• 关于我们 联系我们
当前位置:CIO新闻中心 → 正文

泸州老窖的信息安全建设

责任编辑:cres |来源:企业网D1Net  2019-05-23 14:00:09 原创文章 企业网D1Net

2019年5月23日,由主流企业级IT媒体企业网D1Net、CIO智力分享平台信众智联合主办的2019 CIOC全国CIO大会于新疆·乌鲁木齐阜康市盛大举办,大会汇集了来自国药集团、东方航空、泸州老窖、李宁集团、罗莱生活、石化盈科、万家乐、前途汽车、联合汽车电子、鲁花集团、安徽投资集团、蓝思集团等400余家大中型企业的信息主管,以及众多企业信息化一线厂商和服务提供商,以“新技术赋能业务新场景”为主题,围绕数字化转型、信息安全、数据治理、工业互联网、中台建设等行业热点,共同探讨企业在信息化与数字化历程的难点与机遇。
 
以下为现场速记。
 
泸州老窖 数字发展中心副总经理 崔伟
 
崔伟:很高兴今天能够在这里跟全国各地的几百位CIO大咖们一起探讨关于数字化转型和信息安全方面的一些话题。我简单跟大家分享一下泸州老窖的信息安全建设,如果大家有一些需要详细沟通的问题,欢迎大家在会议期间进行交流,也欢迎大家能够抽空莅临到我们四川泸州,到我们公司现场来指导我们的相关工作。我们别的没有,我们有美酒,各位大咖、各位前辈、各位专家你们只要过来,提前给我打电话,我会准备好,我们边品美酒、边聊IT。
 
下面我简单地介绍一下泸州老窖的信息安全的相关情况。像刚才戴尔的刘总提到的,在整个数字化转型的过程中,泸州老窖作为一个传统的白酒企业,实际上是处于数字化转型的一个后进者和跟随者的发展阶段。为了在数字化转型的浪潮中我们能够逐渐追赶上来,我们从2015年到今天开始了大规模的信息化建设工作,与之配套的是信息安全的相关建设。但是和我们数字化转型的整体处于的阶段一样,在信息安全的整体阶段上,我认为泸州老窖仍然是处于一个跟随者的位置。因此在这里把我们目前的工作分享出来,希望在座的各位大咖能够给我们提出宝贵的意见和建议。
 
我的分享分成四个部分:第一是整体的背景,第二是信息安全发展的历程,第三是在今年的主要工作,第四是未来在信息安全方面的一些计划。
 
首先,背景我想分成内外两部分,外部的背景是,整个国家对于信息安全的重视程度的提高,这个我相信在座的各位都有直观的感受,我就不赘述了。内部的背景,众所周知在2012年以前白酒行业相对来讲处于一个野蛮生长的阶段。所以说在那个阶段我去跟老板讲,我要搞IT,先不说安不安全的问题,我说我要搞IT,老板口头可能是支持的,但是心里面可能不一定把它放在一个很重要的位置上。从2012年到2015年,实际上白酒行业处于一个深度调整的阶段,那个时候可能任何一家酒企的重点也不会放在IT建设领域。到2015年、2016年左右行业调整基本上告一段落,转过头来白酒行业的竞争开始加剧,和以前的野蛮生长躺着赚钱不一样了,这个时候可能白酒企业纷纷开始了IT建设、开始了数字化转型,从2015年开始到大概2017年、2018年才初步具备了信息安全建设的基础。
 
我之前经常跟我们公司的领导们汇报,为什么我们要搞信息安全?可能在2017年以前,我们有那么一些IT系统,比较少,核心的财务系统有、办公系统有一些,有一些To B的订单系统,完了以后其它都是一些很周边的无关紧要的软件。那就相当于说我家里面根本没有东西,所以我基本上不需要担心人家悄悄地来我家里面遛一圈或者来我家里面搞一搞,不用担心这些问题。从2017年开始我们大量的大数据项目的建设,包括一些核心业务系统的调整,我们手里面有一些数据了,有一些核心的业务在我们自己的数据中心里面跑了。如果我再像以前一样仅仅只有几台防火墙保证我的网络,我想我们就相当于只穿了一条内裤,接近于在街上裸奔。基于这样的一个内部背景,我们随着信息建设的推进,我们的安全问题就日益凸显出来。
 
到了2017年的时候,我们终于说服了领导,认为确实我们存在比较严峻的安全问题,我们也要做这件事情,但是怎么做,我们不知道。就像刚才讲的,我们以前仅仅只有几台防火墙,制度没有、团队没有、工具没有、运维支撑体系也没有。所以说,第一个需要回答的问题是信息安全方面的工作怎么做。我们在2017年的时候专门启动了一个信息安全的项目,请到北京的一家有军队背景的安全公司来给我们做整体规划。整体规划完了以后,实际上回答了我们团队怎么建、制度管理措施怎么建、系统工具怎么建、运维怎么做几个问题。
 
我们立刻面临第二个问题,虽然说老板领导层对信息安全有一些初步的认识,但是假设我把整个规划比如说花若干的经费、要投入若干年,要各个业务管理层面做大量的变革,我把这些东西全部抛给老板,然后告诉老板做完这些东西之后,我们的信息安全可能才真正搞定。我想可能对于老板来讲是很难接受的一件事情。所以说,我需要抛出一个东西,让老板很直观地看到,我做了这个东西,我投了一少部分的资金,我以现有的有限的团队力量来投入,对变革的冲击很少,但是可以看到有一部分问题得到解决,我需要找到这么一个项目,然后作为信息安全落地实施的第一件事情。
 
这是第二个项目,所以我们选到移动终端,通过两三年的大规模建设,我们在2017年的时候有了在手机上使用APP,有了6、7个的样子,其中有几个是领导层每天都要使用的。如果在移动端上面能做一些工作,能够很快地从上而下的统一公司的思想,让他们知道第一IT部门在做这件事情,第二这件事情肯定是会有效果的,第三这件事情并不是你想象中那么痛苦,好像我们搞安全就是要监控你业务部门,或者我就是要知道你的什么秘密,我就是要来管你,我觉得通过这样的一个项目能够给到我们从领导层到各个部门一个比较好的释放作用。这是我们的第二个项目,我们推动移动终端的安全项目。
 
第二个和第三个几乎是同时推动的,但是第三个进展慢一点。以前泸州老窖仅仅只有一个防火墙,基本的设备和基本的工具全部都是缺失的,我们需要通过第三个项目--基础设施项目,把相关的设备、相关的工具和一些网络架构调整做好,作为一个打基础的项目。所以说第二个项目是一个速赢的项目,我要很快见到效果,第三个项目是打基础,我要为未来一系列的举措奠定良好的基础。
 
第四个是电子邮件信息安全专项治理工作,这个是应政府的要求。
 
这是我们的咨询项目,前面的第一个等级保护和第二个风险评估是政府要求做的。第三是管理体系变革,第四是信息安全建设规划,第五是支撑服务保障。
 
我们在2017年的时候启动了移动端的安全项目,坦白讲这是我们的厂商,我们用了他们的产品,他们给我们做的。大概的架构基本是这样的,我不展开说。我说一下当时为什么会考虑到使用这个产品,我们当时想做速赢项目的时候,我们要达到的目标,第一是很快的落地,第二是能够尽最大可能降低业务部门以及领导层的反弹。因为我们之前做咨询到各个业务部门调研的时候已经听到很大的声音,当然是开玩笑地说,你是不是要监控我,是不是我在QQ上和谁聊天你也知道,有各种各样的声音出来。我们想通过这个项目让他们知道这个事情并不是像他们想象中的那么恐怖,我并不是一个变态要去窥探他,不是这样子的。
 
我们需要的产品,我认为它需要具备几个特征。第一个特征,之前市场上有一种主流的产品叫做配方的终端,比如军队、武警,整个手机给你全部定制,包括手机的摄像头、手机的存储全部可以控制,在定制手机的基础上再来安装各种企业上的应用。我认为折衷方案通常在一般的企业里面显然是不现实的,一方面是投入的问题,一方面我们显然不能干涉每个员工使用哪个手机的自由,这显然是不现实的。第二种方案是提出来把我们的办公应用利用软件的方法集中到一个箱子或者应用商店里面,我们的所有办公应用只能从这个应用商店里面下载,下载完之后自动进行包括数据加密和行为审计在内的功能,对于用户是无感的,他只需要下载一个应用商店就可以了,这就遇到比较少的反弹。像我们泸州老窖,我只是把他的审计功能使用起来就可以了,我只要确保一旦有信息的泄漏,我就可以追溯到就可以了,达到这个目的的基础上对用户的影响越低越好,最好他完全感觉不到。我们基本上是选用了这样的一个思路,最后对应了这样的一个产品。
 
第三个信息安全基础建设项目的工作,主要是对网络架构的调整,以及对一些基本的设备和工具的整合。在2017年以前泸州老窖的网络,我打个比方,其实就像我们这个大厅,进了门之后都是自己人,你想干什么就干什么,没有分区的。我们的服务器也在这里,我们的数据也在这里,我们的前端应用也在这里,这个显然是具有极大风险的。所以第一个动作是分区,区域之间进行管控。第二个,因为它是基础设施的建设,所以对合规性的要求是比较高的,不可能我建了一堆以后最后发现我过不了等保,这个建设就有点傻了。以及配套运维方面的一些工作。
 
到了今年,我们除了前面的一些项目还在持续推进之外,今年主要做了几个专项的工作。第一是对于终端,因为之前讲到的所有东西是针对我们的数据中心以及针对应用层面的,对于我们各类的PC终端,我们的一个工作是杀毒,以前都是用户各自自己想装什么装什么,不想装想裸奔就裸奔,现在我们统一地管控起来。第二是商业秘密保护,我们称为终端数据安全防护,是商业秘密保护的一个东西。我们认为我们面临的安全威胁其实是内部和外部两个方面的,内部的安全威胁不管是主观还是无意的信息泄漏,实际上是非常大的问题,我们会有一个专项的工作来解决这个问题。第三是应急演练,我刚才一直在讲我们怎么样说服高层,因为我想信息首先是一把手工程,信息安全更是一把手工程。我说服高层做了这些投资和工作,给了人员编制、项目资金和时间,最后我一定要把效果秀给他们看,所以我们会有一个以及演练的专项工作,告诉领导们,第一你的忧虑已经解决掉一部分了,第二还有一些忧虑需要进一步的投入,需要达到这样的目的。最后仍然有一个规定动作,等保测评是要做的。这是今年的相关工作。
 
最后我简要说一下未来的建设思路,刚才实际上我有谈到,安全威胁是内部和外部两个部分的。我们除了基础设施项目主要应对外部的威胁之外,其它的项目应对的都是内部的威胁。所以我们在前期的建设里面对内的处理力度要强一些,未来对外我们如何感知到安全的情形,主要是可视化,我们的风险在哪里,我们怎么样探测到它,开始感知这一块。以及之前一直在讲的运维能力,之前我们是没有专门的人、没有专门的工具,现在我们上了一大堆东西之后,我相信像泸州老窖这种企业是不可能养一个非常庞大的团队来应对安全威胁的,毕竟这目前暂时还是威胁。
 
所以说,如何运用智能化的一些运维平台,使我的整个投资真正地发挥作用,能够真正地在有威胁来临的时候立得住,这是未来的问题。最后是云安全,前面几位大咖已经分享过关于云方面的话题了。我想对于一些大中型的企业而言,无论是上公有云还是上混合云,最终一定是大量的业务会放在云上。云安全和传统数据中心的安全防护,我认为是非常不同的两个概念,而且我们现在已经在受到一些挑战,我们之前在3月份的时候一些SaaS应用已经被人攻击过,当然我们采用了一些措施扛住了,所以这个话题也是我们未来的一个重点。
 
今天限于时间关系,我简单地抛砖引玉,刚才也说过,我们实际上是后进者、是跟随者,希望在座的各位大咖有这方面经验的不吝赐教。谢谢大家!

关键字:信息安全

原创文章 企业网D1Net

x 泸州老窖的信息安全建设 扫一扫
分享本文到朋友圈
当前位置:CIO新闻中心 → 正文

泸州老窖的信息安全建设

责任编辑:cres |来源:企业网D1Net  2019-05-23 14:00:09 原创文章 企业网D1Net

2019年5月23日,由主流企业级IT媒体企业网D1Net、CIO智力分享平台信众智联合主办的2019 CIOC全国CIO大会于新疆·乌鲁木齐阜康市盛大举办,大会汇集了来自国药集团、东方航空、泸州老窖、李宁集团、罗莱生活、石化盈科、万家乐、前途汽车、联合汽车电子、鲁花集团、安徽投资集团、蓝思集团等400余家大中型企业的信息主管,以及众多企业信息化一线厂商和服务提供商,以“新技术赋能业务新场景”为主题,围绕数字化转型、信息安全、数据治理、工业互联网、中台建设等行业热点,共同探讨企业在信息化与数字化历程的难点与机遇。
 
以下为现场速记。
 
泸州老窖 数字发展中心副总经理 崔伟
 
崔伟:很高兴今天能够在这里跟全国各地的几百位CIO大咖们一起探讨关于数字化转型和信息安全方面的一些话题。我简单跟大家分享一下泸州老窖的信息安全建设,如果大家有一些需要详细沟通的问题,欢迎大家在会议期间进行交流,也欢迎大家能够抽空莅临到我们四川泸州,到我们公司现场来指导我们的相关工作。我们别的没有,我们有美酒,各位大咖、各位前辈、各位专家你们只要过来,提前给我打电话,我会准备好,我们边品美酒、边聊IT。
 
下面我简单地介绍一下泸州老窖的信息安全的相关情况。像刚才戴尔的刘总提到的,在整个数字化转型的过程中,泸州老窖作为一个传统的白酒企业,实际上是处于数字化转型的一个后进者和跟随者的发展阶段。为了在数字化转型的浪潮中我们能够逐渐追赶上来,我们从2015年到今天开始了大规模的信息化建设工作,与之配套的是信息安全的相关建设。但是和我们数字化转型的整体处于的阶段一样,在信息安全的整体阶段上,我认为泸州老窖仍然是处于一个跟随者的位置。因此在这里把我们目前的工作分享出来,希望在座的各位大咖能够给我们提出宝贵的意见和建议。
 
我的分享分成四个部分:第一是整体的背景,第二是信息安全发展的历程,第三是在今年的主要工作,第四是未来在信息安全方面的一些计划。
 
首先,背景我想分成内外两部分,外部的背景是,整个国家对于信息安全的重视程度的提高,这个我相信在座的各位都有直观的感受,我就不赘述了。内部的背景,众所周知在2012年以前白酒行业相对来讲处于一个野蛮生长的阶段。所以说在那个阶段我去跟老板讲,我要搞IT,先不说安不安全的问题,我说我要搞IT,老板口头可能是支持的,但是心里面可能不一定把它放在一个很重要的位置上。从2012年到2015年,实际上白酒行业处于一个深度调整的阶段,那个时候可能任何一家酒企的重点也不会放在IT建设领域。到2015年、2016年左右行业调整基本上告一段落,转过头来白酒行业的竞争开始加剧,和以前的野蛮生长躺着赚钱不一样了,这个时候可能白酒企业纷纷开始了IT建设、开始了数字化转型,从2015年开始到大概2017年、2018年才初步具备了信息安全建设的基础。
 
我之前经常跟我们公司的领导们汇报,为什么我们要搞信息安全?可能在2017年以前,我们有那么一些IT系统,比较少,核心的财务系统有、办公系统有一些,有一些To B的订单系统,完了以后其它都是一些很周边的无关紧要的软件。那就相当于说我家里面根本没有东西,所以我基本上不需要担心人家悄悄地来我家里面遛一圈或者来我家里面搞一搞,不用担心这些问题。从2017年开始我们大量的大数据项目的建设,包括一些核心业务系统的调整,我们手里面有一些数据了,有一些核心的业务在我们自己的数据中心里面跑了。如果我再像以前一样仅仅只有几台防火墙保证我的网络,我想我们就相当于只穿了一条内裤,接近于在街上裸奔。基于这样的一个内部背景,我们随着信息建设的推进,我们的安全问题就日益凸显出来。
 
到了2017年的时候,我们终于说服了领导,认为确实我们存在比较严峻的安全问题,我们也要做这件事情,但是怎么做,我们不知道。就像刚才讲的,我们以前仅仅只有几台防火墙,制度没有、团队没有、工具没有、运维支撑体系也没有。所以说,第一个需要回答的问题是信息安全方面的工作怎么做。我们在2017年的时候专门启动了一个信息安全的项目,请到北京的一家有军队背景的安全公司来给我们做整体规划。整体规划完了以后,实际上回答了我们团队怎么建、制度管理措施怎么建、系统工具怎么建、运维怎么做几个问题。
 
我们立刻面临第二个问题,虽然说老板领导层对信息安全有一些初步的认识,但是假设我把整个规划比如说花若干的经费、要投入若干年,要各个业务管理层面做大量的变革,我把这些东西全部抛给老板,然后告诉老板做完这些东西之后,我们的信息安全可能才真正搞定。我想可能对于老板来讲是很难接受的一件事情。所以说,我需要抛出一个东西,让老板很直观地看到,我做了这个东西,我投了一少部分的资金,我以现有的有限的团队力量来投入,对变革的冲击很少,但是可以看到有一部分问题得到解决,我需要找到这么一个项目,然后作为信息安全落地实施的第一件事情。
 
这是第二个项目,所以我们选到移动终端,通过两三年的大规模建设,我们在2017年的时候有了在手机上使用APP,有了6、7个的样子,其中有几个是领导层每天都要使用的。如果在移动端上面能做一些工作,能够很快地从上而下的统一公司的思想,让他们知道第一IT部门在做这件事情,第二这件事情肯定是会有效果的,第三这件事情并不是你想象中那么痛苦,好像我们搞安全就是要监控你业务部门,或者我就是要知道你的什么秘密,我就是要来管你,我觉得通过这样的一个项目能够给到我们从领导层到各个部门一个比较好的释放作用。这是我们的第二个项目,我们推动移动终端的安全项目。
 
第二个和第三个几乎是同时推动的,但是第三个进展慢一点。以前泸州老窖仅仅只有一个防火墙,基本的设备和基本的工具全部都是缺失的,我们需要通过第三个项目--基础设施项目,把相关的设备、相关的工具和一些网络架构调整做好,作为一个打基础的项目。所以说第二个项目是一个速赢的项目,我要很快见到效果,第三个项目是打基础,我要为未来一系列的举措奠定良好的基础。
 
第四个是电子邮件信息安全专项治理工作,这个是应政府的要求。
 
这是我们的咨询项目,前面的第一个等级保护和第二个风险评估是政府要求做的。第三是管理体系变革,第四是信息安全建设规划,第五是支撑服务保障。
 
我们在2017年的时候启动了移动端的安全项目,坦白讲这是我们的厂商,我们用了他们的产品,他们给我们做的。大概的架构基本是这样的,我不展开说。我说一下当时为什么会考虑到使用这个产品,我们当时想做速赢项目的时候,我们要达到的目标,第一是很快的落地,第二是能够尽最大可能降低业务部门以及领导层的反弹。因为我们之前做咨询到各个业务部门调研的时候已经听到很大的声音,当然是开玩笑地说,你是不是要监控我,是不是我在QQ上和谁聊天你也知道,有各种各样的声音出来。我们想通过这个项目让他们知道这个事情并不是像他们想象中的那么恐怖,我并不是一个变态要去窥探他,不是这样子的。
 
我们需要的产品,我认为它需要具备几个特征。第一个特征,之前市场上有一种主流的产品叫做配方的终端,比如军队、武警,整个手机给你全部定制,包括手机的摄像头、手机的存储全部可以控制,在定制手机的基础上再来安装各种企业上的应用。我认为折衷方案通常在一般的企业里面显然是不现实的,一方面是投入的问题,一方面我们显然不能干涉每个员工使用哪个手机的自由,这显然是不现实的。第二种方案是提出来把我们的办公应用利用软件的方法集中到一个箱子或者应用商店里面,我们的所有办公应用只能从这个应用商店里面下载,下载完之后自动进行包括数据加密和行为审计在内的功能,对于用户是无感的,他只需要下载一个应用商店就可以了,这就遇到比较少的反弹。像我们泸州老窖,我只是把他的审计功能使用起来就可以了,我只要确保一旦有信息的泄漏,我就可以追溯到就可以了,达到这个目的的基础上对用户的影响越低越好,最好他完全感觉不到。我们基本上是选用了这样的一个思路,最后对应了这样的一个产品。
 
第三个信息安全基础建设项目的工作,主要是对网络架构的调整,以及对一些基本的设备和工具的整合。在2017年以前泸州老窖的网络,我打个比方,其实就像我们这个大厅,进了门之后都是自己人,你想干什么就干什么,没有分区的。我们的服务器也在这里,我们的数据也在这里,我们的前端应用也在这里,这个显然是具有极大风险的。所以第一个动作是分区,区域之间进行管控。第二个,因为它是基础设施的建设,所以对合规性的要求是比较高的,不可能我建了一堆以后最后发现我过不了等保,这个建设就有点傻了。以及配套运维方面的一些工作。
 
到了今年,我们除了前面的一些项目还在持续推进之外,今年主要做了几个专项的工作。第一是对于终端,因为之前讲到的所有东西是针对我们的数据中心以及针对应用层面的,对于我们各类的PC终端,我们的一个工作是杀毒,以前都是用户各自自己想装什么装什么,不想装想裸奔就裸奔,现在我们统一地管控起来。第二是商业秘密保护,我们称为终端数据安全防护,是商业秘密保护的一个东西。我们认为我们面临的安全威胁其实是内部和外部两个方面的,内部的安全威胁不管是主观还是无意的信息泄漏,实际上是非常大的问题,我们会有一个专项的工作来解决这个问题。第三是应急演练,我刚才一直在讲我们怎么样说服高层,因为我想信息首先是一把手工程,信息安全更是一把手工程。我说服高层做了这些投资和工作,给了人员编制、项目资金和时间,最后我一定要把效果秀给他们看,所以我们会有一个以及演练的专项工作,告诉领导们,第一你的忧虑已经解决掉一部分了,第二还有一些忧虑需要进一步的投入,需要达到这样的目的。最后仍然有一个规定动作,等保测评是要做的。这是今年的相关工作。
 
最后我简要说一下未来的建设思路,刚才实际上我有谈到,安全威胁是内部和外部两个部分的。我们除了基础设施项目主要应对外部的威胁之外,其它的项目应对的都是内部的威胁。所以我们在前期的建设里面对内的处理力度要强一些,未来对外我们如何感知到安全的情形,主要是可视化,我们的风险在哪里,我们怎么样探测到它,开始感知这一块。以及之前一直在讲的运维能力,之前我们是没有专门的人、没有专门的工具,现在我们上了一大堆东西之后,我相信像泸州老窖这种企业是不可能养一个非常庞大的团队来应对安全威胁的,毕竟这目前暂时还是威胁。
 
所以说,如何运用智能化的一些运维平台,使我的整个投资真正地发挥作用,能够真正地在有威胁来临的时候立得住,这是未来的问题。最后是云安全,前面几位大咖已经分享过关于云方面的话题了。我想对于一些大中型的企业而言,无论是上公有云还是上混合云,最终一定是大量的业务会放在云上。云安全和传统数据中心的安全防护,我认为是非常不同的两个概念,而且我们现在已经在受到一些挑战,我们之前在3月份的时候一些SaaS应用已经被人攻击过,当然我们采用了一些措施扛住了,所以这个话题也是我们未来的一个重点。
 
今天限于时间关系,我简单地抛砖引玉,刚才也说过,我们实际上是后进者、是跟随者,希望在座的各位大咖有这方面经验的不吝赐教。谢谢大家!

关键字:信息安全

原创文章 企业网D1Net

电子周刊
回到顶部
网站地图

企业网D1Net 信众智-CIO社交平台 第1培训-企业数字化培训平台 会展活动

CIO 数字化转型 云计算 数据中心 大数据 元宇宙 物联网 人工智能 安全

移动办公 服务器 存储 访谈 区块链 数据网络 智慧城市 视频会议 芯片

统一通信 企业应用软件 创新技术 新闻中心

联系我们:

d1neteditor#d1net.com (发送邮件时,请把#换成@)

投稿信箱:

d1neteditor#d1net.com (发送邮件时,请把#换成@)

关于我们联系我们版权声明隐私条款广告服务友情链接投稿中心招贤纳士

企业网版权所有 ©2010-2024 京ICP备09108050号-6 京公网安备 11010502049343号

^