侵權(quán)投訴
訂閱
糾錯
加入自媒體

信息安全,從亡羊補牢到未雨綢繆

2019 CIOC全國CIO大會5月23日在烏魯木齊盛大舉辦,來自全國的眾多CIO共聚一堂,最接地氣的觀點、最實用的實戰(zhàn)經(jīng)驗、最前沿的技術(shù)、最新的產(chǎn)品在此匯聚,碰撞出屬于CIO的精彩火花。

以下為現(xiàn)場速記。

聯(lián)合汽車電子信息安全總監(jiān) 趙超

趙超:大家可以叫我超姐,我來自聯(lián)合汽車電子有限公司。范總給我布置這個任務(wù)的時候,其實我剛剛做了一個轉(zhuǎn)崗,從IT部門的IT總監(jiān)轉(zhuǎn)為信息安全總監(jiān),這也是公司的組織架構(gòu)有一個調(diào)整,我們把信息安全從原來IT的一個科室獨立出來一個部門。我當(dāng)時覺得范總給我的任務(wù)簡直像我的上崗考。但是我還是要感謝一下,因為不僅有上崗考,還有一個上崗培訓(xùn),這兩天我覺得學(xué)到了很多東西。我也把我自己考試的材料跟大家匯報一下,看看范總能給我打幾分,看看是不是能夠及格。

我們先看一張圖片,大家都知道扁鵲見蔡桓公,這是信息安全的人必讀的教材,因為所有關(guān)于信息安全的要素在這個故事里都提到了。我們看一下,立有間在干什么?做風(fēng)險評估,看看哪里有問題,對于蔡煌公而言,這件事沒有什么外部的威脅,沒有人拿刀殺他或者有病毒流感,但是他自身有一個脆弱性。我們都知道,這個脆弱性沒有被及時的彌補,所以后來不得已這件事情只好走到應(yīng)急響應(yīng)這一步。在應(yīng)急響應(yīng)里說趕緊找扁鵲吧,結(jié)果是什么呢?大家知道嗎?只好逃了。

在座的各位真的碰到問題的時候,不一定有機(jī)會能逃,但確實有可能會引咎辭職,其實在我的職業(yè)生涯里好多年,我都擔(dān)心這個問題,至少在我們的交換機(jī)被雷劈的時候,確實發(fā)生過我們的交換機(jī)被雷劈了。還好我們的網(wǎng)絡(luò)管理人住在一個小區(qū),當(dāng)時他的電話打不通,當(dāng)時我的孩子比較小,我就讓我的小孩去找他,這就是當(dāng)時的應(yīng)急響應(yīng)措施。后來我們的數(shù)據(jù)庫擴(kuò)展命令把數(shù)據(jù)庫弄趴掉了,我們從頭到尾重建。其實我們的心臟也夠強(qiáng)大的,再后來發(fā)生系統(tǒng)管理員晚上8點鐘,說起來也是努力工作的好同事,一條命令把公司幾百多臺還在工作的電腦沒有關(guān)機(jī)的格式化。我們再也不能這樣做事情了,因為我們做IT的人都知道是靠經(jīng)驗的,如果信息安全這件事情還是繼續(xù)靠經(jīng)驗會怎么樣呢?所有的坑都湯一遍,大家就見不到我了。

大病靠防,小病靠治,可是這兩個體系是我們IT工作兩個“雙輪”,我們基本上是靠著這個“雙輪”在動。但是它的目標(biāo)是什么呢?保證我們的資產(chǎn)CIO,但是關(guān)于這個CIO我后面還會提到多一樣?xùn)|西?墒荌T這個資產(chǎn)很特別,也就是說我們這兩個體系其實都不涉及到這個資產(chǎn)的建設(shè)過程。這點特別不同于汽車的物理產(chǎn)品,我也是汽車行業(yè)零部件的,16949或者環(huán)境保護(hù)14800、18000也是風(fēng)險體系,但是它們都是產(chǎn)品的開發(fā)、設(shè)計、生產(chǎn)過程,生產(chǎn)完就沒事了,反正交到消費者手里了,出了事情消費者會來找我們的。

可是我們的IT產(chǎn)品生之前是沒關(guān)系的,生了之后就脫不了手了,就粘在手上了。系統(tǒng)和安全這兩件事情確實不是同年同月同日生,但是恐怕它們只能同年同月同日死,也就是說我們所做的工作都是從它呱呱墜地的時候開始的,是不是它的建設(shè)過程也要把這個體系的事情融入呢?我覺得這個應(yīng)該是有變化的,我后面也會點到一些。之所以我們要從系統(tǒng)建設(shè)好了以后才開始,當(dāng)然得益于信息技術(shù)自身的一個特點,也就是說軟件硬件不斷的迭代,發(fā)展得非?,有問題多一層,這一層就把問題隔離了,所以當(dāng)我們的軟件有問題的時候,我們可以重啟。

但是還有更重要的一點,就是信息資產(chǎn)的特點,這個資產(chǎn)和硬件資產(chǎn)不一樣,它是有靈魂的。也就是說,信息數(shù)據(jù)被載入到了一個載體里面,甚至是不可分的,真的像靈魂,如果硬件壞了,你的靈魂也沒了,當(dāng)然好在它可以重新恢復(fù),可以再來。另外人人都可以踩一腳,汽車的數(shù)據(jù)屬于誰之前是一個問題,是屬于消費者嗎?消費者這些數(shù)據(jù)是我的,你不要碰,但是傳感器有問題你要不要知道。運營的人、管理的人、使用的人都有責(zé)任,這個不是我說的,是國資委說的,我在國資委培訓(xùn)的時候他們說誰管理誰負(fù)責(zé)、誰運營誰負(fù)責(zé)、誰使用誰負(fù)責(zé)。

另外我們還看到一個變化,就是軟件即服務(wù),以及后面的現(xiàn)實世界和虛擬世界的融合。這兩點會對我們整個來考慮信息資產(chǎn)的安全帶來了一個很大的變化,正是因為這樣的一些原因,我在過去的工作過程當(dāng)中,我覺得我們一定要“雙輪”工作,既要按照ISO的體系方式,比如說ISO20000,我們要有真本事,等到咨詢項目做完以后,我們順便過個證吧,不過證第二年別人不會管你,自己也沒有那么強(qiáng)的主動性把這個體系運行下去,我們可以進(jìn)行回顧。但是它們有很大的不同,也就是說20000關(guān)注的是SLA服務(wù)水平,他一定要知道這些資產(chǎn)之間的配置關(guān)系,結(jié)果以配置項作為整個管理的核心。安全會塌了一筆,但是在20000體系里面沒有特別展開,這就需要我們從另外一個視角來看。

這個資產(chǎn)不是配置項,這個資產(chǎn)最主要的是要看資產(chǎn)的價值,它值多少錢、它損壞了、被人篡改了,它到底會造成多大的損失。所以計劃的過程是一個識別風(fēng)險的過程,但是識別風(fēng)險要首先找到你的資產(chǎn),蔡桓公還是很金貴的,這是最大的資產(chǎn)。執(zhí)行的過程其實是找到措施,來把風(fēng)險消除或者健身健體或者待在家里不出去,這樣會比較安全。檢查是檢查這些措施有沒有到位,是不是有效的,不能說我上了一個措施了,我們的數(shù)據(jù)倉庫恢復(fù)三個星期這件事情,是因為工程師一直說我備份了、我備份了,但是不能恢復(fù)。如果這些措施沒有整改,就會再來一輪。我們要保持它的一致性,一致性就是不被篡改。還有保密性,這個都好理解。而我們IT運維的目標(biāo),就是保證SLA的可用性更多一些。

1  2  下一頁>  
聲明: 本文系OFweek根據(jù)授權(quán)轉(zhuǎn)載自其它媒體或授權(quán)刊載,目的在于信息傳遞,并不代表本站贊同其觀點和對其真實性負(fù)責(zé),如有新聞稿件和圖片作品的內(nèi)容、版權(quán)以及其它問題的,請聯(lián)系我們。

發(fā)表評論

0條評論,0人參與

請輸入評論內(nèi)容...

請輸入評論/評論長度6~500個字

您提交的評論過于頻繁,請輸入驗證碼繼續(xù)

暫無評論

暫無評論

安防 獵頭職位 更多
文章糾錯
x
*文字標(biāo)題:
*糾錯內(nèi)容:
聯(lián)系郵箱:
*驗 證 碼:

粵公網(wǎng)安備 44030502002758號