主持人:下面请出另一位技术高手来自壳牌石油的CIO徐斌,徐总将为我们带来“跨国企业本地化信息安全挑战和应对之道”,大家掌声欢迎!
壳牌石油(中国) CIO 徐斌
徐斌:谢谢主持人,首先纠正一点,我不是技术高手。因为我们在企业做CIO更多还是希望整体上以把握技术和业务之间的关系,真正有一些技术团队,有信息安全团队,真正管理技术的实现。我今天跟大家的分享更多也是从技术和业务之间,以及如何真正从公司的内部角度完整的管理我们的信息和数据,和我们之前几位嘉宾讲的可能侧重点不太一样。非常感谢刚才万总给我们描绘的一个不同的江湖,我自己听了觉得其实身处一个非常险恶的风险非常大的事件。同时1995年万总那个集装箱如果选择显示器,我估计就是你的下一个供应商了。那个时候大屏幕的是非常少见,也非常贵,蛮有渊源的,希望不要攻击我们的公司。
刚才有一个嘉宾讲有五家国际能源公司被攻击到了,我工作过的两家公司可能都在其中,这是我个人的简介。我本人在信息化领域工作22年,在不同的公司工作过,也在国企,在民营合资公司,欧洲公司、美洲公司,现在在壳牌(中国)负责IT的管理工作。所以,英国石油和壳牌石油都是那五大公司之一我估计,所以很可能都在攻击的目标以外。我除了负责信息化的业务,和清华做一些合作,主要推动大数据产业在中国的发展,以及大数据技术在企业中的实现。所以,包括一些大数据产业,包括一些数据创新基地,在这个方面做一些发展。所以,今天也会谈到一些大数据对我们企业信息安全的一些帮助和实践。
今天主要从三个方面给大家分享企业的信息安全的内容。首先,企业风险管理的基础是什么?在企业工作所有的技术目的是为商业服务,实现商业目标。所以,不是本身为了技术而技术,找到目标是什么?我们要管理的关键环节。第二、MNC信息安全管理最佳实践。第三、事故管理的时候用什么工具帮助我们。
首先,企业风险管理的基础。基础上是什么呢?我们认为就是数据和信息。数据本身是客观存在的表现形式,不管企业内部的运营状况,客户状况,客户信息,或者外部的一些内容,这个是数据。但是,数据本身是非常多的,也没有任何意义,通过数据的收集管理就形成一种信息,我们在企业中的数据管理其实是把数据的收集,诗句的生成,数据的存储到信息的整合,这几个方面作为我们风险管理的基础和核心。当然,我们目的是什么?目的是把这个数据管理好,不被外部攻击,同时变成我们真正可用的,可以帮助我们实现我们商业价值的内容,这个也就是说,把数据信息往后延展到我们一个知识,通过知识的总结对未来的趋势做出预测,最后形成一种商业智慧。所以,这是整个数据价值实现链条,我们今天更侧重前面两部分,就是数据和信息的基本管理。
我们在企业中对数据进行管理的时候要管理数据的生命周期,不能单纯讲某一个节点,而是这样我们管理它,它什么时候生成,什么时候存在,什么时候发展,怎么被使用,包括最后怎么样终结,这是一个整体的生命周期的管理。所以,我们在这里把它总结成六个阶段。首先,定义和设计一个数据,为什么要这个数据,有什么样的意义,它是什么?我们要去创建和收集,包括一些大数据时代,我们不仅要从内部收集,要从外部,第三方收集我们的数据。第三、转移和发布,包括一些存储,包括怎么样公布给使用者。第四个方面,我们如何使用和维护。第五个方面,怎么样进行保存,包括一些有用无用数据的清理,使它能够被记录,被长期保存。最后,数据的销毁。这一点根据我在这么多年的构成经历,我发现这一点中国的公司做的应该说还是比较大的差距。其他几个方面,中国公司做的还是不错,但是唯独是销售的的环节特别弱,我工作的几个公司,包括英国石油、包括美国公司,包括壳牌,我们数据消灭的时候必须找专业公司,还要付他钱。我记得当时给惠普公司一台机器200美金负责把我们的电脑销毁了。首先我们内部把硬盘格式化,然后再交给惠普公司。所以,我们把终结的环节看的非常重要,所以这个可能是未来慢慢随着对信息安全的要求越来越高,信息敏感度要求越来越高会做更多的管理。这是完整的生命周期的管理。
企业数据管理的目标是什么?首先,可接触的,能让用户用上的,能够被希望用到的。第二、可用的,在我需要用的时间用上,这其实涉及到IT服务的问题,当我们需要操作了解数据的时候你的系统必须准备好,所以这是可用。一个是可接触。第二、可以用的时间点可以用好它。第三、审计,每个数据的产生环节,使用环节能够被记录下来,帮助我们找到数据管理过程的漏洞。第四、合规的符合我们一些数据管理的制度要求,中国正在做国家信息安全保密法,在审计阶段,我们对数据的要求越来越高,这块有很多法律法规的要求。第五、一致性,其实就是所谓信息孤岛的问题,很多企业信息同样的一个事物在不同的系统的表现形式不一样,就变成我们很多时候我们比如说做的库存查询的时候,很难去统一的知道整个企业集团里面针对某一个商品到底库存情况是怎么样?销售情况怎么样,包括客户信息,很多时候一个客户在普通系统里面每一层不一样,所以管理起来复杂,很多数据不准确,不能被商业使用。最后,数据完整性,其实就是数据准确性,当读这个数据的时候,确实反映了它的真实情况。
这六个方面从企业里面就是数据管理的目标,这六个方面实现我们才认为数据和信息的管理是比较符合要求的。这个管理的目标是什么?实现了我们的商业目标,就是增加市场份额也好,提供了流动性的一些管理也好,降低企业风险,这就是我们做这个事情的目的,最后实现商业目标。
我们怎么使用呢?根据这张图给大家分享一下我们实际使用的案例。比如在数据的定义和设计上,首先做一个数据的分级。因为企业内部有大量的信息,但不是所有的信息都要用一种方法来管理,有些是比较敏感的,有些是比较普通的,有些可能高度机密的,针对不同类型的信息,在不同的生命周期的环节,我们要采取不同的方法,不同的制度来管理它。这个实际上我们现在在实际使用中,用这么一个方法来去管理我们的信息。比如一些敏感信息就不能放在公有云平台上,可能普通信息可以对外发布,严格的信息我们需要通过一些非常严格的权限管理。
刚才说的六大数据管理的目标,可以简单的分享一下具体的六个目标到底是什么?首先,可接触,就是说数据配备业务部门使用,并且可以被重复使用,这是一个可接触的核心的两点。第二、可用性,在我需要的时候系统可以让客户去操作,去查询,去使用。第三、可渗基,所有的数据使用的环节都有记录。第四、完整性,就是准确性。第五、一致性,数据分布在不同的系统之间,数据是相同的,一致的。当然,现在实际上使用过程中,通过主数据管理的方法保证核心的数据是在数出同门,或者数出一门。这样所有数据的起始点是一样的,保证我们在不同的系统,不同的环节上看到的数据是一致性的。所以,安全性需要有整个一个控制,保证我们所有的数据能够被适当的人去访问。简单来说三个正确,把正确的数据提供给正确的人用来做正确的决策。
分享一点我自己做数据的体会。很多人认为数据的完整性是一个技术问题,其实不是一个技术问题,技术是一个方面,更多是一个文化和管理的问题。为什么?大家知道数据最重要讲数据的来源要准确,或者高质量。我们知道我们上很多IT系统,为什么后来效果没有完全达到我们的目标,包括以前的B/I,B/W,为什么后来很多人不用,因为最后反映的结果这个系统不准,不准的原因是很多数据的来源出了问题。只有当企业有很强壮的数据使用的文化,所有的数据都很重要,这才能保证数据的产生,数据进入系统的时候是高质量的,是准确的。只有这个条件成立,后面所有的数据在系统里的表现才能够正常的完成。这个特别是目前很多企业需要加强的,一个数据文化的建设。很多时候只是把它当成CIO的工作,其实不单是CIO的工作,也是CEO的工作。在大数据时代也一样,现在谈很多大数据,大数据企业有很多价值,如果数据来源出了问题,后面所有工作都不能产生足够的效果。
跨国公司真正做数据风险管理的时候用什么方法?这是在全球简单来说的一个框架,就是做数据风险管理的时候其实类似于一个PDC一种循环的方式。首先从风险评估开始,任何数据风险管理,首先评估这个数据业务风险有多高,对企业本身的价值有多大,从而判断使用什么样类型的数据,包括敏感数据也好,普通数据也好,或者对企业影响非常大的数据也好,通过这个建立一个评估,然后建立对应的风险控制体系和合规检查的体系,最后一旦出现事故,进行事故的管理。这个是不断循环,每当有事故发生之后,应该反过来迭代我们整个风险评估的一个内容。基础是什么呢?基础是我们要建立信息安全的一个意识,包括员工安全准则,相信大公司都有这一套体系。数据安全战略包括数据使用的规划,数据在各个系统之间分布的规划,包括数据安全管理的整个体系的目标。所以,这个在全球来说是普遍使用的一个方法。
这个方法的起点是什么呢?起点是风险评估,任何的方法论的基础都是我们以风险的评估作为整个数据建立控制体系的来源,数据的等级分布,数据的风险评估建立对应的控制流程。然后进入一个安全管控的体系,这个是一个正常的逻辑。所以这个方法属于添砖加瓦式的方法,我们已经有一套相对比较成熟的控制体系了。当我发现一个新的事故,我就会加一些内容进去,不断迭代,不断使它成为更完善的风险控制体系。但是,在中国可能不太一样,在中国我们发现企业的管理者往往不能接受这种方式,为什么?它并没有意识到数据的风险,信息的风险影响不会这么大,往往需要一个被教育的过程。这个我想包括万总他们可能以前就做了这方面的工作,让我们觉得原来任何一个数据风险的发生对我们企业带来这么大的影响。
其实我自己有一个案例,我去年去到欧洲的时候回国之后收到一个短信,说我的银行卡正在被消费。我一看这个是一个欧洲的国家,我说肯定不对,我回国了。我马上打电话给建设银行先把卡给封存了,就想到底哪里出了武装?第一反映携程泄露了我的信息,因为我在携程买的机票。刚好之前一周携程说信用卡数据库,客户数据卡被盗了,很多信用卡资料被泄露了,当然我打客服说并没有任何事情,说可能我的信用卡在比利时使用的时候付款的时候被别人把我的卡号记录下来了。经过那件事情之后,我的信用卡刷卡我自己来刷,不会交给别人。这就是直到发生事故之后,才会真正想到做风险管理的建设。
所以,中国我们叫亡羊补牢式的信息安全的建设,出现问题,然后开始投入建设一套体系。所以,整个控制点是由信息安全事故产生的,通过信息安全事故的发生进行一个事件的分析,评估它的影响度,建立对应的控制,最后会纳入到风险安全管理的信息中去。但我希望这个事情随着我们在整个信息安全领域的推动,包括很多教育,我希望我们的CIO能更多的影响管理层,提前建设风险管理体系,而不是出了事故之后再推动,这需要我们有更强的说服能力,可以利用一些外部专家做一些触目惊心的案例,让管理者更容易接受。因为这个不是马上可以看到效果,一开始可能投入的钱看不到商业回报,但是需要更好的说服它。
我们在企业中是亡羊补牢式的安全管理的体系。我们怎么样尽可能早的发现羊少,尽快的采取措施,降低商业风险。这张图是整个黑客攻击大概的过程,上面的点是攻击的开始,下面的点是攻击被发现。所以我们需要找到一些方法帮助我们找出问题发生的时间。怎么办这个事情?传统来看信息安全管理主要在基础设施层面比较多,我们的一些防火墙、路径检测、日志,通过这些做一些风险管理。这个就是所谓的黑白名单的方式,其实现在来说越来越困难了。同时因为它只是关注在基础设施层,比如银行、信用卡业务,如果只是关注在设施层,在信用卡的操作平台上面,有些正常用户也可以在上面做很多高风险的事件。所以,我们要往上走,走到应用层,要在应用系统层面,配置层面,在应用系统使用的层面做跟踪的管理。比如说刚才谈到信用卡库的问题,信用卡库的操作,用户的使用行为上做跟踪和分析,来看他是不是也是有存在风险,而不是单纯说它只是在一个防火墙,或者逻辑层面做一个技术层面的东西。因为很多内部员工监守自盗也很多。
我们把管理纬度从基础设施层到应用层之后,应用更多的安全工具,分析工具帮助我们。今天的专家谈到很多,大数据技术可以帮助我们更好的管理信息安全。它的核心是我不是通过黑白名单可以和不可以的方式,我是通过这个行为是否是一个正常行为,还是一个异常行为方式。你发现这是我们整个信息量管理的重大变化,以前是一个控制行为,设置一个条件,达到了条件,我们认为出了问题,现在不是了。现在我们是根据你的行为分析判断你是不是一个正常行为。这就没有特意的条件,是多维度做这种匹配。所以,这个我们认为在新的互联网时代,我们有更大的数据分析的能力之后,我们应该去做更多,更深层次的信息安全管理的纬度,而不是在过去的基础设施层面。
第二、我们的信息管理的流程上面,我们还同时要兼顾三个方面的建设。这个其实任何一个公司,做任何一个事情都需要这三方面。首先,要有人员,人员能力,建立足够技能的信息管理安全团队帮助到去利用好的技术、好的思维管理信息安全。第二、建立足够的流程和制度,包括信息安全战略,包括底层的一些对应制度和规则,这些东西的设计能帮助到我们有明确的指标衡量我们管理的好坏。最后,技术,很多新的大数据技术都可以帮助我们管理安全。这个时候我们在企业中用到一些案例。第一、做规则库的时候根据各种操作行为,判断这种操作行为我们认为它存在风险的高低,比如成功登录后相同地址登录失败,我们可能认为是高风险的事件。这个事件原来不属于黑白名单的模式,但是属于操作行为的模式。如果是黑白名单我们马上提醒安全管理人员看它是不是存在问题。包括用户登录非操作系统,这个大家看到不同的模式,通过行为分析的模式界定可能存在的风险。
以前我们都是通过黑白名单的方式,谁达标被通过,或者被阻拦,在这个之外,通过不同系统之间,不同操作行为,包括用户的不同时间操作不同系统这个行为,判断是否存在一些潜在风险。我们在企业中现在利用大数据的技术,大数据的工具帮助我们分析整个环境里面各个系统之间,和操作用户之间的行为做分析,看看是否存在风险。这张图这里有不同的员工,操作登录的员工,这是不同的时间点,当我们看到右边有一个红色的区块,这个区块什么意思呢?我们认为这个用户在这个时间点出了问题,出了一场行为。大家可以举个例子,比如某一个系统,这个用户平时都是上午进行查询工作为主的操作行为。突然在最近一段时间,或者最近三天在下午进行大量下载的工作。这个我们就会定义成一个非正常行为。因为它和之前的普通操作不一样了,为什么呢?当然有几种可能性。第一、账号被人盗取了。第二、这个员工可能要离开公司了,他把一些他认为有用的东西带走进行学习,不管哪一种,其实对公司都有非常大的风险。可以通过这种行为的异常化被提取出来。右下角是不同机器之间信息交流的数量,有一个机器跟很多机器发生大量的对话,这个我们要高度的警惕,这个机器是不是出了问题。这个是我们通过大数据的分析技术跟踪和管理到的一些潜在风险。所以,这个和我们传统的黑白名单式的方式有所不同,更多是以数据为中心的预防式管理,而不是传统的以防御为中心的被动式的管理。
刚才跟大家简单的分享了一下我们公司在信息安全上面管理的一些方法,以及在全球或者本地我们使用不同的一些逻辑,一些使用的供给。这本书是我在去年年底写的一本《大数据》的书,主要从六个角度分析大数据。其中非常重要的一块就是信息安全。我们当然说大数据从决策支持、运营优化、营销突破、业务创新和商业变革方面起了很多作用,其中还有企业安全,企业安全不仅包括信息安全,也包括企业自己管理安全、人身安全和运营安全,大家有兴趣可以看看我们这本书,有比较详实的一些阐述。
最后,是我们自己的个人公众号,CIO四海一家,每天会不一些信息和文章。我自己对CIO的理解是这样,之前说CIO的时候就是信息官,我们现在认为新的时代对这个定义发生了变化。因为首席信息官更多还是企业的支持部门,帮助企业业务实现它的价值,还是一个成本中心。在新的“互联网+”时代,我觉得CIO应该成为首席创新官,就是我们能够通过IT技术产生新的业务模式,产生新的业务增长点,找到一些新的业务创新。最后,我们形成一个首席连接官,就是我们要把内部和外部连接在一起,包括我们参与各种会议,了解更多新闻,技术支持代入到企业中去。随着市场的发展,越来越多外部的SaaS服务出现,其实CIO们面临非常大的挑战,业务部门可以直接和SaaS服务商合作,根本不需要通过企业内部的IT建设系统。这是其中很重要的一个要求就是我们CIO成为一个连接的桥梁,把企业内部的需求和外部的SaaS服务商直接连接,我们不直接提供我们技术的解决方案,更多提供整个战略规划,我们的框架设计,包括我们信息安全管理的控制,这个我认为是我们非常核心的一个抓手和桥梁,在“互联网+”时代能把企业内部的安全需求和企业外部海量的能力供给之间做一个更好的匹配,是我今天给大家的分享,谢谢大家!
刚才有一个嘉宾讲有五家国际能源公司被攻击到了,我工作过的两家公司可能都在其中,这是我个人的简介。我本人在信息化领域工作22年,在不同的公司工作过,也在国企,在民营合资公司,欧洲公司、美洲公司,现在在壳牌(中国)负责IT的管理工作。所以,英国石油和壳牌石油都是那五大公司之一我估计,所以很可能都在攻击的目标以外。我除了负责信息化的业务,和清华做一些合作,主要推动大数据产业在中国的发展,以及大数据技术在企业中的实现。所以,包括一些大数据产业,包括一些数据创新基地,在这个方面做一些发展。所以,今天也会谈到一些大数据对我们企业信息安全的一些帮助和实践。
今天主要从三个方面给大家分享企业的信息安全的内容。首先,企业风险管理的基础是什么?在企业工作所有的技术目的是为商业服务,实现商业目标。所以,不是本身为了技术而技术,找到目标是什么?我们要管理的关键环节。第二、MNC信息安全管理最佳实践。第三、事故管理的时候用什么工具帮助我们。
首先,企业风险管理的基础。基础上是什么呢?我们认为就是数据和信息。数据本身是客观存在的表现形式,不管企业内部的运营状况,客户状况,客户信息,或者外部的一些内容,这个是数据。但是,数据本身是非常多的,也没有任何意义,通过数据的收集管理就形成一种信息,我们在企业中的数据管理其实是把数据的收集,诗句的生成,数据的存储到信息的整合,这几个方面作为我们风险管理的基础和核心。当然,我们目的是什么?目的是把这个数据管理好,不被外部攻击,同时变成我们真正可用的,可以帮助我们实现我们商业价值的内容,这个也就是说,把数据信息往后延展到我们一个知识,通过知识的总结对未来的趋势做出预测,最后形成一种商业智慧。所以,这是整个数据价值实现链条,我们今天更侧重前面两部分,就是数据和信息的基本管理。
我们在企业中对数据进行管理的时候要管理数据的生命周期,不能单纯讲某一个节点,而是这样我们管理它,它什么时候生成,什么时候存在,什么时候发展,怎么被使用,包括最后怎么样终结,这是一个整体的生命周期的管理。所以,我们在这里把它总结成六个阶段。首先,定义和设计一个数据,为什么要这个数据,有什么样的意义,它是什么?我们要去创建和收集,包括一些大数据时代,我们不仅要从内部收集,要从外部,第三方收集我们的数据。第三、转移和发布,包括一些存储,包括怎么样公布给使用者。第四个方面,我们如何使用和维护。第五个方面,怎么样进行保存,包括一些有用无用数据的清理,使它能够被记录,被长期保存。最后,数据的销毁。这一点根据我在这么多年的构成经历,我发现这一点中国的公司做的应该说还是比较大的差距。其他几个方面,中国公司做的还是不错,但是唯独是销售的的环节特别弱,我工作的几个公司,包括英国石油、包括美国公司,包括壳牌,我们数据消灭的时候必须找专业公司,还要付他钱。我记得当时给惠普公司一台机器200美金负责把我们的电脑销毁了。首先我们内部把硬盘格式化,然后再交给惠普公司。所以,我们把终结的环节看的非常重要,所以这个可能是未来慢慢随着对信息安全的要求越来越高,信息敏感度要求越来越高会做更多的管理。这是完整的生命周期的管理。
企业数据管理的目标是什么?首先,可接触的,能让用户用上的,能够被希望用到的。第二、可用的,在我需要用的时间用上,这其实涉及到IT服务的问题,当我们需要操作了解数据的时候你的系统必须准备好,所以这是可用。一个是可接触。第二、可以用的时间点可以用好它。第三、审计,每个数据的产生环节,使用环节能够被记录下来,帮助我们找到数据管理过程的漏洞。第四、合规的符合我们一些数据管理的制度要求,中国正在做国家信息安全保密法,在审计阶段,我们对数据的要求越来越高,这块有很多法律法规的要求。第五、一致性,其实就是所谓信息孤岛的问题,很多企业信息同样的一个事物在不同的系统的表现形式不一样,就变成我们很多时候我们比如说做的库存查询的时候,很难去统一的知道整个企业集团里面针对某一个商品到底库存情况是怎么样?销售情况怎么样,包括客户信息,很多时候一个客户在普通系统里面每一层不一样,所以管理起来复杂,很多数据不准确,不能被商业使用。最后,数据完整性,其实就是数据准确性,当读这个数据的时候,确实反映了它的真实情况。
这六个方面从企业里面就是数据管理的目标,这六个方面实现我们才认为数据和信息的管理是比较符合要求的。这个管理的目标是什么?实现了我们的商业目标,就是增加市场份额也好,提供了流动性的一些管理也好,降低企业风险,这就是我们做这个事情的目的,最后实现商业目标。
我们怎么使用呢?根据这张图给大家分享一下我们实际使用的案例。比如在数据的定义和设计上,首先做一个数据的分级。因为企业内部有大量的信息,但不是所有的信息都要用一种方法来管理,有些是比较敏感的,有些是比较普通的,有些可能高度机密的,针对不同类型的信息,在不同的生命周期的环节,我们要采取不同的方法,不同的制度来管理它。这个实际上我们现在在实际使用中,用这么一个方法来去管理我们的信息。比如一些敏感信息就不能放在公有云平台上,可能普通信息可以对外发布,严格的信息我们需要通过一些非常严格的权限管理。
刚才说的六大数据管理的目标,可以简单的分享一下具体的六个目标到底是什么?首先,可接触,就是说数据配备业务部门使用,并且可以被重复使用,这是一个可接触的核心的两点。第二、可用性,在我需要的时候系统可以让客户去操作,去查询,去使用。第三、可渗基,所有的数据使用的环节都有记录。第四、完整性,就是准确性。第五、一致性,数据分布在不同的系统之间,数据是相同的,一致的。当然,现在实际上使用过程中,通过主数据管理的方法保证核心的数据是在数出同门,或者数出一门。这样所有数据的起始点是一样的,保证我们在不同的系统,不同的环节上看到的数据是一致性的。所以,安全性需要有整个一个控制,保证我们所有的数据能够被适当的人去访问。简单来说三个正确,把正确的数据提供给正确的人用来做正确的决策。
分享一点我自己做数据的体会。很多人认为数据的完整性是一个技术问题,其实不是一个技术问题,技术是一个方面,更多是一个文化和管理的问题。为什么?大家知道数据最重要讲数据的来源要准确,或者高质量。我们知道我们上很多IT系统,为什么后来效果没有完全达到我们的目标,包括以前的B/I,B/W,为什么后来很多人不用,因为最后反映的结果这个系统不准,不准的原因是很多数据的来源出了问题。只有当企业有很强壮的数据使用的文化,所有的数据都很重要,这才能保证数据的产生,数据进入系统的时候是高质量的,是准确的。只有这个条件成立,后面所有的数据在系统里的表现才能够正常的完成。这个特别是目前很多企业需要加强的,一个数据文化的建设。很多时候只是把它当成CIO的工作,其实不单是CIO的工作,也是CEO的工作。在大数据时代也一样,现在谈很多大数据,大数据企业有很多价值,如果数据来源出了问题,后面所有工作都不能产生足够的效果。
跨国公司真正做数据风险管理的时候用什么方法?这是在全球简单来说的一个框架,就是做数据风险管理的时候其实类似于一个PDC一种循环的方式。首先从风险评估开始,任何数据风险管理,首先评估这个数据业务风险有多高,对企业本身的价值有多大,从而判断使用什么样类型的数据,包括敏感数据也好,普通数据也好,或者对企业影响非常大的数据也好,通过这个建立一个评估,然后建立对应的风险控制体系和合规检查的体系,最后一旦出现事故,进行事故的管理。这个是不断循环,每当有事故发生之后,应该反过来迭代我们整个风险评估的一个内容。基础是什么呢?基础是我们要建立信息安全的一个意识,包括员工安全准则,相信大公司都有这一套体系。数据安全战略包括数据使用的规划,数据在各个系统之间分布的规划,包括数据安全管理的整个体系的目标。所以,这个在全球来说是普遍使用的一个方法。
这个方法的起点是什么呢?起点是风险评估,任何的方法论的基础都是我们以风险的评估作为整个数据建立控制体系的来源,数据的等级分布,数据的风险评估建立对应的控制流程。然后进入一个安全管控的体系,这个是一个正常的逻辑。所以这个方法属于添砖加瓦式的方法,我们已经有一套相对比较成熟的控制体系了。当我发现一个新的事故,我就会加一些内容进去,不断迭代,不断使它成为更完善的风险控制体系。但是,在中国可能不太一样,在中国我们发现企业的管理者往往不能接受这种方式,为什么?它并没有意识到数据的风险,信息的风险影响不会这么大,往往需要一个被教育的过程。这个我想包括万总他们可能以前就做了这方面的工作,让我们觉得原来任何一个数据风险的发生对我们企业带来这么大的影响。
其实我自己有一个案例,我去年去到欧洲的时候回国之后收到一个短信,说我的银行卡正在被消费。我一看这个是一个欧洲的国家,我说肯定不对,我回国了。我马上打电话给建设银行先把卡给封存了,就想到底哪里出了武装?第一反映携程泄露了我的信息,因为我在携程买的机票。刚好之前一周携程说信用卡数据库,客户数据卡被盗了,很多信用卡资料被泄露了,当然我打客服说并没有任何事情,说可能我的信用卡在比利时使用的时候付款的时候被别人把我的卡号记录下来了。经过那件事情之后,我的信用卡刷卡我自己来刷,不会交给别人。这就是直到发生事故之后,才会真正想到做风险管理的建设。
所以,中国我们叫亡羊补牢式的信息安全的建设,出现问题,然后开始投入建设一套体系。所以,整个控制点是由信息安全事故产生的,通过信息安全事故的发生进行一个事件的分析,评估它的影响度,建立对应的控制,最后会纳入到风险安全管理的信息中去。但我希望这个事情随着我们在整个信息安全领域的推动,包括很多教育,我希望我们的CIO能更多的影响管理层,提前建设风险管理体系,而不是出了事故之后再推动,这需要我们有更强的说服能力,可以利用一些外部专家做一些触目惊心的案例,让管理者更容易接受。因为这个不是马上可以看到效果,一开始可能投入的钱看不到商业回报,但是需要更好的说服它。
我们在企业中是亡羊补牢式的安全管理的体系。我们怎么样尽可能早的发现羊少,尽快的采取措施,降低商业风险。这张图是整个黑客攻击大概的过程,上面的点是攻击的开始,下面的点是攻击被发现。所以我们需要找到一些方法帮助我们找出问题发生的时间。怎么办这个事情?传统来看信息安全管理主要在基础设施层面比较多,我们的一些防火墙、路径检测、日志,通过这些做一些风险管理。这个就是所谓的黑白名单的方式,其实现在来说越来越困难了。同时因为它只是关注在基础设施层,比如银行、信用卡业务,如果只是关注在设施层,在信用卡的操作平台上面,有些正常用户也可以在上面做很多高风险的事件。所以,我们要往上走,走到应用层,要在应用系统层面,配置层面,在应用系统使用的层面做跟踪的管理。比如说刚才谈到信用卡库的问题,信用卡库的操作,用户的使用行为上做跟踪和分析,来看他是不是也是有存在风险,而不是单纯说它只是在一个防火墙,或者逻辑层面做一个技术层面的东西。因为很多内部员工监守自盗也很多。
我们把管理纬度从基础设施层到应用层之后,应用更多的安全工具,分析工具帮助我们。今天的专家谈到很多,大数据技术可以帮助我们更好的管理信息安全。它的核心是我不是通过黑白名单可以和不可以的方式,我是通过这个行为是否是一个正常行为,还是一个异常行为方式。你发现这是我们整个信息量管理的重大变化,以前是一个控制行为,设置一个条件,达到了条件,我们认为出了问题,现在不是了。现在我们是根据你的行为分析判断你是不是一个正常行为。这就没有特意的条件,是多维度做这种匹配。所以,这个我们认为在新的互联网时代,我们有更大的数据分析的能力之后,我们应该去做更多,更深层次的信息安全管理的纬度,而不是在过去的基础设施层面。
第二、我们的信息管理的流程上面,我们还同时要兼顾三个方面的建设。这个其实任何一个公司,做任何一个事情都需要这三方面。首先,要有人员,人员能力,建立足够技能的信息管理安全团队帮助到去利用好的技术、好的思维管理信息安全。第二、建立足够的流程和制度,包括信息安全战略,包括底层的一些对应制度和规则,这些东西的设计能帮助到我们有明确的指标衡量我们管理的好坏。最后,技术,很多新的大数据技术都可以帮助我们管理安全。这个时候我们在企业中用到一些案例。第一、做规则库的时候根据各种操作行为,判断这种操作行为我们认为它存在风险的高低,比如成功登录后相同地址登录失败,我们可能认为是高风险的事件。这个事件原来不属于黑白名单的模式,但是属于操作行为的模式。如果是黑白名单我们马上提醒安全管理人员看它是不是存在问题。包括用户登录非操作系统,这个大家看到不同的模式,通过行为分析的模式界定可能存在的风险。
以前我们都是通过黑白名单的方式,谁达标被通过,或者被阻拦,在这个之外,通过不同系统之间,不同操作行为,包括用户的不同时间操作不同系统这个行为,判断是否存在一些潜在风险。我们在企业中现在利用大数据的技术,大数据的工具帮助我们分析整个环境里面各个系统之间,和操作用户之间的行为做分析,看看是否存在风险。这张图这里有不同的员工,操作登录的员工,这是不同的时间点,当我们看到右边有一个红色的区块,这个区块什么意思呢?我们认为这个用户在这个时间点出了问题,出了一场行为。大家可以举个例子,比如某一个系统,这个用户平时都是上午进行查询工作为主的操作行为。突然在最近一段时间,或者最近三天在下午进行大量下载的工作。这个我们就会定义成一个非正常行为。因为它和之前的普通操作不一样了,为什么呢?当然有几种可能性。第一、账号被人盗取了。第二、这个员工可能要离开公司了,他把一些他认为有用的东西带走进行学习,不管哪一种,其实对公司都有非常大的风险。可以通过这种行为的异常化被提取出来。右下角是不同机器之间信息交流的数量,有一个机器跟很多机器发生大量的对话,这个我们要高度的警惕,这个机器是不是出了问题。这个是我们通过大数据的分析技术跟踪和管理到的一些潜在风险。所以,这个和我们传统的黑白名单式的方式有所不同,更多是以数据为中心的预防式管理,而不是传统的以防御为中心的被动式的管理。
刚才跟大家简单的分享了一下我们公司在信息安全上面管理的一些方法,以及在全球或者本地我们使用不同的一些逻辑,一些使用的供给。这本书是我在去年年底写的一本《大数据》的书,主要从六个角度分析大数据。其中非常重要的一块就是信息安全。我们当然说大数据从决策支持、运营优化、营销突破、业务创新和商业变革方面起了很多作用,其中还有企业安全,企业安全不仅包括信息安全,也包括企业自己管理安全、人身安全和运营安全,大家有兴趣可以看看我们这本书,有比较详实的一些阐述。
最后,是我们自己的个人公众号,CIO四海一家,每天会不一些信息和文章。我自己对CIO的理解是这样,之前说CIO的时候就是信息官,我们现在认为新的时代对这个定义发生了变化。因为首席信息官更多还是企业的支持部门,帮助企业业务实现它的价值,还是一个成本中心。在新的“互联网+”时代,我觉得CIO应该成为首席创新官,就是我们能够通过IT技术产生新的业务模式,产生新的业务增长点,找到一些新的业务创新。最后,我们形成一个首席连接官,就是我们要把内部和外部连接在一起,包括我们参与各种会议,了解更多新闻,技术支持代入到企业中去。随着市场的发展,越来越多外部的SaaS服务出现,其实CIO们面临非常大的挑战,业务部门可以直接和SaaS服务商合作,根本不需要通过企业内部的IT建设系统。这是其中很重要的一个要求就是我们CIO成为一个连接的桥梁,把企业内部的需求和外部的SaaS服务商直接连接,我们不直接提供我们技术的解决方案,更多提供整个战略规划,我们的框架设计,包括我们信息安全管理的控制,这个我认为是我们非常核心的一个抓手和桥梁,在“互联网+”时代能把企业内部的安全需求和企业外部海量的能力供给之间做一个更好的匹配,是我今天给大家的分享,谢谢大家!
京公网安备 11010502049343号