企业信息安全建设经验
很荣幸能够接到组委会的邀请来参加中国网络安全大会。我也很高兴能够有这个机会跟大家一起就企业的信息安全建设方面的问题来一起探讨。
下面我先做一个自我介绍。我是来自中国卫星通信集团公司,是公司信息中心主任,负责整个公司的信息化建设,我的职责包括整个集团公司的信息化规划,也包括信息应用系统的统筹建设和运维管理,当然也包括我们的信息安全方面的事项。
我也是北京大学CIO班同学会会长,在2012年的时候出于对自身在信息化各方面能力提升的考虑,我参加了北京大学CIO班的培训,北大的CIO班是我们业内比较有影响力的一个信息总监的培训基地,是参照MBA的培训方式,在四个方面提升我们信息主管的能力:一是IT战略和管理;二是业务和流程;三是IT的技术和架构;四是绩效和评价。当时2012年我是这个CIO班14班的班长,在结业之后,又很荣幸的被选为同学会的会长。北大CIO班同学会现在也是比较活跃的,今年我们也组织了很多有意义、有价值的一些交流活动。比如我们曾经走进过南方航空,了解到南航的移动信息化建设、统一移动平台建设方面的事项,也了解了它的开源技术方面的应用,我们也曾经到过阿里巴巴和淘宝网,了解了大数据在淘宝网的一些应用。最近期的一次活动是在深圳,也就是上周末,同学会组织去了深圳,跟腾讯的微信小组做了一些交流,北大CIO同学会目前还是非常活跃。
另外我也是CIO自媒体联盟的秘书长,这两年各种联盟如雨后春笋般的在成立,大到国家两化融合推进联盟,小到我们这个CIO自媒体联盟。不管这个联盟是大是小,我觉得都是在给信息化建设尽一份力,做一些这方面推进的事情。今年我们是由一群企业信息化负责人,还有出身CIO的创业人员,我们共同在今年3月份发起成立了CIO自媒体联盟,我们也是委托微信的公众帐号,通过微信的平台来分享和发布一些我们这个群体的人关心的一些技术、管理、职业能力各方面的事项。
今年特别有意义的一个事情,就是由CIO自媒体联盟发起,有20多位各地的信息化负责人参与我们共同写了一本书,叫做《CIO新思维》,这本书即将在11月份由电子工业出版社正式出版发行,希望大家能够关注一下。这本书聚焦在作为一个中高级管理人员的信息主管他应该具备的一些综合能力上,也都是我们这些信息化负责人把自己多年的建设经验和一些典型的案例和自己切身的体会融合在这些文章之中,非常有意义。
我也是CIO老友会发起人之一,也是中关村大数据产业联盟的副秘书长,我们的《CIO新思维》这本书也是我们大数据联盟的系列图书之一。今天我们探讨的主题是信息主管如何推动企业的信息安全建设。这个主题我们也在考虑纳入到《CIO新思维》的一版,作为后续的编写计划,正在启动,欢迎大家持续关注。
下来言归正传,我今天主要分享的内容包括这么几个方面,首先我们探讨一下中国企业信息化建设现状和中国企业信息安全现状,然后从中可能会发现一些挑战和机遇,然后讨论一下信息安全对企业的价值分析。接着就是从企业文化的视角谈一谈如何推动企业信息安全建设,最后再给出一个很简洁的信息安全建设的原则。
在座的有很多企业信息化负责人,我们是不是都有同感?一个企业的信息化推进不是很容易的事情,更何况是其中一个分支的信息安全事项。前两年有一个分析报告,大概是在2009年,当时指出有这么两点,中国企业的信息化综合指数不高,再就是中国企业整体信息化成熟度处于中等偏下的状态,它是一个统计分析的结果,指的是一个平均水平,是相对发达国家。可能也有中国某些企业他们的信息化水平还是相对来说比较高的,但是这里指的是一个平均的水平。
具体表现在什么方面呢?首先是中国企业信息化建设和应用缺乏前瞻性,信息技术与实际业务发展的需求匹配度比较低。在信息化应用范围的广度和深度上远远不够,大多数的信息化应用集中在部分业务上,体现不出整体信息化的效益。也就是说,IT的技术和企业的业务在全面融合方面还有不足。中国企业普遍不重视IT治理,IT的制度不够完善,IT的绩效考核体系也不够完善,IT的部门设置存在不完善的现象。而且IT部门往往是比较边缘化,在公司里面相对其他部门来讲是处于弱势地位,话语权还不够。虽然IT部门承担了企业信息化建设和应用的职能,但是推动力度欠佳。中国企业的中高层管理人员参与信息化的程度比较低,就是说非IT的那些管理人员较少的参加了信息化的工作,虽然我们平常建设的可能是一个客户关系管理系统,或者一个其他的财务管理系统或者是合同管理系统等等,但是负责这个业务的中高层管理人员,他参与这个项目的程度还不算太高。整体中国企业的信息化领导力比较弱,当然这是一个相对的比较。
总体来说,跟发达国家相比,中国企业的信息化应用表现,就是信息技术还没有能够充分发挥它在中国企业中的应有价值,对企业发展的总体贡献不足,表现在对企业提高核心竞争力,提升内外部管理能力,落实创新、助力业务发展、提升市场反应能力和决策支持等方面的贡献仍显微薄,贡献明显低于预期。这是2009年的一个分析报告,据我了解,5年以后,到2014年,中国企业的IT总体水平状况也没有特别明显的改善。以上提到的几个方面的问题可能仍然存在。
信息安全在中国企业中是一个什么样的情况?2013年有一份报告,是中国信息安全测评中心发布的,关于国家信息安全态势评估,提到了中国企业信息安全的一些描述,主要是有这么几点:”随着行业新技术新应用的引入、业务多元化的实现以及信息化、工业化的不断融合,重要行业和企业的信息安全建设明显滞后于信息化的发展,基础信息网络与重要信息系统的脆弱性依然突出,信息安全风险已升至行业风险的高位,关键数据的安全和业务的连续性面临极大的挑战”。也就是说,中国企业的信息安全存在薄弱环节,还不是说特别理想。
行业新技术、新应用指的是云计算、大数据、移动互联网这些新技术的普及。信息化和工业化的融合,指的就是工信部一直在推的工业化带动信息化,信息化促进工业化,走新型工业化道路。重要行业和企业应该是指的一些大型的行业和央企,因为我们国家很多很重要的基础信息网络和信息系统都是分布在这些大型的企业和央企中,所以这个报告也应该是根据大型企业的特点来进行统计分析出来的。但是我觉得大企业都这样了,小的企业可能更不会比他强多少。这种情况主要表现在以下几点:
第一是行业企业和内部的信息安全发展极不平衡,存在安全短板。从两个层面来讲:
一是行业间是有先有后的,有的行业在信息化建设、信息安全方面走得比较早,比如金融、电力这些行业,他的信息化实力稍微强一点,信息化水平稍微高一点,安全的防护水平也是相对高一些,但是还有部分的行业和企业的信息安全滞后程度相当严重。
二是企业内部层面,我们也知道,大型企业有这样的特点,就是它的规模一般来说都比较庞大,机构也很众多,业务比较复杂,往往它的业务和网络都是覆盖到全国范围之内的,甚至是延伸到海外。它的下属的分支机构对信息安全的重视程度不一样,在信息安全方面投入也是不一样的。虽然建设的时候可能做了统一的规划或者是统一的一些要求,但是建设和防护水平是参差不齐的。这样就造成这个企业整体上系统的整体防御和纵深防御体系比较薄弱,出现了短板的现象,特别容易引发全局性的安全问题。这是中国企业的信息安全现状的一个表现,就是行业和企业内部发展不平衡,存在短板。
第二是数据安全没有得到足够的重视,敏感数据存在泄漏隐患。
这里的敏感数据指的是重要的信息系统和基础的信息网络上面存储覆盖的数据。这些企业可能还没有采取切实有效的数据防外泄的措施,数据没有根据重要程度分类分级进行保护,大量敏感数据采用明文传输和存储,存在泄漏隐患,很多中小企业也存在这种情况。外部边界,特别是互联网出口防护不善,网络隔离不利,应用层安全漏洞大量存在,导致大量敏感数据面临失窃风险。
第三安全检测和感知能力不足,无法及时发现和处置攻击等异常行为。
虽然有很多企业已经部署了入侵检测的设备,但是存在部署位置不当、规则库老旧,没有及时进行更新,报经日志无人查看,这样的现象比较多,所以它的入侵检测的设备形同虚设。也有部分企业没有建立健全应急响应体系和机制,也缺少一些遇到安全事件的实际演练。同时信息化人力资源和技术能力不足,无法发挥出作用来。实际上这两个问题我觉得主要还是人力资源的问题。前面我也提到了,中国企业信息化的现状是什么样子,比如IT的部门不是特别完善,IT的人才可能也没有那么富余,另外IT人员的水平和培训不到位,可能就会造成以上这种情况。尤其是对于一些很高级别的攻击和威胁,可能根本就无法应对,只不过这些威胁现在可能没有表现出来,但是一旦表现出来,就没有办法应对了,所以说企业的信息安全长期处于被动状态。
第四是关键技术受制于人,安全隐患与日俱增。
这个大家都比较好理解了,我们现在绝大多数的企业中,基本上所有的企业广泛应用的一些核心的信息技术产品,比如从网络核心设备到大型的主流软件、核心应用系统到新技术产品依然是国外的产品,对存在的漏洞和后门无法及时的知晓。我们用的CPU、硬盘,包括操作系统、数据库都是国外的,现在也无可替代,一时还是没有办法的事情。部分企业在产品选型中,对信息安全的考量不足,对产品的安全评估、系统上线前的安全测试不够重视,带来比较大的安全风险和隐患。我觉得这个现象不是部分企业,可能大部分企业都存在这样的情况。因为现在我觉得最重要的一点就是我们还没有安全方面的意识,也没有几家企业养成这样的习惯,我们在上线一个系统的时候,或者在建设一个系统的时候先考虑它对信息安全的要求,或者先做一个等保定级,是几级的,之后再同步的把安全防护的措施做上来,几乎还没有企业养成这样的一个习惯,都是先上了系统,应用先上来,先满足业务再说,所以会出现这样的情况。
第五是安全规划和建和没有能够同步,新技术的风险在不断引入。
随着云计算、大数据、移动应用的普及,不少企业在积极跟进新技术的步伐。我觉得这也是因为现在都是互联网环境,客户在驱动企业的一些业务,竞争对手可能应用了一些先进的技术,在目前的环境下,其他的企业不得已,必须要跟上。但是在应用这些技术的同时,部分企业没有充分考量安全的问题,对安全规划和建设没有同步实施进行,也没有进行安全风险评估,没有落实安全保障措施的情况下,他就强行上线了比如说云平台、移动办公系统这些新技术的一些应用,导致会带来新的安全风险和隐患。
根据报道,有一家大型央企的二级企业,它就是部署了云的平台,它把所有的应用全部迁移到这个云平台之上,实现了业务的集中,对业务看来是一个好的事情,但是确实是没有对这个云的平台做深入的了解,尤其在安全方面。后来发现,在云平台上有一个非常严重的漏洞,能够通过外部来对云平台进行干涉和操控。这样的话,实际上是给业务带来非常大的风险。
从上面的表现我们可以看到,实际上中国企业的信息安全形势是不容乐观的,信息安全的保障能力目前还无法满足企业信息化发展的需求。前面我谈到了中国企业信息化的现状,刚才又分析了中国企业信息安全的形势。总体感觉,我们还是相比发达国家在这方面有很大的差距的,也有很大的不足。但是我觉得,有差距说明我们已经有了目标和方向了,能够跟别人去比了,有不足,实际上就说明我们还有更大的发展空间。所以我觉得,对于我们信息化负责人来说,实际上现在可能还是一个机遇,有挑战,有机遇,机遇和挑战并存。
今年我觉得对我们是有一个契机,能够推动信息化和信息安全建设出现的一个契机,有两点因素:一是国家对信息安全的重视前所未有,出现了一个历史性的机遇;二是企业在现在的环境下越来越认识到信息安全是企业可持续发展的基本要求。
这个机遇实际上大家都明白,今年2月27日,中央网络安全和信息化领导小组宣告成立,它成立的意义在什么地方?就表明了国家在保障网络安全、维护国家利益、推动信息化发展方面的决心。从这个机构的职责中我们也能看到,对于信息化负责人和企业IT部门来讲有一些兴奋点。
下面我谈一谈在信息化环境下,对于企业的信息安全有哪些价值。现在是全球信息化的环境,企业的信息资产特别宝贵,保护好信息资产往往是这些企业能够持续发展一个最根本的要素。信息安全的价值体现在几个方面:
第一是保护企业客户信息和内部组织信息。
企业的客户信息或者商务伙伴的资料和数据,以及企业内部的这些组织的信息、员工的信息都是企业赖以生存的基础,是需要保护的一个主要资产。
第二体现在我们基于互联网的商务活动过程和数据需要保护。
现在电子商务已经是一个商务的主流方向,相比10年前我们很多的业务,很多的事务,都是通过电子商务来进行处理和完成的,大家也都逐渐的习惯把线下的商务活动放在了线上。越来越多的企业已经在利用大量的电子商务替代了传统的商务活动,在网络上我们都知道有很多的风险,为了规避信息泄漏、信息篡改、身份欺诈这些行为给企业造成的一些纠纷和困扰,信息安全保护就显得特别重要。
第三体现在企业的商业秘密方面。
现在企业的正常运作离不开信息资源的支持,商业秘密的泄漏会使企业丧失一些竞争的优势,失去市场。所以企业要保持可持续发展,必须做好信息安全方面的工作。
第四是保障业务持续运转的需要。
我们都知道,像9·11这样的恐怖事件,可能造成了企业从此就消失了,因为它所有的信息资产都存在一个地方,没有办法恢复和还原。所以为了防止在企业的经营活动中发生中断的情况,保护它关键的信息资产免受重大的故障和灾难的影响,建设安全的信息系统是必不可少的。
从信息主管的角度,我们怎么样能够更加有力的推动企业信息安全建设?前面我提到了信息化,整个中国企业信息化的态势和信息安全的态势。我觉得造成这种困扰一个很关键的原因主要是人的意识问题,不是一个技术方面的问题,可能是一个管理或者意识方面的问题。信息化工作是我们老生常谈的,信息化是三分技术,七分管理,它的来源是哪里?下面这段话就可以很好的说明这个事情,为什么信息化是三分技术和七分管理。从信息论的观点,我们会看到信息系统是一个比较复杂的系统,是由信息技术系统、系统运行环境和信息组成,不仅包括组成信息技术系统的计算机软硬件、网络基础设施、系统平台、通信平台,还包括系统运行内外环境中的人、组织、管理、物理环境这些因素。而且很重要的一点,就是因为这些因素之间它们相互影响,相互作用,相互制约,才称为一个有机联系的整体。从这里看到,信息化实际上不仅仅是一个技术的问题,实际上是一个多方面的问题。
信息安全也是同样的道理,也是三分技术,七分管理,也不是一个单纯的技术问题。所以在这里我提出一个观点,我们要做好企业的信息安全建设方面的工作,不仅仅要考虑到信息安全的技术层面管层面的问题,也要考虑到人员层面、文化层面的问题,这几个方面也是相互制约、相互作用、相互影响的。我也觉得中国的信息化建设最大的问题不是一个技术问题,往往是人员和文化层面的问题,大家还没有很多的意识,还没有意识到信息技术的合理应用能够给企业发展带来很大的促进作用。所以说我们必须有全方位的考虑,才能保证信息安全的目标得以实现。
怎么样来建立信息安全的文化?我先大概说一下企业文化是怎么回事,现在的企业逐渐壮大到一定阶段的时候,每个企业都会谈到自己的文化,或者都会发展自己的企业文化。那么企业文化是什么?企业文化就是企业内的一套通用的价值体系,通过企业的价值观、承诺、传统等社会特征,来无形中约束企业和企业成员的言行,使企业和企业成员的行动向着实现企业发展目标的方向前进。所以有时候当技术和管理规章制度不能约束每一个行为的时候,企业的文化往往可以起到很好的作用。所以我希望能够发挥企业文化在这方面的作用,来推动我们企业的中高层管理人员在信息化和信息安全方面意识的增强。
这里有一个很典型的例子,就是核电站有一个安全的文化,就是把企业文化和安全有机的结合在一起了,有四个”凡事”,是一个经典的说法,就是凡事有章可循,凡事有人负责,凡事有据可查,凡事有人监督。这是有背景的,这是国际核能界在三里岛和切尔诺贝利事故以后,结合”企业文化”的管理思想,提出的新的安全管理思想和原则,而且后面应用和传播得非常好。它是传统的纵深防御原则的一个扩充,也是安全管理思想的一个重大变革。实际上我觉得信息安全也是安全体系的一部分,所以它跟核电站的安全文化也有异曲同工的地方。我们可以建立一种信息安全的文化,就是把信息安全看作是企业文化的一个组成部分,把企业文化引入到信息安全管理政策中,通过引导和影响企业员工对待信息安全工作的方式和态度,员工和企业对信息安全或者信息化的态度、行为和实践一旦形成一种风格或者习惯的话,这些工作就比较好开展了。
这是举例,某一个企业它的信息安全文化包含了哪些要素,有企业信息安全方面的文化和理念,也有员工在信息安全方面的文化和理念,企业的信息安全理念有安全使命、安全愿景、安全责任、核心安全观。员工的信息安全理念包括安全意识、全员价值观、员工行为规范、保守秘密等等要素。说到底,信息安全是对人的行为的一个管控,良好的信息安全文化理念是企业安全的一个灵魂,信息安全文化是企业文化的一个重要组成部分,我觉得这个总结得是非常好。
我们通过什么样的形式来建成一种信息安全的文化?我觉得有以下几点建议,主要还是通过宣贯的方式,我们可以在企业中经常的去宣贯国内外的信息安全形势,国家信息安全方面的政策,还有一些比较典型的信息安全事件,还有这个企业信息安全的制度和企业信息安全的文化理念。
下面是举个例子,比如到底这个世界上国际的信息安全形势是什么样子,就可以给大家讲,现在是网络空间怎么回事,大数据在当中起到什么样的作用,企业在全球的信息安全战略中是什么样的地位和作用等等,经常给员工做一些宣贯,或者请专家来做一些讲解。还有国家政策法规的一些宣传,比如国资委我们对企业的信息安全有什么样的要求,公安部又是什么样的要求,人大又有哪些决定,同时我们ISO27001上面是怎么讲的,怎么说的,耳濡目染,员工或者是企业的管理人员慢慢的就有这个意识了。这是一个央企的商业秘密信息系统安全技术指引。
另外还有一些信息安全的事件,也可以经常去给员工做一些宣讲和宣贯。这是一个入侵的大型离子对撞机的实验,在2008年9月10日,黑客入侵这个系统,差一点就关闭了。2010年的时候百度的网站突然没有访问了,是被伊朗的一个网军入侵篡改了,这都是比较恶劣、比较震惊的事件。我们企业中也可能建有内网,内网跟互联网是隔离的,难道它就没有风险了吗?通过这样一个图示,也可以告知员工,告知大家,内网在什么样的情况下也是能够被攻入的。我记得伊朗的那个震网病毒侵入了伊朗的核电站,利用的就是这种方式。
除了文化方面,我们可以从组织和人员的层面来推动这个企业的信息安全建设,这是老生常谈的,也没有什么特色的东西。信息化也是一把手工程,我们要成立企业一个信息安全的管理机构,这个管理机构有这样的职责,我们实际上不仅仅是要让企业的一把手来担任管理机构的领导人,同时还要让企业的层层一把手也纳入这个机构之中,使整个企业对于信息化或者信息安全的工作推进得会比较顺利。
我们从安全管理的方面推进信息安全建设,这个都是常规的方法,大家可能普遍采用的也都是这样。信息安全的管理体系国际标准,还有就是怎么从技术层面上做到信息安全的防护,这也都是我们等保中要求的,比如物理安全、网络安全等等,就不细讲了。
最后我再简洁的说一下我们做信息安全建设的一些原则:一是要遵循国际国内或者行业信息安全的法规和标准;二是注重投入产出比,安全与投资的平衡。现在信息安全产品很多,信息安全各方面需要防御的或者要部署的也很多,但是是不是我们企业有这个资金,或者有这个能力去实施呢?所以要考虑一个安全和投资的平衡。要从业务的重要性和防护等级上保持一致,按照我们等保的要求去做,你的企业受到入侵或者破坏以后,对这个国家或者对企业影响到什么程度,就把信息系统定为什么样的级别,相应的去做那些安全的防护;三是要强调三分技术,七分管理,还有谁主管谁负责,有些业务部门负责的系统,它主管的,你就应该有这个安全的意识;四是统一性,在一个集团企业,大型企业中要统一进行安全规划,统一进行安全策略的设置,统一进行安全标准,统一一个安全的建设;五是全面考虑,分步实施,我们不是一下子把所有的资金全部投入在信息安全方面,分阶段、分步实施,一点点投资,一点点建设。
感谢大家,我今天的汇报就到这里,谢谢大家!