益云安全平臺聯合創始人 萬濤

殼牌石油CIO 徐斌

餓了么高級風控專家 王彬

博彥科技CIO 白春玲

安邦保險信息安全總監 馮國震

范脡：下面有請這兩位嘉賓做一個自我介紹。

白春玲：大家好，我主要做信息開發與維護的工作。

馮國震：我主要在安邦保險負責信息安全，最早在中國網通做過大約六年多的骨干網運維，之后到中金公司負責信息安全，10月底到安邦做了信息安全，站長之家是我業余時間做的微信公眾號，主打內容是每天3分鐘新聞早餐，歡迎大家關注分享，謝謝！

范脡：我們這次針對企業信息安全，我會問一些信息安全的問題。我也會留一些時間給在座的各位，如果大家在信息安全或者互聯網轉型過程當中遇到一些困惑，尤其在信息安全方面，可以向在座的各位嘉賓提問，千萬不要錯過這么好的免費咨詢的機會。說到信息安全，你們在企業當中碰到的一些信息安全的重點問題和常用的解決辦法是什么？白總開始。

白春玲：大家好！因為博彥科技大概在2000年前后的時候開始引入信息安全這個概念，我們基本是圍繞國際的信息安全體系落地，我們主要做微軟、惠普這樣的一些客戶，大家可能都知道微軟這樣的客戶對信息安全的要求是相當高的。比如我們現在建立的OF，從物理安全到通信管理都相當嚴格，每一年都會有一個信息安全的檢查和排名。它有五個等級，從A到E。企業在這里面只能是A，到B就開始屬于整改的階段，到C可能就不能接包了，所以對我們上萬人這樣的一個企業來講，如果不能接包了，損失是很慘重的。所以，我們主要是在客戶推動下逐步地進行信息安全的管控。這種管控，今天也聽了同行專家的分享，目前我們還是靠人治和法治，做一些合規性的管控。技術對我們來說還比較薄弱，是一個輔助的手段。目前我們的一些痛點，比如BYOD、MAM（移動應用管理）、移動、數據，或者在網絡方面的一些產品很分散，我們更需要集成化的產品，不僅能夠管移動互聯網，也能管企業的內網，希望安全的管控能夠從前端的登錄，身份認證，數據安全，軟件的保護，以及企業內網的數據安全做到互通，這個主要是我們現在尋找的技術上的支撐。

馮國震：大家好！我主要想說明的就是目前在金融行業，尤其我在中金和安邦分別是證券和保險，這兩個都是對信息安全非常重視的行業。當然，和金融業比較起來，最終使用的肯定是銀行。從我的經驗來看，我覺得尤其金融行業直接跟錢打交道，所以對整個的信息安全過程非常敏感。尤其最近我們也看到了很多黑客界對金融行業盯得比較緊，每天看到的日報里面不是某某保險公司，包括我們安邦在內前兩天也被撞庫，當然他們其實撞的都是我們處理過的數據，不是真實的庫。但是，會給外界一種印象，就是說怎么最近保險公司總是出事，連人壽系統都被撞庫了。所以，這種挑戰對我們是非常大的。再加上現在整個行業傾向于互聯網化和國際化的全球化這種發展，所以可能對我們來講，就是更關注怎么樣更有效地進行信息安全的防控。

徐斌：我從三個方面分享一下信息安全面臨的問題和我們所處的狀態。因為我們是能源公司，對安全非常重視，過去幾年石油公司因為安全事故造成了重大損失，我之前一個雇主英國石油，過去五年有兩大事件，一個是德克薩斯的爆炸事件，還有墨西哥灣的漏油事件，對公司造成的損失達600億美金，放在一般的公司早就已經倒閉了，因為它公司足夠大，變賣了很多資產才能夠生存下來，所以對企業的安全非常重視。但是，即使在這種文化下面，信息安全的文化建設還是不足夠的。像我們比如每次到公司，朋友們，或者其他嘉賓到公司我們會介紹一些走火通道和安全規則。說明我們安全意識很強，事實上做信息安全教育的時候做了大量工作，很多演講，很多郵件，每個月有整個公司內部的巡檢，看電腦有沒有上鎖，密碼有沒有帖在桌子上，或者有沒有一些比較重要的信息放在打印機上等等。發現基本上不超過50%。在這種公司文化下面，這么強的安全文化下面，水平還是比較低。所以，我們認為文化的建設還是任重而道遠，雖然現在碰到個人安全信息泄露的問題，但是真正跟工作結合在一起，真正應用到工作生活當中，我覺得還是需要更多的教育，是我們現在碰到的一個最大問題，還是文化上，大家意識上沒有達到這一點。

從技術上來說，因為殼牌是比較大的公司，殼牌在信息安全產品全球做過統計，一周被攻擊，或者非正常的行為達到9800萬次，當然不一定所有的都是惡意攻擊，主要是非正常行為。其實我們面臨的挑戰非常大。我們要把整個信息安全的各種制度流程內嵌到實際的運營過程中去，單獨執行。比如項目治理過程中，制造項目管理分很多階段，比如說從立項到方案的設計，到研發，到測試，到上線，這么一個關鍵節點，我們設置了一個信息安全的審計行動。包括招投標標書的設計過程也需要安全經理簽字，他必須簽字認為你所有的設計和內容需求滿足了信息安全的要求，才能讓你進入。所以，通過制度流程的建設，把日常的每個行為都嵌入到信息安全的風險控制點，幫助我們在實際的運營當中保證大家慢慢接受和應用這種方法。

從業務管理上來說，有兩大數據我們認為非常關鍵，一個是客戶的信息，我們現在集團公司有很多不同分公司，我們統一做系統建設，數據的所有權歸誰，誰負責保護數據安全，包括數據放在哪里，哪些信息放在國外，哪些信息放在國內，有很多制度上的考量和實際操作的考量，包括《信息安全法》對信息存儲有很大要求。第二，支付的數據安全如何來保障。我們在整個層面作為服務商提供給客戶的時候如何把內部支付和第三方支付共同管理起來，這是我們現在考慮非常多的。所以，現在我們碰到的挑戰有技術流程的挑戰，以及實際運營業務上的挑戰。謝謝！

萬濤：相對來講我也是從乙方角度去看。我現在關注的主要在移動辦公上，純互聯網式的，包括旅行，出國。我現在最關心的入口是在線上，現在用WIFI也是主流。當然，現在的確沒有好的解決方案。所以，我現在在嘗試說，原來做企業安全的一些硬思路放到個人身上，我們知道前一個階段，2006年左右，從個人終端消失了，我的觀點，安全其實還是應該有價值，不應該用商業模式的替換方法把安全的專業事情變成一種互聯網的營銷模式，所以它可能會回歸，這是因為我們對安全的資產，不僅有公司的，也有個人的，都在提升，尤其智能硬件進入到家庭生活之后。我之前在新加坡做一個油田項目的時候，四千萬請了國外做整個安全顧問，6個人做了三年。但是，做信息安全的時候只有一千萬，做三年。這個差異是很大的，包括做航空公司的，我發現飛行控制系統，或者控制系統也可能被入侵，但是相對來講沒有被非控本身所談到，那怎么去體現。所以，從這個緯度上要看到移動辦公的趨勢。所以，我們現在在做這方面的研發。

安全是硬道理，一個是把手段變成硬的，就是用戶體驗會更簡單，使得這個模式更加簡單一點，因為在員工來講，只需要承擔他所清楚的安全責任，可能教育是一方面，合規是一方面，但是你也不希望他了解太多。所以，我們希望讓個人感受到安全的痛點，什么情況下可以啟用自己的手機。比如他用蘋果iPad，但是是經過優化的，比如密碼都做了處理，可能用這個方法在不影響體驗的情況下，去降低風險。這樣滿足一個要求，就是安全是一個不斷降低風險的過程。所以，站在企業角度上，我們其實要去界定我們的風險，風險合規上一般要注重安全能力和實踐之間的差距，但是評定風險，尤其動態風險的時候是以往做的不足的。這也使安全有時候很雞肋，偏向成本，而不是價值。我希望未來十年從成本轉向價值，甚至是企業核心競爭力的一個過程。

王彬：我從兩個方面闡述，一個面，一個點。我在一個很著名的金融企業待過，也在互聯網企業待過，我覺得完全是兩種風格，互聯網企業完全是粗放的分隔，其實安全原則上做的比較差。先說傳統企業，我們會有一些很強的手段，比如雙設備，雙電腦，物理分離，或者類似這種東西都是我們以前會用的，或者強控制。我覺得這是很好的在金融行業可以實現的地方。但是，這些東西到互聯網企業當中就很難實現。現在年輕人比較傾向于自由，讓他完全換兩個設備，他肯定不開心，內容和網頁分離他就不開心了。比如雙設備。我們以前的經驗是，在互聯網企業當中變成互聯網去監控，我一直說互聯網信息安全，或者數據安全是要從監控層面花很大力氣分析網絡本身特征的行為。比如WIFI上要做一些監控，從數據傳輸能力來說，要解決異常或者不正常的行為邏輯做一些阻斷。我認為特別是內部信息安全，在BAT里面是非常難做的，我們不可能像華為這種能做很強的控制，也不像金融行業能做很多的控制，能做什么呢?更多的監控，從底層的數據流上做一些干涉。當發現問題的時候把它統一解決掉，這種方式會好一點，干擾也比較少。再舉個例子，比如360WIFI，如果有異常流量完全可以把它踢出去。這是面。

說一個點，互聯網企業為了排錯，提高開發速度，可能日志都是統一收集的，這個日志點很容易產生問題，日志當中很容易暴露用戶的敏感信息，包括卡號、身份證號、手機號，UID等都可能產生風險。我們以前的做法是，所有的日志進來之前，信息安全先過一檔，把我們認為可能敏感的信息去掉，保證可用性的時候盡量減少安全日志的泄露風險，對敏感的比如你的卡號多少位這種信息直接拉掉，可能有誤差，但是總比信息泄露好得多，這是我分享的一個點和一個面。

范脡：信息安全很容易被大家認為是理所當然的事情，可能出問題時你才會重視。我們有第三方的分析數據，50%的企業都被攻擊過。我們談了很多來自外來的攻擊，再來談一談內網安全，從數據來說，實際上它構成的威脅有時候甚至會超過來自外部的一些威脅，很多來自外部的攻擊不一定是有針對性，或者有惡意的，但是很多內網的威脅是目標非常明確的。我也想了解在座各位在這方面有沒有一些看法或者建議。

白春玲：因為我們主要是做服務和外包的一家公司，內網的管控相對比較成熟，風險相對比較小。我這邊2016年比較大的一些挑戰，內網上因為員工比較多，分公司也比較多，現在有32家分支機構。所以，經常會把一些密級比較高的文件放在內網共享，有一些員工不是非常清楚，會把絕密、機密和保密的文件放到公司的一些內網上面去共享。這邊我們主要采取的措施就是我們今年有一個信息安全的50條，這個50條我們進行嚴格的評比，這個是信息安全的一個紅線，誰都不可以觸碰，觸碰之后我們會跟你的績效甚至罰款相關聯，全球的分支機構也會進行一些評比，我們有一個大榜，在一進公司的屏幕上，以及老板的辦公室都會播放。所以，對我們來說目前主要的挑戰還是外網以及剛才萬總講的移動互聯網的安全挑戰會更大一些，內網相對風險比較小一些。

馮國震：講到內網我覺得對于金融企業來講還是非常重要的。我舉個例子，我原來在中金的時候，當時對整個內網的安全非常重視。因為大家知道類似于中金在業界的影響力，尤其它的研究報告非常有名。所以，很多人一旦看到中金公司某某某說，有可能對整個股票市場，改變A股這些產生非常大的影響。因此，原先我們整個過程對整個內網的安全監控做得非常多。比如說我們必須要防止未經授權的內部員工把任何這些相對的分析報告，或者結論性的意見未經授權分享給外界的人，甚至于除了屏幕拍照這種無法通過技術手段防控，我們也會通過其他物理監控手段，包括保安定期巡邏，就是類似這些非IT手段能控制的，真正在信息安全層面我們做了很多工作，包括對桌面的安全，對內網的內部上網行為的管理，以及對我們所有的涉及到的一些敏感人員信息的分析控制，這一塊的確也花了不少成本和投入，但是效果也是明顯的。而且對證券公司來講，他們的合規做得非常嚴格，對整個事前的參與，事中的控制和事后的審計這幾塊都做得非常嚴格。所以，我覺得可能相對來說，內網安全對于公司非常重要。

徐斌：我們內網安全也是三個方面。

第一、員工意識的問題，我們發現企業員工的通訊錄被放到百度文庫上面，發現是員工自己無意中觸發了這個事情，很多人不知道這種行為會帶來潛在的商業風險和損失。所以，這個我覺得很重要。其實企業內部信息安全管理的突破口就是最終的短板效應。所以，我們要讓所有人都能夠達到相應的水平才能保證信息安全。

第二、在整個過去，由于我們各種歷程的原因，我們對很多不同規模的合資公司做過比較，他們之前沒有主要的精力建設一些IT的系統，對信息安全方面的投入比較少，也沒有對應的工具和流程。所以，我們在過去兩年開始幫助他們梳理建設這種管理制度，包括我們在他們一些項目管理中引入殼牌本身的專家作為關鍵的環節，比如項目的各個階段，需要這些專家做把關，簽字，他們本身沒有這個能力，我們通過類似于外包和咨詢的方式給他提供項目管理過程中的信息安全管理能力。

第三、整個信息安全管理是體系化的工作，我們去年開始建立IT能力的評估模型，其中一個是信息價格管理，還有安全價格管理，還有信息安全的流程管理，這兩個作為非常重要的考核點幫助他們評估你們的業務發展要求在哪里，技術水平在哪里，組織能力在哪里，幫他們提升整個能力，從技術手段上和組織能力上推進整個信息安全管理的能力。目前沒有發現特別大的因為內部導致的信息安全事件，但是還是讓我們看到這種差距，讓我們在未來的日子里去彌補和發現。

萬濤：安全界一直有所謂的三七，內部占七，外部占三。比如一個幾十萬人的員工，為大量的乙方服務是怎么樣管控信息的。但是，我發現比如發到手里的筆記本并沒有限制你的權限，自己也可以炒股。他怎么樣管控呢?一個緯度其實是從征信，這個可能在互聯網金融里面比較火，但是可能在我們企業安全這個層面還不太多。其實現在談到業務層面，內部安全主要的因素一個是人，一個是數據，如果是研發系統，可能跟技術專利也有關系。從人的角度來講，以往這個人一貫只在HR這邊，HR的評估和我們的評估量是有所不同的。信息安全這塊如果放進去，其實整個評估是有殘缺的。因為安全是本著從今天的趨勢就是我是監控，我是控和審，但是我這個控不是管制的這個控，不是讓你感到不舒服，但是一定要做審計，這個審計里面其實就包括了征信這樣一個重要的方面。現在比如HR存在給這個員工做一些評定，比如性格等方面，那是缺乏在信息層面的征信，我們可能上過類似的IT審計，但是只是放在一個IT的運維層面，比如他的訪問網站，比如他的興趣，這種畫像其實在征信里面是要的，而且社會上正在產生這樣的征信數據。所以，這是一個人的評估。

舉個例子，我以前在IBM的時候曾經想試一下，看看它的風控體系是什么樣的，因為我看我加入安全這個組里后，的確能管理一些數據庫。我就試過有一次晚上下載東西，一個晚上下了幾百個PPT，第二天早上收到一個郵件，是通過HR的系統發給我，同時也發給我的老板，以往我的這個行為是沒有的，現在有了，老板可以確認一下，就可以取消我的權限。這個事情過去一年之后，我還收到這樣的一封郵件，其實它就是從征信，我想它里面應該有這樣的機制，因為我沒有做過企業的內審。

去年還遇到一個比較有挑戰的事情，就是我在給客戶講課的一個PPT被客戶放到了類似百度這樣的地方，但是后面我收到來自內審部門，來自美國一個客戶的投訴，不是IBM的投訴，因為那里面舉了客戶的例子，在IBM是OK的。但是，因為這個信息被放到公網上，雖然不是我放的，但是這里面有我的比如演講者介紹，被客戶看到了，客戶是用搜索引擎去抓的。所以，以后企業要重視輿情情報，比如你以后要分析可能員工或者客戶他的社交網絡，有沒有可能產生這樣的軌跡。當時在全球轉了一圈回到我這兒，就來問這個文件是不是我發出去的，這個文件其實最后刪掉了，但是目錄下還有，所以一定是被搜索引擎拉出來的。這種情況，比如我們看百度上，很多文件可以放在服務器上，但是在公網上可能用一些方式可以找出來，所以這塊結合我們剛剛講的征信的風控。所以，未來我覺得在HR系統里面應該要體現信息安全的差異，從包括可能大家情報之間的交換，一個人入職可能要對他之前的信息行為進行評估。比如看他的家屬在哪兒，是不是在競爭對手那兒，有的要關心我的競品，他的技術跟我有沒有貼近性。華為前不久有一個案例非常強，華為原來有一個高管出去辦了一個公司，直接拷了一個代碼出去，被刑滿釋放剛出來又被抓進去，因為被華為內審查出他還有一條線，還是跟這個競爭的模式有關。

所以，可能放到這個層面信息安全可能更容易得到無論從CIO，CEO層面的重視，因為它跟你的業務聯系更加緊密了，所以從征信、風控加上輿情的分析這三個方面來做工作。

王彬：內部網絡安全方面，我的個人想法第一個還是人，每個單位的人你都要去控制。以前有一家單位入職的時候HR有一票的否決權，他會做人格分析，人格分析不過關，HR永遠不會錄用，這是高等級衡量一個人的方法。雖然不是通過信息安全角度看這個人。大家知道因為我們這個圈子，這方面的圈子當中有些人性格比較偏激。另外，還有人的教育上，我的每一家單位都要做互聯網宣傳，因為這些人的意識比較新，沒有這方面淡薄的一個意識，像Github，很多代碼都在這兒，新員工進來沒有這方面的宣傳，或者宣傳不到位的時候，不知道這個風險有多高，或者不知道懲罰措施多嚴重的時候，會把數據放到Github上面去，而且相對來說，現在很多公司處罰力度是比較小的。個人認為如果法律比較健全，你可以采取一定的手段，告一兩個，把他們關進去，相對來說環境好一點，這是我個人的建議。大家可以看一下Github上面是不是有這方面的問題。

另外，內網數據現在最重要的都是對數據的保護，我個人覺得重要的數據都會做加密，但是使用的時候要有一些加密網關做控制，這方面對企業安全防護來說是比較有利的。

范脡：謝謝各位嘉賓，現在把時間交給大家提問。

提問1：我想問一下餓了么的高級風控專家王彬先生，我是鏈家金融部的風控，我們以前就是鏈家金融自有資金給客戶解決后期的金融業務，可能一年放20億，后來做“互聯網+”、P2P一年可以放100億，但是去年7月份到10月份出現了很嚴重的逾期，整個業務停掉了，梳理流程，整個收回逾期資金，餓了么也是有金融業務，您的金融業務是為哪一塊服務的？是為您平臺上的那些商家服務，如果為這些服務，你們做的是關于京東白條一樣的信用貸，還是作為質押業務，這種如果出現風險，你們是怎么處理的?

王彬：問題非常尖銳，我簡單說一下。從整個風險行業來說，有時候螞蟻金融，包括京東白條，整個環境的信用風險是非常嚴峻的。你可以從金融衍生品的波動來看，大家都是盯著你這個金融衍生品，如果目前是你自己流出去，的確非常高。我們看到一般性的操作手法，你可以看一下是不是跟你們一樣。比如一開始通過一般性的狀況，換兩期，給他兩萬塊或者三萬塊，這個時候他不管了，你可以去看，這是他們本身套利的過程，這是行業比較大的一個問題。

餓了么所有的東西都是風險控制部會參與的，我這個部門會參與的，做一些風控。餓了么做金融產品的時候就明確說餓了么不參與自己的自由資金池放在里面，說難聽點，我們目前沒有把自己的錢放在里面，我們每個地區都有一兩家專門的包括做征信和信用貸的提供上下游服務的過程。餓了么提供店鋪本身交易的情況，我們的店鋪本身是實體店，基本上是有店面，有企業法人執照，衛生許可證等，相對我們產生的風險還是比較低的。

提問1：就是金融業務外包了，風險轉移了，是嗎？

王彬：可以這么說，因為風險實在太大了。

提問1：我們這塊沒有辦法轉移，所以我現在在前線做管控，風險點都在那兒。現在鏈家所有做的都是要有抵押物，我們現在是控制他的陳述，反正有一些其他的舉措。謝謝！

萬濤：宜信你們了解嗎？你們知道宜信的追債率是多少？宜信小額那塊去美國上市了，但是它的股價不好，宜信整個追債率，比如找外包的討債，要求1%。但是，我認為今天這個風險這么高，跟我們一些基金的金融模式是有關系的。比如宜信因為它的數據是不進征信系統的，所以這是它吸引去貸款的地方，他的利息并不便宜，但是特別激進。而且他的信貸員的收入很低，一個信貸員可能8000塊錢左右。這樣其實要的東西不比銀行的少，因為它不像螞蟻金服，我對螞蟻金服還是比較了解的，因為螞蟻金服有阿里的數據在那兒做支撐，當然現在螞蟻金服要買更多的數據，需要稅務等各方面的數據，可能別人一聽說他是螞蟻金服，就要開個大價錢。像宜信這樣的做法，這種模式使得這種數據是死數據，我對鏈家有一定的了解，鏈家房地產金融交易這一塊曾經有很多數據被賣來賣去，如果征信的數據是一個死的，所有的質押有可能產生內外勾結，宜信的信貸員收入很低，類似消費貸的發票都是有一條鏈幫你提供的。所以，這個來講，業務模式就會增大你的風險，而不僅僅是從風控角度去看。所以，如果你的風控不介入到業務，單純幫業務擦屁股，業務很激進，這是一個非常惡性的循環。

提問2：萬總您好，我問一個問題，在企業里面我們遇到一個問題，比較頭疼，像很多技術文檔資料，包括一些PPT這樣的資料，這個公司對它都有嚴格的要求和控制，像百度貼吧、網上的網盤都很豐富，公司也不可能把這些域全部禁止掉，有些東西傳出去也不是很好，怎么防范比較敏感的信息，僅僅靠查絕密或者嚴密可能查不出很多東西，對于這一塊怎么做好信息安全，就是企業內部的文檔資料，包括跟互聯網通道這一塊，您對這個問題怎么看？

萬濤：這個問題其實從以往來說是企業安全，如果站在CEO或者老板的角度，這個才是核心的安全，除了業務不當以外。現在第一個比如看華為，我們北洋峰會上，華為的內控談，以往會把文檔做區分，這一點其實跟國家的機密有類似的地方，第一、首先密不能寬，有時候業務覺得這個東西放出去有風險，但是其實在今天信息高度瀏覽化是很低的。包括IBM都能找到。其實比較大的是我這個客戶怎么把這個都帖出去了，如果真的泄露了，它的傳播力有多強，這個要跟你的業務相關。比如如果是一個類似的行賄表，業務費這個東西容易被放大，如果真的是一個技術性的東西可能未必如你想象的。首先，定位要放開，華為最早師從IBM，但是也放了很多東西進去，但是很多業務部門之間產生孤島，比如我不想跟這個業務部門合作，就會以安全為噱頭，阻礙了信息的交流，同時可能也阻礙整個信息的流轉。所以，從這個角度來看，要先結合你的業務看這些文檔究竟哪些是這條紅線絕對不能越的。當然，站在不同緯度，每個企業都會不一樣。如果做研發設計，可能就是時間的快慢。比如你是媒體和記者，這個新聞一旦發布就不是秘密，有一個時間點。比如餓了么今天這個文檔我覺得挺有價值，但是我認為它既然在公開場合公布了，我認為問題不是很大。所以，這是第一。

第二、當你確定范圍之后，你的懲罰邊界也要清晰，因為你由于不清晰才會導致員工有意無意，比如第一個例子，比如裝WIFI鑰匙，反過來把自己家里的WIFI也分享出去。比如明確的，比如P2P。但是人跟人的風控是不一樣的，還要把企業的安全放出去，比如說像存在百度文檔的那些，可能有PR部門，沒有出現事情，PR找百度PR好了，否則找貼吧，那肯定沒戲。所以，手段上面也要考量怎么樣跟它進行配套。好的狀態就是員工清晰他違規的成本，如果違規的成本大于他由此得到的便利或者獲利成本，人大多數都是機會主義動物，他會做選擇。如果出現不可控的操作的層面，這就在于平常的積累。比如你有各方面的資源，不要等到現在手里只有供應商，他除了賣你東西以外，沒有幫你做這些事情，這些都得你來扛。這些還是要考量實際的情況。絕對的邊界可能只限于比如類似像研發一些核心代碼等這些，但是一定要為它做一個清晰的定位，這個我覺得是一個根本的需要解決的問題。

提問3：今天很高興有機會參加范總組織的這個會。原來我在央企信息系統，原來國資委前幾年組織了一次。

范脡：這是中航的楊總。

提問3：組織了給央企各個網站進行審計，出資金，這兩年公共服務這塊可能覺得現在反腐方面，又停了下來，咱們這個平臺將來有很多可以，就是央企這邊有很多公共方面，不一定每個企業都投資。有可能交給一個社會上的第三方的幫助企業做安全。我上回到國資委去過一趟，他們過一段時間可能還會有，上回像中化等很多公司，國資委前面體檢，一個大公司體檢幾十萬塊錢，有的企業做的挺大，我是了解的。我覺得這方面咱們的平臺將來國資委央企這些企業有很多這方面的資金會總體來使用，然后在這個平臺招社會上的第三方進行管理，不是讓每個企業自己花錢。有個問題，每個企業的大老板對信息安全這塊的花錢舍不得花。

第二塊，像希拉里、克林頓，還有美國國防部長他們都是用私人郵件處理政務，信息安全這一塊，現在像咱們國家還沒有這樣，國家公職人員或者怎么樣用私人郵箱處理公眾服務，肯定涉及到泄密。我現在想到這兩點。

萬濤：我沒太聽懂您第二個問題問的是什么?

提問3：就是私人郵箱處理政府事務，像網絡安全這一塊，作為黑客領域來說就很容易在那兒竊取政府的一些數據。

萬濤：像他們出現這樣你說的低級的錯誤還是什么。在國外很多公司是這樣在規避這種責任，因為他沒有辦法禁止你使用社交網絡，你也很難避免他在社交網絡上發布信息，比如在微信上聊公司的業務，你是沒有辦法絕對禁止的。所以，一種公司在定這個規則的時候做一些免責，如果你在社交網絡上發表言論，我可以不管你，但是我由此也免責，這是雙方的一個部分。但是我會規定一些底線，比如像我們這樣經常出去開會的，比如你用身份，你在社交網絡可以叫老鷹，但是不能叫IBM，到底如果面對電視媒體，這些一定要經過公司的PR。因為這些主要是有圖有真相，這是一個邊界的控制。處理公共事務，應該作為機密事務，用私人郵箱處理公共事務，這種風險是必須要避免的，這個一定要教育，如果教育不足，就要用到一些手段，用這個手段就有保證了。所以，未來不管中小企業，VPN是一個很大的趨勢，但是一定要把成本降下來，讓每個員工有機會用低成本去使用。這樣可能是一個解決的辦法。但是，這里面是跟技術相關，我相信因為既然是需求，市場就會有響應。有一些企業也用Gmail，可能自建的郵件系統還不如它。比如現在的律師事務所，律師拿的都是兩邊的東西，很多時候也是很敏感，包括一些媒體拿到的東西。所以，很多時候他們的IT服務都是用第三方的。比如斯諾登2013年在香港只接受兩家媒體的采訪，但是可能沒有人知道南方早報的郵件系統2012年就被攻破了，斯諾登都不知道。所以，希拉里、克林頓都是老人，他們犯這樣的錯誤我覺得可以理解，但是是比較蠢的。

王彬：信息安全部門本身的價值問題，在座如果是CIO或者做信息安全的會有各種困惑，覺得信息安全投入不足，或者這方面的問題。我個人認為是兩塊，有些單位信息安全不是被非常重視，我個人認為在不重視的情況下，做信息安全的從業人員，包括這方面工作要有一個準備，信息安全可以識別一部分風險，可能今天管理層沒有給一定的費用，但是我心里應該有這個計劃，如果發現某些風險點，信息安全應該怎么去介入，怎么去控制，這是從業人員應該有的一個覺悟，我目前在做風險評估和風險識別的過程，識別出風險知道怎么應對，下次公司真的發生這次風險，我信息安全應該提供給他一個適當的預案，在盡可能短的時間內把問題解決掉。我一直覺得信息安全在企業中的地位跟風險控制一樣，可能認識不足，覺得沒有用，當你一點點為公司帶來價值的時候，是越來越有用的。

還有，如果一些人觸犯了一些法律或者觸犯了一些公司的紅線怎么辦？很多情況下，信息安全沒有決斷說這個人要開掉，好的信息安全的環境，我們有權利做一些類似于開人的工作，但是這是管理要授權的，你要知道信息安全是要慢慢來的。

徐斌：沒有絕對的安全，安全和商業價值是一個平衡的關系，首先我們的安全要保護什么，其實保護的是商業回報，不是保護數據本身，首先把這個目的搞清楚。第二、企業實際運營過程中，信息安全的管理也是三個方面，一個是人，一個是流程，一個是工具。我覺得人這方面主要還是意識上的教育。像我們公司，基本上我們如果出來演講，所有材料都要通過對外關系部的審核，所以我去年做了很多這個事情，參與了一些外部的活動。包括我們現在比如說打印，我們都知道如果信息比較重要，我希望用加密打印，這個靠平時的各種積累，各種宣傳。包括現在一個文件出來要問一下這個文件可不可以拷，如果不清楚，找信息安全部門確認，慢慢形成這種安全意識，如果沒有這種意識，任何工具都不可能有效果。

當然，我之前的公司，英國石油公司當時把所有的操作系統權限交給每個人，你可以裝你任何想裝的系統，他說我認為你知道怎么管理信息安全。但是，我前一個公司，一個美國的化工公司管的非常嚴格，所有硬盤都加密了，所有硬盤拿出來是用不了的，USB的設備也是加密的，你也是不能單獨用的，所有的外部郵箱都封掉了，只能用公司郵箱。殼牌介于中間，比如登錄需要安全卡登錄，可以拷貝你認為合適的文件，所以作為一個中間的平衡。為什么它有這種不同的區別，因為數據信息對公司價值是不一樣的。我前一家公司是化工公司，所有核心競爭力來源就是它的專利和配方，他認為這些東西丟了，公司就不存在了。可能我們現在做的很多是與客戶交互的工作，不只是停留在信息，最主要找到一個平衡。所以我覺得安全意識的宣傳和持續的培養很重要。前幾天我收到一個郵件，發現美國安全部門會定期給每個人的郵箱發一些測試郵件，中國一般還不錯，都在中等水平，這個讓大家持續的提升安全上的意識。

第二、管理的意識，我們的安全對應的相關知識流程要跟上，比如我要做一個演講，我知道該找誰幫我做審核，需要明確時間點，可能一到兩天審核回來，所以流程要支持到安全制度，或者安全要求的實現。

第三、工具，大家知道信息安全管理最弱的一個點就是最差的一個點。我們現在有很多新技術，包括云平臺、集中化的部署技術。我們可以把一萬個點的管理集中在某一兩個點上的管理。所以，我們現在很多方法把數據都集中部署。用戶層面就是一個展示界面，這樣避免了很多針對每一個具體端點進行管理的難度，管理的核心變成中央端，集中到那個點進行管理。包括現在談的很多公有云的安全性問題，大家也有很多爭議。比如到底放在自己私有云管理好，還是把數據放在公有云上。這個當然會有很多角度的探討。但是，用一個簡單例子說明一下，你把現金放在家里安全，還是把錢放在銀行安全，很類似的邏輯，到一個專業公司花大量的精力專業管理的時候往往比你自己管理風險要低，當然這個不絕對，要看你選擇什么樣的公司。

白春玲：楊總的信息安全投入的問題我覺得不管是國企還是民企，所有在座的CIO進行風險評估的時候我們要能夠識別出來。當911發生的時候大家可能覺得離我們很遠，但是當塘沽發生爆炸的時候很多企業的業務就已經中斷了，包括很多IDC這樣的一些中心。這樣我們能夠識別出來我們企業對這個業務中斷以及網絡通訊包含電力、水利以及供貨商，供應商品這樣的一個中斷的承受能力。識別出這樣的風險，我們可以去跟我們的高層溝通，這些風險我們是作為殘余風險來接受還是我們需要進行一些處置、轉移和緩解。這些緩解我們是需要發生一些成本的，如果我們做了這樣一些風險評估，當風險來臨的時候，CIO自己挨的板子會相應的輕一些，這種投入我覺得是可以進行評估的，可以很好地權衡我們投入和風險的評定。

范脡：非常感謝各位的真知灼見。剛才一個CIO朋友寫了一句話，說今天第一天看到黑客界的傳奇人物老鷹，沒想到長得這么善良。所以大家對黑客是有認知上的誤區的，像警察也有很多無間道，保安也有很多壞人，黑客也有很多人做合法的事情。我們今天特別請老鷹過來也是希望從另外一個角度，大家不太聽得到的那個角度能夠深度地挖掘企業信息安全領域的精華。其實信息安全實際上是個很重的事情，我們今天其實還有兩個安全方面的話題沒有深入，第一個是移動設備，BYOD，這是大勢所趨，這一塊的安全問題非常大。另外，安全能不能外包的事情，這兩個話題今天沒有時間了，因為剛才看到有些朋友已經開始搖手機了，我們一會兒會開始今天第二輪的抽獎，我們會請德高望重的寧家駿寧老師來頒獎。謝謝臺上的各位嘉賓。