以下为现场速记。
三花集团 CIO 叶根平
叶根平:很高兴跟各位老朋友见面,范总的4届我都参加了,去年介绍了我们在信息安全方面的困惑,后来也在其它场合里讲过,讲得更激进了,我在华南讲叫走投无路,在上海讲叫内外交困、腹背受敌。后来经过这一年的思考,我们也在找方案,我们内部进行梳理,最近一年的工作主要是围绕信息安全工作做的。我们最近出了几件事情,有两件事情是上到诉讼的,问题也比较严重,所以老板也意识到这个问题。实际上这个安全的问题,我们在2012年就开始做了,但是那时候基本上是按照乙方的思路在走的。最近这两年我们进行了回顾,我们还是以我们的思路来整理,今天跟大家分享一下我们的思路。
在讲这个话题之前,我想把我们在信息安全方面这两年做的工作做一个介绍。因为我1月份在北京讲过一次,后来很多供应商来找我,以为我们是一个很初级的阶段,我想把我们做过的事情给大家做一个介绍。2012年以前我们已经做了加密桌面管理,行为管理我们也已经做了,防火墙也是有的。2013年的时候我们做了等保,2000-001的认证我们也做了。昨天讲运维管理的一些内容,运维管理我们也做了,我们现在也有一个服务台,全集团的运维事件管理我们现在也做得还可以。
2014年的时候我们做内外网隔离,就是对一些研发的网络我们做了内外网物理隔离,甚至技术人员进去要把摄像头去掉,手机是专用手机,这是2014年的时候。网络行为管控,就是对于网络行为有些网可以上,外网上我们也做一些控制、做一些管理。
2015年我们设立了专职信息的安全主管,现在是一个信息安全处,对于废数据的废电脑、报废电脑、硬盘、开盘等,我们建立了一些管理制度,也是执行的。2015年的时候,我们对欧美的专用网络也是通过在云上的云设施来实现的,这个以前在专题里有讲过。
2016年开始,我们做虚拟桌面、做安全审计,对每个公司进行安全审计,今年和去年开始审计已经覆盖到海外公司,国内公司已经审过一轮了,在信息安全方面的审计是根据我们信息安全管理的要求去做一些审计。管理规章制度以前已经定了。对技术文档的打印,我们建了一个集中文印系统,技术文档的打印是通过专业窗口,通过一个不懂技术的管理人员,就是一个小姑娘打出去。所以这个对工作是麻烦,但是对我们的技术文档的管理和控制也起到了一定的作用。
2017年我们做了网络的态势检测、高级的桌面系统升级,主要是研发了远程,把一些研发和产品与工艺相关的数据进行集中管理,远端的操作人员通过虚拟桌面系统来做。
我们的信息安全在前面5年推进的过程中,我们的体会是这样的,技术手段的建立是比较容易的,但是管理手段的建立更难。所以我们很多时候,一半的精力是在选技术方案,但是还有一半时间是和中高层管理交流建立管理制度,技术手段要通过管理手段来发挥作用,这是我们的体会。
下面我们讲一下,在这些基础之上,我们在2017年特别是2017年下半年和今年有一些实践和思考。这是一些挑战,不多讲了,前面嘉宾讲了很多。数据相关的无形资产的比重快速增长,这个杭州科技大学请我去给MBA上课的时候,我讲过企业数据/信息资产管理的课,后来提到一些话题跟大家讨论,其中很重要的是话题是这个问题。
我们的传统制造业在数字化转型过程中有一个很重要的话题,就是数据载体的资产管理以及资产形态,我们高层或者CIO对它的认识是需要提升的。我们列了四大类的数据或者信息类资产,第一是跟创新相关的,创新包括专利、产品(结构与工艺)、软件代码等,当然我们的软件公司就更不用说了,这是第一类。第二类是跟市场相关的,比如说我们的客户信息,像我们公司的客户在国内只有不到100家,在国外也有一些很有名的企业,刚才采访我也说了,我们客户的特征是很多都是世界500强企业。所以客户以及他的需求、他未来产品的方向,我们都是跟客户协同开发的。因为这个需求、这个开发、这个过程中开发所涉及的很多项目,比如说大型中央空调在某一个特定环境下用的制冷或者热管理设备,比如说特斯拉新的能源汽车的热管理系统,这个题目里面就有很多的项目,是我们一起跟他开发的,有很多项目资料,这个也是一个资产类。还有我们有很多信息系统,信息系统承载的数据,包括我们用哪些材料、加工以及成本等。另外我们对于一些环境的分析、环境的信息,比如说行业分析、政策分析、趋势分析,这也是我们的一些资产类别。这个我们就大致讲一讲。
对于数据信息的资产,实际上我们这里举了一个例子,苹果公司实际上表上的资产2014年只有261.9亿美元,但是表外资产品牌价值是1188.63亿元美金,这有就有一个很大的差别,其中很多是以数据形态承载了资产。这也是我的一个观点,实际上信息和数据类资产特别承载性很好或者是发展前景很好的企业,实际上在发展的过程中都基于数据和信息所积累的知识和智慧是很多的。我这里用加红的这一块就表明,这部分资产类型或者实际上承载的资产类型是没有被认识或者可能都没有在表里面的,我说的表是在财务表里面。
所以我提出一个观点,实际上现在我们企业的信息安全应该归结到数据和信息类资产面临各种内部和外部的威胁,特别是内部威胁。下面我们的一个观点就是,我个人认为以前我们乙方主导下的防护,以防外侵、入侵为主的策略可能是需要改变的。数据和信息资产面临各种内部和外部威胁,这里举了一些例子,这是借用了乙方的一张图。我们有一个数据,根据调查显示,互联网接入后内部重要机密通过网络泄密而造成重大损失的事件中,只有1%是被黑客窃取或者外部窃取造成的,而97%都是由于内部员工有意或者无意之间泄露而造成的。
所以我的观点是,企业内部资产的内部防护是企业的关键。我们以前的思路都是防入侵为主、防供给为主,但是事实上可能要换一个角度去看。当然这是我的观点,不一定正确。我梳理了一下,作为企业来说,数据信息管理面临的挑战,第一个是我们对于信息资产在我们这么多的系统里面,还有很多是没有互联互通的系统,我们称之为孤岛。因为现在最落后的企业,我们现在讲要数字化转型这类型的企业,建系统应该都有十年二十年的历史,在十年二十年历史的系统里面有很多数据,这些数据你很难说是没用或者有用的,现在这些资产是淹没在这个海洋里没办法识别的,这是第一。第二,对于这些数据特别是重要的数据,比如说产品、工艺、成本,包括一些客户、项目,在内部生成移动转储的过程中,我们是没办法管理和控制的。另外对于外泄情况一无所知,或者知道以后也没办法追溯。比如我们上法庭的时候,就很难证明是某一个员工或者某个关键节点泄漏出去的,我们花了5年时间开发出来的高收益的产品,这个产品的利润率只占一半,这个对我们造成很大的损失,我们老板说诉讼和解费就是5亿人民币,要和解就是5亿人民币。
还有一个是网络界限不清,这个是因为云或者是一些云的设施或者基础架构造成的,这个我就不一个一个读了。还有信息泄漏途径繁多,泄密无从追溯,我们梳理的是这些。那么这些需求从我们的角度来讲已经凸现出来了。还有一个是上个月我在上海参加一个会的时候,就有一个咨询公司提出了据说欧洲5月20日就要实施对通用性数据数据保护的条例,在欧洲就要开始实施。如果欧洲实施了,对企业的一些数据,现在我们在欧洲有上千名员工,包括管理人员和高层管理人员。对于他们的数据有一个要求,个人数据的使用要说明,不说明就属于违规,违规就罚全年利润的2%或者是3000万欧元或者是全球收益的2%到百分之几,是一个非常大的罚额。这个就对于我们对于数据管理提出了很大的挑战,当前我就意识到,后来我就跟他交流了,这个实行到我们企业真正去做有一个大概的周期,我们要做风险评估。这是对于企业管理的要求,这是另外一个方面。
我就有这样的思考,传统乙方主导的以防入侵为主的,比如黑客攻击为主的,这个我觉得是有局限性的,我们应该关注到内部的防护为主。传统的反映体系,这个当然是乙方的。这里假设的界限很分明,以防火墙或者以网络边界,但是现在实际上在云上根本没有这种边界。我们最怕的不是云上的基础设施有什么漏洞,最怕的是我们企业把数据放到云设施上,运营商中间这个业主、那个业主,不是数据业主,而是设施业主以及中间过程的运营商、第三方,涉及到很多方,包括软件等等,这些人会不会带出去。因为大家都在做数据的文章,比如说某云对数据最有觊觎之心的公司,所有数据都恨不得拿去分析、拿去卖,这个我们是不放心的。所以传统的防御体系,可能对我们是不太有用的。
因此我们要规划并实施全面数据安全管理,什么叫全面数据安全管理呢?我总结为三点,第一对全部所有信息资产及载体均有分级管理,我们对公司所有数据分成四个级,普通级、普密级、机密级、绝密级。第二是全程重点信息资产的采/移/用轨迹可视化。第三是全员高授权人士的涉密/泄密行为可追溯,以前是在员工桌面系统,现在是移动化,高层对移动化要求特别高,现在已经尝到甜头了,他所有的碎片时间在路上、在机场、在国内国外等等都可以用手机处理很多公务。我们现在OA系统每天24小时都在人在批单据,我们每天都监控单据量,70%多靠近80%在工作时间以外都可以完成,就是在24小时都可以完成。所以高授权人士对手机端的依赖,导致很多应用往手机端和移动端转移的时候,他们的泄密行为实际上是我们需要考虑的。这个是全部、全程、全员,这个叫做全面数据管理。
我们是这样做的,我们把这个分成大类,当然很细。比如说办公网络一块、特别网络一块、数据中心一块,数据中心是属于IT的传统势力范围。对于某些网络,我们每个点都做一些安全需求梳理。对于特别网络是研发网络,这是一个大的概念,现在我们的研发也分成几块,有些是全封闭的网络。但是我们不可能做到全封闭,我们有一个覆盖美国和欧洲都有的研发网,是基于云上建的,这些网络的需求和我们全封闭的需求是不一样的。对于每个网络、每个重点去做一些梳理,比如说对于数据中心我们就做了一些很极端的事情,比如说我们把数据中心的重要系统和重要数据的机柜,人为的给它加上锁,就是用一个硬锁把它锁住,三把钥匙。
我有一个观点,我们现在很多人提出IT放心吗?你们的工程师在服务器端把数据拷出去,我们怎么知道?你不要提问题,我现在告诉你,我们不可能这样。我们的管理制度给你看,我们的硬件就有钥匙,业务干部拿一个钥匙。服务器要维护,首先要有三个人在场,一个是一把钥匙在我这里,我不要,我给信息管理部长,我是最不要权利的人。还有一个是业务领导,还有一个是我们的老板,如果老板不要,他交给财务总监管,所在财务保险柜里可以,现在重要的数据都这样做。我们的数据管理有一些措施,这是我们分级管理以后的措施。
还有一个很重要的思路是云上我们要找一个云的防火墙,现在我们找到了,在采访我的时候也说了,我们把数据放到云上去的时候,云的数据保护是依赖于第三方或者依赖于运营商的,这个太不放心了。比如说我们交给某云,某云是对数据很有想法的,如果我放到那里,他在内部怎么怎么做,我一点办法都没有,我要用第三方的防火墙。我曾经跟某云讲的时候,10万企业上云是政府行为,我每次在会上都提反对意见,哪怕省级领导在。我不是反对一点,我是说我有两个疑惑,你要给我解决,我不讲两个,我就讲一个,我的数据被动以后,你能不能告诉是谁动的,他不能告诉我。因为肯定是虚拟化的,肯定是虚拟的,里面肯定有很多人、很多业主在,我的数据被动的时候,你告诉我谁动过,是我的人动还是别人动,你都要告诉我,怎么动,整体动、迁移、备份我都要知道。如果没有这个设施,我怎么知道呢?所以这个防火墙我是要做的,当然这个防火墙的概念比原来的防火墙概念更广。
同时我有一个事前、事中、事后的概念,以前我们侧重于事前,事中的是比较少的,资产分布图是没有的,过程的流传轨迹可视化是没有的。比如说我们的过程文档,我们和海尔要做研发,他要我们提供一个资料,我们有很多软件,我们做控制器,要跟他一起配合的时候,我们要把软件给他,我们要在现场做更改、做现场编译。这个东西过去我们跟技术人员要求,你不能往外拷,如果拷出去,专家评审有效性是多少天,这些我们都最好能够知道可视化。后面事后我们主要是考虑法律,万一出现了泄露,最近我们出现两个事情惊动了公安,公安说目前没有办法取证。比如说我是总机级别的,我的电脑是可以知道一些机密的,到我这里我是有的,但是我拷出去他不知道,系统也不知道,别人也不知道。这个我想最好我们能够有一些技术手段知道,我们在管理手段上再加上一些比如加密手册等东西,至少事后我们可以追溯。
我们有一个方法论,就是基于PCDA模型的过程方法论,我们说分级是第一的,第二是对一些数据进行风险评估,规章制度是基础,风险过程的控制,还有问题的改进,这是我们的方法论。我们规划的时候一步两步三步四步在做,这是套路,我不再说了,我们最擅长的是做这些。我们号称为一个企业级的数据综合防护平台,我们借用了第三方的一些技术,比如说云箱技术、文件技术,我不说公司名字,我去年把名字说出来不对,我们真的跟他做了一些合作。这里面有一些文件基因、分布式密钥,我比较喜欢用新技术,去年也讲过,今年也讲了用新技术。
这个部署实施,我们现在已经有一些部署了,分布式密钥管理也是我们的一个新技术,文件基因这里具体的我不一一讲了,主要是讲思路为主。我们的实施部署在内部做了一个监控台,监控台就是有些高危风险的东西和行为,我们可以知道,在某些地方、在哪个位置上可以知道,这个已经在部署了,有些已经部署下去了。
另外整个数据的安全状况,我们是可以看到的,比如说有异常行为,实际上我们不做不知道,在一个月时间里面,异常行为有600多个。当然我们定义的范围还是小的,定义的人群也是小的,我们只在杭州园区,因为我们全球有7大园区,国内有3大园区,只是在杭州园区某部分人群做了。不做不知道,做了之后发现实际我们的问题是很大的。今天在政府会议上,我呼吁以前政府只关注政府的和关键部门比如说石油,但是没有关注到一些企业的信息安全给予一定的辅导、培训或者政策支持。这个也是问题很多,虽然高危的没有。
对数据的异常操作行为进行可视化统计,400多个异常风险我们做了统计。文件分布情况我们也做了一些,数字资产可视化。用户异常行为监控和管理,以前我们也有异常行为,但是检测是泛泛的针对这个人的,现在我们转向针对文件,针对我们想要管控的数据。那个是真正行为,这个是对数据操作行为的管理,这个也是我们的一个重点。比如说我们某一个技术方案它从生成开始到转移过程中到哪里去了,通过什么途径去的,主体是谁,我们也可视。这是一个无人驾驶的系统。
我的观点是三个,小结一下。第一,企业信息资产的保护需求凸显,我最近也跟一些企业的老朋友们交流,他们也没有意识到老板有这个需求。我跟一个老板交流,他是做销售的,每个销售季专门有一些市场的策略,比如说区域市场给的政策要不要送什么东西、价格优惠多少等政策是加密的。但是每年都会被泄漏出去,这个老板很恼火,特别是做渠道的。比如说防串货是做不到的,每个销售都要防串货,为什么要串货呢?因为区域不同价格是不一样的或者政策是不一样的,所以就有串货的问题。
第二,内部防护是关键。我们现在也是这么做的,从内部防护着手去做,而不是从外部攻击,攻击只占1%。
第三,规划实施全面信息安全管理。全部数据资产都要管理,全程都要管理,全员高授权人群要做重点管理。
这就是我的观点。结束语是,希望通过我们的努力,让我们企业的资产和数据更安全。谢谢各位!
京公网安备 11010502049343号