聯(lián)合汽車電子趙超的企業(yè)信息安全之見

 著新一代數(shù)字技術(shù)的飛速發(fā)展并成功滲入各行各業(yè)，信息安全問題已經(jīng)不再單純作用于虛擬網(wǎng)絡(luò)空間，還對于物理世界的企業(yè)生產(chǎn)、經(jīng)營、技術(shù)等都產(chǎn)生了巨大的影響。數(shù)字經(jīng)濟(jì)的全面到來，讓信息安全開始成為當(dāng)代企業(yè)發(fā)展的第一生命線。

近日，在企業(yè)網(wǎng)D1Net和信眾智聯(lián)合主辦的2019 CIOC全國CIO大會上，聯(lián)合汽車電子信息安全總監(jiān)趙超就分享了自己在企業(yè)信息安全建設(shè)方面的心得體會。

信息安全是風(fēng)控體系

“做IT大多是靠經(jīng)驗(yàn)的，但信息安全除外。”趙超指出，信息安全是風(fēng)控體系，其核心目標(biāo)是服務(wù)于資產(chǎn)的CIA。大病靠防，小病靠治，和中醫(yī)體系類似，信息安全需要靠“防”、“治”雙輪運(yùn)作，從“亡羊補(bǔ)牢”到“未雨綢繆”，循環(huán)迭代。

“信息系統(tǒng)和安全這兩件事情確實(shí)可能不是‘同年同月同日生’，但恐怕它們只能‘同年同月同日死。’”趙超表示，由于數(shù)字資產(chǎn)中數(shù)據(jù)與載體密不可分;建設(shè)、運(yùn)維、使用者多重角色、多重關(guān)系;軟件即服務(wù);虛擬世界與現(xiàn)實(shí)世界融合等特點(diǎn)，為信息安全建設(shè)帶來很大的挑戰(zhàn)。這就導(dǎo)致很多企業(yè)信息安全建設(shè)是在系統(tǒng)建設(shè)好、上線運(yùn)行之后才開始考慮安全的問題。很多安全手段的啟用，也不是因?yàn)檎业搅俗陨淼娘L(fēng)險所在，往往是跟著行業(yè)里的一些實(shí)踐或者乙方產(chǎn)品的發(fā)展啟動實(shí)施的。但這樣一來，就可能導(dǎo)致投入和風(fēng)險不匹配，資金多花在了一些市場上熱門的產(chǎn)品，自身大的漏洞反被忽視。正是因?yàn)檫@個原因，信息安全一定要以體系化運(yùn)作為基礎(chǔ)，以風(fēng)險為導(dǎo)向。

變化并不是獨(dú)立發(fā)生的

人們關(guān)注的是變化，但需要找到核心變量，才能理解變化所在。“在互聯(lián)網(wǎng)技術(shù)的大背景下，數(shù)據(jù)資產(chǎn)發(fā)生很大的變化，導(dǎo)致了信息安全領(lǐng)域面臨的問題、可能采取的措施都隨之而變。也就是說，信息安全態(tài)勢的改變并不是獨(dú)立發(fā)生的。”

企業(yè)信息化階段，信息技術(shù)是輔助性的，幫助流程落地，使管理透明化。企業(yè)做了很多流程系統(tǒng)，但與企業(yè)核心價值鏈的關(guān)系并不緊密。與之相對應(yīng)的，信息安全建設(shè)和業(yè)務(wù)之間更是存在很大隔閡。也就是說，出了信息安全問題，對企業(yè)的影響可能并不大。即便是企業(yè)最有價值的信息資產(chǎn)，核心技術(shù)資料，其保護(hù)手段并不過多依賴于信息安全保護(hù)機(jī)制。往往是通過法律層面的知識產(chǎn)權(quán)或商業(yè)秘密加以保護(hù)。

特別是傳統(tǒng)企業(yè)，信息系統(tǒng)本身并不直接創(chuàng)造價值。作為業(yè)務(wù)的輔助手段，這些系統(tǒng)也只是存在于自家的局域網(wǎng)環(huán)境里。現(xiàn)在企業(yè)都在做數(shù)字化創(chuàng)新轉(zhuǎn)型，其根本含義就是利用互聯(lián)網(wǎng)技術(shù)帶來的互動作用，把自己的產(chǎn)品和服務(wù)推到互聯(lián)網(wǎng)上，與客戶消費(fèi)者互動。在互聯(lián)網(wǎng)上的IT系統(tǒng)，才是真正意義上的業(yè)務(wù)與技術(shù)的融合。“如果只是出在公司內(nèi)網(wǎng)，就無法從互聯(lián)網(wǎng)如此巨大的經(jīng)濟(jì)體中獲取價值。”趙超認(rèn)為，互聯(lián)網(wǎng)能夠讓產(chǎn)品服務(wù)和客戶服務(wù)直接送達(dá)客戶，快速獲取并反饋客戶需求。未來數(shù)字經(jīng)濟(jì)和實(shí)體經(jīng)濟(jì)將會匯集成一個閉環(huán)，能讓客戶需求和價值生成的過程不斷循環(huán)。

“正因?yàn)檫@樣的趨勢，信息安全也會發(fā)生相應(yīng)的改變。”趙超直言，信息資產(chǎn)將從靜態(tài)數(shù)據(jù)向業(yè)務(wù)服務(wù)轉(zhuǎn)化，不管是To B抑或To C，服務(wù)一定是在互聯(lián)網(wǎng)上的。

“傳統(tǒng)意義上的信息安全關(guān)注企業(yè)內(nèi)網(wǎng)系統(tǒng)，對應(yīng)的業(yè)務(wù)數(shù)據(jù)是公司的信息資產(chǎn), 例如研發(fā)數(shù)據(jù), 經(jīng)營數(shù)據(jù)。而互聯(lián)網(wǎng)上的系統(tǒng)，最重要的是交易數(shù)據(jù)、客戶數(shù)據(jù)、以及服務(wù)送達(dá)。在全新的價值網(wǎng)絡(luò)中，信息安全成為企業(yè)價值達(dá)成不可或缺的手段。”趙超認(rèn)為，天下攘攘，皆為利往。未來，整個價值鏈勢必向互聯(lián)網(wǎng)上遷移，因此，越來越多的信息資產(chǎn)將離開局域網(wǎng)的圍欄。企業(yè)內(nèi)部保存的只是一些基本的、作為后盾支撐經(jīng)營運(yùn)作的系統(tǒng)。特別是企業(yè)價值達(dá)成必然是在互聯(lián)網(wǎng)上實(shí)現(xiàn)的。信息安全將成為網(wǎng)絡(luò)空間的安全問題，和業(yè)務(wù)完全融合為一體。

立足六大基本點(diǎn)，積極推進(jìn)企業(yè)安全建設(shè)

安全無處不在，既需要傳統(tǒng)領(lǐng)域的信息保護(hù)，又面臨著未來的巨大挑戰(zhàn)。作為合資企業(yè)，聯(lián)合汽車電子極為重視信息安全的建設(shè)，談及多年來的實(shí)戰(zhàn)經(jīng)驗(yàn)，趙超直言應(yīng)該抓住以下幾個基本點(diǎn)：

1. 全局把控、尋找定位。從全價值鏈著眼，確定信息安全管控范圍及力度。還要考慮到未來網(wǎng)絡(luò)世界里，存在風(fēng)險和收益的權(quán)衡，“風(fēng)險大、收益大”這一規(guī)律也同樣適用于信息安全風(fēng)險。如何把控兩者之間的關(guān)系，找準(zhǔn)安全管控的定位尤為關(guān)鍵。

2. 回歸安全本源。信息安全需要做到“亡羊補(bǔ)牢”和“風(fēng)險識別”，兩者不分先后，互為因果，迭代閉環(huán)。

3. 導(dǎo)入體系，持續(xù)運(yùn)行。引入信息安全體系，通過PDCA中風(fēng)險識別、防范措施、檢查改進(jìn)、處置行動等流程，明確監(jiān)管責(zé)任和主體責(zé)任，持續(xù)運(yùn)行安全服務(wù)。

4. 資產(chǎn)識別要點(diǎn)。在資產(chǎn)識別上明確數(shù)據(jù)資產(chǎn)，數(shù)據(jù)載體資產(chǎn)，安全措施資產(chǎn)的不同特性，必要時進(jìn)行資產(chǎn)同類項(xiàng)合并，這樣才能保證風(fēng)險評估的有效進(jìn)行。除了數(shù)據(jù)以外，服務(wù)也應(yīng)該被作為單獨(dú)的資產(chǎn)來加以識別。

5. 職責(zé)定義，三道防線。層層落實(shí)“誰主管(業(yè)務(wù))誰負(fù)責(zé);誰運(yùn)行誰負(fù)責(zé);誰使用誰負(fù)責(zé)”的主體責(zé)任，并建立以主體責(zé)任、監(jiān)管治理和審計(jì)為中心的三道防線。

6. 措施的認(rèn)識。很多企業(yè)把措施狹義地理解為技術(shù)措施。而信息安全的管控措施包含技術(shù)、流程、責(zé)任意識多個方面，確立兜底措施的高優(yōu)先級，追蹤技術(shù)手段趨勢，明確防御措施自身的風(fēng)險。

演講末尾，趙超談及了自己對于未來的展望，她指出，未來企業(yè)將會從原有的物理世界中走出來，將價值延伸到互聯(lián)網(wǎng)的世界中去，和用戶接觸并產(chǎn)生反饋，帶動整個價值鏈的閉環(huán)運(yùn)作，循環(huán)上升。而網(wǎng)絡(luò)安全、價值創(chuàng)造、技術(shù)實(shí)現(xiàn)也將完全融為一體，成為企業(yè)價值運(yùn)作的三駕馬車。