以下為現場速記。

 

聯合汽車電子信息安全總監 趙超

 

趙超：大家可以叫我超姐，我來自聯合汽車電子有限公司。范總給我布置這個任務的時候，其實我剛剛做了一個轉崗，從IT部門的IT總監轉為信息安全總監，這也是公司的組織架構有一個調整，我們把信息安全從原來IT的一個科室獨立出來一個部門。我當時覺得范總給我的任務簡直像我的上崗考。但是我還是要感謝一下，因為不僅有上崗考，還有一個上崗培訓，這兩天我覺得學到了很多東西。我也把我自己考試的材料跟大家匯報一下，看看范總能給我打幾分，看看是不是能夠及格。

 

我們先看一張圖片，大家都知道扁鵲見蔡桓公，這是信息安全的人必讀的教材，因為所有關于信息安全的要素在這個故事里都提到了。我們看一下，立有間在干什么?做風險評估，看看哪里有問題，對于蔡桓公而言，這件事沒有什么外部的威脅，沒有人拿刀殺他或者有病毒流感，但是他自身有一個脆弱性。我們都知道，這個脆弱性沒有被及時地彌補，所以后來不得已這件事情只好走到應急響應這一步。在應急響應里說趕緊找扁鵲吧，結果是什么呢?大家知道嗎?只好逃了。

 

在座的各位真的碰到問題的時候，不一定有機會能逃，但確實有可能會引咎辭職，其實在我的職業生涯里好多年，我都擔心這個問題，至少在我們的交換機被雷劈的時候，確實發生過我們的交換機被雷劈了。還好我們的網絡管理人住在一個小區，當時他的電話打不通，當時我的孩子比較小，我就讓我的小孩去找他，這就是當時的應急響應措施。后來我們的數據庫擴展命令把數據庫弄趴掉了，我們從頭到尾重建。其實我們的心臟也夠強大的，再后來發生系統管理員晚上8點鐘，說起來也是努力工作的好同事，一條命令把公司幾百多臺還在工作的電腦沒有關機的格式化。我們再也不能這樣做事情了，因為我們做IT的人都知道是靠經驗的，如果信息安全這件事情還是繼續靠經驗會怎么樣呢?所有的坑都趟一遍，大家就見不到我了。

 

大病靠防，小病靠治，可是這兩個體系是我們IT工作的“雙輪”，我們基本上是靠著這個“雙輪”在動。但是它的目標是什么呢?保證我們的資產，但是關于CIO我后面還會提到多一樣東西。可是IT這個資產很特別，也就是說我們這兩個體系其實都不涉及到這個資產的建設過程。這點特別不同于汽車的物理產品，我是在汽車零部件行業的，16949或者環境保護14800、18000也是風險體系，但是它們都是產品的開發、設計、生產過程，生產完就沒事了，反正交到消費者手里了，出了事情消費者會來找我們的。

 

可是我們的IT產品生之前是沒關系的，生了之后就脫不了手了，就粘在手上了。系統和安全這兩件事情確實不是同年同月同日生，但是恐怕它們只能同年同月同日死，也就是說我們所做的工作都是從它呱呱墜地的時候開始的，是不是它的建設過程也要把這個體系的事情融入呢?我覺得這個應該是有變化的，我后面也會點到一些。之所以我們要從系統建設好了以后才開始，當然得益于信息技術自身的一個特點，也就是說軟件硬件不斷的迭代，發展得非常快，有問題多一層，這一層就把問題隔離了，所以當我們的軟件有問題的時候，我們可以重啟。

 

但是還有更重要的一點，就是信息資產的特點，這個資產和硬件資產不一樣，它是有靈魂的。也就是說，信息數據被載入到了一個載體里面，甚至是不可分的，真的像靈魂，如果硬件壞了，你的靈魂也沒了，當然好在它可以重新恢復，可以再來。另外人人都可以踩一腳，汽車的數據屬于誰之前是一個問題，是屬于消費者嗎?消費者這些數據是我的，你不要碰，但是傳感器有問題你要不要知道。運營的人、管理的人、使用的人都有責任，這個不是我說的，是國資委說的，我在國資委培訓的時候他們說誰管理誰負責、誰運營誰負責、誰使用誰負責。

 

另外我們還看到一個變化，就是軟件即服務，以及后面的現實世界和虛擬世界的融合。這兩點會對我們整個來考慮信息資產的安全帶來了一個很大的變化，正是因為這樣的一些原因，我在過去的工作過程當中，我覺得我們一定要“雙輪”工作，既要按照ISO的體系方式，比如說ISO20000，我們要有真本事，等到咨詢項目做完以后，我們順便過個證吧，不過證第二年別人不會管你，自己也沒有那么強的主動性把這個體系運行下去，我們可以進行回顧。但是它們有很大的不同，也就是說20000關注的是SLA服務水平，他一定要知道這些資產之間的配置關系，結果以配置項作為整個管理的核心。安全會塌了一筆，但是在20000體系里面沒有特別展開，這就需要我們從另外一個視角來看。

 

這個資產不是配置項，這個資產最主要的是要看資產的價值，它值多少錢、它損壞了、被人篡改了，它到底會造成多大的損失。所以計劃的過程是一個識別風險的過程，但是識別風險要首先找到你的資產，蔡桓公還是很金貴的，這是最大的資產。執行的過程其實是找到措施，來把風險消除或者健身健體或者待在家里不出去，這樣會比較安全。檢查是檢查這些措施有沒有到位，是不是有效的，不能說我上了一個措施了，我們的數據倉庫恢復三個星期這件事情，是因為工程師一直說我備份了、我備份了，但是不能恢復。如果這些措施沒有整改，就會再來一輪。我們要保持它的一致性，一致性就是不被篡改。還有保密性，這個都好理解。而我們IT運維的目標，就是保證SLA的可用性更多一些。

 

第一部分我可以稍微總結一下，我覺得這是我們兩個比較關注的體系，但是大家找咨詢公司做咨詢體系的時候，你往往會被咨詢公司帶到別的體系上面去，比如說30001，最后就發現做不了，因為做的是全公司的業務連續性。還有幾個相關的體系，大家也可以逐步的去了解一下，但是一定要抓住根本。哪方面的專家就會愿意夸大哪方面的事情，但是多多少少這些體系都會相關到。

 

現在我們的數據資產有一個很大的變化，導致我們的信息安全也發生了很大的變化，也就是說信息安全的變化并不是獨立發生的，當然我們也可以說因為政府強調網絡安全，我們的信息安全順便蹭個熱點，能問老板要到一點錢。但是它有一些本質的東西，我們回顧一下信息化階段有什么特性呢?我們做了很多流程系統，但是它和我們核心價值鏈的關系應該說不是那么緊密，它不是直接對公司來說掙錢的。當然現在我們有很多企業數字化已經做了一些東西，它要么直接為企業帶來掙錢的東西，要么可以省掉錢，這個就有機會到了核心價值鏈上。但是在信息化階段的時候，我們可能還是輔助性質的，也就是我們要讓管理透明化。所以所做的這些事情和業務之間還有一個隔閡，在看全業務的角度，我們會發現這些信息系統也都是待在公司的網絡里的，沒有出門，待在家里的有保護屏障的。雖然有大門到internet上去 也有很多公司加鎖，所以還是安全的。

 

現在我們的業務要到互聯網上，如果我們做的系統還是待在家里的，其實就沒有太大的變化。但是如果我們待在家里，我們就不能夠從互聯網這個大的經濟體里去獲得更大的價值。我們要把應用搬出去給到移動設備去用，而這些移動設備是給消費者使用的。這個過程真正的作用是說，我們要把企業里的價值一直交付到消費者手里，所以你必須在互聯網上進行交付。而互聯網為什么能夠支持這種交付呢?因為它經歷了幾個過程，它從一個互聯的1.0、2.0、3.0，也就是從PC聯網、到移動聯網、到互聯網，還經歷了互動的1.0、2.0、3.0，原來的網頁到關注到點評到現在的社區。互聯網的特點帶來一個可能性，讓產品服務和客戶服務直接交付，這樣你就知道客戶需要什么，你就能夠把客戶的需要帶進公司里來，生成價值之后再交付給他。

 

基于互聯網這樣的一個特點，我們在原來的實體產業里面，我們就要向數字產業去邁進。而同樣的在數字產業里原生出來的企業，它雖然在那里已經圈了大片的地，但是它還是要往我們的實體經濟滲透。最后讓數字經濟和實體經濟匯集成一個閉環，這個閉環是什么呢?就是我們的客戶需求和我們的價值生成過程不斷的循環。正因為這樣的一個趨勢，所以我們相應的信息安全也發生了一個變化，早期我們是保護靜態資產，我們企業有設計、有圖紙，這是我們要保護的。但是接下來你必須要考慮的是，因為現在有一個界面一定是在互聯網上的，如果你不在互聯網上有一個你的產品界面或者服務界面，用戶就看不到你。不管是To C的還是To B的，這個時候意味著你必須要邁出家門，你保護的東西就發生了變化，至少它是在圍墻外面的。

 

再往后，如果我們進一步延伸，如果我們的服務能夠直接作用到消費者甚至對他的人生價值產生影響，這個價值是巨大的，它的風險也是巨大的，因為它一定是在互聯網上的。這時候就會發現這個價值是往右手邊，大家的右手邊是價值生成的源泉，那里可以有柴米油鹽醬醋茶，還可以有琴棋書畫詩酒花，這個價值影響是巨大的。整個價值鏈的過程延展到了外面，而有利的地方是人人趨之若鶩的地方。信息資產和數據資產都在往外移、往互聯網上移，保護在家里的可能是一些基本的東西或者后盾的支撐供應鏈運作的，而和消費者相關的、和客戶相關的都是在往互聯網上移的，至少這些信息和數據都是往外流動的才有價值。

 

我稍微說一點概念，就是我們傳統意義上說的信息安全指的是我們內部的、內網的，而且它對應的業務是公司的信息資產，就是核心知識產權。當你跟客戶交易的時候，這個時候開始提數據安全，當然我們也對著數據安全來做公司的工作，但是后來我們的項目失敗掉了，把這些數據挖出來做數據安全太費勁了，但是我覺得數據安全的點是在交易數據。這個時候把數據帶出來，再后面被習大大說成網絡安全是國家戰略，為什么是國家戰略?因為在那個虛擬世界里，它是一個全新的價值網絡，這個價值網絡就像一片新大陸，大家都要沖進去，當然都希望在里面定規則。所以不僅我們有網安法，到處都有網安法，GDPR，大家都在里面爭取定規則的權利。同時企業之間也想在這當中謀利，這就導致信息安全的整個意義會有所轉變，也就是說它總是往價值鏈上面價值大的地方去傾斜。

 

總結一下我們過去這么多年的實戰當中的要點，供大家參考，這也不是很全面的，只是我覺得當時確實有很多迷惑的地方。第一，我們還是看一下全局，在這個全局里除了我剛才介紹的，我們要做風險的管控，補救措施，而這個風險大家會發現也有一些變化，在左邊我們可能更強調的是一個成本投入，就是我們要消減風險。而在右邊是風險大、收益大，有錢能使鬼推磨，你可以到右邊的互聯網世界里，有的人真的想違法，冒一點風險，不僅是黑客，當時法律也沒有規定，企業可不可以把用戶的數據賣掉，做一些謀利的事情，這個時候法律應運而生。其實《隱私法》一直沒有推出，因為我們是合資公司，在外企都特別強調隱私保護，在我們這兒覺得好像沒有關系，所以這件事情一直沒有做起來。但是現在不一樣了，法律是應運而生的，包括5月16日出臺的2.0，它一方面可以幫助我們企業提升我們的水準，一方面它也是要抓壞人的，我們不能做壞人，或者說做壞人風險大，但是也可能回報大，這時候需要平衡一下。

 

還是回到我們的信息安全保護的基本方法論上，那就是我的題目，你要做必須要做亡羊補牢的事情，不能不做，不能出了問題也不管。但是還是要做風險識別這個事情，這兩件事情是不分先后的，它們是互為因果的。我們做亡羊補牢的事情以后，可能會更加幫助我們意識到哪里的風險更大，已經發生的事情風險概率是100%，你從風險里面發現出來的風險一定要把它補牢。你以前養乖乖羊，后面養千里馬，它肯定是要往外面跑的。

 

這里還有一個責任，這也是我的自身體會，監管責任和主體責任基本上是不分的。還有安全服務，這個也要做一定的界定。在資產識別上面有很多問題，比如ERP系統是不是資產，防病毒是不是信息資產，這涉及到對信息資產識別的時候的顆粒度問題，要把它看成一棵樹。從你的應用、從你面向客戶的服務開始，比如說電商，你要把電商拆解到一系列的資產上面來，這才是一個資產，一個軟件、一個版本就是資產。有一個樹狀結構，一定要做合并同類項，因為對同樣的問題它的風險比較類似。網絡基本上都被合并成內網、外網。

 

另外是主體責任，大家要記住主體責任。剛才說誰主管誰負責、誰運行誰負責、誰使用誰負責，看你能不能跳到主管監管責任，但是監管責任也很重大，如果你沒有監管到或者沒有導入一個有效的方法論讓整個企業運作起來，監管責任可能更加重大。如果有能力，對主管部門提供一定的服務，當然要量力而行。這是三道防線。

 

最后是措施，技術+流程+責任意識，不是一般意義上的意識，我的安全意識很強是沒有用的，安全意識很強，出了事情都不是我的事情就沒有意思。我們的技術手段現在有一些趨勢上的變化，但是在做這么多事情的時候，一定要記住兜底的方案，小朋友都知道服務器倒了重新恢復的是最高優先級的，這個是保證能睡覺的方案，是要最先做的，也就是容災這個事情一定是最先做的。就算不做也要跟老板說清楚，我是管不了地震的，我是管不了洪水的，這個話是一定要去說的，不然的話隨便你發生什么事情的時候都是你的問題。

 

最后一頁是未來的展望，我覺得我們企業的可能從原來的泥巴里或者圍墻里走出來，在整個互聯網的世界里投入一個APP，把我們的價值實現點植入到互聯網里面去。它的構成一定是IaaS、PaaS、SaaS的結構，其實我個人非常不認同混合云，不要拍我，這是我個人的觀點。我們要把我們的價值延伸到互聯網的世界里去，它在那里面和我們的客戶接觸到，然后再反饋回來，帶動我們的整個供應鏈。所以信息安全要按照這樣的一個思路去梳理，找到自己的工作重點。謝謝大家!