duì)信息安全這塊相對(duì)陌生，缺乏主動(dòng)、完整、有效的信息安全保障機(jī)制。在具體的幾個(gè)方面，組織方面，信息安全隊(duì)伍能力不足，信息安全重視程度不夠，信息安全職責(zé)不清。在制度方面，我們信息安全處理更多是事件型的，發(fā)生事件我們應(yīng)急和響應(yīng)。我們的管控體系缺乏體系化，零零碎碎的。更多的安全策略要讓位于業(yè)務(wù)為先，而不是安全為先，這是制度層面存在的問題。在技術(shù)層面，我們也建設(shè)了一些安全系統(tǒng)，但一樣有孤島效應(yīng)，沒有形成聯(lián)動(dòng)。我們整個(gè)邊界控制相對(duì)比較薄弱也比較模糊，特別是工控系統(tǒng)互聯(lián)性提升以后，就存在大量的潛在被攻擊的危險(xiǎn)，這些都是目前燃?xì)庑袠I(yè)信息化和信息安全方面存在的一些問題。

所以，燃?xì)馄髽I(yè)本身存在著信息安全問題，所謂內(nèi)部驅(qū)動(dòng)力還有我來自于外部的威脅，以及來自于監(jiān)管的壓力，都要求燃?xì)馄髽I(yè)盡快建設(shè)信息安全體系。燃?xì)馄髽I(yè)的信息安全體系究竟怎么來建設(shè)呢？接下來我就將我們?cè)诮ㄔO(shè)信息安全體系過程中的一些經(jīng)驗(yàn)和方法進(jìn)行整理，提出了燃?xì)庑袠I(yè)信息安全體系的建設(shè)方法，供燃?xì)馄髽I(yè)和燃?xì)庑袠I(yè)的其他企業(yè)進(jìn)行參考。當(dāng)然這個(gè)方法如果你作為一個(gè)企業(yè)的信息安全負(fù)責(zé)人的話，實(shí)際上也有一些借鑒意義。特別是里面一些具體的做法，大家可以有好多參考價(jià)值。

下面我來介紹我們整理的燃?xì)庑袠I(yè)的信息安全體系的建設(shè)方法。

首先，我們采用的信息安全管理體系的模型和框架，叫做HTP信息安全模型。HTP是包含人員、管理，外面是技術(shù)和產(chǎn)品，最外面是流程和體系。這里面最核心的是說模型強(qiáng)調(diào)以人為本，人是最核心的，后面也會(huì)提到，除了我的技術(shù)防火墻之外，我還有人力防火墻，主要是和這個(gè)模型相對(duì)應(yīng)起來的。我們這個(gè)模型有一個(gè)方法論框架，它是這樣一個(gè)步驟，我們是采用自頂向下逐步求精的原則，根據(jù)組織的業(yè)務(wù)目標(biāo)和安全要求，首先在組織建立信息安全的治理結(jié)構(gòu)，就是最上面這塊。然后對(duì)信息安全做出制度保證，綜合考察企業(yè)的業(yè)務(wù)環(huán)境和IT環(huán)境，進(jìn)行風(fēng)險(xiǎn)評(píng)估，做出信息安全的一個(gè)計(jì)劃，建立并運(yùn)行信息安全的管理體系。這個(gè)管理體系是一個(gè)粗的保證，是一個(gè)粗力度的信息安全的保障。在此之上，我們建立一個(gè)所謂的人力防火墻和一個(gè)技術(shù)防火墻，這兩個(gè)防火墻來保證信息安全。我們相應(yīng)的還有信息安全的審計(jì)，在持續(xù)不斷的改進(jìn)過程中保證信息安全的安全性、完整性、可用性、有效性，建立一套完整的信息安全體系，這是方法論的框架，首先是這樣一個(gè)模型，有這樣一個(gè)框架，這是我們建設(shè)信息安全體系采用的一些理論知識(shí)。

這張是我們整理了燃?xì)庑袠I(yè)信息安全體系的建設(shè)方法。上面是一些輸入，下面是一些輸出。輸入是你要考慮企業(yè)信息安全戰(zhàn)略，企業(yè)面臨的信息安全風(fēng)險(xiǎn)，我們要借鑒最佳的信息安全實(shí)踐，比如COPET（音）、我們要考慮上級(jí)部門的監(jiān)管要求，在燃?xì)庑袠I(yè)你要重點(diǎn)考慮外包的安全和工控的安全，這些作為輸入我們產(chǎn)生了這些輸出，首先我們要制定和設(shè)計(jì)信息安全的架構(gòu)，我們要制定整個(gè)企業(yè)信息安全的藍(lán)圖，我們進(jìn)行信息安全體系的建設(shè)。這個(gè)體系制定了之后，我們采取先試點(diǎn)再逐步推廣的方式在整個(gè)企業(yè)進(jìn)行推開，這是我們整個(gè)整理的信息安全體系的建設(shè)方法。在信息安全體系里，有重要的一個(gè)部分，就是整個(gè)企業(yè)信息安全架構(gòu)的設(shè)計(jì)。信息安全架構(gòu)是對(duì)信息安全治理機(jī)制的高度的概括，從信息安全目標(biāo)和方針，信息安全的策略到信息安全的管理工作的分解，再到信息安全管理工作如何開展提出了方向性和原則性的指導(dǎo)意見。在信息安全的架構(gòu)中，目標(biāo)和方針作為信息安全的核心，構(gòu)建不同的信息安全域，不同的企業(yè)構(gòu)件的信息安全域不一樣，你要根據(jù)企業(yè)具體的情況來看信息安全域具體有哪些，每一部分又包含哪幾項(xiàng)。最后通過制度體系、組織體系和技術(shù)體系來保證你的信息安全域的落地。

在構(gòu)建安全域的時(shí)候，我們要參考一些最佳設(shè)計(jì)、規(guī)章制度、等級(jí)保護(hù)等國內(nèi)外的信息安全的最佳實(shí)踐，要充分考慮企業(yè)信息安全風(fēng)險(xiǎn)評(píng)估，戰(zhàn)略驅(qū)動(dòng)和監(jiān)管要求等內(nèi)容，裁剪出適合企業(yè)特點(diǎn)的信息安全體系架構(gòu)。這里面強(qiáng)調(diào)了，你最后做的時(shí)候不是把這套國際標(biāo)準(zhǔn)照搬過來，一定要參考自己的最佳實(shí)踐，針對(duì)企業(yè)的戰(zhàn)略和你面臨的風(fēng)險(xiǎn)、監(jiān)管的要求，最后裁剪出適合你自己的安全域。

制定了信息安全的架構(gòu)后我們開始信息安全體系的建設(shè)，包括組織體系、制度體系和技術(shù)體系。我們這三個(gè)體系所謂的組織體系定職責(zé)，在一個(gè)企業(yè)里首先要把組織體系定出來，說明整個(gè)這件事情各個(gè)部門要負(fù)責(zé)什么。第二部分是制度體系定依據(jù)，做某一件事情你的依據(jù)是什么。第三，技術(shù)體系定保證，你采取哪些技術(shù)方法來保證企業(yè)的信息安全。這是整個(gè)信息安全體系的三個(gè)部分，組織體系、制度體系和技術(shù)體系。

前面是把燃?xì)庑袠I(yè)信息安全體系的建設(shè)方法做了簡單的介紹，比較枯燥。接下來介紹一下這個(gè)方法在我們北京燃?xì)獾膶?shí)踐應(yīng)用的具體情況。

我們按照前面的介紹方法把整個(gè)項(xiàng)目分成了六個(gè)階段，基本和前面對(duì)應(yīng)起來，每個(gè)階段也對(duì)應(yīng)了具體的相應(yīng)工作。這六個(gè)階段從前期的啟動(dòng)到現(xiàn)狀調(diào)研、風(fēng)險(xiǎn)評(píng)估，到我們信息安全架構(gòu)的設(shè)計(jì)，到安全的規(guī)劃，最后是體系的建設(shè)。體系建設(shè)的后期還有體系的評(píng)審和發(fā)布等等相關(guān)的工作。這是我們北京燃?xì)庠诮ㄔO(shè)信息安全體系時(shí)的整個(gè)的建設(shè)步驟。

這是北京燃?xì)獾男畔踩軜?gòu)，信息安全架構(gòu)是信息安全體系中比較重要的一項(xiàng)工作，在整體架構(gòu)中要設(shè)置好信息安全的目標(biāo)和方針，為了實(shí)現(xiàn)這個(gè)目標(biāo)和方針，我們構(gòu)建了五個(gè)安全域，分別是體系管控域、建設(shè)安全域、運(yùn)維安全域、應(yīng)急保障域、基礎(chǔ)支撐域。最后我們通過三個(gè)體系，前面也提到了，制度體系、組織體系和技術(shù)體系，來保證五大安全域的落地。這是我們針對(duì)北京燃?xì)獾膶?shí)際情況，我們制定了信息安全的一個(gè)架構(gòu)。

我們?cè)隗w系建設(shè)過程中還對(duì)企業(yè)未來三到五年，信息安全的建設(shè)思路進(jìn)行了規(guī)劃，建設(shè)藍(lán)圖進(jìn)行了規(guī)劃，確定了企業(yè)安全總體方針，規(guī)劃了短期和長期的一個(gè)安全的建設(shè)目標(biāo)，這也是在安全體系規(guī)劃里要做的事情。

下面我們?cè)賮砜匆幌掳踩w系里面的三個(gè)體系，制度體系、組織體系和技術(shù)體系具體的內(nèi)容。

這張是組織保障體系的內(nèi)容。實(shí)際上也是信息安全體系的一個(gè)核心，是信息安全戰(zhàn)略落地的保障，沒有人是做不了的。在我們的組織保障體系里，我們包含相應(yīng)的領(lǐng)導(dǎo)層，管理層和執(zhí)行層，還有第三方的監(jiān)督和審計(jì)。在一個(gè)企業(yè)里面，信息安全的工作不能僅僅落在信息中心這一個(gè)部門身上，所以，你一定要把相關(guān)的部門和領(lǐng)導(dǎo)放在這個(gè)體系里面去，把大家一起拉過來干這個(gè)事情，所以這是很重要的。而且我們?cè)O(shè)立了日常的一個(gè)管理機(jī)構(gòu)，定期的開會(huì)，讓組織體系里面各個(gè)部門各司其則，組織體系真正的運(yùn)作起來，這是在信息安全體系制定的時(shí)候一個(gè)重要的工作，一定不是說信息中心一個(gè)部門在唱獨(dú)角戲，或信息安全中心下的一個(gè)部門在唱獨(dú)角戲，一定是企業(yè)相關(guān)部門都放進(jìn)來，一起做這個(gè)事情，這個(gè)事情才能做成。

我們?cè)賮砜匆幌略谖覀冃畔踩w系里的一個(gè)制度保障體系。制度保障體系主要包含我們的一些安全策略方針，信息安全管理域的具體管理要求，為我們企業(yè)提供信息安全的控制依據(jù)。自主體系包括四級(jí)文件，最開始的安全管理規(guī)定、管理辦法、管理標(biāo)準(zhǔn)和規(guī)范，以及最后的表單和操作手冊(cè)。每個(gè)企業(yè)我想這是很重要的一項(xiàng)工作，一個(gè)企業(yè)的信息安全肯定要有相關(guān)的制度，這個(gè)制度也不是一個(gè)制度，它一定是分級(jí)分層的制度，有頂層制度還有下面具體管理的辦法，還有管理的標(biāo)準(zhǔn)和規(guī)范，具體到標(biāo)準(zhǔn)的表單，這是分層分級(jí)的工作。隨著企業(yè)信息安全的深入，制度體系還在不斷的完善，涉及到企業(yè)信息安全的方方面面。

這是我們制度體系里的一個(gè)頂層制度，就是信息安全的管理規(guī)定。這個(gè)管理規(guī)定應(yīng)該是在整個(gè)企業(yè)里屬于信息安全的最重要的制度，它是頂層的制度，再下面的管理辦法是一層層往下分的。在管理規(guī)定里我們包含了方針、原則和組織治理，我們的風(fēng)險(xiǎn)管理和具體到我們信息化基礎(chǔ)設(shè)施的管理，我們信息系統(tǒng)的管理，供應(yīng)商和人員的管理，這是一個(gè)早期版本，后來我們還增加了安全事件處理和應(yīng)急管理，最后就是監(jiān)督檢查和改進(jìn)。

這是我們企業(yè)信息安全管理規(guī)定中的內(nèi)容。我們簡單說一下方針和原則這方面。這實(shí)際上是比較重要的，在燃?xì)馄髽I(yè)信息安全工作以風(fēng)險(xiǎn)評(píng)估為依據(jù)，抓住信息安全工作要點(diǎn)，將信息安全工作落實(shí)到信息安全全生命周期中，與信息安全系統(tǒng)同步規(guī)劃、同步建設(shè)、同步運(yùn)行，三個(gè)同步，信息安全不是說后期我來做一些事情，一定是和你信息安全系統(tǒng)同步規(guī)劃，同步建設(shè)和同步運(yùn)行，實(shí)現(xiàn)信息安全的全面的防御，這就是第一點(diǎn)，我們的重點(diǎn)突出和全面防御相結(jié)合的原則。

我們還有其他兩個(gè)原則，比如風(fēng)險(xiǎn)管理和持續(xù)改進(jìn)，信息安全的事情也不是說你建了一些防火墻，買了一些安全設(shè)備，放在那里就萬事大吉，高枕無憂了，一定是持續(xù)改進(jìn)的。而且隨著工具技術(shù)不斷的提高，所以你的企業(yè)面臨的風(fēng)險(xiǎn)如果不改進(jìn)遇到的問題就會(huì)越來越多。

第三，我們的技術(shù)體系和管理體系相結(jié)合。不僅僅是技術(shù)和產(chǎn)品，我們?cè)诎踩哪Ｐ屠锩妫瑥?qiáng)調(diào)管理，強(qiáng)調(diào)人，強(qiáng)調(diào)以人為本，所以，在我們的信息安全管理規(guī)定中，一開始我們就把這些原則制定出來，這些原則確定了你整個(gè)企業(yè)信息安全，怎么往下走，你的安全戰(zhàn)略和安全的方針究竟是什么樣的，所以這是很重要的。

我們?cè)俳榻B一下信息安全體系里面的技術(shù)保障體系。我們建立了所謂的五縱五橫的技術(shù)保障體系，實(shí)現(xiàn)了從物理環(huán)境到終端數(shù)據(jù)的安全控制，建立了一個(gè)事前防御，事中監(jiān)控和事后恢復(fù)的相關(guān)機(jī)制。而且我們采用不同防護(hù)技術(shù)，如身份論證，訪問控制、內(nèi)容安全、監(jiān)控審計(jì)和備份恢復(fù)等不同的防護(hù)技術(shù)，形成一個(gè)信息安全的合力，形成信息資產(chǎn)的安全保護(hù)，對(duì)企業(yè)各類信息資產(chǎn)的形成有效的差異化的精細(xì)化的防護(hù)，這是我們制定的信息安全保障體系。

信息安全技術(shù)這塊要講的東西特別多，由于時(shí)間的關(guān)系，我就不一一展開了，但是我就講一點(diǎn)，隨著這個(gè)技術(shù)的發(fā)展，我們現(xiàn)在也在搭建大數(shù)據(jù)平臺(tái)，對(duì)整個(gè)企業(yè)的安全日志進(jìn)行分析。我們搭建這樣一個(gè)Hadoop平臺(tái)，收集企業(yè)所有的日志，來自我的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、來自于我互聯(lián)網(wǎng)入口、企業(yè)流量鏡像，來自于各種日志，我們對(duì)這些日志采集過來進(jìn)行收集，進(jìn)行相關(guān)訪問行為的統(tǒng)計(jì)和相關(guān)的告警，我想這個(gè)是未來很多企業(yè)應(yīng)該做的，特別是一些大中型企業(yè)推薦大家應(yīng)該做的一件事情。

前面把信息安全體系的制度體系、組織體系和技術(shù)體系作了介紹，下面就是講一下與HTP模型相對(duì)應(yīng)，我們要建立以人為本的信息安全的培訓(xùn)體系。所以我們?cè)诎踩w系建設(shè)過程中，特別重視各個(gè)層面員工所需要的信息安全知識(shí)、技能和意識(shí)的培養(yǎng)。這里面包括我們搭建階梯化的信息安全培訓(xùn)體系，對(duì)全員進(jìn)行信息安全意識(shí)宣灌，對(duì)員工進(jìn)行持續(xù)的信息安全的宣灌。這一點(diǎn)非常重要，在一個(gè)企業(yè)里面你要建立信息安全培訓(xùn)體系，要持續(xù)對(duì)員工進(jìn)行信息安全的宣灌，這是非常重要的。

我再講一下我們通過信息安全周來強(qiáng)化信息安全意識(shí)的宣傳。我們?cè)诿磕?月份要舉行信息安全周，截至目前已經(jīng)舉行了三屆，在信息安全周我們采取多種安全形式。信息安全周五天，每天有不同的宣傳的主題，這是五個(gè)特色的宣傳日，經(jīng)過這三年的宣傳來看，我們?nèi)〉昧撕芎玫男麄餍ЧＮ医裉靵韰?huì)之前，我剛才看到今天人大通過了國家安全法，確定每年的4月15號(hào)是國家的安全日，我國到今年為止也舉行了兩屆信息安全周，我們比國家早了一屆，我們舉行了三屆。所以，信息安全周，根據(jù)我們的體會(huì)這實(shí)際上是企業(yè)很好的手段，通過信息安全周可以強(qiáng)化全體員工的信息安全意識(shí)，加強(qiáng)對(duì)全體員工信息安全意識(shí)的宣傳，所以信息安全周對(duì)企業(yè)的宣傳非常有意義，在座企業(yè)的信息安全的負(fù)責(zé)人可以參考。

我們的信息安全周的宣傳形式多種多樣，我們包含微信、視頻、OA、海報(bào)、手冊(cè)、貼圖、易拉寶等十多種宣傳形式。而且我們?cè)谛畔踩苤螅覀儗?duì)我們的宣傳效果會(huì)進(jìn)行評(píng)估，我們目前的評(píng)估結(jié)果來看，到目前為止，我們基本上宣傳達(dá)到了全集團(tuán)50%的覆蓋，未來的目標(biāo)希望全員能夠覆蓋，而且這項(xiàng)工作是一個(gè)持續(xù)性的工作。

我們也利用微信加強(qiáng)信息安全意識(shí)的宣傳，這是我前面提到的，我們微信的公眾號(hào)。在看天下下面有一個(gè)安全常識(shí)欄目，大家如果點(diǎn)擊進(jìn)去會(huì)有一個(gè)信息安全意識(shí)的宣傳手冊(cè)。我們以前把這個(gè)宣傳手冊(cè)做成紙質(zhì)版的，今年我們做成電子版的，用H5的技術(shù)每個(gè)員工都可以下載保存在手機(jī)上隨時(shí)看，很好的資料，里面的內(nèi)容也比較多，除了那里邊的Logo是我們的，那些內(nèi)容你們都可以參考。

因?yàn)榘踩芘e行了已經(jīng)三屆，我有一點(diǎn)體會(huì)，安全周的效果和重點(diǎn)在于策劃。實(shí)際上我們的安全周6月底舉行，這次是6月23號(hào)到29號(hào)剛剛舉行，我們的整個(gè)策劃就花了兩個(gè)月的時(shí)間，所以，這里面所有的剛才各種各樣的宣傳形式，每一塊的內(nèi)容你都要去策劃和確定。因?yàn)槟愕钠髽I(yè)里面安全周的話，你要確定宣傳的對(duì)象是誰。最開始我們有安全知識(shí)競賽，我們認(rèn)為我們的用戶和對(duì)象就是那些競賽的選手，但后來我們發(fā)現(xiàn)，去年舉行的時(shí)候并不好，臺(tái)上在競賽，臺(tái)下的員工在玩其他的，覺得臺(tái)上的題目太高大上了，與他們的工作差很遠(yuǎn)。今年我們就改變了，我們競賽的不僅僅是臺(tái)上的那部分用戶，更多的是我們臺(tái)下的幾百位領(lǐng)導(dǎo)，全集團(tuán)相關(guān)的員工，我們把整個(gè)題目的難度降低了，競賽的形式活潑多樣了，讓全體臺(tái)下的員工都能進(jìn)行參與，都有陽關(guān)的獎(jiǎng)品，所以，我們的員工還有微信互動(dòng)，我們的員工就說有獎(jiǎng)品的活動(dòng)才是好活動(dòng)。整個(gè)活動(dòng)大家參與度都非常好。所以，這一點(diǎn)也是我們的經(jīng)驗(yàn)，我們的用戶是誰？不僅僅是臺(tái)上的選手，而是我們?nèi)w來參加會(huì)議的領(lǐng)導(dǎo)和相關(guān)的員工，而且信息安全周的效果重點(diǎn)在于策劃。

最后我講一下，因?yàn)槲以诩瘓F(tuán)負(fù)責(zé)信息安全工作，責(zé)任比較重大，我個(gè)人感覺也是如臨深淵，如履薄冰，在座如果有負(fù)責(zé)信息安全的我們可能有共鳴。如何把企業(yè)信息安全工作做好，我們現(xiàn)在把整個(gè)企業(yè)信息安全的所有的工作細(xì)化到日常工作中，像全年的信息安全的相關(guān)工作進(jìn)行梳理，落實(shí)到每個(gè)季度，每個(gè)月每一天，重視信息安全體系的PDCA的循環(huán)和信息安全的日常運(yùn)維，這是我現(xiàn)在的一些感觸。信息安全絕對(duì)不是說建一個(gè)體系或者買一些安全設(shè)備，一定是一個(gè)PDCA的循環(huán)，一定是在每一天每一個(gè)月每一個(gè)季度，日常的信息安全運(yùn)維工作中。我們把全年的信息安全工作進(jìn)行了仔細(xì)的梳理和分解，分解到每個(gè)月每一天。我們有整個(gè)信息安全管理體系的PDCA的循環(huán)，我們有全年安全系統(tǒng)的建設(shè)，我們還有日常的信息安全的運(yùn)維和事件的應(yīng)急等等，在運(yùn)維方面我們也有第三方的運(yùn)營廠商駐廠運(yùn)維，包括我們所有日常事件的處理和所有上線系統(tǒng)日常的檢測，包括我們所有的信息系統(tǒng)定期的安全評(píng)估，幫助我們建立相關(guān)的信息安全制度，這些我們都可以讓我們的安全運(yùn)維廠商幫我們一起做。

我們做的過程中發(fā)現(xiàn)應(yīng)用安全這塊是比較難以管理的，我們上線了一些系統(tǒng)發(fā)現(xiàn)安全開發(fā)廠商這方面的技術(shù)比較薄弱，開發(fā)了很多互聯(lián)網(wǎng)的應(yīng)用，很多都存在CQL注入、跨境和跨站的一些漏洞。現(xiàn)在我們從源頭開始做起我們?cè)谡袠?biāo)文件中提出對(duì)信息系統(tǒng)安全建設(shè)的需求，我們和開發(fā)廠商制定了安全上線的規(guī)范，我們?cè)谏暇€前定律了安全檢測，我們定期對(duì)安全系統(tǒng)進(jìn)行評(píng)估，只有這樣一系列的政策才能確保信息系統(tǒng)的安全，這里面還有很多，比如帳號(hào)的安全和數(shù)據(jù)的安全對(duì)企業(yè)都是很大的問題。

通過信息安全的體系的建設(shè)，我們?cè)谒膫€(gè)方面都有相關(guān)的受益，時(shí)間關(guān)系我不一一說了，包括對(duì)信息安全的現(xiàn)狀和風(fēng)險(xiǎn)我們進(jìn)行了詳細(xì)的了解，對(duì)一些風(fēng)險(xiǎn)進(jìn)行了整改，我們對(duì)安全架構(gòu)進(jìn)行了分析，對(duì)安全進(jìn)行了對(duì)話，我們建立了整個(gè)企業(yè)信息安全的管理體系，我們對(duì)我們的人員進(jìn)行意志和技能的培養(yǎng)，通過這些佛教我們整體提升信息安全管控能力，這是我們整體信息安全的收益。

講了這么多，我希望大家記住三張圖，第一張圖是外部的安全形勢(shì)非常嚴(yán)峻，信息安全要做到的事情千頭萬緒。對(duì)于大中心企業(yè)來說，我建議你們先從信息安全體系入手，有相關(guān)的組織體系、技術(shù)體系和制度體系，組織體系定職責(zé)，制度體系定做事的依據(jù)，技術(shù)體系做相關(guān)的保證。第二張圖是說我們建議通過信息安全周的形勢(shì)來強(qiáng)化信息安全意識(shí)的宣傳，信息安全周的目的是進(jìn)行人防和機(jī)防結(jié)合，針對(duì)員工薄弱的這塊，我們通過信息安全周提升企業(yè)整體信息安全意識(shí)，信息安全周有很多的活動(dòng)，想要取得好的效果就要進(jìn)行詳細(xì)的策劃。信息安全要有一顆敬畏之心，要建立信息安全日常的工作機(jī)制，將信息安全落實(shí)到每一日的工作中。

我的演講就到這里，謝謝各位。