主持人:下面請出另一位技術高手來自殼牌石油的CIO徐斌,徐總將為我們帶來“跨國企業本地化信息安全挑戰和應對之道”,大家掌聲歡迎!
殼牌石油(中國) CIO 徐斌
徐斌:謝謝主持人,首先糾正一點,我不是技術高手。因為我們在企業做CIO更多還是希望整體上以把握技術和業務之間的關系,真正有一些技術團隊,有信息安全團隊,真正管理技術的實現。我今天跟大家的分享更多也是從技術和業務之間,以及如何真正從公司的內部角度完整的管理我們的信息和數據,和我們之前幾位嘉賓講的可能側重點不太一樣。非常感謝剛才萬總給我們描繪的一個不同的江湖,我自己聽了覺得其實身處一個非常險惡的風險非常大的事件。同時1995年萬總那個集裝箱如果選擇顯示器,我估計就是你的下一個供應商了。那個時候大屏幕的是非常少見,也非常貴,蠻有淵源的,希望不要攻擊我們的公司。
剛才有一個嘉賓講有五家國際能源公司被攻擊到了,我工作過的兩家公司可能都在其中,這是我個人的簡介。我本人在信息化領域工作22年,在不同的公司工作過,也在國企,在民營合資公司,歐洲公司、美洲公司,現在在殼牌(中國)負責IT的管理工作。所以,英國石油和殼牌石油都是那五大公司之一我估計,所以很可能都在攻擊的目標以外。我除了負責信息化的業務,和清華做一些合作,主要推動大數據產業在中國的發展,以及大數據技術在企業中的實現。所以,包括一些大數據產業,包括一些數據創新基地,在這個方面做一些發展。所以,今天也會談到一些大數據對我們企業信息安全的一些幫助和實踐。
今天主要從三個方面給大家分享企業的信息安全的內容。首先,企業風險管理的基礎是什么?在企業工作所有的技術目的是為商業服務,實現商業目標。所以,不是本身為了技術而技術,找到目標是什么?我們要管理的關鍵環節。第二、MNC信息安全管理最佳實踐。第三、事故管理的時候用什么工具幫助我們。
首先,企業風險管理的基礎。基礎上是什么呢?我們認為就是數據和信息。數據本身是客觀存在的表現形式,不管企業內部的運營狀況,客戶狀況,客戶信息,或者外部的一些內容,這個是數據。但是,數據本身是非常多的,也沒有任何意義,通過數據的收集管理就形成一種信息,我們在企業中的數據管理其實是把數據的收集,詩句的生成,數據的存儲到信息的整合,這幾個方面作為我們風險管理的基礎和核心。當然,我們目的是什么?目的是把這個數據管理好,不被外部攻擊,同時變成我們真正可用的,可以幫助我們實現我們商業價值的內容,這個也就是說,把數據信息往后延展到我們一個知識,通過知識的總結對未來的趨勢做出預測,最后形成一種商業智慧。所以,這是整個數據價值實現鏈條,我們今天更側重前面兩部分,就是數據和信息的基本管理。
我們在企業中對數據進行管理的時候要管理數據的生命周期,不能單純講某一個節點,而是這樣我們管理它,它什么時候生成,什么時候存在,什么時候發展,怎么被使用,包括最后怎么樣終結,這是一個整體的生命周期的管理。所以,我們在這里把它總結成六個階段。首先,定義和設計一個數據,為什么要這個數據,有什么樣的意義,它是什么?我們要去創建和收集,包括一些大數據時代,我們不僅要從內部收集,要從外部,第三方收集我們的數據。第三、轉移和發布,包括一些存儲,包括怎么樣公布給使用者。第四個方面,我們如何使用和維護。第五個方面,怎么樣進行保存,包括一些有用無用數據的清理,使它能夠被記錄,被長期保存。最后,數據的銷毀。這一點根據我在這么多年的構成經歷,我發現這一點中國的公司做的應該說還是比較大的差距。其他幾個方面,中國公司做的還是不錯,但是唯獨是銷售的的環節特別弱,我工作的幾個公司,包括英國石油、包括美國公司,包括殼牌,我們數據消滅的時候必須找專業公司,還要付他錢。我記得當時給惠普公司一臺機器200美金負責把我們的電腦銷毀了。首先我們內部把硬盤格式化,然后再交給惠普公司。所以,我們把終結的環節看的非常重要,所以這個可能是未來慢慢隨著對信息安全的要求越來越高,信息敏感度要求越來越高會做更多的管理。這是完整的生命周期的管理。
企業數據管理的目標是什么?首先,可接觸的,能讓用戶用上的,能夠被希望用到的。第二、可用的,在我需要用的時間用上,這其實涉及到IT服務的問題,當我們需要操作了解數據的時候你的系統必須準備好,所以這是可用。一個是可接觸。第二、可以用的時間點可以用好它。第三、審計,每個數據的產生環節,使用環節能夠被記錄下來,幫助我們找到數據管理過程的漏洞。第四、合規的符合我們一些數據管理的制度要求,中國正在做國家信息安全保密法,在審計階段,我們對數據的要求越來越高,這塊有很多法律法規的要求。第五、一致性,其實就是所謂信息孤島的問題,很多企業信息同樣的一個事物在不同的系統的表現形式不一樣,就變成我們很多時候我們比如說做的庫存查詢的時候,很難去統一的知道整個企業集團里面針對某一個商品到底庫存情況是怎么樣?銷售情況怎么樣,包括客戶信息,很多時候一個客戶在普通系統里面每一層不一樣,所以管理起來復雜,很多數據不準確,不能被商業使用。最后,數據完整性,其實就是數據準確性,當讀這個數據的時候,確實反映了它的真實情況。
這六個方面從企業里面就是數據管理的目標,這六個方面實現我們才認為數據和信息的管理是比較符合要求的。這個管理的目標是什么?實現了我們的商業目標,就是增加市場份額也好,提供了流動性的一些管理也好,降低企業風險,這就是我們做這個事情的目的,最后實現商業目標。
我們怎么使用呢?根據這張圖給大家分享一下我們實際使用的案例。比如在數據的定義和設計上,首先做一個數據的分級。因為企業內部有大量的信息,但不是所有的信息都要用一種方法來管理,有些是比較敏感的,有些是比較普通的,有些可能高度機密的,針對不同類型的信息,在不同的生命周期的環節,我們要采取不同的方法,不同的制度來管理它。這個實際上我們現在在實際使用中,用這么一個方法來去管理我們的信息。比如一些敏感信息就不能放在公有云平臺上,可能普通信息可以對外發布,嚴格的信息我們需要通過一些非常嚴格的權限管理。
剛才說的六大數據管理的目標,可以簡單的分享一下具體的六個目標到底是什么?首先,可接觸,就是說數據配備業務部門使用,并且可以被重復使用,這是一個可接觸的核心的兩點。第二、可用性,在我需要的時候系統可以讓客戶去操作,去查詢,去使用。第三、可滲基,所有的數據使用的環節都有記錄。第四、完整性,就是準確性。第五、一致性,數據分布在不同的系統之間,數據是相同的,一致的。當然,現在實際上使用過程中,通過主數據管理的方法保證核心的數據是在數出同門,或者數出一門。這樣所有數據的起始點是一樣的,保證我們在不同的系統,不同的環節上看到的數據是一致性的。所以,安全性需要有整個一個控制,保證我們所有的數據能夠被適當的人去訪問。簡單來說三個正確,把正確的數據提供給正確的人用來做正確的決策。
分享一點我自己做數據的體會。很多人認為數據的完整性是一個技術問題,其實不是一個技術問題,技術是一個方面,更多是一個文化和管理的問題。為什么?大家知道數據最重要講數據的來源要準確,或者高質量。我們知道我們上很多IT系統,為什么后來效果沒有完全達到我們的目標,包括以前的B/I,B/W,為什么后來很多人不用,因為最后反映的結果這個系統不準,不準的原因是很多數據的來源出了問題。只有當企業有很強壯的數據使用的文化,所有的數據都很重要,這才能保證數據的產生,數據進入系統的時候是高質量的,是準確的。只有這個條件成立,后面所有的數據在系統里的表現才能夠正常的完成。這個特別是目前很多企業需要加強的,一個數據文化的建設。很多時候只是把它當成CIO的工作,其實不單是CIO的工作,也是CEO的工作。在大數據時代也一樣,現在談很多大數據,大數據企業有很多價值,如果數據來源出了問題,后面所有工作都不能產生足夠的效果。
跨國公司真正做數據風險管理的時候用什么方法?這是在全球簡單來說的一個框架,就是做數據風險管理的時候其實類似于一個PDC一種循環的方式。首先從風險評估開始,任何數據風險管理,首先評估這個數據業務風險有多高,對企業本身的價值有多大,從而判斷使用什么樣類型的數據,包括敏感數據也好,普通數據也好,或者對企業影響非常大的數據也好,通過這個建立一個評估,然后建立對應的風險控制體系和合規檢查的體系,最后一旦出現事故,進行事故的管理。這個是不斷循環,每當有事故發生之后,應該反過來迭代我們整個風險評估的一個內容。基礎是什么呢?基礎是我們要建立信息安全的一個意識,包括員工安全準則,相信大公司都有這一套體系。數據安全戰略包括數據使用的規劃,數據在各個系統之間分布的規劃,包括數據安全管理的整個體系的目標。所以,這個在全球來說是普遍使用的一個方法。
這個方法的起點是什么呢?起點是風險評估,任何的方法論的基礎都是我們以風險的評估作為整個數據建立控制體系的來源,數據的等級分布,數據的風險評估建立對應的控制流程。然后進入一個安全管控的體系,這個是一個正常的邏輯。所以這個方法屬于添磚加瓦式的方法,我們已經有一套相對比較成熟的控制體系了。當我發現一個新的事故,我就會加一些內容進去,不斷迭代,不斷使它成為更完善的風險控制體系。但是,在中國可能不太一樣,在中國我們發現企業的管理者往往不能接受這種方式,為什么?它并沒有意識到數據的風險,信息的風險影響不會這么大,往往需要一個被教育的過程。這個我想包括萬總他們可能以前就做了這方面的工作,讓我們覺得原來任何一個數據風險的發生對我們企業帶來這么大的影響。
其實我自己有一個案例,我去年去到歐洲的時候回國之后收到一個短信,說我的銀行卡正在被消費。我一看這個是一個歐洲的國家,我說肯定不對,我回國了。我馬上打電話給建設銀行先把卡給封存了,就想到底哪里出了武裝?第一反映攜程泄露了我的信息,因為我在攜程買的機票。剛好之前一周攜程說信用卡數據庫,客戶數據卡被盜了,很多信用卡資料被泄露了,當然我打客服說并沒有任何事情,說可能我的信用卡在比利時使用的時候付款的時候被別人把我的卡號記錄下來了。經過那件事情之后,我的信用卡刷卡我自己來刷,不會交給別人。這就是直到發生事故之后,才會真正想到做風險管理的建設。
所以,中國我們叫亡羊補牢式的信息安全的建設,出現問題,然后開始投入建設一套體系。所以,整個控制點是由信息安全事故產生的,通過信息安全事故的發生進行一個事件的分析,評估它的影響度,建立對應的控制,最后會納入到風險安全管理的信息中去。但我希望這個事情隨著我們在整個信息安全領域的推動,包括很多教育,我希望我們的CIO能更多的影響管理層,提前建設風險管理體系,而不是出了事故之后再推動,這需要我們有更強的說服能力,可以利用一些外部專家做一些觸目驚心的案例,讓管理者更容易接受。因為這個不是馬上可以看到效果,一開始可能投入的錢看不到商業回報,但是需要更好的說服它。
我們在企業中是亡羊補牢式的安全管理的體系。我們怎么樣盡可能早的發現羊少,盡快的采取措施,降低商業風險。這張圖是整個黑客攻擊大概的過程,上面的點是攻擊的開始,下面的點是攻擊被發現。所以我們需要找到一些方法幫助我們找出問題發生的時間。怎么辦這個事情?傳統來看信息安全管理主要在基礎設施層面比較多,我們的一些防火墻、路徑檢測、日志,通過這些做一些風險管理。這個就是所謂的黑白名單的方式,其實現在來說越來越困難了。同時因為它只是關注在基礎設施層,比如銀行、信用卡業務,如果只是關注在設施層,在信用卡的操作平臺上面,有些正常用戶也可以在上面做很多高風險的事件。所以,我們要往上走,走到應用層,要在應用系統層面,配置層面,在應用系統使用的層面做跟蹤的管理。比如說剛才談到信用卡庫的問題,信用卡庫的操作,用戶的使用行為上做跟蹤和分析,來看他是不是也是有存在風險,而不是單純說它只是在一個防火墻,或者邏輯層面做一個技術層面的東西。因為很多內部員工監守自盜也很多。
我們把管理緯度從基礎設施層到應用層之后,應用更多的安全工具,分析工具幫助我們。今天的專家談到很多,大數據技術可以幫助我們更好的管理信息安全。它的核心是我不是通過黑白名單可以和不可以的方式,我是通過這個行為是否是一個正常行為,還是一個異常行為方式。你發現這是我們整個信息量管理的重大變化,以前是一個控制行為,設置一個條件,達到了條件,我們認為出了問題,現在不是了。現在我們是根據你的行為分析判斷你是不是一個正常行為。這就沒有特意的條件,是多維度做這種匹配。所以,這個我們認為在新的互聯網時代,我們有更大的數據分析的能力之后,我們應該去做更多,更深層次的信息安全管理的緯度,而不是在過去的基礎設施層面。
第二、我們的信息管理的流程上面,我們還同時要兼顧三個方面的建設。這個其實任何一個公司,做任何一個事情都需要這三方面。首先,要有人員,人員能力,建立足夠技能的信息管理安全團隊幫助到去利用好的技術、好的思維管理信息安全。第二、建立足夠的流程和制度,包括信息安全戰略,包括底層的一些對應制度和規則,這些東西的設計能幫助到我們有明確的指標衡量我們管理的好壞。最后,技術,很多新的大數據技術都可以幫助我們管理安全。這個時候我們在企業中用到一些案例。第一、做規則庫的時候根據各種操作行為,判斷這種操作行為我們認為它存在風險的高低,比如成功登錄后相同地址登錄失敗,我們可能認為是高風險的事件。這個事件原來不屬于黑白名單的模式,但是屬于操作行為的模式。如果是黑白名單我們馬上提醒安全管理人員看它是不是存在問題。包括用戶登錄非操作系統,這個大家看到不同的模式,通過行為分析的模式界定可能存在的風險。
以前我們都是通過黑白名單的方式,誰達標被通過,或者被阻攔,在這個之外,通過不同系統之間,不同操作行為,包括用戶的不同時間操作不同系統這個行為,判斷是否存在一些潛在風險。我們在企業中現在利用大數據的技術,大數據的工具幫助我們分析整個環境里面各個系統之間,和操作用戶之間的行為做分析,看看是否存在風險。這張圖這里有不同的員工,操作登錄的員工,這是不同的時間點,當我們看到右邊有一個紅色的區塊,這個區塊什么意思呢?我們認為這個用戶在這個時間點出了問題,出了一場行為。大家可以舉個例子,比如某一個系統,這個用戶平時都是上午進行查詢工作為主的操作行為。突然在最近一段時間,或者最近三天在下午進行大量下載的工作。這個我們就會定義成一個非正常行為。因為它和之前的普通操作不一樣了,為什么呢?當然有幾種可能性。第一、賬號被人盜取了。第二、這個員工可能要離開公司了,他把一些他認為有用的東西帶走進行學習,不管哪一種,其實對公司都有非常大的風險。可以通過這種行為的異常化被提取出來。右下角是不同機器之間信息交流的數量,有一個機器跟很多機器發生大量的對話,這個我們要高度的警惕,這個機器是不是出了問題。這個是我們通過大數據的分析技術跟蹤和管理到的一些潛在風險。所以,這個和我們傳統的黑白名單式的方式有所不同,更多是以數據為中心的預防式管理,而不是傳統的以防御為中心的被動式的管理。
剛才跟大家簡單的分享了一下我們公司在信息安全上面管理的一些方法,以及在全球或者本地我們使用不同的一些邏輯,一些使用的供給。這本書是我在去年年底寫的一本《大數據》的書,主要從六個角度分析大數據。其中非常重要的一塊就是信息安全。我們當然說大數據從決策支持、運營優化、營銷突破、業務創新和商業變革方面起了很多作用,其中還有企業安全,企業安全不僅包括信息安全,也包括企業自己管理安全、人身安全和運營安全,大家有興趣可以看看我們這本書,有比較詳實的一些闡述。
最后,是我們自己的個人公眾號,CIO四海一家,每天會不一些信息和文章。我自己對CIO的理解是這樣,之前說CIO的時候就是信息官,我們現在認為新的時代對這個定義發生了變化。因為首席信息官更多還是企業的支持部門,幫助企業業務實現它的價值,還是一個成本中心。在新的“互聯網+”時代,我覺得CIO應該成為首席創新官,就是我們能夠通過IT技術產生新的業務模式,產生新的業務增長點,找到一些新的業務創新。最后,我們形成一個首席連接官,就是我們要把內部和外部連接在一起,包括我們參與各種會議,了解更多新聞,技術支持代入到企業中去。隨著市場的發展,越來越多外部的SaaS服務出現,其實CIO們面臨非常大的挑戰,業務部門可以直接和SaaS服務商合作,根本不需要通過企業內部的IT建設系統。這是其中很重要的一個要求就是我們CIO成為一個連接的橋梁,把企業內部的需求和外部的SaaS服務商直接連接,我們不直接提供我們技術的解決方案,更多提供整個戰略規劃,我們的框架設計,包括我們信息安全管理的控制,這個我認為是我們非常核心的一個抓手和橋梁,在“互聯網+”時代能把企業內部的安全需求和企業外部海量的能力供給之間做一個更好的匹配,是我今天給大家的分享,謝謝大家!
剛才有一個嘉賓講有五家國際能源公司被攻擊到了,我工作過的兩家公司可能都在其中,這是我個人的簡介。我本人在信息化領域工作22年,在不同的公司工作過,也在國企,在民營合資公司,歐洲公司、美洲公司,現在在殼牌(中國)負責IT的管理工作。所以,英國石油和殼牌石油都是那五大公司之一我估計,所以很可能都在攻擊的目標以外。我除了負責信息化的業務,和清華做一些合作,主要推動大數據產業在中國的發展,以及大數據技術在企業中的實現。所以,包括一些大數據產業,包括一些數據創新基地,在這個方面做一些發展。所以,今天也會談到一些大數據對我們企業信息安全的一些幫助和實踐。
今天主要從三個方面給大家分享企業的信息安全的內容。首先,企業風險管理的基礎是什么?在企業工作所有的技術目的是為商業服務,實現商業目標。所以,不是本身為了技術而技術,找到目標是什么?我們要管理的關鍵環節。第二、MNC信息安全管理最佳實踐。第三、事故管理的時候用什么工具幫助我們。
首先,企業風險管理的基礎。基礎上是什么呢?我們認為就是數據和信息。數據本身是客觀存在的表現形式,不管企業內部的運營狀況,客戶狀況,客戶信息,或者外部的一些內容,這個是數據。但是,數據本身是非常多的,也沒有任何意義,通過數據的收集管理就形成一種信息,我們在企業中的數據管理其實是把數據的收集,詩句的生成,數據的存儲到信息的整合,這幾個方面作為我們風險管理的基礎和核心。當然,我們目的是什么?目的是把這個數據管理好,不被外部攻擊,同時變成我們真正可用的,可以幫助我們實現我們商業價值的內容,這個也就是說,把數據信息往后延展到我們一個知識,通過知識的總結對未來的趨勢做出預測,最后形成一種商業智慧。所以,這是整個數據價值實現鏈條,我們今天更側重前面兩部分,就是數據和信息的基本管理。
我們在企業中對數據進行管理的時候要管理數據的生命周期,不能單純講某一個節點,而是這樣我們管理它,它什么時候生成,什么時候存在,什么時候發展,怎么被使用,包括最后怎么樣終結,這是一個整體的生命周期的管理。所以,我們在這里把它總結成六個階段。首先,定義和設計一個數據,為什么要這個數據,有什么樣的意義,它是什么?我們要去創建和收集,包括一些大數據時代,我們不僅要從內部收集,要從外部,第三方收集我們的數據。第三、轉移和發布,包括一些存儲,包括怎么樣公布給使用者。第四個方面,我們如何使用和維護。第五個方面,怎么樣進行保存,包括一些有用無用數據的清理,使它能夠被記錄,被長期保存。最后,數據的銷毀。這一點根據我在這么多年的構成經歷,我發現這一點中國的公司做的應該說還是比較大的差距。其他幾個方面,中國公司做的還是不錯,但是唯獨是銷售的的環節特別弱,我工作的幾個公司,包括英國石油、包括美國公司,包括殼牌,我們數據消滅的時候必須找專業公司,還要付他錢。我記得當時給惠普公司一臺機器200美金負責把我們的電腦銷毀了。首先我們內部把硬盤格式化,然后再交給惠普公司。所以,我們把終結的環節看的非常重要,所以這個可能是未來慢慢隨著對信息安全的要求越來越高,信息敏感度要求越來越高會做更多的管理。這是完整的生命周期的管理。
企業數據管理的目標是什么?首先,可接觸的,能讓用戶用上的,能夠被希望用到的。第二、可用的,在我需要用的時間用上,這其實涉及到IT服務的問題,當我們需要操作了解數據的時候你的系統必須準備好,所以這是可用。一個是可接觸。第二、可以用的時間點可以用好它。第三、審計,每個數據的產生環節,使用環節能夠被記錄下來,幫助我們找到數據管理過程的漏洞。第四、合規的符合我們一些數據管理的制度要求,中國正在做國家信息安全保密法,在審計階段,我們對數據的要求越來越高,這塊有很多法律法規的要求。第五、一致性,其實就是所謂信息孤島的問題,很多企業信息同樣的一個事物在不同的系統的表現形式不一樣,就變成我們很多時候我們比如說做的庫存查詢的時候,很難去統一的知道整個企業集團里面針對某一個商品到底庫存情況是怎么樣?銷售情況怎么樣,包括客戶信息,很多時候一個客戶在普通系統里面每一層不一樣,所以管理起來復雜,很多數據不準確,不能被商業使用。最后,數據完整性,其實就是數據準確性,當讀這個數據的時候,確實反映了它的真實情況。
這六個方面從企業里面就是數據管理的目標,這六個方面實現我們才認為數據和信息的管理是比較符合要求的。這個管理的目標是什么?實現了我們的商業目標,就是增加市場份額也好,提供了流動性的一些管理也好,降低企業風險,這就是我們做這個事情的目的,最后實現商業目標。
我們怎么使用呢?根據這張圖給大家分享一下我們實際使用的案例。比如在數據的定義和設計上,首先做一個數據的分級。因為企業內部有大量的信息,但不是所有的信息都要用一種方法來管理,有些是比較敏感的,有些是比較普通的,有些可能高度機密的,針對不同類型的信息,在不同的生命周期的環節,我們要采取不同的方法,不同的制度來管理它。這個實際上我們現在在實際使用中,用這么一個方法來去管理我們的信息。比如一些敏感信息就不能放在公有云平臺上,可能普通信息可以對外發布,嚴格的信息我們需要通過一些非常嚴格的權限管理。
剛才說的六大數據管理的目標,可以簡單的分享一下具體的六個目標到底是什么?首先,可接觸,就是說數據配備業務部門使用,并且可以被重復使用,這是一個可接觸的核心的兩點。第二、可用性,在我需要的時候系統可以讓客戶去操作,去查詢,去使用。第三、可滲基,所有的數據使用的環節都有記錄。第四、完整性,就是準確性。第五、一致性,數據分布在不同的系統之間,數據是相同的,一致的。當然,現在實際上使用過程中,通過主數據管理的方法保證核心的數據是在數出同門,或者數出一門。這樣所有數據的起始點是一樣的,保證我們在不同的系統,不同的環節上看到的數據是一致性的。所以,安全性需要有整個一個控制,保證我們所有的數據能夠被適當的人去訪問。簡單來說三個正確,把正確的數據提供給正確的人用來做正確的決策。
分享一點我自己做數據的體會。很多人認為數據的完整性是一個技術問題,其實不是一個技術問題,技術是一個方面,更多是一個文化和管理的問題。為什么?大家知道數據最重要講數據的來源要準確,或者高質量。我們知道我們上很多IT系統,為什么后來效果沒有完全達到我們的目標,包括以前的B/I,B/W,為什么后來很多人不用,因為最后反映的結果這個系統不準,不準的原因是很多數據的來源出了問題。只有當企業有很強壯的數據使用的文化,所有的數據都很重要,這才能保證數據的產生,數據進入系統的時候是高質量的,是準確的。只有這個條件成立,后面所有的數據在系統里的表現才能夠正常的完成。這個特別是目前很多企業需要加強的,一個數據文化的建設。很多時候只是把它當成CIO的工作,其實不單是CIO的工作,也是CEO的工作。在大數據時代也一樣,現在談很多大數據,大數據企業有很多價值,如果數據來源出了問題,后面所有工作都不能產生足夠的效果。
跨國公司真正做數據風險管理的時候用什么方法?這是在全球簡單來說的一個框架,就是做數據風險管理的時候其實類似于一個PDC一種循環的方式。首先從風險評估開始,任何數據風險管理,首先評估這個數據業務風險有多高,對企業本身的價值有多大,從而判斷使用什么樣類型的數據,包括敏感數據也好,普通數據也好,或者對企業影響非常大的數據也好,通過這個建立一個評估,然后建立對應的風險控制體系和合規檢查的體系,最后一旦出現事故,進行事故的管理。這個是不斷循環,每當有事故發生之后,應該反過來迭代我們整個風險評估的一個內容。基礎是什么呢?基礎是我們要建立信息安全的一個意識,包括員工安全準則,相信大公司都有這一套體系。數據安全戰略包括數據使用的規劃,數據在各個系統之間分布的規劃,包括數據安全管理的整個體系的目標。所以,這個在全球來說是普遍使用的一個方法。
這個方法的起點是什么呢?起點是風險評估,任何的方法論的基礎都是我們以風險的評估作為整個數據建立控制體系的來源,數據的等級分布,數據的風險評估建立對應的控制流程。然后進入一個安全管控的體系,這個是一個正常的邏輯。所以這個方法屬于添磚加瓦式的方法,我們已經有一套相對比較成熟的控制體系了。當我發現一個新的事故,我就會加一些內容進去,不斷迭代,不斷使它成為更完善的風險控制體系。但是,在中國可能不太一樣,在中國我們發現企業的管理者往往不能接受這種方式,為什么?它并沒有意識到數據的風險,信息的風險影響不會這么大,往往需要一個被教育的過程。這個我想包括萬總他們可能以前就做了這方面的工作,讓我們覺得原來任何一個數據風險的發生對我們企業帶來這么大的影響。
其實我自己有一個案例,我去年去到歐洲的時候回國之后收到一個短信,說我的銀行卡正在被消費。我一看這個是一個歐洲的國家,我說肯定不對,我回國了。我馬上打電話給建設銀行先把卡給封存了,就想到底哪里出了武裝?第一反映攜程泄露了我的信息,因為我在攜程買的機票。剛好之前一周攜程說信用卡數據庫,客戶數據卡被盜了,很多信用卡資料被泄露了,當然我打客服說并沒有任何事情,說可能我的信用卡在比利時使用的時候付款的時候被別人把我的卡號記錄下來了。經過那件事情之后,我的信用卡刷卡我自己來刷,不會交給別人。這就是直到發生事故之后,才會真正想到做風險管理的建設。
所以,中國我們叫亡羊補牢式的信息安全的建設,出現問題,然后開始投入建設一套體系。所以,整個控制點是由信息安全事故產生的,通過信息安全事故的發生進行一個事件的分析,評估它的影響度,建立對應的控制,最后會納入到風險安全管理的信息中去。但我希望這個事情隨著我們在整個信息安全領域的推動,包括很多教育,我希望我們的CIO能更多的影響管理層,提前建設風險管理體系,而不是出了事故之后再推動,這需要我們有更強的說服能力,可以利用一些外部專家做一些觸目驚心的案例,讓管理者更容易接受。因為這個不是馬上可以看到效果,一開始可能投入的錢看不到商業回報,但是需要更好的說服它。
我們在企業中是亡羊補牢式的安全管理的體系。我們怎么樣盡可能早的發現羊少,盡快的采取措施,降低商業風險。這張圖是整個黑客攻擊大概的過程,上面的點是攻擊的開始,下面的點是攻擊被發現。所以我們需要找到一些方法幫助我們找出問題發生的時間。怎么辦這個事情?傳統來看信息安全管理主要在基礎設施層面比較多,我們的一些防火墻、路徑檢測、日志,通過這些做一些風險管理。這個就是所謂的黑白名單的方式,其實現在來說越來越困難了。同時因為它只是關注在基礎設施層,比如銀行、信用卡業務,如果只是關注在設施層,在信用卡的操作平臺上面,有些正常用戶也可以在上面做很多高風險的事件。所以,我們要往上走,走到應用層,要在應用系統層面,配置層面,在應用系統使用的層面做跟蹤的管理。比如說剛才談到信用卡庫的問題,信用卡庫的操作,用戶的使用行為上做跟蹤和分析,來看他是不是也是有存在風險,而不是單純說它只是在一個防火墻,或者邏輯層面做一個技術層面的東西。因為很多內部員工監守自盜也很多。
我們把管理緯度從基礎設施層到應用層之后,應用更多的安全工具,分析工具幫助我們。今天的專家談到很多,大數據技術可以幫助我們更好的管理信息安全。它的核心是我不是通過黑白名單可以和不可以的方式,我是通過這個行為是否是一個正常行為,還是一個異常行為方式。你發現這是我們整個信息量管理的重大變化,以前是一個控制行為,設置一個條件,達到了條件,我們認為出了問題,現在不是了。現在我們是根據你的行為分析判斷你是不是一個正常行為。這就沒有特意的條件,是多維度做這種匹配。所以,這個我們認為在新的互聯網時代,我們有更大的數據分析的能力之后,我們應該去做更多,更深層次的信息安全管理的緯度,而不是在過去的基礎設施層面。
第二、我們的信息管理的流程上面,我們還同時要兼顧三個方面的建設。這個其實任何一個公司,做任何一個事情都需要這三方面。首先,要有人員,人員能力,建立足夠技能的信息管理安全團隊幫助到去利用好的技術、好的思維管理信息安全。第二、建立足夠的流程和制度,包括信息安全戰略,包括底層的一些對應制度和規則,這些東西的設計能幫助到我們有明確的指標衡量我們管理的好壞。最后,技術,很多新的大數據技術都可以幫助我們管理安全。這個時候我們在企業中用到一些案例。第一、做規則庫的時候根據各種操作行為,判斷這種操作行為我們認為它存在風險的高低,比如成功登錄后相同地址登錄失敗,我們可能認為是高風險的事件。這個事件原來不屬于黑白名單的模式,但是屬于操作行為的模式。如果是黑白名單我們馬上提醒安全管理人員看它是不是存在問題。包括用戶登錄非操作系統,這個大家看到不同的模式,通過行為分析的模式界定可能存在的風險。
以前我們都是通過黑白名單的方式,誰達標被通過,或者被阻攔,在這個之外,通過不同系統之間,不同操作行為,包括用戶的不同時間操作不同系統這個行為,判斷是否存在一些潛在風險。我們在企業中現在利用大數據的技術,大數據的工具幫助我們分析整個環境里面各個系統之間,和操作用戶之間的行為做分析,看看是否存在風險。這張圖這里有不同的員工,操作登錄的員工,這是不同的時間點,當我們看到右邊有一個紅色的區塊,這個區塊什么意思呢?我們認為這個用戶在這個時間點出了問題,出了一場行為。大家可以舉個例子,比如某一個系統,這個用戶平時都是上午進行查詢工作為主的操作行為。突然在最近一段時間,或者最近三天在下午進行大量下載的工作。這個我們就會定義成一個非正常行為。因為它和之前的普通操作不一樣了,為什么呢?當然有幾種可能性。第一、賬號被人盜取了。第二、這個員工可能要離開公司了,他把一些他認為有用的東西帶走進行學習,不管哪一種,其實對公司都有非常大的風險。可以通過這種行為的異常化被提取出來。右下角是不同機器之間信息交流的數量,有一個機器跟很多機器發生大量的對話,這個我們要高度的警惕,這個機器是不是出了問題。這個是我們通過大數據的分析技術跟蹤和管理到的一些潛在風險。所以,這個和我們傳統的黑白名單式的方式有所不同,更多是以數據為中心的預防式管理,而不是傳統的以防御為中心的被動式的管理。
剛才跟大家簡單的分享了一下我們公司在信息安全上面管理的一些方法,以及在全球或者本地我們使用不同的一些邏輯,一些使用的供給。這本書是我在去年年底寫的一本《大數據》的書,主要從六個角度分析大數據。其中非常重要的一塊就是信息安全。我們當然說大數據從決策支持、運營優化、營銷突破、業務創新和商業變革方面起了很多作用,其中還有企業安全,企業安全不僅包括信息安全,也包括企業自己管理安全、人身安全和運營安全,大家有興趣可以看看我們這本書,有比較詳實的一些闡述。
最后,是我們自己的個人公眾號,CIO四海一家,每天會不一些信息和文章。我自己對CIO的理解是這樣,之前說CIO的時候就是信息官,我們現在認為新的時代對這個定義發生了變化。因為首席信息官更多還是企業的支持部門,幫助企業業務實現它的價值,還是一個成本中心。在新的“互聯網+”時代,我覺得CIO應該成為首席創新官,就是我們能夠通過IT技術產生新的業務模式,產生新的業務增長點,找到一些新的業務創新。最后,我們形成一個首席連接官,就是我們要把內部和外部連接在一起,包括我們參與各種會議,了解更多新聞,技術支持代入到企業中去。隨著市場的發展,越來越多外部的SaaS服務出現,其實CIO們面臨非常大的挑戰,業務部門可以直接和SaaS服務商合作,根本不需要通過企業內部的IT建設系統。這是其中很重要的一個要求就是我們CIO成為一個連接的橋梁,把企業內部的需求和外部的SaaS服務商直接連接,我們不直接提供我們技術的解決方案,更多提供整個戰略規劃,我們的框架設計,包括我們信息安全管理的控制,這個我認為是我們非常核心的一個抓手和橋梁,在“互聯網+”時代能把企業內部的安全需求和企業外部海量的能力供給之間做一個更好的匹配,是我今天給大家的分享,謝謝大家!
京公網安備 11010502049343號