以下為現(xiàn)場(chǎng)速記。
瀘州老窖 數(shù)字發(fā)展中心副總經(jīng)理 崔偉
崔偉:很高興今天能夠在這里跟全國(guó)各地的幾百位CIO大咖們一起探討關(guān)于數(shù)字化轉(zhuǎn)型和信息安全方面的一些話題。我簡(jiǎn)單跟大家分享一下瀘州老窖的信息安全建設(shè),如果大家有一些需要詳細(xì)溝通的問題,歡迎大家在會(huì)議期間進(jìn)行交流,也歡迎大家能夠抽空蒞臨到我們四川瀘州,到我們公司現(xiàn)場(chǎng)來指導(dǎo)我們的相關(guān)工作。我們別的沒有,我們有美酒,各位大咖、各位前輩、各位專家你們只要過來,提前給我打電話,我會(huì)準(zhǔn)備好,我們邊品美酒、邊聊IT。
下面我簡(jiǎn)單地介紹一下瀘州老窖的信息安全的相關(guān)情況。像剛才戴爾的劉總提到的,在整個(gè)數(shù)字化轉(zhuǎn)型的過程中,瀘州老窖作為一個(gè)傳統(tǒng)的白酒企業(yè),實(shí)際上是處于數(shù)字化轉(zhuǎn)型的一個(gè)后進(jìn)者和跟隨者的發(fā)展階段。為了在數(shù)字化轉(zhuǎn)型的浪潮中我們能夠逐漸追趕上來,我們從2015年到今天開始了大規(guī)模的信息化建設(shè)工作,與之配套的是信息安全的相關(guān)建設(shè)。但是和我們數(shù)字化轉(zhuǎn)型的整體處于的階段一樣,在信息安全的整體階段上,我認(rèn)為瀘州老窖仍然是處于一個(gè)跟隨者的位置。因此在這里把我們目前的工作分享出來,希望在座的各位大咖能夠給我們提出寶貴的意見和建議。
我的分享分成四個(gè)部分:第一是整體的背景,第二是信息安全發(fā)展的歷程,第三是在今年的主要工作,第四是未來在信息安全方面的一些計(jì)劃。
首先,背景我想分成內(nèi)外兩部分,外部的背景是,整個(gè)國(guó)家對(duì)于信息安全的重視程度的提高,這個(gè)我相信在座的各位都有直觀的感受,我就不贅述了。內(nèi)部的背景,眾所周知在2012年以前白酒行業(yè)相對(duì)來講處于一個(gè)野蠻生長(zhǎng)的階段。所以說在那個(gè)階段我去跟老板講,我要搞IT,先不說安不安全的問題,我說我要搞IT,老板口頭可能是支持的,但是心里面可能不一定把它放在一個(gè)很重要的位置上。從2012年到2015年,實(shí)際上白酒行業(yè)處于一個(gè)深度調(diào)整的階段,那個(gè)時(shí)候可能任何一家酒企的重點(diǎn)也不會(huì)放在IT建設(shè)領(lǐng)域。到2015年、2016年左右行業(yè)調(diào)整基本上告一段落,轉(zhuǎn)過頭來白酒行業(yè)的競(jìng)爭(zhēng)開始加劇,和以前的野蠻生長(zhǎng)躺著賺錢不一樣了,這個(gè)時(shí)候可能白酒企業(yè)紛紛開始了IT建設(shè)、開始了數(shù)字化轉(zhuǎn)型,從2015年開始到大概2017年、2018年才初步具備了信息安全建設(shè)的基礎(chǔ)。
我之前經(jīng)常跟我們公司的領(lǐng)導(dǎo)們匯報(bào),為什么我們要搞信息安全?可能在2017年以前,我們有那么一些IT系統(tǒng),比較少,核心的財(cái)務(wù)系統(tǒng)有、辦公系統(tǒng)有一些,有一些To B的訂單系統(tǒng),完了以后其它都是一些很周邊的無關(guān)緊要的軟件。那就相當(dāng)于說我家里面根本沒有東西,所以我基本上不需要擔(dān)心人家悄悄地來我家里面遛一圈或者來我家里面搞一搞,不用擔(dān)心這些問題。從2017年開始我們大量的大數(shù)據(jù)項(xiàng)目的建設(shè),包括一些核心業(yè)務(wù)系統(tǒng)的調(diào)整,我們手里面有一些數(shù)據(jù)了,有一些核心的業(yè)務(wù)在我們自己的數(shù)據(jù)中心里面跑了。如果我再像以前一樣僅僅只有幾臺(tái)防火墻保證我的網(wǎng)絡(luò),我想我們就相當(dāng)于只穿了一條內(nèi)褲,接近于在街上裸奔?;谶@樣的一個(gè)內(nèi)部背景,我們隨著信息建設(shè)的推進(jìn),我們的安全問題就日益凸顯出來。
到了2017年的時(shí)候,我們終于說服了領(lǐng)導(dǎo),認(rèn)為確實(shí)我們存在比較嚴(yán)峻的安全問題,我們也要做這件事情,但是怎么做,我們不知道。就像剛才講的,我們以前僅僅只有幾臺(tái)防火墻,制度沒有、團(tuán)隊(duì)沒有、工具沒有、運(yùn)維支撐體系也沒有。所以說,第一個(gè)需要回答的問題是信息安全方面的工作怎么做。我們?cè)?017年的時(shí)候?qū)iT啟動(dòng)了一個(gè)信息安全的項(xiàng)目,請(qǐng)到北京的一家有軍隊(duì)背景的安全公司來給我們做整體規(guī)劃。整體規(guī)劃完了以后,實(shí)際上回答了我們團(tuán)隊(duì)怎么建、制度管理措施怎么建、系統(tǒng)工具怎么建、運(yùn)維怎么做幾個(gè)問題。
我們立刻面臨第二個(gè)問題,雖然說老板領(lǐng)導(dǎo)層對(duì)信息安全有一些初步的認(rèn)識(shí),但是假設(shè)我把整個(gè)規(guī)劃比如說花若干的經(jīng)費(fèi)、要投入若干年,要各個(gè)業(yè)務(wù)管理層面做大量的變革,我把這些東西全部拋給老板,然后告訴老板做完這些東西之后,我們的信息安全可能才真正搞定。我想可能對(duì)于老板來講是很難接受的一件事情。所以說,我需要拋出一個(gè)東西,讓老板很直觀地看到,我做了這個(gè)東西,我投了一少部分的資金,我以現(xiàn)有的有限的團(tuán)隊(duì)力量來投入,對(duì)變革的沖擊很少,但是可以看到有一部分問題得到解決,我需要找到這么一個(gè)項(xiàng)目,然后作為信息安全落地實(shí)施的第一件事情。
這是第二個(gè)項(xiàng)目,所以我們選到移動(dòng)終端,通過兩三年的大規(guī)模建設(shè),我們?cè)?017年的時(shí)候有了在手機(jī)上使用APP,有了6、7個(gè)的樣子,其中有幾個(gè)是領(lǐng)導(dǎo)層每天都要使用的。如果在移動(dòng)端上面能做一些工作,能夠很快地從上而下的統(tǒng)一公司的思想,讓他們知道第一IT部門在做這件事情,第二這件事情肯定是會(huì)有效果的,第三這件事情并不是你想象中那么痛苦,好像我們搞安全就是要監(jiān)控你業(yè)務(wù)部門,或者我就是要知道你的什么秘密,我就是要來管你,我覺得通過這樣的一個(gè)項(xiàng)目能夠給到我們從領(lǐng)導(dǎo)層到各個(gè)部門一個(gè)比較好的釋放作用。這是我們的第二個(gè)項(xiàng)目,我們推動(dòng)移動(dòng)終端的安全項(xiàng)目。
第二個(gè)和第三個(gè)幾乎是同時(shí)推動(dòng)的,但是第三個(gè)進(jìn)展慢一點(diǎn)。以前瀘州老窖僅僅只有一個(gè)防火墻,基本的設(shè)備和基本的工具全部都是缺失的,我們需要通過第三個(gè)項(xiàng)目--基礎(chǔ)設(shè)施項(xiàng)目,把相關(guān)的設(shè)備、相關(guān)的工具和一些網(wǎng)絡(luò)架構(gòu)調(diào)整做好,作為一個(gè)打基礎(chǔ)的項(xiàng)目。所以說第二個(gè)項(xiàng)目是一個(gè)速贏的項(xiàng)目,我要很快見到效果,第三個(gè)項(xiàng)目是打基礎(chǔ),我要為未來一系列的舉措奠定良好的基礎(chǔ)。
第四個(gè)是電子郵件信息安全專項(xiàng)治理工作,這個(gè)是應(yīng)政府的要求。
這是我們的咨詢項(xiàng)目,前面的第一個(gè)等級(jí)保護(hù)和第二個(gè)風(fēng)險(xiǎn)評(píng)估是政府要求做的。第三是管理體系變革,第四是信息安全建設(shè)規(guī)劃,第五是支撐服務(wù)保障。
我們?cè)?017年的時(shí)候啟動(dòng)了移動(dòng)端的安全項(xiàng)目,坦白講這是我們的廠商,我們用了他們的產(chǎn)品,他們給我們做的。大概的架構(gòu)基本是這樣的,我不展開說。我說一下當(dāng)時(shí)為什么會(huì)考慮到使用這個(gè)產(chǎn)品,我們當(dāng)時(shí)想做速贏項(xiàng)目的時(shí)候,我們要達(dá)到的目標(biāo),第一是很快的落地,第二是能夠盡最大可能降低業(yè)務(wù)部門以及領(lǐng)導(dǎo)層的反彈。因?yàn)槲覀冎白鲎稍兊礁鱾€(gè)業(yè)務(wù)部門調(diào)研的時(shí)候已經(jīng)聽到很大的聲音,當(dāng)然是開玩笑地說,你是不是要監(jiān)控我,是不是我在QQ上和誰聊天你也知道,有各種各樣的聲音出來。我們想通過這個(gè)項(xiàng)目讓他們知道這個(gè)事情并不是像他們想象中的那么恐怖,我并不是一個(gè)變態(tài)要去窺探他,不是這樣子的。
我們需要的產(chǎn)品,我認(rèn)為它需要具備幾個(gè)特征。第一個(gè)特征,之前市場(chǎng)上有一種主流的產(chǎn)品叫做配方的終端,比如軍隊(duì)、武警,整個(gè)手機(jī)給你全部定制,包括手機(jī)的攝像頭、手機(jī)的存儲(chǔ)全部可以控制,在定制手機(jī)的基礎(chǔ)上再來安裝各種企業(yè)上的應(yīng)用。我認(rèn)為折衷方案通常在一般的企業(yè)里面顯然是不現(xiàn)實(shí)的,一方面是投入的問題,一方面我們顯然不能干涉每個(gè)員工使用哪個(gè)手機(jī)的自由,這顯然是不現(xiàn)實(shí)的。第二種方案是提出來把我們的辦公應(yīng)用利用軟件的方法集中到一個(gè)箱子或者應(yīng)用商店里面,我們的所有辦公應(yīng)用只能從這個(gè)應(yīng)用商店里面下載,下載完之后自動(dòng)進(jìn)行包括數(shù)據(jù)加密和行為審計(jì)在內(nèi)的功能,對(duì)于用戶是無感的,他只需要下載一個(gè)應(yīng)用商店就可以了,這就遇到比較少的反彈。像我們?yōu)o州老窖,我只是把他的審計(jì)功能使用起來就可以了,我只要確保一旦有信息的泄漏,我就可以追溯到就可以了,達(dá)到這個(gè)目的的基礎(chǔ)上對(duì)用戶的影響越低越好,最好他完全感覺不到。我們基本上是選用了這樣的一個(gè)思路,最后對(duì)應(yīng)了這樣的一個(gè)產(chǎn)品。
第三個(gè)信息安全基礎(chǔ)建設(shè)項(xiàng)目的工作,主要是對(duì)網(wǎng)絡(luò)架構(gòu)的調(diào)整,以及對(duì)一些基本的設(shè)備和工具的整合。在2017年以前瀘州老窖的網(wǎng)絡(luò),我打個(gè)比方,其實(shí)就像我們這個(gè)大廳,進(jìn)了門之后都是自己人,你想干什么就干什么,沒有分區(qū)的。我們的服務(wù)器也在這里,我們的數(shù)據(jù)也在這里,我們的前端應(yīng)用也在這里,這個(gè)顯然是具有極大風(fēng)險(xiǎn)的。所以第一個(gè)動(dòng)作是分區(qū),區(qū)域之間進(jìn)行管控。第二個(gè),因?yàn)樗腔A(chǔ)設(shè)施的建設(shè),所以對(duì)合規(guī)性的要求是比較高的,不可能我建了一堆以后最后發(fā)現(xiàn)我過不了等保,這個(gè)建設(shè)就有點(diǎn)傻了。以及配套運(yùn)維方面的一些工作。
到了今年,我們除了前面的一些項(xiàng)目還在持續(xù)推進(jìn)之外,今年主要做了幾個(gè)專項(xiàng)的工作。第一是對(duì)于終端,因?yàn)橹爸v到的所有東西是針對(duì)我們的數(shù)據(jù)中心以及針對(duì)應(yīng)用層面的,對(duì)于我們各類的PC終端,我們的一個(gè)工作是殺毒,以前都是用戶各自自己想裝什么裝什么,不想裝想裸奔就裸奔,現(xiàn)在我們統(tǒng)一地管控起來。第二是商業(yè)秘密保護(hù),我們稱為終端數(shù)據(jù)安全防護(hù),是商業(yè)秘密保護(hù)的一個(gè)東西。我們認(rèn)為我們面臨的安全威脅其實(shí)是內(nèi)部和外部?jī)蓚€(gè)方面的,內(nèi)部的安全威脅不管是主觀還是無意的信息泄漏,實(shí)際上是非常大的問題,我們會(huì)有一個(gè)專項(xiàng)的工作來解決這個(gè)問題。第三是應(yīng)急演練,我剛才一直在講我們?cè)趺礃诱f服高層,因?yàn)槲蚁胄畔⑹紫仁且话咽止こ?,信息安全更是一把手工程。我說服高層做了這些投資和工作,給了人員編制、項(xiàng)目資金和時(shí)間,最后我一定要把效果秀給他們看,所以我們會(huì)有一個(gè)以及演練的專項(xiàng)工作,告訴領(lǐng)導(dǎo)們,第一你的憂慮已經(jīng)解決掉一部分了,第二還有一些憂慮需要進(jìn)一步的投入,需要達(dá)到這樣的目的。最后仍然有一個(gè)規(guī)定動(dòng)作,等保測(cè)評(píng)是要做的。這是今年的相關(guān)工作。
最后我簡(jiǎn)要說一下未來的建設(shè)思路,剛才實(shí)際上我有談到,安全威脅是內(nèi)部和外部?jī)蓚€(gè)部分的。我們除了基礎(chǔ)設(shè)施項(xiàng)目主要應(yīng)對(duì)外部的威脅之外,其它的項(xiàng)目應(yīng)對(duì)的都是內(nèi)部的威脅。所以我們?cè)谇捌诘慕ㄔO(shè)里面對(duì)內(nèi)的處理力度要強(qiáng)一些,未來對(duì)外我們?nèi)绾胃兄桨踩那樾?,主要是可視化,我們的風(fēng)險(xiǎn)在哪里,我們?cè)趺礃犹綔y(cè)到它,開始感知這一塊。以及之前一直在講的運(yùn)維能力,之前我們是沒有專門的人、沒有專門的工具,現(xiàn)在我們上了一大堆東西之后,我相信像瀘州老窖這種企業(yè)是不可能養(yǎng)一個(gè)非常龐大的團(tuán)隊(duì)來應(yīng)對(duì)安全威脅的,畢竟這目前暫時(shí)還是威脅。
所以說,如何運(yùn)用智能化的一些運(yùn)維平臺(tái),使我的整個(gè)投資真正地發(fā)揮作用,能夠真正地在有威脅來臨的時(shí)候立得住,這是未來的問題。最后是云安全,前面幾位大咖已經(jīng)分享過關(guān)于云方面的話題了。我想對(duì)于一些大中型的企業(yè)而言,無論是上公有云還是上混合云,最終一定是大量的業(yè)務(wù)會(huì)放在云上。云安全和傳統(tǒng)數(shù)據(jù)中心的安全防護(hù),我認(rèn)為是非常不同的兩個(gè)概念,而且我們現(xiàn)在已經(jīng)在受到一些挑戰(zhàn),我們之前在3月份的時(shí)候一些SaaS應(yīng)用已經(jīng)被人攻擊過,當(dāng)然我們采用了一些措施扛住了,所以這個(gè)話題也是我們未來的一個(gè)重點(diǎn)。
今天限于時(shí)間關(guān)系,我簡(jiǎn)單地拋磚引玉,剛才也說過,我們實(shí)際上是后進(jìn)者、是跟隨者,希望在座的各位大咖有這方面經(jīng)驗(yàn)的不吝賜教。謝謝大家!
京公網(wǎng)安備 11010502049343號(hào)