著新一代數(shù)字技術的飛速發(fā)展并成功滲入各行各業(yè)，信息安全問題已經(jīng)不再單純作用于虛擬網(wǎng)絡空間，還對于物理世界的企業(yè)生產(chǎn)、經(jīng)營、技術等都產(chǎn)生了巨大的影響。數(shù)字經(jīng)濟的全面到來，讓信息安全開始成為當代企業(yè)發(fā)展的第一生命線。

近日，在企業(yè)網(wǎng)D1Net和信眾智聯(lián)合主辦的2019 CIOC全國CIO大會上，聯(lián)合汽車電子信息安全總監(jiān)趙超就分享了自己在企業(yè)信息安全建設方面的心得體會。

信息安全是風控體系

“做IT大多是靠經(jīng)驗的，但信息安全除外。”趙超指出，信息安全是風控體系，其核心目標是服務于資產(chǎn)的CIA。大病靠防，小病靠治，和中醫(yī)體系類似，信息安全需要靠“防”、“治”雙輪運作，從“亡羊補牢”到“未雨綢繆”，循環(huán)迭代。

“信息系統(tǒng)和安全這兩件事情確實可能不是‘同年同月同日生’，但恐怕它們只能‘同年同月同日死。’”趙超表示，由于數(shù)字資產(chǎn)中數(shù)據(jù)與載體密不可分;建設、運維、使用者多重角色、多重關系;軟件即服務;虛擬世界與現(xiàn)實世界融合等特點，為信息安全建設帶來很大的挑戰(zhàn)。這就導致很多企業(yè)信息安全建設是在系統(tǒng)建設好、上線運行之后才開始考慮安全的問題。很多安全手段的啟用，也不是因為找到了自身的風險所在，往往是跟著行業(yè)里的一些實踐或者乙方產(chǎn)品的發(fā)展啟動實施的。但這樣一來，就可能導致投入和風險不匹配，資金多花在了一些市場上熱門的產(chǎn)品，自身大的漏洞反被忽視。正是因為這個原因，信息安全一定要以體系化運作為基礎，以風險為導向。

變化并不是獨立發(fā)生的

人們關注的是變化，但需要找到核心變量，才能理解變化所在。“在互聯(lián)網(wǎng)技術的大背景下，數(shù)據(jù)資產(chǎn)發(fā)生很大的變化，導致了信息安全領域面臨的問題、可能采取的措施都隨之而變。也就是說，信息安全態(tài)勢的改變并不是獨立發(fā)生的。”

企業(yè)信息化階段，信息技術是輔助性的，幫助流程落地，使管理透明化。企業(yè)做了很多流程系統(tǒng)，但與企業(yè)核心價值鏈的關系并不緊密。與之相對應的，信息安全建設和業(yè)務之間更是存在很大隔閡。也就是說，出了信息安全問題，對企業(yè)的影響可能并不大。即便是企業(yè)最有價值的信息資產(chǎn)，核心技術資料，其保護手段并不過多依賴于信息安全保護機制。往往是通過法律層面的知識產(chǎn)權或商業(yè)秘密加以保護。

特別是傳統(tǒng)企業(yè)，信息系統(tǒng)本身并不直接創(chuàng)造價值。作為業(yè)務的輔助手段，這些系統(tǒng)也只是存在于自家的局域網(wǎng)環(huán)境里。現(xiàn)在企業(yè)都在做數(shù)字化創(chuàng)新轉(zhuǎn)型，其根本含義就是利用互聯(lián)網(wǎng)技術帶來的互動作用，把自己的產(chǎn)品和服務推到互聯(lián)網(wǎng)上，與客戶消費者互動。在互聯(lián)網(wǎng)上的IT系統(tǒng)，才是真正意義上的業(yè)務與技術的融合。“如果只是出在公司內(nèi)網(wǎng)，就無法從互聯(lián)網(wǎng)如此巨大的經(jīng)濟體中獲取價值。”趙超認為，互聯(lián)網(wǎng)能夠讓產(chǎn)品服務和客戶服務直接送達客戶，快速獲取并反饋客戶需求。未來數(shù)字經(jīng)濟和實體經(jīng)濟將會匯集成一個閉環(huán)，能讓客戶需求和價值生成的過程不斷循環(huán)。

“正因為這樣的趨勢，信息安全也會發(fā)生相應的改變。”趙超直言，信息資產(chǎn)將從靜態(tài)數(shù)據(jù)向業(yè)務服務轉(zhuǎn)化，不管是To B抑或To C，服務一定是在互聯(lián)網(wǎng)上的。

“傳統(tǒng)意義上的信息安全關注企業(yè)內(nèi)網(wǎng)系統(tǒng)，對應的業(yè)務數(shù)據(jù)是公司的信息資產(chǎn), 例如研發(fā)數(shù)據(jù), 經(jīng)營數(shù)據(jù)。而互聯(lián)網(wǎng)上的系統(tǒng)，最重要的是交易數(shù)據(jù)、客戶數(shù)據(jù)、以及服務送達。在全新的價值網(wǎng)絡中，信息安全成為企業(yè)價值達成不可或缺的手段。”趙超認為，天下攘攘，皆為利往。未來，整個價值鏈勢必向互聯(lián)網(wǎng)上遷移，因此，越來越多的信息資產(chǎn)將離開局域網(wǎng)的圍欄。企業(yè)內(nèi)部保存的只是一些基本的、作為后盾支撐經(jīng)營運作的系統(tǒng)。特別是企業(yè)價值達成必然是在互聯(lián)網(wǎng)上實現(xiàn)的。信息安全將成為網(wǎng)絡空間的安全問題，和業(yè)務完全融合為一體。

立足六大基本點，積極推進企業(yè)安全建設

安全無處不在，既需要傳統(tǒng)領域的信息保護，又面臨著未來的巨大挑戰(zhàn)。作為合資企業(yè)，聯(lián)合汽車電子極為重視信息安全的建設，談及多年來的實戰(zhàn)經(jīng)驗，趙超直言應該抓住以下幾個基本點：

1. 全局把控、尋找定位。從全價值鏈著眼，確定信息安全管控范圍及力度。還要考慮到未來網(wǎng)絡世界里，存在風險和收益的權衡，“風險大、收益大”這一規(guī)律也同樣適用于信息安全風險。如何把控兩者之間的關系，找準安全管控的定位尤為關鍵。

2. 回歸安全本源。信息安全需要做到“亡羊補牢”和“風險識別”，兩者不分先后，互為因果，迭代閉環(huán)。

3. 導入體系，持續(xù)運行。引入信息安全體系，通過PDCA中風險識別、防范措施、檢查改進、處置行動等流程，明確監(jiān)管責任和主體責任，持續(xù)運行安全服務。

4. 資產(chǎn)識別要點。在資產(chǎn)識別上明確數(shù)據(jù)資產(chǎn)，數(shù)據(jù)載體資產(chǎn)，安全措施資產(chǎn)的不同特性，必要時進行資產(chǎn)同類項合并，這樣才能保證風險評估的有效進行。除了數(shù)據(jù)以外，服務也應該被作為單獨的資產(chǎn)來加以識別。

5. 職責定義，三道防線。層層落實“誰主管(業(yè)務)誰負責;誰運行誰負責;誰使用誰負責”的主體責任，并建立以主體責任、監(jiān)管治理和審計為中心的三道防線。

6. 措施的認識。很多企業(yè)把措施狹義地理解為技術措施。而信息安全的管控措施包含技術、流程、責任意識多個方面，確立兜底措施的高優(yōu)先級，追蹤技術手段趨勢，明確防御措施自身的風險。

演講末尾，趙超談及了自己對于未來的展望，她指出，未來企業(yè)將會從原有的物理世界中走出來，將價值延伸到互聯(lián)網(wǎng)的世界中去，和用戶接觸并產(chǎn)生反饋，帶動整個價值鏈的閉環(huán)運作，循環(huán)上升。而網(wǎng)絡安全、價值創(chuàng)造、技術實現(xiàn)也將完全融為一體，成為企業(yè)價值運作的三駕馬車。