信息安全建设专人专岗，分纬度分层次展开

 

　　在记者采访过程中，发现黄荣存习惯将保障互联网信息安全描述为一场看不见硝烟的战争，战争的特点是对抗性和全面性，需要职业化的军队参与。一个人即便能力再强，可以独当一面，万夫莫开，那他也只能独当一面，而信息安全体系建设的第一个目标是全面纵深的防御，“大坝上只要开一个口子就够了”，不能建成全面的信息安全防御体系，信息资产还是会像水一样流走。据黄荣存介绍，为了满足企业对信息安全人才提出的专门化的需求，早在十几年前，很多高校比如四川大学、武汉大学就开设了专门的信息安全专业，要求培养具有全面信息安全专业知识的专业人才，在满足市场需求的同时，进一步为保障国家基础信息设施的安全储备战略性人才。现在很多大的企业，都设立有专门的信息安全部门，首席安全官(CSO)和首席信息安全官(CISO)也进入了很多企业的董事会，这体现了业务和信息安全威胁正在成为危及企业根本发展的因素，也体现了一些有远见的大型公司先进的经营风险控制意识。

 

　　商场如战场，战场上军队的调度从来都是有战术、有计划的，并不是冲锋号一响，战士们往前冲就行了。由于对抗双方不断的博弈，战争也越来越专业化，从后勤到前线，从水下到太空，是一场系统的、多兵种、多职能单位参与的一场综合性活动。信息安全也是这样，内外部的威胁越来越复杂和专业，现在已经出现了针对特定企业长期的渗透、潜伏和攻击这样的案例（APT攻击），为了打赢这场战争，企业的信息安全工作必须部署到和信息相关的方方面面，从垃圾桶里的文件到应用的代码，从专业的信息安全设备到信息安全流程控制，都需要专职的部门和专业的人员，在信息安全最佳实践的指导下系统的开展工作。

 

　　“既然有了这些理论和认识，那么信息安全事件层出不穷的根源又在哪里呢？”记者问道，“回答你这个问题之前，我想先问两个类似的问题，第一个问题，我们的报纸每天都出新版的根源是什么？第二个问题，软件开发不断增加新功能的根源是什么？”记者陷入了沉思……

 

　　“在你回答之前，我先替你回答这两个问题，第一个问题，社会上每天都发生新的事件，读者有了解这些事件的需求，所以你们每天都出报纸；第二个问题，软件用户的业务不断的发展变化，用户需要软件支持变化后的业务，所以软件开发者每天都在实现新的功能需求。”喝了口水，黄荣存停顿了一会说，“信息安全事件层出不穷的根源是显而易见的，企业面临的信息安全威胁和自身存在的信息安全漏洞是动态变化的，内部和外部的恶意攻击者掌握的技巧一直在变化，企业IT应用在实现新功能的过程中又难以避免的不断的引入新的漏洞，如果企业没有真正重视信息安全，没有建立专门的组织去持续有效的部署控制措施以消除漏洞，抵御威胁的话，信息安全事件当然会层出不穷。”

 

　　听到这里，记者笑了。“当然，无论部署多少安全措施，都不能做到万无一失，信息安全风险的控制是一个动态的过程，任何一个企业都需要评估存在的风险、潜在的损失和信息安全投资的回报率，选择一个合适的平衡点。如果投入1000万可以避免100万的潜在损失的话，那就是过度投资了。如何评估风险、损失和投资之间的平衡点，业界有成熟的指导方案，我们就不展开了。要重申的是，没有一劳永逸一招制胜的解决方案，信息安全的问题，需要专门的信息安全部门持续的同步跟进，以尽量先敌一步发现问题，第一时间解决问题，把风险控制在可接受的范围之内。同时，信息安全部门也要向企业高级管理层如实的反映问题，信息安全永远没有百分之一百的安全，就如逆水行舟，不进则退，如果哪个人或者哪家公司承诺可以提供百分之百安全的解决方案，那只能说明他步子迈的太大了。”

 

　　记者继续问道，“就像你说的，安全威胁和漏洞一直都有，蚊子也一直都在，那为什么早些年的信息安全事件没有这么多呢？”

 

　　“早些年企业有价值的业务还没有大规模的部署到互联网上，地下黑色产业链没有足够的利益维持一定规模的生态圈，随着互联网金融消费类网站的上线，网络犯罪分子能窃取的利益越来越多了，造成的社会反响也就越来越大。冬天没有蚊子，互联网也是这样的。”

 

　　记者：“你说的有道理……，那么一个企业应该怎样采用哪些具体步骤以有效的保护我们用户的信息呢？或者说原形金融是怎么做的呢？”

 

　　网络环境日趋复杂，用户的信息安全如何保障？

 

　　互联网信息技术的发展，给广大用户带来了越来越便捷的生活服务体验，但同时也是一把双刃剑，给用户的隐私和信息安全带来一定的隐患。技术越来越强大的同时，也意味着网络犯罪分子同样掌握了更致命的武器。在网络环境日趋复杂的今天，那些和用户切身利益密切相关的互联网企业，特别是互联网金融消费类企业，应如何保障用户的信息和资金安全呢？

 

　　结合这些年的工作经历和在原形金融的实践，黄荣存先生向我们介绍了正确开展信息安全工作的一般做法。

 

　　首先，企业要尊重用户，敬畏自己所承担的责任，认识到用户的信任和支持是企业发展的动力之源，不要以用户信息的风险换取企业短期的利益，必须建立规范、专业的信息安全组织，稳扎稳打，步步为营，以保障用户的信息安全为开展业务的前提。

 

　　其次，作为信息安全部门，负有贯彻企业信息安全方针的责任，则要结合各业务部门的实际，制订发布完善的信息安全政策、标准和流程，并督促各项措施的落地。

 

　　特别是信息安全组织应和IT部门一起，结合企业的信息资产清单，安全边界情况，潜在的威胁分布等等，安排专项的预算，部署专业的信息安全设备，有机的整合各种安全解决方案，以支撑企业的信息安全政策和措施，从而无缝的覆盖企业的IT应用。

 

　　同时信息安全和IT部门还要协调企业各种资源，建立快速完善的安全事故响应机制并定期演练，以便在万一的情况下尽快恢复业务，保障业务连续性，尽量减少可能的损失。这次支付宝杭州机房的光纤被挖断后可以在不到两个小时内把业务和数据切换到其他城市的数据中心，成功的恢复业务，也从一个侧面体现了支付宝有比较完善的灾备能力。有评论说支付宝的这次表现，是一次说不上完美，但很成功的真实灾难切换，也是中国金融史上第一次在完全突发情形下，成功完成切换的真实案例。

 

　　再次，对企业的业务部门和其他职能部门，公司应明确指定其负责人为本部门信息安全的第一责任人，和业绩考核密切结合，以在机制上调动部门开展信息安全工作的积极性，杜绝冒险行为和侥幸心理。同时信息安全和IT部门应根据各部门的业务实际，制定出合适的流程，部署相应的系统，以把部门的整个业务流程置于公司信息安全系统的保护之下。

 

　　需要指出的是，术业有专攻，市场上有大量经过竞争考验的信息安全公司，提供各个维度和层面的安全解决方案，企业要积极合理的利用这些已有资源，不要重新发明轮子。信息安全行业的蓬勃发展也已经从一个方面证明了这种选择是有效的。企业应积极寻求和保持与尖端信息安全技术企业以及行业专家的交流与对话，努力走在信息安全发展的前沿。原形金融今年5月初就与来自以色列的信息安全专家，BitMint公司的CEO，Amnon Samid先生在信息安全的理念和技术上进行了深入探讨，以便更好的与国际信息安全水平接轨。

 

　　后记

 

　　在采访的最后，黄荣存也向记者总结道：“只要认识到位，信息安全工作也没有特别困难的地方，其他事能做好，信息安全就能做好，关键是有端正的态度。多投入就有可能多产出，没投入就没产出，一分耕耘一分收获，不是我们每个人的共识吗？企业信息安全不需要英雄，需要的是公司上上下下同心同德，规范有序的做好每一件小事。”

 

　　“另外，做个广告，欢迎来我们原形金融网站注册体验一下，我们98.8%的保障你的信息安全。同时，如果企业有信息安全保障方面需求的话，我们原形集团的子公司，原形互联网信息安全技术有限公司也很乐意向行业伙伴提供优质优价的服务。”

 

　　注： 
 

　　萨班斯法案

 

　　《萨班斯-奥克斯利法案》（英语：Sarbanes-Oxley Act），是美国国会根据安然有限公司及世界通讯公司等财务欺诈事件破产暴露出来的公司和证券监管问题所立的监管法规，简称《SOX法案》，该法案的主要内容之一就是明确界定公司管理阶层的责任（如对公司内部控制进行评估等）、尤其是对股东所承担的受托责任，同时，加大对公司管理阶层及白领犯罪的刑事责任。该法案对企业IT系统和信息安全提出了明确的要求。

 

　　原形互联网金融服务有限公司

 

　　原形( www.YuanCredit.com）是由深圳市原形互联网金融服务有限公司发起成立的涵盖金融、支付、消费以及征信等服务的综合性互联网服务平台。

 

　　原形金融诞生于中国互联网金融风起云涌的大潮中，整合了一支来自国内外的银行、小贷、证券、第三方支付以及知名互联网公司的跨行业精英人士组成的世界级的管理团队。原形抱着对传统金融和互联网的一片敬畏之心，始终将业务风控安全与用户信息安全置于最高的战略层级，始终坚持“体验就是最好的推广”的产品理念，力争打造一个管理最严谨、用户体验最佳、提供多元化服务的高流量综合性互联网金融服务平台。

 

　　原形秉承“让一切回归本质”的理念，致力于通过互联网和大数据技术最大化交易双方的信息对称，期望交易回归诚信，期望金融回归服务实体经济的本质。
 

 

• 共2页:
• 上一页
• 1
• 2
• 下一页