基于此,企業網D1Net從幾個行業挑選了具有代表性的CIO進行訪問,以幫助大家了解在企業當中碰到的一些信息安全的重點問題和常用的解決辦法?
金融行業:如何更有效進行信息安全防控?
馮國震:安邦保險信息安全總監
金融行業對信息安全非常重視,而黑客界更是對金融行業虎視眈眈,也會發生某某數據被撞庫的現象,再加上金融行業互聯網化和國際化全球化進程加快,對金融行業來說,如何更有效進行信息安全的防控是重點。
能源行業:如何保證技術流程及業務數據安全?
徐斌:殼牌石油CIO
殼牌石油是能源公司,對安全非常重視,過去幾年也曾因為安全事故造成過重大損失。而英國石油,過去五年也曾發生過兩大安全事件,一是德克薩斯的爆炸事件,以及墨西哥灣的漏油事件,對英國石油公司造成的損失高達600億美金,曾因此差點倒閉,變賣了很多資產才能夠生存下來。因為教訓深刻,能源行業對企業安全非常重視。但即使在如此企業文化里,信息安全建設還是有待改善:雖然安全意識很強,信息安全教育也做了大量工作,每個月在整個公司內部進行安全巡檢,如檢查電腦是否上鎖,密碼是否直接帖在桌子上,或者是否有重要信息放在打印機上等等,但最終還是發現最終執行到位的不超過50%。因此,信息安全執行比較到位的能源行業,應該多在企業信息安全文化上做大量工作。
殼牌全球一周非正常攻擊次數達到9800萬次,面臨挑戰非常大,主要難點包括以下兩個方面:
一是技術及流程如何保證?將整個信息安全的各種制度流程內嵌到實際運營過程中,單獨執行。比如項目治理過程,從立項到方案的設計,研發,測試,上線,在所有的關鍵節點中設置信息安全審計行動,包括招投標標書的設計過程也需要安全經理簽字,以確認所有的設計和內容需求滿足了信息安全的要求。所以,通過制度流程的建設,把日常每個行為都嵌入到信息安全的風險控制點中,。
二是業務數據安全管理如何保證?從業務管理而言,如何保護以下兩大關鍵數據安全:一是客戶的信息數據,為集團公司下屬的不同分公司統一做系統建設,歸屬數據所有權,數據安全保護權,數據存儲等。二是保障支付的數據安全,我們在整個層面作為服務商提供給客戶的時候如何把內部支付和第三方支付共同管理起來。
服務外包:如何做好移動數據安全?
白春玲:博彥科技運營總監
博彥科技于2000年前后引入信息安全建設,主要圍繞國際信息安全體系落地,博彥科技主要是為微軟、惠普等客戶服務,客戶對信息安全有極高的要求。無論是物理安全還是通信管理都相當嚴格,客戶每年一次的信息安全檢查和排名分為從A到E五個等級,級別必須達到A,B級就需要實話整改,C級則失去接包資格。博彥科技的信息安全管理主要靠人治和法治,做合規性的管控。技術則是輔助的手段。
博彥科技信息化目前面臨的主要痛點是:在BYOD、MAM(移動應用管理)、移動數據或者網絡安全方面的產品很分散,因此希望有集成化的產品,不僅能夠管理移動互聯網,也能有效管理企業的內網,實現安全管控從前端的登錄,身份認證,數據安全,軟件保護,以及企業內網數據安全的互通。
移動安全:如何從偏向成本轉變為偏向價值?
萬濤:益云安全平臺聯合創始人,“黑客”教父
我比較關注移動辦公的安全,不應該用商業模式的替換方法把安全的專業事情變成互聯網的營銷模式。安全是硬道理,一種方法是手段變硬,讓用戶體驗更簡單,模式更簡單,讓員工只需要承擔他所清楚的安全責任,通過安全教育或者合規規定遵守即可,不需要員工了解太多的安全技術。
因此,對移動安全來說,在不影響體驗的情況下用最簡單的方法去降低使用的安全風險。對于企業來言,需要界定風險,注重安全能力和實踐之間的差距,動態風險是以往做的不足地方,信息安全建設不應偏向成本,而應偏向價值。
互聯網行業:信息安全相對粗放
王彬:餓了么高級風控專家
互聯網企業相對比較粗放,傳統企業通常采用強控制方式做安全,如雙設備,雙電腦,物理分離等等,但放在互聯網企業很難實現。年輕人傾向于自由,換兩個設備,對于內容和網頁分離很難接受。但這樣便會帶來很大安全隱患,比如互聯網企業為提高開發速度,日志會統一收集,而日志很容易產生問題,日志當中很容易暴露用戶的敏感信息,包括卡號、身份證號、手機號、UID等。互聯網企業的一般性做法是,所有日志搜集進來之前,信息安全先過一檔,把可能敏感的信息去掉,保證可用性的時候盡量減少安全日志的泄露風險,對敏感的比如卡號等信息直接刪除。
筆者小結:
拋磚引玉,自然只是希望能夠深度挖掘企業信息安全領域的精華,安全無小事,除了技術,我們還有更多的軟性道路要走。
京公網安備 11010502049343號