为何说信息安全建设只有起点,没有终点

 行业动态     |      2019-12-30 12:50

伴随着移动互联网和云计算的发展,网络安全的挑战也出现了新的变化。

  指掌易首席运营官许铭接受中新网记者采访时表示,随着移动安全事件频发,移动安全越来越受到重视的情况下,针对于移动设备的安全解决方案已成为企业所关注的新趋势。

  许铭指出,移动互联网和云计算兴起时期相比,此前的网络安全防护的逻辑比较简单,因为“我们可以把一堆安全设备架设到网关上”。

  不过,伴随着移动互联网的发展以及云计算的广泛运用,互联网安全防护的架构完全发生了变化。

  许铭介绍说,移动办公的特点打破了传统局域网的边界,此时整个网络安全呈现出三大阵地,云上的数据、连接云和移动端的传输管道以及使用数据的移动设备。

  除了数据传输结构的变化,办公环境从PC向手机等移动端转移,也是挑战之一。

  许铭介绍说,在网关上加装一堆设备的逻辑,在手机上已经不再行得通,在这种情况下,必须把各类防护装集纳到一套方案之中。这对于网络安全防护提出了进一步的挑战。

  云、管和端,对于这三个阵地,许铭表示,中国的云和国外的云最大的区别之一就是中国的云很多都是非标准化的,都有着自己独自的接口,在这种情况下,指掌易把网络安全的解决方案重点放在管道尤其是移动端上。

  许铭介绍说,在“管”上,其方案是建立应用级的专门数据交换通道,在公司数据受保护和管控的同时,个人数据的使用和传输不受影响。

  在端上,解决方案是制造一个虚拟安全域,把各类手机应用放到其中,从而保证数据在企业移动办公体系内的安全流动,保证移动办公设备的安全,保证数据不会外泄。

  但一个“放”字却并没有那么简单就能够实现。许铭介绍说,要实现此方案,首先要做到方案稳定性,其次就是与众多手机型号、系统的适配性。中国手机环境非常复杂,虚拟安全域要与几千款终端应用相匹配,也绝非易事。而这也正是指掌易的竞争力所在。

  对于着眼于企业的安全服务,许铭认为有很大的市场空间。无论是金融、交通、政府等都有着极大的数据安全需求。对数据的管控的应用还可以延展到更为广泛的领域,“比如说在普通企业内部,OA,ERP上都存在着企业非常重要的数据,因此保护这些数据的安全就变得极为重要。”

  对于行业的格局,许铭指出,服务于云端的互联网安全行业目前还处在跑马圈地阶段,但由于手机端和PC端不同,很难在网关上架设很多设备,其服务必须是集成的,这也意味这这个行业的发展前景将会非常巨大,而且很有可能出现一个巨大的领头羊。因此,前期的竞争和布局至关重要。

大数据时代,信息安全问题被屡屡提及,在商业机遇和风险不断演变的背景之下,企业信息安全该如何保障。“不同的行业在企业信息化安全建设里面有很多共性的东西在。”邢红波指出,当下企业之所以要做信息安全规划,很大程度源于以下四个层面的思考:

1. 数字化转型企业需要对数字资产进行合理、有效的保护; 随着企业数字化转型的深入,线上线下一体化“数字化是双胞胎”的运营逐步实现,信息资产已经成为企业最有价值、最具竞争力的核心资产,如何以更合理、更高效的方式实现信息(数字)资产的保护,对信息安全建设提出了更高要求。

2. 工业互联网建设需要企业有与之匹配的安全管控能力; 工业互联网时代IT、OT、CT快速融合,IoT模糊了传统安全边界,数据安全是工业互联网面临的最大壁垒之一,开展针对性的信息安全建设是构架坚固的网络安全系统、管理脆弱环节、保护敏感信息与知识产权的有效途径。

3. 利益驱动下的信息安全事件频发给企业造成巨额经济损失; 信息即财富的趋势下,越来越多的黑客组织投身于信息资产的窃取,攻击手段变幻莫测,攻击渠道多种多样,IoT设备、工业网已经成为不法黑客的攻击重点,为整个网络空间的安全环境带来全新挑战。

4. 数字化转型需要相应的信息安全管理体系及技术手段为企业合规运营保驾护航; 国外GDPR、联邦数据法、国内安全法、工业控制系统安全指南、信息安全等级保护法以及企业还需通过ISO27001认证,建立相应的安全规划方案为后续体系建设指明方向,确保企业合规运营。 此外,相较于其他行业,汽车行业电动化、网联化、共享化趋势,使得新兴技术的发展应用在提高工作效率,满足客户体验的同时,特别是政策性影响,也给安全技术带来了新的风险、挑战和要求。“汽车行业的企业安全需求重点在于全球合规的遵从、业务和产品安全、数据资产保护、防黑客攻击、系统可用性保障者五个层面。“邢红波直言,其实大多数企业安全并没有想象中的复杂,只要仔细梳理,思路就会很清晰。从管理角度而言,目前企业的信息安全现状主要表现在信息安全管理、信息安全技术、人员安全意识和安全事件四个维度上。 “人防”+“技防”双轮驱动企业信息安全建设 凡事预则立,不立则废。从企业战略和IT战略出发,设计出企业信息安全建设的整体规划,逐步推演,才能制定出信息安全的原则策略。邢红波透露,前途汽车的安全规划战略只有四点要求,即和公司战略保持一致、满足企业业务需求、体现信息部门价值、符合相应的法律法规。 “越安全就越不易用,越易用就越不安全,这是一个始终无法解决的矛盾。”邢红波认为,在做信息安全的过程中,必须在信息安全投入和使用中做好平衡,更关注安全,还是更关注业务,信息安全原则的选择需要做好充分考量。 “在保障企业正常运营效率的同时,采取一切必要的管理和技术手段,保护企业的核心数据资产和IT系统的机密性、完整性和可用性;确保企业信息安全运营符合相应法律法规的要求,这就是我们整个企业信息安全规划的整体策略。”邢红波表示,在完备的规划策略之下,前途汽车希望通过“人防”+“技防”,实现“事前防御、事中控制、事后追溯”的管理目标,全面降低企业信息安全风险,实现合规合赢,做到涉密信息拿不走、黑客进不来、安全不违规、特权不滥用。 信息安全建设规划方面,前途汽车借用了信息安全成熟度滑动标尺模型为工具进行行业对标,确定信息安全建设中期目标,包括联合安全厂商,与成熟企业进行行业对标参考。“我们始终认为制度和人是关键,是核心,技术仅仅只是手段。”在前途汽车的“P.P.T”(Process、Personal、Technology)信息安全建设指导理念中指出,信息安全工作,管理是核心,技术是手段,不是紧靠技术系统上线就可完成,而是融合管理和技术两方面的投入,进而改变员工的思想、行为和企业安全文化的一个持续过程。 信息安全建设不是一蹴而就的,要有一个渐进的过程 “信息安全建设有很多内容,企业不能一次性的将它实施完成,因此需要有自己的实施线路图优先级考虑。

”在前途汽车的信息安全建设过程中,邢红波要求从严重性、风险、收益、易实施性、最佳实践五个维度衡量并进行轻重缓急分配,确定事件优先级。 在实际运作中,邢红波坦言,目前前途汽车做了3年的安全规划投入,预算控制在1000万以内,每年200-300万,最终达到3.0阶段。第一步建体系、搭围墙,做基础保障安全;第二步梳理数据资产,建保险柜,实现纵深防御;第三步运维保障,主动防御,完成整个企业的安全运营。为此,邢红波告诫在场观众,“信息安全组织的建立一定是自主建立的,一个企业没有信息安全组织就没有组织保障,事情就没法做好。安全制度和流程的建立,建议各位请成熟的咨询公司先搭建体系,后续逐步细化落实。” 演讲末尾,邢红波再次强调,信息安全问题归根结底是人的问题,信息安全管理是核心,技术是手段。然而,道高一尺,魔高一丈,信息安全建设只有起点,没有终点,企业永远在路上。