信息安全厂商总是告诉我们:你的企业应该如何做安全?但鲜少有专家低下身体仔细聆听信息化主管的声音,我希望获得什么样的安全?如何系统部署这种安全?而不仅仅只是从技术上做些基础的安全防护。
基于此,企业网D1Net从几个行业挑选了具有代表性的CIO进行访问,以帮助大家了解在企业当中碰到的一些信息安全的重点问题和常用的解决办法?
金融行业:如何更有效进行信息安全防控?
冯国震:安邦保险信息安全总监
金融行业对信息安全非常重视,而黑客界更是对金融行业虎视眈眈,也会发生某某数据被撞库的现象,再加上金融行业互联网化和国际化全球化进程加快,对金融行业来说,如何更有效进行信息安全的防控是重点。
能源行业:如何保证技术流程及业务数据安全?
徐斌:壳牌石油CIO
壳牌石油是能源公司,对安全非常重视,过去几年也曾因为安全事故造成过重大损失。而英国石油,过去五年也曾发生过两大安全事件,一是德克萨斯的爆炸事件,以及墨西哥湾的漏油事件,对英国石油公司造成的损失高达600亿美金,曾因此差点倒闭,变卖了很多资产才能够生存下来。因为教训深刻,能源行业对企业安全非常重视。但即使在如此企业文化里,信息安全建设还是有待改善:虽然安全意识很强,信息安全教育也做了大量工作,每个月在整个公司内部进行安全巡检,如检查电脑是否上锁,密码是否直接帖在桌子上,或者是否有重要信息放在打印机上等等,但最终还是发现最终执行到位的不超过50%。因此,信息安全执行比较到位的能源行业,应该多在企业信息安全文化上做大量工作。
壳牌全球一周非正常攻击次数达到9800万次,面临挑战非常大,主要难点包括以下两个方面:
一是技术及流程如何保证?将整个信息安全的各种制度流程内嵌到实际运营过程中,单独执行。比如项目治理过程,从立项到方案的设计,研发,测试,上线,在所有的关键节点中设置信息安全审计行动,包括招投标标书的设计过程也需要安全经理签字,以确认所有的设计和内容需求满足了信息安全的要求。所以,通过制度流程的建设,把日常每个行为都嵌入到信息安全的风险控制点中,。
二是业务数据安全管理如何保证?从业务管理而言,如何保护以下两大关键数据安全:一是客户的信息数据,为集团公司下属的不同分公司统一做系统建设,归属数据所有权,数据安全保护权,数据存储等。二是保障支付的数据安全,我们在整个层面作为服务商提供给客户的时候如何把内部支付和第三方支付共同管理起来。
服务外包:如何做好移动数据安全?
白春玲:博彦科技运营总监
博彦科技于2000年前后引入信息安全建设,主要围绕国际信息安全体系落地,博彦科技主要是为微软、惠普等客户服务,客户对信息安全有极高的要求。无论是物理安全还是通信管理都相当严格,客户每年一次的信息安全检查和排名分为从A到E五个等级,级别必须达到A,B级就需要实话整改,C级则失去接包资格。博彦科技的信息安全管理主要靠人治和法治,做合规性的管控。技术则是辅助的手段。
博彦科技信息化目前面临的主要痛点是:在BYOD、MAM(移动应用管理)、移动数据或者网络安全方面的产品很分散,因此希望有集成化的产品,不仅能够管理移动互联网,也能有效管理企业的内网,实现安全管控从前端的登录,身份认证,数据安全,软件保护,以及企业内网数据安全的互通。
移动安全:如何从偏向成本转变为偏向价值?
万涛:益云安全平台联合创始人,“黑客”教父
我比较关注移动办公的安全,不应该用商业模式的替换方法把安全的专业事情变成互联网的营销模式。安全是硬道理,一种方法是手段变硬,让用户体验更简单,模式更简单,让员工只需要承担他所清楚的安全责任,通过安全教育或者合规规定遵守即可,不需要员工了解太多的安全技术。
因此,对移动安全来说,在不影响体验的情况下用最简单的方法去降低使用的安全风险。对于企业来言,需要界定风险,注重安全能力和实践之间的差距,动态风险是以往做的不足地方,信息安全建设不应偏向成本,而应偏向价值。
互联网行业:信息安全相对粗放
王彬:饿了么高级风控专家
互联网企业相对比较粗放,传统企业通常采用强控制方式做安全,如双设备,双电脑,物理分离等等,但放在互联网企业很难实现。年轻人倾向于自由,换两个设备,对于内容和网页分离很难接受。但这样便会带来很大安全隐患,比如互联网企业为提高开发速度,日志会统一收集,而日志很容易产生问题,日志当中很容易暴露用户的敏感信息,包括卡号、身份证号、手机号、UID等。互联网企业的一般性做法是,所有日志搜集进来之前,信息安全先过一档,把可能敏感的信息去掉,保证可用性的时候尽量减少安全日志的泄露风险,对敏感的比如卡号等信息直接删除。
笔者小结:
抛砖引玉,自然只是希望能够深度挖掘企业信息安全领域的精华,安全无小事,除了技术,我们还有更多的软性道路要走。
本文转自d1net(转载)
