以下為現場速記。
三花集團 CIO 葉根平
葉根平:很高興跟各位老朋友見面,范總的4屆我都參加了,去年介紹了我們在信息安全方面的困惑,后來也在其它場合里講過,講得更激進了,我在華南講叫走投無路,在上海講叫內外交困、腹背受敵。后來經過這一年的思考,我們也在找方案,我們內部進行梳理,最近一年的工作主要是圍繞信息安全工作做的。我們最近出了幾件事情,有兩件事情是上到訴訟的,問題也比較嚴重,所以老板也意識到這個問題。實際上這個安全的問題,我們在2012年就開始做了,但是那時候基本上是按照乙方的思路在走的。最近這兩年我們進行了回顧,我們還是以我們的思路來整理,今天跟大家分享一下我們的思路。
在講這個話題之前,我想把我們在信息安全方面這兩年做的工作做一個介紹。因為我1月份在北京講過一次,后來很多供應商來找我,以為我們是一個很初級的階段,我想把我們做過的事情給大家做一個介紹。2012年以前我們已經做了加密桌面管理,行為管理我們也已經做了,防火墻也是有的。2013年的時候我們做了等保,2000-001的認證我們也做了。昨天講運維管理的一些內容,運維管理我們也做了,我們現在也有一個服務臺,全集團的運維事件管理我們現在也做得還可以。
2014年的時候我們做內外網隔離,就是對一些研發的網絡我們做了內外網物理隔離,甚至技術人員進去要把攝像頭去掉,手機是專用手機,這是2014年的時候。網絡行為管控,就是對于網絡行為有些網可以上,外網上我們也做一些控制、做一些管理。
2015年我們設立了專職信息的安全主管,現在是一個信息安全處,對于廢數據的廢電腦、報廢電腦、硬盤、開盤等,我們建立了一些管理制度,也是執行的。2015年的時候,我們對歐美的專用網絡也是通過在云上的云設施來實現的,這個以前在專題里有講過。
2016年開始,我們做虛擬桌面、做安全審計,對每個公司進行安全審計,今年和去年開始審計已經覆蓋到海外公司,國內公司已經審過一輪了,在信息安全方面的審計是根據我們信息安全管理的要求去做一些審計。管理規章制度以前已經定了。對技術文檔的打印,我們建了一個集中文印系統,技術文檔的打印是通過專業窗口,通過一個不懂技術的管理人員,就是一個小姑娘打出去。所以這個對工作是麻煩,但是對我們的技術文檔的管理和控制也起到了一定的作用。
2017年我們做了網絡的態勢檢測、高級的桌面系統升級,主要是研發了遠程,把一些研發和產品與工藝相關的數據進行集中管理,遠端的操作人員通過虛擬桌面系統來做。
我們的信息安全在前面5年推進的過程中,我們的體會是這樣的,技術手段的建立是比較容易的,但是管理手段的建立更難。所以我們很多時候,一半的精力是在選技術方案,但是還有一半時間是和中高層管理交流建立管理制度,技術手段要通過管理手段來發揮作用,這是我們的體會。
下面我們講一下,在這些基礎之上,我們在2017年特別是2017年下半年和今年有一些實踐和思考。這是一些挑戰,不多講了,前面嘉賓講了很多。數據相關的無形資產的比重快速增長,這個杭州科技大學請我去給MBA上課的時候,我講過企業數據/信息資產管理的課,后來提到一些話題跟大家討論,其中很重要的是話題是這個問題。
我們的傳統制造業在數字化轉型過程中有一個很重要的話題,就是數據載體的資產管理以及資產形態,我們高層或者CIO對它的認識是需要提升的。我們列了四大類的數據或者信息類資產,第一是跟創新相關的,創新包括專利、產品(結構與工藝)、軟件代碼等,當然我們的軟件公司就更不用說了,這是第一類。第二類是跟市場相關的,比如說我們的客戶信息,像我們公司的客戶在國內只有不到100家,在國外也有一些很有名的企業,剛才采訪我也說了,我們客戶的特征是很多都是世界500強企業。所以客戶以及他的需求、他未來產品的方向,我們都是跟客戶協同開發的。因為這個需求、這個開發、這個過程中開發所涉及的很多項目,比如說大型中央空調在某一個特定環境下用的制冷或者熱管理設備,比如說特斯拉新的能源汽車的熱管理系統,這個題目里面就有很多的項目,是我們一起跟他開發的,有很多項目資料,這個也是一個資產類。還有我們有很多信息系統,信息系統承載的數據,包括我們用哪些材料、加工以及成本等。另外我們對于一些環境的分析、環境的信息,比如說行業分析、政策分析、趨勢分析,這也是我們的一些資產類別。這個我們就大致講一講。
對于數據信息的資產,實際上我們這里舉了一個例子,蘋果公司實際上表上的資產2014年只有261.9億美元,但是表外資產品牌價值是1188.63億元美金,這有就有一個很大的差別,其中很多是以數據形態承載了資產。這也是我的一個觀點,實際上信息和數據類資產特別承載性很好或者是發展前景很好的企業,實際上在發展的過程中都基于數據和信息所積累的知識和智慧是很多的。我這里用加紅的這一塊就表明,這部分資產類型或者實際上承載的資產類型是沒有被認識或者可能都沒有在表里面的,我說的表是在財務表里面。
所以我提出一個觀點,實際上現在我們企業的信息安全應該歸結到數據和信息類資產面臨各種內部和外部的威脅,特別是內部威脅。下面我們的一個觀點就是,我個人認為以前我們乙方主導下的防護,以防外侵、入侵為主的策略可能是需要改變的。數據和信息資產面臨各種內部和外部威脅,這里舉了一些例子,這是借用了乙方的一張圖。我們有一個數據,根據調查顯示,互聯網接入后內部重要機密通過網絡泄密而造成重大損失的事件中,只有1%是被黑客竊取或者外部竊取造成的,而97%都是由于內部員工有意或者無意之間泄露而造成的。
所以我的觀點是,企業內部資產的內部防護是企業的關鍵。我們以前的思路都是防入侵為主、防供給為主,但是事實上可能要換一個角度去看。當然這是我的觀點,不一定正確。我梳理了一下,作為企業來說,數據信息管理面臨的挑戰,第一個是我們對于信息資產在我們這么多的系統里面,還有很多是沒有互聯互通的系統,我們稱之為孤島。因為現在最落后的企業,我們現在講要數字化轉型這類型的企業,建系統應該都有十年二十年的歷史,在十年二十年歷史的系統里面有很多數據,這些數據你很難說是沒用或者有用的,現在這些資產是淹沒在這個海洋里沒辦法識別的,這是第一。第二,對于這些數據特別是重要的數據,比如說產品、工藝、成本,包括一些客戶、項目,在內部生成移動轉儲的過程中,我們是沒辦法管理和控制的。另外對于外泄情況一無所知,或者知道以后也沒辦法追溯。比如我們上法庭的時候,就很難證明是某一個員工或者某個關鍵節點泄漏出去的,我們花了5年時間開發出來的高收益的產品,這個產品的利潤率只占一半,這個對我們造成很大的損失,我們老板說訴訟和解費就是5億人民幣,要和解就是5億人民幣。
還有一個是網絡界限不清,這個是因為云或者是一些云的設施或者基礎架構造成的,這個我就不一個一個讀了。還有信息泄漏途徑繁多,泄密無從追溯,我們梳理的是這些。那么這些需求從我們的角度來講已經凸現出來了。還有一個是上個月我在上海參加一個會的時候,就有一個咨詢公司提出了據說歐洲5月20日就要實施對通用性數據數據保護的條例,在歐洲就要開始實施。如果歐洲實施了,對企業的一些數據,現在我們在歐洲有上千名員工,包括管理人員和高層管理人員。對于他們的數據有一個要求,個人數據的使用要說明,不說明就屬于違規,違規就罰全年利潤的2%或者是3000萬歐元或者是全球收益的2%到百分之幾,是一個非常大的罰額。這個就對于我們對于數據管理提出了很大的挑戰,當前我就意識到,后來我就跟他交流了,這個實行到我們企業真正去做有一個大概的周期,我們要做風險評估。這是對于企業管理的要求,這是另外一個方面。
我就有這樣的思考,傳統乙方主導的以防入侵為主的,比如黑客攻擊為主的,這個我覺得是有局限性的,我們應該關注到內部的防護為主。傳統的反映體系,這個當然是乙方的。這里假設的界限很分明,以防火墻或者以網絡邊界,但是現在實際上在云上根本沒有這種邊界。我們最怕的不是云上的基礎設施有什么漏洞,最怕的是我們企業把數據放到云設施上,運營商中間這個業主、那個業主,不是數據業主,而是設施業主以及中間過程的運營商、第三方,涉及到很多方,包括軟件等等,這些人會不會帶出去。因為大家都在做數據的文章,比如說某云對數據最有覬覦之心的公司,所有數據都恨不得拿去分析、拿去賣,這個我們是不放心的。所以傳統的防御體系,可能對我們是不太有用的。
因此我們要規劃并實施全面數據安全管理,什么叫全面數據安全管理呢?我總結為三點,第一對全部所有信息資產及載體均有分級管理,我們對公司所有數據分成四個級,普通級、普密級、機密級、絕密級。第二是全程重點信息資產的采/移/用軌跡可視化。第三是全員高授權人士的涉密/泄密行為可追溯,以前是在員工桌面系統,現在是移動化,高層對移動化要求特別高,現在已經嘗到甜頭了,他所有的碎片時間在路上、在機場、在國內國外等等都可以用手機處理很多公務。我們現在OA系統每天24小時都在人在批單據,我們每天都監控單據量,70%多靠近80%在工作時間以外都可以完成,就是在24小時都可以完成。所以高授權人士對手機端的依賴,導致很多應用往手機端和移動端轉移的時候,他們的泄密行為實際上是我們需要考慮的。這個是全部、全程、全員,這個叫做全面數據管理。
我們是這樣做的,我們把這個分成大類,當然很細。比如說辦公網絡一塊、特別網絡一塊、數據中心一塊,數據中心是屬于IT的傳統勢力范圍。對于某些網絡,我們每個點都做一些安全需求梳理。對于特別網絡是研發網絡,這是一個大的概念,現在我們的研發也分成幾塊,有些是全封閉的網絡。但是我們不可能做到全封閉,我們有一個覆蓋美國和歐洲都有的研發網,是基于云上建的,這些網絡的需求和我們全封閉的需求是不一樣的。對于每個網絡、每個重點去做一些梳理,比如說對于數據中心我們就做了一些很極端的事情,比如說我們把數據中心的重要系統和重要數據的機柜,人為的給它加上鎖,就是用一個硬鎖把它鎖住,三把鑰匙。
我有一個觀點,我們現在很多人提出IT放心嗎?你們的工程師在服務器端把數據拷出去,我們怎么知道?你不要提問題,我現在告訴你,我們不可能這樣。我們的管理制度給你看,我們的硬件就有鑰匙,業務干部拿一個鑰匙。服務器要維護,首先要有三個人在場,一個是一把鑰匙在我這里,我不要,我給信息管理部長,我是最不要權利的人。還有一個是業務領導,還有一個是我們的老板,如果老板不要,他交給財務總監管,所在財務保險柜里可以,現在重要的數據都這樣做。我們的數據管理有一些措施,這是我們分級管理以后的措施。
還有一個很重要的思路是云上我們要找一個云的防火墻,現在我們找到了,在采訪我的時候也說了,我們把數據放到云上去的時候,云的數據保護是依賴于第三方或者依賴于運營商的,這個太不放心了。比如說我們交給某云,某云是對數據很有想法的,如果我放到那里,他在內部怎么怎么做,我一點辦法都沒有,我要用第三方的防火墻。我曾經跟某云講的時候,10萬企業上云是政府行為,我每次在會上都提反對意見,哪怕省級領導在。我不是反對一點,我是說我有兩個疑惑,你要給我解決,我不講兩個,我就講一個,我的數據被動以后,你能不能告訴是誰動的,他不能告訴我。因為肯定是虛擬化的,肯定是虛擬的,里面肯定有很多人、很多業主在,我的數據被動的時候,你告訴我誰動過,是我的人動還是別人動,你都要告訴我,怎么動,整體動、遷移、備份我都要知道。如果沒有這個設施,我怎么知道呢?所以這個防火墻我是要做的,當然這個防火墻的概念比原來的防火墻概念更廣。
同時我有一個事前、事中、事后的概念,以前我們側重于事前,事中的是比較少的,資產分布圖是沒有的,過程的流傳軌跡可視化是沒有的。比如說我們的過程文檔,我們和海爾要做研發,他要我們提供一個資料,我們有很多軟件,我們做控制器,要跟他一起配合的時候,我們要把軟件給他,我們要在現場做更改、做現場編譯。這個東西過去我們跟技術人員要求,你不能往外拷,如果拷出去,專家評審有效性是多少天,這些我們都最好能夠知道可視化。后面事后我們主要是考慮法律,萬一出現了泄露,最近我們出現兩個事情驚動了公安,公安說目前沒有辦法取證。比如說我是總機級別的,我的電腦是可以知道一些機密的,到我這里我是有的,但是我拷出去他不知道,系統也不知道,別人也不知道。這個我想最好我們能夠有一些技術手段知道,我們在管理手段上再加上一些比如加密手冊等東西,至少事后我們可以追溯。
我們有一個方法論,就是基于PCDA模型的過程方法論,我們說分級是第一的,第二是對一些數據進行風險評估,規章制度是基礎,風險過程的控制,還有問題的改進,這是我們的方法論。我們規劃的時候一步兩步三步四步在做,這是套路,我不再說了,我們最擅長的是做這些。我們號稱為一個企業級的數據綜合防護平臺,我們借用了第三方的一些技術,比如說云箱技術、文件技術,我不說公司名字,我去年把名字說出來不對,我們真的跟他做了一些合作。這里面有一些文件基因、分布式密鑰,我比較喜歡用新技術,去年也講過,今年也講了用新技術。
這個部署實施,我們現在已經有一些部署了,分布式密鑰管理也是我們的一個新技術,文件基因這里具體的我不一一講了,主要是講思路為主。我們的實施部署在內部做了一個監控臺,監控臺就是有些高危風險的東西和行為,我們可以知道,在某些地方、在哪個位置上可以知道,這個已經在部署了,有些已經部署下去了。
另外整個數據的安全狀況,我們是可以看到的,比如說有異常行為,實際上我們不做不知道,在一個月時間里面,異常行為有600多個。當然我們定義的范圍還是小的,定義的人群也是小的,我們只在杭州園區,因為我們全球有7大園區,國內有3大園區,只是在杭州園區某部分人群做了。不做不知道,做了之后發現實際我們的問題是很大的。今天在政府會議上,我呼吁以前政府只關注政府的和關鍵部門比如說石油,但是沒有關注到一些企業的信息安全給予一定的輔導、培訓或者政策支持。這個也是問題很多,雖然高危的沒有。
對數據的異常操作行為進行可視化統計,400多個異常風險我們做了統計。文件分布情況我們也做了一些,數字資產可視化。用戶異常行為監控和管理,以前我們也有異常行為,但是檢測是泛泛的針對這個人的,現在我們轉向針對文件,針對我們想要管控的數據。那個是真正行為,這個是對數據操作行為的管理,這個也是我們的一個重點。比如說我們某一個技術方案它從生成開始到轉移過程中到哪里去了,通過什么途徑去的,主體是誰,我們也可視。這是一個無人駕駛的系統。
我的觀點是三個,小結一下。第一,企業信息資產的保護需求凸顯,我最近也跟一些企業的老朋友們交流,他們也沒有意識到老板有這個需求。我跟一個老板交流,他是做銷售的,每個銷售季專門有一些市場的策略,比如說區域市場給的政策要不要送什么東西、價格優惠多少等政策是加密的。但是每年都會被泄漏出去,這個老板很惱火,特別是做渠道的。比如說防串貨是做不到的,每個銷售都要防串貨,為什么要串貨呢?因為區域不同價格是不一樣的或者政策是不一樣的,所以就有串貨的問題。
第二,內部防護是關鍵。我們現在也是這么做的,從內部防護著手去做,而不是從外部攻擊,攻擊只占1%。
第三,規劃實施全面信息安全管理。全部數據資產都要管理,全程都要管理,全員高授權人群要做重點管理。
這就是我的觀點。結束語是,希望通過我們的努力,讓我們企業的資產和數據更安全。謝謝各位!
京公網安備 11010502049343號