以下为现场速记。

 

联合汽车电子信息安全总监 赵超

 

赵超：大家可以叫我超姐，我来自联合汽车电子有限公司。范总给我布置这个任务的时候，其实我刚刚做了一个转岗，从IT部门的IT总监转为信息安全总监，这也是公司的组织架构有一个调整，我们把信息安全从原来IT的一个科室独立出来一个部门。我当时觉得范总给我的任务简直像我的上岗考。但是我还是要感谢一下，因为不仅有上岗考，还有一个上岗培训，这两天我觉得学到了很多东西。我也把我自己考试的材料跟大家汇报一下，看看范总能给我打几分，看看是不是能够及格。

 

我们先看一张图片，大家都知道扁鹊见蔡桓公，这是信息安全的人必读的教材，因为所有关于信息安全的要素在这个故事里都提到了。我们看一下，立有间在干什么?做风险评估，看看哪里有问题，对于蔡桓公而言，这件事没有什么外部的威胁，没有人拿刀杀他或者有病毒流感，但是他自身有一个脆弱性。我们都知道，这个脆弱性没有被及时地弥补，所以后来不得已这件事情只好走到应急响应这一步。在应急响应里说赶紧找扁鹊吧，结果是什么呢?大家知道吗?只好逃了。

 

在座的各位真的碰到问题的时候，不一定有机会能逃，但确实有可能会引咎辞职，其实在我的职业生涯里好多年，我都担心这个问题，至少在我们的交换机被雷劈的时候，确实发生过我们的交换机被雷劈了。还好我们的网络管理人住在一个小区，当时他的电话打不通，当时我的孩子比较小，我就让我的小孩去找他，这就是当时的应急响应措施。后来我们的数据库扩展命令把数据库弄趴掉了，我们从头到尾重建。其实我们的心脏也够强大的，再后来发生系统管理员晚上8点钟，说起来也是努力工作的好同事，一条命令把公司几百多台还在工作的电脑没有关机的格式化。我们再也不能这样做事情了，因为我们做IT的人都知道是靠经验的，如果信息安全这件事情还是继续靠经验会怎么样呢?所有的坑都趟一遍，大家就见不到我了。

 

大病靠防，小病靠治，可是这两个体系是我们IT工作的“双轮”，我们基本上是靠着这个“双轮”在动。但是它的目标是什么呢?保证我们的资产，但是关于CIO我后面还会提到多一样东西。可是IT这个资产很特别，也就是说我们这两个体系其实都不涉及到这个资产的建设过程。这点特别不同于汽车的物理产品，我是在汽车零部件行业的，16949或者环境保护14800、18000也是风险体系，但是它们都是产品的开发、设计、生产过程，生产完就没事了，反正交到消费者手里了，出了事情消费者会来找我们的。

 

可是我们的IT产品生之前是没关系的，生了之后就脱不了手了，就粘在手上了。系统和安全这两件事情确实不是同年同月同日生，但是恐怕它们只能同年同月同日死，也就是说我们所做的工作都是从它呱呱坠地的时候开始的，是不是它的建设过程也要把这个体系的事情融入呢?我觉得这个应该是有变化的，我后面也会点到一些。之所以我们要从系统建设好了以后才开始，当然得益于信息技术自身的一个特点，也就是说软件硬件不断的迭代，发展得非常快，有问题多一层，这一层就把问题隔离了，所以当我们的软件有问题的时候，我们可以重启。

 

但是还有更重要的一点，就是信息资产的特点，这个资产和硬件资产不一样，它是有灵魂的。也就是说，信息数据被载入到了一个载体里面，甚至是不可分的，真的像灵魂，如果硬件坏了，你的灵魂也没了，当然好在它可以重新恢复，可以再来。另外人人都可以踩一脚，汽车的数据属于谁之前是一个问题，是属于消费者吗?消费者这些数据是我的，你不要碰，但是传感器有问题你要不要知道。运营的人、管理的人、使用的人都有责任，这个不是我说的，是国资委说的，我在国资委培训的时候他们说谁管理谁负责、谁运营谁负责、谁使用谁负责。

 

另外我们还看到一个变化，就是软件即服务，以及后面的现实世界和虚拟世界的融合。这两点会对我们整个来考虑信息资产的安全带来了一个很大的变化，正是因为这样的一些原因，我在过去的工作过程当中，我觉得我们一定要“双轮”工作，既要按照ISO的体系方式，比如说ISO20000，我们要有真本事，等到咨询项目做完以后，我们顺便过个证吧，不过证第二年别人不会管你，自己也没有那么强的主动性把这个体系运行下去，我们可以进行回顾。但是它们有很大的不同，也就是说20000关注的是SLA服务水平，他一定要知道这些资产之间的配置关系，结果以配置项作为整个管理的核心。安全会塌了一笔，但是在20000体系里面没有特别展开，这就需要我们从另外一个视角来看。

 

这个资产不是配置项，这个资产最主要的是要看资产的价值，它值多少钱、它损坏了、被人篡改了，它到底会造成多大的损失。所以计划的过程是一个识别风险的过程，但是识别风险要首先找到你的资产，蔡桓公还是很金贵的，这是最大的资产。执行的过程其实是找到措施，来把风险消除或者健身健体或者待在家里不出去，这样会比较安全。检查是检查这些措施有没有到位，是不是有效的，不能说我上了一个措施了，我们的数据仓库恢复三个星期这件事情，是因为工程师一直说我备份了、我备份了，但是不能恢复。如果这些措施没有整改，就会再来一轮。我们要保持它的一致性，一致性就是不被篡改。还有保密性，这个都好理解。而我们IT运维的目标，就是保证SLA的可用性更多一些。

 

第一部分我可以稍微总结一下，我觉得这是我们两个比较关注的体系，但是大家找咨询公司做咨询体系的时候，你往往会被咨询公司带到别的体系上面去，比如说30001，最后就发现做不了，因为做的是全公司的业务连续性。还有几个相关的体系，大家也可以逐步的去了解一下，但是一定要抓住根本。哪方面的专家就会愿意夸大哪方面的事情，但是多多少少这些体系都会相关到。

 

现在我们的数据资产有一个很大的变化，导致我们的信息安全也发生了很大的变化，也就是说信息安全的变化并不是独立发生的，当然我们也可以说因为政府强调网络安全，我们的信息安全顺便蹭个热点，能问老板要到一点钱。但是它有一些本质的东西，我们回顾一下信息化阶段有什么特性呢?我们做了很多流程系统，但是它和我们核心价值链的关系应该说不是那么紧密，它不是直接对公司来说挣钱的。当然现在我们有很多企业数字化已经做了一些东西，它要么直接为企业带来挣钱的东西，要么可以省掉钱，这个就有机会到了核心价值链上。但是在信息化阶段的时候，我们可能还是辅助性质的，也就是我们要让管理透明化。所以所做的这些事情和业务之间还有一个隔阂，在看全业务的角度，我们会发现这些信息系统也都是待在公司的网络里的，没有出门，待在家里的有保护屏障的。虽然有大门到internet上去 也有很多公司加锁，所以还是安全的。

 

现在我们的业务要到互联网上，如果我们做的系统还是待在家里的，其实就没有太大的变化。但是如果我们待在家里，我们就不能够从互联网这个大的经济体里去获得更大的价值。我们要把应用搬出去给到移动设备去用，而这些移动设备是给消费者使用的。这个过程真正的作用是说，我们要把企业里的价值一直交付到消费者手里，所以你必须在互联网上进行交付。而互联网为什么能够支持这种交付呢?因为它经历了几个过程，它从一个互联的1.0、2.0、3.0，也就是从PC联网、到移动联网、到互联网，还经历了互动的1.0、2.0、3.0，原来的网页到关注到点评到现在的社区。互联网的特点带来一个可能性，让产品服务和客户服务直接交付，这样你就知道客户需要什么，你就能够把客户的需要带进公司里来，生成价值之后再交付给他。

 

基于互联网这样的一个特点，我们在原来的实体产业里面，我们就要向数字产业去迈进。而同样的在数字产业里原生出来的企业，它虽然在那里已经圈了大片的地，但是它还是要往我们的实体经济渗透。最后让数字经济和实体经济汇集成一个闭环，这个闭环是什么呢?就是我们的客户需求和我们的价值生成过程不断的循环。正因为这样的一个趋势，所以我们相应的信息安全也发生了一个变化，早期我们是保护静态资产，我们企业有设计、有图纸，这是我们要保护的。但是接下来你必须要考虑的是，因为现在有一个界面一定是在互联网上的，如果你不在互联网上有一个你的产品界面或者服务界面，用户就看不到你。不管是To C的还是To B的，这个时候意味着你必须要迈出家门，你保护的东西就发生了变化，至少它是在围墙外面的。

 

再往后，如果我们进一步延伸，如果我们的服务能够直接作用到消费者甚至对他的人生价值产生影响，这个价值是巨大的，它的风险也是巨大的，因为它一定是在互联网上的。这时候就会发现这个价值是往右手边，大家的右手边是价值生成的源泉，那里可以有柴米油盐酱醋茶，还可以有琴棋书画诗酒花，这个价值影响是巨大的。整个价值链的过程延展到了外面，而有利的地方是人人趋之若鹜的地方。信息资产和数据资产都在往外移、往互联网上移，保护在家里的可能是一些基本的东西或者后盾的支撑供应链运作的，而和消费者相关的、和客户相关的都是在往互联网上移的，至少这些信息和数据都是往外流动的才有价值。

 

我稍微说一点概念，就是我们传统意义上说的信息安全指的是我们内部的、内网的，而且它对应的业务是公司的信息资产，就是核心知识产权。当你跟客户交易的时候，这个时候开始提数据安全，当然我们也对着数据安全来做公司的工作，但是后来我们的项目失败掉了，把这些数据挖出来做数据安全太费劲了，但是我觉得数据安全的点是在交易数据。这个时候把数据带出来，再后面被习大大说成网络安全是国家战略，为什么是国家战略?因为在那个虚拟世界里，它是一个全新的价值网络，这个价值网络就像一片新大陆，大家都要冲进去，当然都希望在里面定规则。所以不仅我们有网安法，到处都有网安法，GDPR，大家都在里面争取定规则的权利。同时企业之间也想在这当中谋利，这就导致信息安全的整个意义会有所转变，也就是说它总是往价值链上面价值大的地方去倾斜。

 

总结一下我们过去这么多年的实战当中的要点，供大家参考，这也不是很全面的，只是我觉得当时确实有很多迷惑的地方。第一，我们还是看一下全局，在这个全局里除了我刚才介绍的，我们要做风险的管控，补救措施，而这个风险大家会发现也有一些变化，在左边我们可能更强调的是一个成本投入，就是我们要消减风险。而在右边是风险大、收益大，有钱能使鬼推磨，你可以到右边的互联网世界里，有的人真的想违法，冒一点风险，不仅是黑客，当时法律也没有规定，企业可不可以把用户的数据卖掉，做一些谋利的事情，这个时候法律应运而生。其实《隐私法》一直没有推出，因为我们是合资公司，在外企都特别强调隐私保护，在我们这儿觉得好像没有关系，所以这件事情一直没有做起来。但是现在不一样了，法律是应运而生的，包括5月16日出台的2.0，它一方面可以帮助我们企业提升我们的水准，一方面它也是要抓坏人的，我们不能做坏人，或者说做坏人风险大，但是也可能回报大，这时候需要平衡一下。

 

还是回到我们的信息安全保护的基本方法论上，那就是我的题目，你要做必须要做亡羊补牢的事情，不能不做，不能出了问题也不管。但是还是要做风险识别这个事情，这两件事情是不分先后的，它们是互为因果的。我们做亡羊补牢的事情以后，可能会更加帮助我们意识到哪里的风险更大，已经发生的事情风险概率是100%，你从风险里面发现出来的风险一定要把它补牢。你以前养乖乖羊，后面养千里马，它肯定是要往外面跑的。

 

这里还有一个责任，这也是我的自身体会，监管责任和主体责任基本上是不分的。还有安全服务，这个也要做一定的界定。在资产识别上面有很多问题，比如ERP系统是不是资产，防病毒是不是信息资产，这涉及到对信息资产识别的时候的颗粒度问题，要把它看成一棵树。从你的应用、从你面向客户的服务开始，比如说电商，你要把电商拆解到一系列的资产上面来，这才是一个资产，一个软件、一个版本就是资产。有一个树状结构，一定要做合并同类项，因为对同样的问题它的风险比较类似。网络基本上都被合并成内网、外网。

 

另外是主体责任，大家要记住主体责任。刚才说谁主管谁负责、谁运行谁负责、谁使用谁负责，看你能不能跳到主管监管责任，但是监管责任也很重大，如果你没有监管到或者没有导入一个有效的方法论让整个企业运作起来，监管责任可能更加重大。如果有能力，对主管部门提供一定的服务，当然要量力而行。这是三道防线。

 

最后是措施，技术+流程+责任意识，不是一般意义上的意识，我的安全意识很强是没有用的，安全意识很强，出了事情都不是我的事情就没有意思。我们的技术手段现在有一些趋势上的变化，但是在做这么多事情的时候，一定要记住兜底的方案，小朋友都知道服务器倒了重新恢复的是最高优先级的，这个是保证能睡觉的方案，是要最先做的，也就是容灾这个事情一定是最先做的。就算不做也要跟老板说清楚，我是管不了地震的，我是管不了洪水的，这个话是一定要去说的，不然的话随便你发生什么事情的时候都是你的问题。

 

最后一页是未来的展望，我觉得我们企业的可能从原来的泥巴里或者围墙里走出来，在整个互联网的世界里投入一个APP，把我们的价值实现点植入到互联网里面去。它的构成一定是IaaS、PaaS、SaaS的结构，其实我个人非常不认同混合云，不要拍我，这是我个人的观点。我们要把我们的价值延伸到互联网的世界里去，它在那里面和我们的客户接触到，然后再反馈回来，带动我们的整个供应链。所以信息安全要按照这样的一个思路去梳理，找到自己的工作重点。谢谢大家!