侵权投诉
订阅
纠错
加入自媒体

信息安全,从亡羊补牢到未雨绸缪

2019-05-24 15:05
来源: 企业网

2019 CIOC全国CIO大会5月23日在乌鲁木齐盛大举办,来自全国的众多CIO共聚一堂,最接地气的观点、最实用的实战经验、最前沿的技术、最新的产品在此汇聚,碰撞出属于CIO的精彩火花。

以下为现场速记。

信息安全,从亡羊补牢到未雨绸缪

联合汽车电子信息安全总监 赵超

赵超:大家可以叫我超姐,我来自联合汽车电子有限公司。范总给我布置这个任务的时候,其实我刚刚做了一个转岗,从IT部门的IT总监转为信息安全总监,这也是公司的组织架构有一个调整,我们把信息安全从原来IT的一个科室独立出来一个部门。我当时觉得范总给我的任务简直像我的上岗考。但是我还是要感谢一下,因为不仅有上岗考,还有一个上岗培训,这两天我觉得学到了很多东西。我也把我自己考试的材料跟大家汇报一下,看看范总能给我打几分,看看是不是能够及格。

我们先看一张图片,大家都知道扁鹊见蔡桓公,这是信息安全的人必读的教材,因为所有关于信息安全的要素在这个故事里都提到了。我们看一下,立有间在干什么?做风险评估,看看哪里有问题,对于蔡煌公而言,这件事没有什么外部的威胁,没有人拿刀杀他或者有病毒流感,但是他自身有一个脆弱性。我们都知道,这个脆弱性没有被及时的弥补,所以后来不得已这件事情只好走到应急响应这一步。在应急响应里说赶紧找扁鹊吧,结果是什么呢?大家知道吗?只好逃了。

在座的各位真的碰到问题的时候,不一定有机会能逃,但确实有可能会引咎辞职,其实在我的职业生涯里好多年,我都担心这个问题,至少在我们的交换机被雷劈的时候,确实发生过我们的交换机被雷劈了。还好我们的网络管理人住在一个小区,当时他的电话打不通,当时我的孩子比较小,我就让我的小孩去找他,这就是当时的应急响应措施。后来我们的数据库扩展命令把数据库弄趴掉了,我们从头到尾重建。其实我们的心脏也够强大的,再后来发生系统管理员晚上8点钟,说起来也是努力工作的好同事,一条命令把公司几百多台还在工作的电脑没有关机的格式化。我们再也不能这样做事情了,因为我们做IT的人都知道是靠经验的,如果信息安全这件事情还是继续靠经验会怎么样呢?所有的坑都汤一遍,大家就见不到我了。

大病靠防,小病靠治,可是这两个体系是我们IT工作两个“双轮”,我们基本上是靠着这个“双轮”在动。但是它的目标是什么呢?保证我们的资产CIO,但是关于这个CIO我后面还会提到多一样东西。可是IT这个资产很特别,也就是说我们这两个体系其实都不涉及到这个资产的建设过程。这点特别不同于汽车的物理产品,我也是汽车行业零部件的,16949或者环境保护14800、18000也是风险体系,但是它们都是产品的开发、设计、生产过程,生产完就没事了,反正交到消费者手里了,出了事情消费者会来找我们的。

可是我们的IT产品生之前是没关系的,生了之后就脱不了手了,就粘在手上了。系统和安全这两件事情确实不是同年同月同日生,但是恐怕它们只能同年同月同日死,也就是说我们所做的工作都是从它呱呱坠地的时候开始的,是不是它的建设过程也要把这个体系的事情融入呢?我觉得这个应该是有变化的,我后面也会点到一些。之所以我们要从系统建设好了以后才开始,当然得益于信息技术自身的一个特点,也就是说软件硬件不断的迭代,发展得非常快,有问题多一层,这一层就把问题隔离了,所以当我们的软件有问题的时候,我们可以重启。

但是还有更重要的一点,就是信息资产的特点,这个资产和硬件资产不一样,它是有灵魂的。也就是说,信息数据被载入到了一个载体里面,甚至是不可分的,真的像灵魂,如果硬件坏了,你的灵魂也没了,当然好在它可以重新恢复,可以再来。另外人人都可以踩一脚,汽车的数据属于谁之前是一个问题,是属于消费者吗?消费者这些数据是我的,你不要碰,但是传感器有问题你要不要知道。运营的人、管理的人、使用的人都有责任,这个不是我说的,是国资委说的,我在国资委培训的时候他们说谁管理谁负责、谁运营谁负责、谁使用谁负责。

另外我们还看到一个变化,就是软件即服务,以及后面的现实世界和虚拟世界的融合。这两点会对我们整个来考虑信息资产的安全带来了一个很大的变化,正是因为这样的一些原因,我在过去的工作过程当中,我觉得我们一定要“双轮”工作,既要按照ISO的体系方式,比如说ISO20000,我们要有真本事,等到咨询项目做完以后,我们顺便过个证吧,不过证第二年别人不会管你,自己也没有那么强的主动性把这个体系运行下去,我们可以进行回顾。但是它们有很大的不同,也就是说20000关注的是SLA服务水平,他一定要知道这些资产之间的配置关系,结果以配置项作为整个管理的核心。安全会塌了一笔,但是在20000体系里面没有特别展开,这就需要我们从另外一个视角来看。

这个资产不是配置项,这个资产最主要的是要看资产的价值,它值多少钱、它损坏了、被人篡改了,它到底会造成多大的损失。所以计划的过程是一个识别风险的过程,但是识别风险要首先找到你的资产,蔡桓公还是很金贵的,这是最大的资产。执行的过程其实是找到措施,来把风险消除或者健身健体或者待在家里不出去,这样会比较安全。检查是检查这些措施有没有到位,是不是有效的,不能说我上了一个措施了,我们的数据仓库恢复三个星期这件事情,是因为工程师一直说我备份了、我备份了,但是不能恢复。如果这些措施没有整改,就会再来一轮。我们要保持它的一致性,一致性就是不被篡改。还有保密性,这个都好理解。而我们IT运维的目标,就是保证SLA的可用性更多一些。

1  2  下一页>  
声明: 本文系OFweek根据授权转载自其它媒体或授权刊载,目的在于信息传递,并不代表本站赞同其观点和对其真实性负责,如有新闻稿件和图片作品的内容、版权以及其它问题的,请联系我们。

发表评论

0条评论,0人参与

请输入评论内容...

请输入评论/评论长度6~500个字

您提交的评论过于频繁,请输入验证码继续

暂无评论

暂无评论

文章纠错
x
*文字标题:
*纠错内容:
联系邮箱:
*验 证 码:

粤公网安备 44030502002758号