益云安全平台联合创始人 万涛

壳牌石油CIO 徐斌

饿了么高级风控专家 王彬

博彦科技CIO 白春玲

安邦保险信息安全总监 冯国震

范脡：下面有请这两位嘉宾做一个自我介绍。

白春玲：大家好，我主要做信息开发与维护的工作。

冯国震：我主要在安邦保险负责信息安全，最早在中国网通做过大约六年多的骨干网运维，之后到中金公司负责信息安全，10月底到安邦做了信息安全，站长之家是我业余时间做的微信公众号，主打内容是每天3分钟新闻早餐，欢迎大家关注分享，谢谢！

范脡：我们这次针对企业信息安全，我会问一些信息安全的问题。我也会留一些时间给在座的各位，如果大家在信息安全或者互联网转型过程当中遇到一些困惑，尤其在信息安全方面，可以向在座的各位嘉宾提问，千万不要错过这么好的免费咨询的机会。说到信息安全，你们在企业当中碰到的一些信息安全的重点问题和常用的解决办法是什么？白总开始。

白春玲：大家好！因为博彦科技大概在2000年前后的时候开始引入信息安全这个概念，我们基本是围绕国际的信息安全体系落地，我们主要做微软、惠普这样的一些客户，大家可能都知道微软这样的客户对信息安全的要求是相当高的。比如我们现在建立的OF，从物理安全到通信管理都相当严格，每一年都会有一个信息安全的检查和排名。它有五个等级，从A到E。企业在这里面只能是A，到B就开始属于整改的阶段，到C可能就不能接包了，所以对我们上万人这样的一个企业来讲，如果不能接包了，损失是很惨重的。所以，我们主要是在客户推动下逐步地进行信息安全的管控。这种管控，今天也听了同行专家的分享，目前我们还是靠人治和法治，做一些合规性的管控。技术对我们来说还比较薄弱，是一个辅助的手段。目前我们的一些痛点，比如BYOD、MAM（移动应用管理）、移动、数据，或者在网络方面的一些产品很分散，我们更需要集成化的产品，不仅能够管移动互联网，也能管企业的内网，希望安全的管控能够从前端的登录，身份认证，数据安全，软件的保护，以及企业内网的数据安全做到互通，这个主要是我们现在寻找的技术上的支撑。

冯国震：大家好！我主要想说明的就是目前在金融行业，尤其我在中金和安邦分别是证券和保险，这两个都是对信息安全非常重视的行业。当然，和金融业比较起来，最终使用的肯定是银行。从我的经验来看，我觉得尤其金融行业直接跟钱打交道，所以对整个的信息安全过程非常敏感。尤其最近我们也看到了很多黑客界对金融行业盯得比较紧，每天看到的日报里面不是某某保险公司，包括我们安邦在内前两天也被撞库，当然他们其实撞的都是我们处理过的数据，不是真实的库。但是，会给外界一种印象，就是说怎么最近保险公司总是出事，连人寿系统都被撞库了。所以，这种挑战对我们是非常大的。再加上现在整个行业倾向于互联网化和国际化的全球化这种发展，所以可能对我们来讲，就是更关注怎么样更有效地进行信息安全的防控。

徐斌：我从三个方面分享一下信息安全面临的问题和我们所处的状态。因为我们是能源公司，对安全非常重视，过去几年石油公司因为安全事故造成了重大损失，我之前一个雇主英国石油，过去五年有两大事件，一个是德克萨斯的爆炸事件，还有墨西哥湾的漏油事件，对公司造成的损失达600亿美金，放在一般的公司早就已经倒闭了，因为它公司足够大，变卖了很多资产才能够生存下来，所以对企业的安全非常重视。但是，即使在这种文化下面，信息安全的文化建设还是不足够的。像我们比如每次到公司，朋友们，或者其他嘉宾到公司我们会介绍一些走火通道和安全规则。说明我们安全意识很强，事实上做信息安全教育的时候做了大量工作，很多演讲，很多邮件，每个月有整个公司内部的巡检，看电脑有没有上锁，密码有没有帖在桌子上，或者有没有一些比较重要的信息放在打印机上等等。发现基本上不超过50%。在这种公司文化下面，这么强的安全文化下面，水平还是比较低。所以，我们认为文化的建设还是任重而道远，虽然现在碰到个人安全信息泄露的问题，但是真正跟工作结合在一起，真正应用到工作生活当中，我觉得还是需要更多的教育，是我们现在碰到的一个最大问题，还是文化上，大家意识上没有达到这一点。

从技术上来说，因为壳牌是比较大的公司，壳牌在信息安全产品全球做过统计，一周被攻击，或者非正常的行为达到9800万次，当然不一定所有的都是恶意攻击，主要是非正常行为。其实我们面临的挑战非常大。我们要把整个信息安全的各种制度流程内嵌到实际的运营过程中去，单独执行。比如项目治理过程中，制造项目管理分很多阶段，比如说从立项到方案的设计，到研发，到测试，到上线，这么一个关键节点，我们设置了一个信息安全的审计行动。包括招投标标书的设计过程也需要安全经理签字，他必须签字认为你所有的设计和内容需求满足了信息安全的要求，才能让你进入。所以，通过制度流程的建设，把日常的每个行为都嵌入到信息安全的风险控制点，帮助我们在实际的运营当中保证大家慢慢接受和应用这种方法。

从业务管理上来说，有两大数据我们认为非常关键，一个是客户的信息，我们现在集团公司有很多不同分公司，我们统一做系统建设，数据的所有权归谁，谁负责保护数据安全，包括数据放在哪里，哪些信息放在国外，哪些信息放在国内，有很多制度上的考量和实际操作的考量，包括《信息安全法》对信息存储有很大要求。第二，支付的数据安全如何来保障。我们在整个层面作为服务商提供给客户的时候如何把内部支付和第三方支付共同管理起来，这是我们现在考虑非常多的。所以，现在我们碰到的挑战有技术流程的挑战，以及实际运营业务上的挑战。谢谢！

万涛：相对来讲我也是从乙方角度去看。我现在关注的主要在移动办公上，纯互联网式的，包括旅行，出国。我现在最关心的入口是在线上，现在用WIFI也是主流。当然，现在的确没有好的解决方案。所以，我现在在尝试说，原来做企业安全的一些硬思路放到个人身上，我们知道前一个阶段，2006年左右，从个人终端消失了，我的观点，安全其实还是应该有价值，不应该用商业模式的替换方法把安全的专业事情变成一种互联网的营销模式，所以它可能会回归，这是因为我们对安全的资产，不仅有公司的，也有个人的，都在提升，尤其智能硬件进入到家庭生活之后。我之前在新加坡做一个油田项目的时候，四千万请了国外做整个安全顾问，6个人做了三年。但是，做信息安全的时候只有一千万，做三年。这个差异是很大的，包括做航空公司的，我发现飞行控制系统，或者控制系统也可能被入侵，但是相对来讲没有被非控本身所谈到，那怎么去体现。所以，从这个纬度上要看到移动办公的趋势。所以，我们现在在做这方面的研发。

安全是硬道理，一个是把手段变成硬的，就是用户体验会更简单，使得这个模式更加简单一点，因为在员工来讲，只需要承担他所清楚的安全责任，可能教育是一方面，合规是一方面，但是你也不希望他了解太多。所以，我们希望让个人感受到安全的痛点，什么情况下可以启用自己的手机。比如他用苹果iPad，但是是经过优化的，比如密码都做了处理，可能用这个方法在不影响体验的情况下，去降低风险。这样满足一个要求，就是安全是一个不断降低风险的过程。所以，站在企业角度上，我们其实要去界定我们的风险，风险合规上一般要注重安全能力和实践之间的差距，但是评定风险，尤其动态风险的时候是以往做的不足的。这也使安全有时候很鸡肋，偏向成本，而不是价值。我希望未来十年从成本转向价值，甚至是企业核心竞争力的一个过程。

王彬：我从两个方面阐述，一个面，一个点。我在一个很著名的金融企业待过，也在互联网企业待过，我觉得完全是两种风格，互联网企业完全是粗放的分隔，其实安全原则上做的比较差。先说传统企业，我们会有一些很强的手段，比如双设备，双电脑，物理分离，或者类似这种东西都是我们以前会用的，或者强控制。我觉得这是很好的在金融行业可以实现的地方。但是，这些东西到互联网企业当中就很难实现。现在年轻人比较倾向于自由，让他完全换两个设备，他肯定不开心，内容和网页分离他就不开心了。比如双设备。我们以前的经验是，在互联网企业当中变成互联网去监控，我一直说互联网信息安全，或者数据安全是要从监控层面花很大力气分析网络本身特征的行为。比如WIFI上要做一些监控，从数据传输能力来说，要解决异常或者不正常的行为逻辑做一些阻断。我认为特别是内部信息安全，在BAT里面是非常难做的，我们不可能像华为这种能做很强的控制，也不像金融行业能做很多的控制，能做什么呢?更多的监控，从底层的数据流上做一些干涉。当发现问题的时候把它统一解决掉，这种方式会好一点，干扰也比较少。再举个例子，比如360WIFI，如果有异常流量完全可以把它踢出去。这是面。

说一个点，互联网企业为了排错，提高开发速度，可能日志都是统一收集的，这个日志点很容易产生问题，日志当中很容易暴露用户的敏感信息，包括卡号、身份证号、手机号，UID等都可能产生风险。我们以前的做法是，所有的日志进来之前，信息安全先过一档，把我们认为可能敏感的信息去掉，保证可用性的时候尽量减少安全日志的泄露风险，对敏感的比如你的卡号多少位这种信息直接拉掉，可能有误差，但是总比信息泄露好得多，这是我分享的一个点和一个面。

范脡：信息安全很容易被大家认为是理所当然的事情，可能出问题时你才会重视。我们有第三方的分析数据，50%的企业都被攻击过。我们谈了很多来自外来的攻击，再来谈一谈内网安全，从数据来说，实际上它构成的威胁有时候甚至会超过来自外部的一些威胁，很多来自外部的攻击不一定是有针对性，或者有恶意的，但是很多内网的威胁是目标非常明确的。我也想了解在座各位在这方面有没有一些看法或者建议。

白春玲：因为我们主要是做服务和外包的一家公司，内网的管控相对比较成熟，风险相对比较小。我这边2016年比较大的一些挑战，内网上因为员工比较多，分公司也比较多，现在有32家分支机构。所以，经常会把一些密级比较高的文件放在内网共享，有一些员工不是非常清楚，会把绝密、机密和保密的文件放到公司的一些内网上面去共享。这边我们主要采取的措施就是我们今年有一个信息安全的50条，这个50条我们进行严格的评比，这个是信息安全的一个红线，谁都不可以触碰，触碰之后我们会跟你的绩效甚至罚款相关联，全球的分支机构也会进行一些评比，我们有一个大榜，在一进公司的屏幕上，以及老板的办公室都会播放。所以，对我们来说目前主要的挑战还是外网以及刚才万总讲的移动互联网的安全挑战会更大一些，内网相对风险比较小一些。

冯国震：讲到内网我觉得对于金融企业来讲还是非常重要的。我举个例子，我原来在中金的时候，当时对整个内网的安全非常重视。因为大家知道类似于中金在业界的影响力，尤其它的研究报告非常有名。所以，很多人一旦看到中金公司某某某说，有可能对整个股票市场，改变A股这些产生非常大的影响。因此，原先我们整个过程对整个内网的安全监控做得非常多。比如说我们必须要防止未经授权的内部员工把任何这些相对的分析报告，或者结论性的意见未经授权分享给外界的人，甚至于除了屏幕拍照这种无法通过技术手段防控，我们也会通过其他物理监控手段，包括保安定期巡逻，就是类似这些非IT手段能控制的，真正在信息安全层面我们做了很多工作，包括对桌面的安全，对内网的内部上网行为的管理，以及对我们所有的涉及到的一些敏感人员信息的分析控制，这一块的确也花了不少成本和投入，但是效果也是明显的。而且对证券公司来讲，他们的合规做得非常严格，对整个事前的参与，事中的控制和事后的审计这几块都做得非常严格。所以，我觉得可能相对来说，内网安全对于公司非常重要。

徐斌：我们内网安全也是三个方面。

第一、员工意识的问题，我们发现企业员工的通讯录被放到百度文库上面，发现是员工自己无意中触发了这个事情，很多人不知道这种行为会带来潜在的商业风险和损失。所以，这个我觉得很重要。其实企业内部信息安全管理的突破口就是最终的短板效应。所以，我们要让所有人都能够达到相应的水平才能保证信息安全。

第二、在整个过去，由于我们各种历程的原因，我们对很多不同规模的合资公司做过比较，他们之前没有主要的精力建设一些IT的系统，对信息安全方面的投入比较少，也没有对应的工具和流程。所以，我们在过去两年开始帮助他们梳理建设这种管理制度，包括我们在他们一些项目管理中引入壳牌本身的专家作为关键的环节，比如项目的各个阶段，需要这些专家做把关，签字，他们本身没有这个能力，我们通过类似于外包和咨询的方式给他提供项目管理过程中的信息安全管理能力。

第三、整个信息安全管理是体系化的工作，我们去年开始建立IT能力的评估模型，其中一个是信息价格管理，还有安全价格管理，还有信息安全的流程管理，这两个作为非常重要的考核点帮助他们评估你们的业务发展要求在哪里，技术水平在哪里，组织能力在哪里，帮他们提升整个能力，从技术手段上和组织能力上推进整个信息安全管理的能力。目前没有发现特别大的因为内部导致的信息安全事件，但是还是让我们看到这种差距，让我们在未来的日子里去弥补和发现。

万涛：安全界一直有所谓的三七，内部占七，外部占三。比如一个几十万人的员工，为大量的乙方服务是怎么样管控信息的。但是，我发现比如发到手里的笔记本并没有限制你的权限，自己也可以炒股。他怎么样管控呢?一个纬度其实是从征信，这个可能在互联网金融里面比较火，但是可能在我们企业安全这个层面还不太多。其实现在谈到业务层面，内部安全主要的因素一个是人，一个是数据，如果是研发系统，可能跟技术专利也有关系。从人的角度来讲，以往这个人一贯只在HR这边，HR的评估和我们的评估量是有所不同的。信息安全这块如果放进去，其实整个评估是有残缺的。因为安全是本着从今天的趋势就是我是监控，我是控和审，但是我这个控不是管制的这个控，不是让你感到不舒服，但是一定要做审计，这个审计里面其实就包括了征信这样一个重要的方面。现在比如HR存在给这个员工做一些评定，比如性格等方面，那是缺乏在信息层面的征信，我们可能上过类似的IT审计，但是只是放在一个IT的运维层面，比如他的访问网站，比如他的兴趣，这种画像其实在征信里面是要的，而且社会上正在产生这样的征信数据。所以，这是一个人的评估。

举个例子，我以前在IBM的时候曾经想试一下，看看它的风控体系是什么样的，因为我看我加入安全这个组里后，的确能管理一些数据库。我就试过有一次晚上下载东西，一个晚上下了几百个PPT，第二天早上收到一个邮件，是通过HR的系统发给我，同时也发给我的老板，以往我的这个行为是没有的，现在有了，老板可以确认一下，就可以取消我的权限。这个事情过去一年之后，我还收到这样的一封邮件，其实它就是从征信，我想它里面应该有这样的机制，因为我没有做过企业的内审。

去年还遇到一个比较有挑战的事情，就是我在给客户讲课的一个PPT被客户放到了类似百度这样的地方，但是后面我收到来自内审部门，来自美国一个客户的投诉，不是IBM的投诉，因为那里面举了客户的例子，在IBM是OK的。但是，因为这个信息被放到公网上，虽然不是我放的，但是这里面有我的比如演讲者介绍，被客户看到了，客户是用搜索引擎去抓的。所以，以后企业要重视舆情情报，比如你以后要分析可能员工或者客户他的社交网络，有没有可能产生这样的轨迹。当时在全球转了一圈回到我这儿，就来问这个文件是不是我发出去的，这个文件其实最后删掉了，但是目录下还有，所以一定是被搜索引擎拉出来的。这种情况，比如我们看百度上，很多文件可以放在服务器上，但是在公网上可能用一些方式可以找出来，所以这块结合我们刚刚讲的征信的风控。所以，未来我觉得在HR系统里面应该要体现信息安全的差异，从包括可能大家情报之间的交换，一个人入职可能要对他之前的信息行为进行评估。比如看他的家属在哪儿，是不是在竞争对手那儿，有的要关心我的竞品，他的技术跟我有没有贴近性。华为前不久有一个案例非常强，华为原来有一个高管出去办了一个公司，直接拷了一个代码出去，被刑满释放刚出来又被抓进去，因为被华为内审查出他还有一条线，还是跟这个竞争的模式有关。

所以，可能放到这个层面信息安全可能更容易得到无论从CIO，CEO层面的重视，因为它跟你的业务联系更加紧密了，所以从征信、风控加上舆情的分析这三个方面来做工作。

王彬：内部网络安全方面，我的个人想法第一个还是人，每个单位的人你都要去控制。以前有一家单位入职的时候HR有一票的否决权，他会做人格分析，人格分析不过关，HR永远不会录用，这是高等级衡量一个人的方法。虽然不是通过信息安全角度看这个人。大家知道因为我们这个圈子，这方面的圈子当中有些人性格比较偏激。另外，还有人的教育上，我的每一家单位都要做互联网宣传，因为这些人的意识比较新，没有这方面淡薄的一个意识，像Github，很多代码都在这儿，新员工进来没有这方面的宣传，或者宣传不到位的时候，不知道这个风险有多高，或者不知道惩罚措施多严重的时候，会把数据放到Github上面去，而且相对来说，现在很多公司处罚力度是比较小的。个人认为如果法律比较健全，你可以采取一定的手段，告一两个，把他们关进去，相对来说环境好一点，这是我个人的建议。大家可以看一下Github上面是不是有这方面的问题。

另外，内网数据现在最重要的都是对数据的保护，我个人觉得重要的数据都会做加密，但是使用的时候要有一些加密网关做控制，这方面对企业安全防护来说是比较有利的。

范脡：谢谢各位嘉宾，现在把时间交给大家提问。

提问1：我想问一下饿了么的高级风控专家王彬先生，我是链家金融部的风控，我们以前就是链家金融自有资金给客户解决后期的金融业务，可能一年放20亿，后来做“互联网+”、P2P一年可以放100亿，但是去年7月份到10月份出现了很严重的逾期，整个业务停掉了，梳理流程，整个收回逾期资金，饿了么也是有金融业务，您的金融业务是为哪一块服务的？是为您平台上的那些商家服务，如果为这些服务，你们做的是关于京东白条一样的信用贷，还是作为质押业务，这种如果出现风险，你们是怎么处理的?

王彬：问题非常尖锐，我简单说一下。从整个风险行业来说，有时候蚂蚁金融，包括京东白条，整个环境的信用风险是非常严峻的。你可以从金融衍生品的波动来看，大家都是盯着你这个金融衍生品，如果目前是你自己流出去，的确非常高。我们看到一般性的操作手法，你可以看一下是不是跟你们一样。比如一开始通过一般性的状况，换两期，给他两万块或者三万块，这个时候他不管了，你可以去看，这是他们本身套利的过程，这是行业比较大的一个问题。

饿了么所有的东西都是风险控制部会参与的，我这个部门会参与的，做一些风控。饿了么做金融产品的时候就明确说饿了么不参与自己的自由资金池放在里面，说难听点，我们目前没有把自己的钱放在里面，我们每个地区都有一两家专门的包括做征信和信用贷的提供上下游服务的过程。饿了么提供店铺本身交易的情况，我们的店铺本身是实体店，基本上是有店面，有企业法人执照，卫生许可证等，相对我们产生的风险还是比较低的。

提问1：就是金融业务外包了，风险转移了，是吗？

王彬：可以这么说，因为风险实在太大了。

提问1：我们这块没有办法转移，所以我现在在前线做管控，风险点都在那儿。现在链家所有做的都是要有抵押物，我们现在是控制他的陈述，反正有一些其他的举措。谢谢！

万涛：宜信你们了解吗？你们知道宜信的追债率是多少？宜信小额那块去美国上市了，但是它的股价不好，宜信整个追债率，比如找外包的讨债，要求1%。但是，我认为今天这个风险这么高，跟我们一些基金的金融模式是有关系的。比如宜信因为它的数据是不进征信系统的，所以这是它吸引去贷款的地方，他的利息并不便宜，但是特别激进。而且他的信贷员的收入很低，一个信贷员可能8000块钱左右。这样其实要的东西不比银行的少，因为它不像蚂蚁金服，我对蚂蚁金服还是比较了解的，因为蚂蚁金服有阿里的数据在那儿做支撑，当然现在蚂蚁金服要买更多的数据，需要税务等各方面的数据，可能别人一听说他是蚂蚁金服，就要开个大价钱。像宜信这样的做法，这种模式使得这种数据是死数据，我对链家有一定的了解，链家房地产金融交易这一块曾经有很多数据被卖来卖去，如果征信的数据是一个死的，所有的质押有可能产生内外勾结，宜信的信贷员收入很低，类似消费贷的发票都是有一条链帮你提供的。所以，这个来讲，业务模式就会增大你的风险，而不仅仅是从风控角度去看。所以，如果你的风控不介入到业务，单纯帮业务擦屁股，业务很激进，这是一个非常恶性的循环。

提问2：万总您好，我问一个问题，在企业里面我们遇到一个问题，比较头疼，像很多技术文档资料，包括一些PPT这样的资料，这个公司对它都有严格的要求和控制，像百度贴吧、网上的网盘都很丰富，公司也不可能把这些域全部禁止掉，有些东西传出去也不是很好，怎么防范比较敏感的信息，仅仅靠查绝密或者严密可能查不出很多东西，对于这一块怎么做好信息安全，就是企业内部的文档资料，包括跟互联网通道这一块，您对这个问题怎么看？

万涛：这个问题其实从以往来说是企业安全，如果站在CEO或者老板的角度，这个才是核心的安全，除了业务不当以外。现在第一个比如看华为，我们北洋峰会上，华为的内控谈，以往会把文档做区分，这一点其实跟国家的机密有类似的地方，第一、首先密不能宽，有时候业务觉得这个东西放出去有风险，但是其实在今天信息高度浏览化是很低的。包括IBM都能找到。其实比较大的是我这个客户怎么把这个都帖出去了，如果真的泄露了，它的传播力有多强，这个要跟你的业务相关。比如如果是一个类似的行贿表，业务费这个东西容易被放大，如果真的是一个技术性的东西可能未必如你想象的。首先，定位要放开，华为最早师从IBM，但是也放了很多东西进去，但是很多业务部门之间产生孤岛，比如我不想跟这个业务部门合作，就会以安全为噱头，阻碍了信息的交流，同时可能也阻碍整个信息的流转。所以，从这个角度来看，要先结合你的业务看这些文档究竟哪些是这条红线绝对不能越的。当然，站在不同纬度，每个企业都会不一样。如果做研发设计，可能就是时间的快慢。比如你是媒体和记者，这个新闻一旦发布就不是秘密，有一个时间点。比如饿了么今天这个文档我觉得挺有价值，但是我认为它既然在公开场合公布了，我认为问题不是很大。所以，这是第一。

第二、当你确定范围之后，你的惩罚边界也要清晰，因为你由于不清晰才会导致员工有意无意，比如第一个例子，比如装WIFI钥匙，反过来把自己家里的WIFI也分享出去。比如明确的，比如P2P。但是人跟人的风控是不一样的，还要把企业的安全放出去，比如说像存在百度文档的那些，可能有PR部门，没有出现事情，PR找百度PR好了，否则找贴吧，那肯定没戏。所以，手段上面也要考量怎么样跟它进行配套。好的状态就是员工清晰他违规的成本，如果违规的成本大于他由此得到的便利或者获利成本，人大多数都是机会主义动物，他会做选择。如果出现不可控的操作的层面，这就在于平常的积累。比如你有各方面的资源，不要等到现在手里只有供应商，他除了卖你东西以外，没有帮你做这些事情，这些都得你来扛。这些还是要考量实际的情况。绝对的边界可能只限于比如类似像研发一些核心代码等这些，但是一定要为它做一个清晰的定位，这个我觉得是一个根本的需要解决的问题。

提问3：今天很高兴有机会参加范总组织的这个会。原来我在央企信息系统，原来国资委前几年组织了一次。

范脡：这是中航的杨总。

提问3：组织了给央企各个网站进行审计，出资金，这两年公共服务这块可能觉得现在反腐方面，又停了下来，咱们这个平台将来有很多可以，就是央企这边有很多公共方面，不一定每个企业都投资。有可能交给一个社会上的第三方的帮助企业做安全。我上回到国资委去过一趟，他们过一段时间可能还会有，上回像中化等很多公司，国资委前面体检，一个大公司体检几十万块钱，有的企业做的挺大，我是了解的。我觉得这方面咱们的平台将来国资委央企这些企业有很多这方面的资金会总体来使用，然后在这个平台招社会上的第三方进行管理，不是让每个企业自己花钱。有个问题，每个企业的大老板对信息安全这块的花钱舍不得花。

第二块，像希拉里、克林顿，还有美国国防部长他们都是用私人邮件处理政务，信息安全这一块，现在像咱们国家还没有这样，国家公职人员或者怎么样用私人邮箱处理公众服务，肯定涉及到泄密。我现在想到这两点。

万涛：我没太听懂您第二个问题问的是什么?

提问3：就是私人邮箱处理政府事务，像网络安全这一块，作为黑客领域来说就很容易在那儿窃取政府的一些数据。

万涛：像他们出现这样你说的低级的错误还是什么。在国外很多公司是这样在规避这种责任，因为他没有办法禁止你使用社交网络，你也很难避免他在社交网络上发布信息，比如在微信上聊公司的业务，你是没有办法绝对禁止的。所以，一种公司在定这个规则的时候做一些免责，如果你在社交网络上发表言论，我可以不管你，但是我由此也免责，这是双方的一个部分。但是我会规定一些底线，比如像我们这样经常出去开会的，比如你用身份，你在社交网络可以叫老鹰，但是不能叫IBM，到底如果面对电视媒体，这些一定要经过公司的PR。因为这些主要是有图有真相，这是一个边界的控制。处理公共事务，应该作为机密事务，用私人邮箱处理公共事务，这种风险是必须要避免的，这个一定要教育，如果教育不足，就要用到一些手段，用这个手段就有保证了。所以，未来不管中小企业，VPN是一个很大的趋势，但是一定要把成本降下来，让每个员工有机会用低成本去使用。这样可能是一个解决的办法。但是，这里面是跟技术相关，我相信因为既然是需求，市场就会有响应。有一些企业也用Gmail，可能自建的邮件系统还不如它。比如现在的律师事务所，律师拿的都是两边的东西，很多时候也是很敏感，包括一些媒体拿到的东西。所以，很多时候他们的IT服务都是用第三方的。比如斯诺登2013年在香港只接受两家媒体的采访，但是可能没有人知道南方早报的邮件系统2012年就被攻破了，斯诺登都不知道。所以，希拉里、克林顿都是老人，他们犯这样的错误我觉得可以理解，但是是比较蠢的。

王彬：信息安全部门本身的价值问题，在座如果是CIO或者做信息安全的会有各种困惑，觉得信息安全投入不足，或者这方面的问题。我个人认为是两块，有些单位信息安全不是被非常重视，我个人认为在不重视的情况下，做信息安全的从业人员，包括这方面工作要有一个准备，信息安全可以识别一部分风险，可能今天管理层没有给一定的费用，但是我心里应该有这个计划，如果发现某些风险点，信息安全应该怎么去介入，怎么去控制，这是从业人员应该有的一个觉悟，我目前在做风险评估和风险识别的过程，识别出风险知道怎么应对，下次公司真的发生这次风险，我信息安全应该提供给他一个适当的预案，在尽可能短的时间内把问题解决掉。我一直觉得信息安全在企业中的地位跟风险控制一样，可能认识不足，觉得没有用，当你一点点为公司带来价值的时候，是越来越有用的。

还有，如果一些人触犯了一些法律或者触犯了一些公司的红线怎么办？很多情况下，信息安全没有决断说这个人要开掉，好的信息安全的环境，我们有权利做一些类似于开人的工作，但是这是管理要授权的，你要知道信息安全是要慢慢来的。

徐斌：没有绝对的安全，安全和商业价值是一个平衡的关系，首先我们的安全要保护什么，其实保护的是商业回报，不是保护数据本身，首先把这个目的搞清楚。第二、企业实际运营过程中，信息安全的管理也是三个方面，一个是人，一个是流程，一个是工具。我觉得人这方面主要还是意识上的教育。像我们公司，基本上我们如果出来演讲，所有材料都要通过对外关系部的审核，所以我去年做了很多这个事情，参与了一些外部的活动。包括我们现在比如说打印，我们都知道如果信息比较重要，我希望用加密打印，这个靠平时的各种积累，各种宣传。包括现在一个文件出来要问一下这个文件可不可以拷，如果不清楚，找信息安全部门确认，慢慢形成这种安全意识，如果没有这种意识，任何工具都不可能有效果。

当然，我之前的公司，英国石油公司当时把所有的操作系统权限交给每个人，你可以装你任何想装的系统，他说我认为你知道怎么管理信息安全。但是，我前一个公司，一个美国的化工公司管的非常严格，所有硬盘都加密了，所有硬盘拿出来是用不了的，USB的设备也是加密的，你也是不能单独用的，所有的外部邮箱都封掉了，只能用公司邮箱。壳牌介于中间，比如登录需要安全卡登录，可以拷贝你认为合适的文件，所以作为一个中间的平衡。为什么它有这种不同的区别，因为数据信息对公司价值是不一样的。我前一家公司是化工公司，所有核心竞争力来源就是它的专利和配方，他认为这些东西丢了，公司就不存在了。可能我们现在做的很多是与客户交互的工作，不只是停留在信息，最主要找到一个平衡。所以我觉得安全意识的宣传和持续的培养很重要。前几天我收到一个邮件，发现美国安全部门会定期给每个人的邮箱发一些测试邮件，中国一般还不错，都在中等水平，这个让大家持续的提升安全上的意识。

第二、管理的意识，我们的安全对应的相关知识流程要跟上，比如我要做一个演讲，我知道该找谁帮我做审核，需要明确时间点，可能一到两天审核回来，所以流程要支持到安全制度，或者安全要求的实现。

第三、工具，大家知道信息安全管理最弱的一个点就是最差的一个点。我们现在有很多新技术，包括云平台、集中化的部署技术。我们可以把一万个点的管理集中在某一两个点上的管理。所以，我们现在很多方法把数据都集中部署。用户层面就是一个展示界面，这样避免了很多针对每一个具体端点进行管理的难度，管理的核心变成中央端，集中到那个点进行管理。包括现在谈的很多公有云的安全性问题，大家也有很多争议。比如到底放在自己私有云管理好，还是把数据放在公有云上。这个当然会有很多角度的探讨。但是，用一个简单例子说明一下，你把现金放在家里安全，还是把钱放在银行安全，很类似的逻辑，到一个专业公司花大量的精力专业管理的时候往往比你自己管理风险要低，当然这个不绝对，要看你选择什么样的公司。

白春玲：杨总的信息安全投入的问题我觉得不管是国企还是民企，所有在座的CIO进行风险评估的时候我们要能够识别出来。当911发生的时候大家可能觉得离我们很远，但是当塘沽发生爆炸的时候很多企业的业务就已经中断了，包括很多IDC这样的一些中心。这样我们能够识别出来我们企业对这个业务中断以及网络通讯包含电力、水利以及供货商，供应商品这样的一个中断的承受能力。识别出这样的风险，我们可以去跟我们的高层沟通，这些风险我们是作为残余风险来接受还是我们需要进行一些处置、转移和缓解。这些缓解我们是需要发生一些成本的，如果我们做了这样一些风险评估，当风险来临的时候，CIO自己挨的板子会相应的轻一些，这种投入我觉得是可以进行评估的，可以很好地权衡我们投入和风险的评定。

范脡：非常感谢各位的真知灼见。刚才一个CIO朋友写了一句话，说今天第一天看到黑客界的传奇人物老鹰，没想到长得这么善良。所以大家对黑客是有认知上的误区的，像警察也有很多无间道，保安也有很多坏人，黑客也有很多人做合法的事情。我们今天特别请老鹰过来也是希望从另外一个角度，大家不太听得到的那个角度能够深度地挖掘企业信息安全领域的精华。其实信息安全实际上是个很重的事情，我们今天其实还有两个安全方面的话题没有深入，第一个是移动设备，BYOD，这是大势所趋，这一块的安全问题非常大。另外，安全能不能外包的事情，这两个话题今天没有时间了，因为刚才看到有些朋友已经开始摇手机了，我们一会儿会开始今天第二轮的抽奖，我们会请德高望重的宁家骏宁老师来颁奖。谢谢台上的各位嘉宾。