信息安全,從亡羊補(bǔ)牢到未雨綢繆
第一部分我可以稍微總結(jié)一下,我覺得這是我們兩個(gè)比較關(guān)注的體系,但是大家找咨詢公司做咨詢體系的時(shí)候,你往往會(huì)被咨詢公司帶到別的體系上面去,比如說30001,最后就發(fā)現(xiàn)做不了,因?yàn)樽龅氖侨镜臉I(yè)務(wù)連續(xù)性。還有幾個(gè)相關(guān)的體系,大家也可以逐步的去了解一下,但是一定要抓住根本。哪方面的專家就會(huì)愿意夸大哪方面的事情,但是多多少少這些體系都會(huì)相關(guān)到。
現(xiàn)在我們的數(shù)據(jù)資產(chǎn)有一個(gè)很大的變化,導(dǎo)致我們的信息安全也發(fā)生了很大的變化,也就是說信息安全的變化并不是獨(dú)立發(fā)生的,當(dāng)然我們也可以說因?yàn)檎畯?qiáng)調(diào)網(wǎng)絡(luò)安全,我們的信息安全順便蹭個(gè)熱點(diǎn),能問老板要到一點(diǎn)錢。但是它有一些本質(zhì)的東西,我們回顧一下信息化階段有什么特性呢?我們做了很多流程系統(tǒng),但是它和我們核心價(jià)值鏈的關(guān)系應(yīng)該說不是那么緊密,它不是直接對公司來說掙錢的。當(dāng)然現(xiàn)在我們有很多企業(yè)數(shù)字化已經(jīng)做了一些東西,它要么直接為企業(yè)帶來掙錢的東西,要么可以省掉錢,這個(gè)就有機(jī)會(huì)到了核心價(jià)值鏈上。但是在信息化階段的時(shí)候,我們可能還是輔助性質(zhì)的,也就是我們要讓管理透明化。所以所做的這些事情和業(yè)務(wù)之間還有一個(gè)隔閡,在看全業(yè)務(wù)的角度,我們會(huì)發(fā)現(xiàn)這些信息系統(tǒng)也都是待在公司的網(wǎng)絡(luò)里的,沒有出門,待在家里的有保護(hù)屏障的。雖然有大門到internet上去 也有很多公司加鎖,所以還是安全的。
現(xiàn)在我們的業(yè)務(wù)要到互聯(lián)網(wǎng)上,如果我們做的系統(tǒng)還是待在家里的,其實(shí)就沒有太大的變化。但是如果我們待在家里,我們就不能夠從互聯(lián)網(wǎng)這個(gè)大的經(jīng)濟(jì)體里去獲得更大的價(jià)值。我們要把應(yīng)用搬出去給到移動(dòng)設(shè)備去用,而這些移動(dòng)設(shè)備是給消費(fèi)者使用的。這個(gè)過程真正的作用是說,我們要把企業(yè)里的價(jià)值一直交付到消費(fèi)者手里,所以你必須在互聯(lián)網(wǎng)上進(jìn)行交付。而互聯(lián)網(wǎng)為什么能夠支持這種交付呢?因?yàn)樗?jīng)歷了幾個(gè)過程,它從一個(gè)互聯(lián)的1.0、2.0、3.0,也就是從PC聯(lián)網(wǎng)、到移動(dòng)聯(lián)網(wǎng)、到互聯(lián)網(wǎng),還經(jīng)歷了互動(dòng)的1.0、2.0、3.0,原來的網(wǎng)頁到關(guān)注到點(diǎn)評到現(xiàn)在的社區(qū)。互聯(lián)網(wǎng)的特點(diǎn)帶來一個(gè)可能性,讓產(chǎn)品服務(wù)和客戶服務(wù)直接交付,這樣你就知道客戶需要什么,你就能夠把客戶的需要帶進(jìn)公司里來,生成價(jià)值之后再交付給他。
基于互聯(lián)網(wǎng)這樣的一個(gè)特點(diǎn),我們在原來的實(shí)體產(chǎn)業(yè)里面,我們就要向數(shù)字產(chǎn)業(yè)去邁進(jìn)。而同樣的在數(shù)字產(chǎn)業(yè)里原生出來的企業(yè),它雖然在那里已經(jīng)圈了大片的地,但是它還是要往我們的實(shí)體經(jīng)濟(jì)滲透。最后讓數(shù)字經(jīng)濟(jì)和實(shí)體經(jīng)濟(jì)匯集成一個(gè)閉環(huán),這個(gè)閉環(huán)是什么呢?就是我們的客戶需求和我們的價(jià)值生成過程不斷的循環(huán)。正因?yàn)檫@樣的一個(gè)趨勢,所以我們相應(yīng)的信息安全也發(fā)生了一個(gè)變化,早期我們是保護(hù)靜態(tài)資產(chǎn),我們企業(yè)有設(shè)計(jì)、有圖紙,這是我們要保護(hù)的。但是接下來你必須要考慮的是,因?yàn)楝F(xiàn)在有一個(gè)界面一定是在互聯(lián)網(wǎng)上的,如果你不在互聯(lián)網(wǎng)上有一個(gè)你的產(chǎn)品界面或者服務(wù)界面,用戶就看不到你。不管是To C的還是To B的,這個(gè)時(shí)候意味著你必須要邁出家門,你保護(hù)的東西就發(fā)生了變化,至少它是在圍墻外面的。
再往后,如果我們進(jìn)一步延伸,如果我們的服務(wù)能夠直接作用到消費(fèi)者甚至對他的人生價(jià)值產(chǎn)生影響,這個(gè)價(jià)值是巨大的,它的風(fēng)險(xiǎn)也是巨大的,因?yàn)樗欢ㄊ窃诨ヂ?lián)網(wǎng)上的。這時(shí)候就會(huì)發(fā)現(xiàn)這個(gè)價(jià)值是往右手邊,大家的右手邊是價(jià)值生成的源泉,那里可以有柴米油鹽醬醋茶,還可以有琴棋書畫詩酒花,這個(gè)價(jià)值影響是巨大的。整個(gè)價(jià)值鏈的過程延展到了外面,而有利的地方是人人趨之若鶩的地方。信息資產(chǎn)和數(shù)據(jù)資產(chǎn)都在往外移、往互聯(lián)網(wǎng)上移,保護(hù)在家里的可能是一些基本的東西或者后盾的支撐供應(yīng)鏈運(yùn)作的,而和消費(fèi)者相關(guān)的、和客戶相關(guān)的都是在往互聯(lián)網(wǎng)上移的,至少這些信息和數(shù)據(jù)都是往外流動(dòng)的才有價(jià)值。
我稍微說一點(diǎn)概念,就是我們傳統(tǒng)意義上說的信息安全指的是我們內(nèi)部的、內(nèi)網(wǎng)的,而且它對應(yīng)的業(yè)務(wù)是公司的信息資產(chǎn),就是核心知識(shí)產(chǎn)權(quán)。當(dāng)你跟客戶交易的時(shí)候,這個(gè)時(shí)候開始提數(shù)據(jù)安全,當(dāng)然我們也對著數(shù)據(jù)安全來做公司的工作,但是后來我們的項(xiàng)目失敗掉了,把這些數(shù)據(jù)挖出來做數(shù)據(jù)安全太費(fèi)勁了,但是我覺得數(shù)據(jù)安全的點(diǎn)是在交易數(shù)據(jù)。這個(gè)時(shí)候把數(shù)據(jù)帶出來,再后面被習(xí)大大說成網(wǎng)絡(luò)安全是國家戰(zhàn)略,為什么是國家戰(zhàn)略?因?yàn)樵谀莻(gè)虛擬世界里,它是一個(gè)全新的價(jià)值網(wǎng)絡(luò),這個(gè)價(jià)值網(wǎng)絡(luò)就像一片新大陸,大家都要沖進(jìn)去,當(dāng)然都希望在里面定規(guī)則。所以不僅我們有網(wǎng)安法,到處都有網(wǎng)安法,GDPR,大家都在里面爭取定規(guī)則的權(quán)利。同時(shí)企業(yè)之間也想在這當(dāng)中謀利,這就導(dǎo)致信息安全的整個(gè)意義會(huì)有所轉(zhuǎn)變,也就是說它總是往價(jià)值鏈上面價(jià)值大的地方去傾斜。
總結(jié)一下我們過去這么多年的實(shí)戰(zhàn)當(dāng)中的要點(diǎn),供大家參考,這也不是很全面的,只是我覺得當(dāng)時(shí)確實(shí)有很多迷惑的地方。第一,我們還是看一下全局,在這個(gè)全局里除了我剛才介紹的,我們要做風(fēng)險(xiǎn)的管控,補(bǔ)救措施,而這個(gè)風(fēng)險(xiǎn)大家會(huì)發(fā)現(xiàn)也有一些變化,在左邊我們可能更強(qiáng)調(diào)的是一個(gè)成本投入,就是我們要消減風(fēng)險(xiǎn)。而在右邊是風(fēng)險(xiǎn)大、收益大,有錢能使鬼推磨,你可以到右邊的互聯(lián)網(wǎng)世界里,有的人真的想違法,冒一點(diǎn)風(fēng)險(xiǎn),不僅是黑客,當(dāng)時(shí)法律也沒有規(guī)定,企業(yè)可不可以把用戶的數(shù)據(jù)賣掉,做一些謀利的事情,這個(gè)時(shí)候法律應(yīng)運(yùn)而生。其實(shí)《隱私法》一直沒有推出,因?yàn)槲覀兪呛腺Y公司,在外企都特別強(qiáng)調(diào)隱私保護(hù),在我們這兒覺得好像沒有關(guān)系,所以這件事情一直沒有做起來。但是現(xiàn)在不一樣了,法律是應(yīng)運(yùn)而生的,包括5月16日出臺(tái)的2.0,它一方面可以幫助我們企業(yè)提升我們的水準(zhǔn),一方面它也是要抓壞人的,我們不能做壞人,或者說做壞人風(fēng)險(xiǎn)大,但是也可能回報(bào)大,這時(shí)候需要平衡一下。
還是回到我們的信息安全保護(hù)的基本方法論上,那就是我的題目,你要做必須要做亡羊補(bǔ)牢的事情,不能不做,不能出了問題也不管。但是還是要做風(fēng)險(xiǎn)識(shí)別這個(gè)事情,這兩件事情是不分先后的,它們是互為因果的。我們做亡羊補(bǔ)牢的事情以后,可能會(huì)更加幫助我們意識(shí)到哪里的風(fēng)險(xiǎn)更大,已經(jīng)發(fā)生的事情風(fēng)險(xiǎn)概率是100%,你從風(fēng)險(xiǎn)里面發(fā)現(xiàn)出來的風(fēng)險(xiǎn)一定要把它補(bǔ)牢。你以前養(yǎng)乖乖羊,后面養(yǎng)千里馬,它肯定是要往外面跑的。
這里還有一個(gè)責(zé)任,這也是我的自身體會(huì),監(jiān)管責(zé)任和主體責(zé)任基本上是不分的。還有安全服務(wù),這個(gè)也要做一定的界定。在資產(chǎn)識(shí)別上面有很多問題,比如ERP系統(tǒng)是不是資產(chǎn),防病毒是不是信息資產(chǎn),這涉及到對信息資產(chǎn)識(shí)別的時(shí)候的顆粒度問題,要把它看成一棵樹。從你的應(yīng)用、從你面向客戶的服務(wù)開始,比如說電商,你要把電商拆解到一系列的資產(chǎn)上面來,這才是一個(gè)資產(chǎn),一個(gè)軟件、一個(gè)版本就是資產(chǎn)。有一個(gè)樹狀結(jié)構(gòu),一定要做合并同類項(xiàng),因?yàn)閷ν瑯拥膯栴}它的風(fēng)險(xiǎn)比較類似。網(wǎng)絡(luò)基本上都被合并成內(nèi)網(wǎng)、外網(wǎng)。
另外是主體責(zé)任,大家要記住主體責(zé)任。剛才說誰主管誰負(fù)責(zé)、誰運(yùn)行誰負(fù)責(zé)、誰使用誰負(fù)責(zé),看你能不能跳到主管監(jiān)管責(zé)任,但是監(jiān)管責(zé)任也很重大,如果你沒有監(jiān)管到或者沒有導(dǎo)入一個(gè)有效的方法論讓整個(gè)企業(yè)運(yùn)作起來,監(jiān)管責(zé)任可能更加重大。如果有能力,對主管部門提供一定的服務(wù),當(dāng)然要量力而行。這是三道防線。
最后是措施,技術(shù)+流程+責(zé)任意識(shí),不是一般意義上的意識(shí),我的安全意識(shí)很強(qiáng)是沒有用的,安全意識(shí)很強(qiáng),出了事情都不是我的事情就沒有意思。我們的技術(shù)手段現(xiàn)在有一些趨勢上的變化,但是在做這么多事情的時(shí)候,一定要記住兜底的方案,小朋友都知道服務(wù)器倒了重新恢復(fù)的是最高優(yōu)先級的,這個(gè)是保證能睡覺的方案,是要最先做的,也就是容災(zāi)這個(gè)事情一定是最先做的。就算不做也要跟老板說清楚,我是管不了地震的,我是管不了洪水的,這個(gè)話是一定要去說的,不然的話隨便你發(fā)生什么事情的時(shí)候都是你的問題。
最后一頁是未來的展望,我覺得我們企業(yè)的可能從原來的泥巴里或者圍墻里走出來,在整個(gè)互聯(lián)網(wǎng)的世界里投入一個(gè)APP,把我們的價(jià)值實(shí)現(xiàn)點(diǎn)植入到互聯(lián)網(wǎng)里面去。它的構(gòu)成一定是IaaS、PaaS、SaaS的結(jié)構(gòu),其實(shí)我個(gè)人非常不認(rèn)同混合云,不要拍我,這是我個(gè)人的觀點(diǎn)。我們要把我們的價(jià)值延伸到互聯(lián)網(wǎng)的世界里去,它在那里面和我們的客戶接觸到,然后再反饋回來,帶動(dòng)我們的整個(gè)供應(yīng)鏈。所以信息安全要按照這樣的一個(gè)思路去梳理,找到自己的工作重點(diǎn)。謝謝大家!
圖片新聞
最新活動(dòng)更多
-
12月19日立即報(bào)名>> 【線下會(huì)議】OFweek 2024(第九屆)物聯(lián)網(wǎng)產(chǎn)業(yè)大會(huì)
-
精彩回顧立即查看>> 2024中國國際工業(yè)博覽會(huì)維科網(wǎng)·激光VIP企業(yè)展臺(tái)直播
-
精彩回顧立即查看>> 【產(chǎn)品試用】RSE30/60在線紅外熱像儀免費(fèi)試用
-
精彩回顧立即查看>> 2024(第五屆)全球數(shù)字經(jīng)濟(jì)產(chǎn)業(yè)大會(huì)暨展覽會(huì)
-
精彩回顧立即查看>> 【線下會(huì)議】全數(shù)會(huì)2024電子元器件展覽會(huì)
-
精彩回顧立即查看>> 三菱電機(jī)紅外傳感器的特性以及相關(guān)應(yīng)用領(lǐng)域
編輯推薦
- 高級軟件工程師 廣東省/深圳市
- 自動(dòng)化高級工程師 廣東省/深圳市
- 光器件研發(fā)工程師 福建省/福州市
- 銷售總監(jiān)(光器件) 北京市/海淀區(qū)
- 激光器高級銷售經(jīng)理 上海市/虹口區(qū)
- 光器件物理工程師 北京市/海淀區(qū)
- 激光研發(fā)工程師 北京市/昌平區(qū)
- 技術(shù)專家 廣東省/江門市
- 封裝工程師 北京市/海淀區(qū)
- 結(jié)構(gòu)工程師 廣東省/深圳市