2019 CIOC全國(guó)CIO大會(huì)5月23日在烏魯木齊盛大舉辦，來(lái)自全國(guó)的眾多CIO共聚一堂，最接地氣的觀點(diǎn)、最實(shí)用的實(shí)戰(zhàn)經(jīng)驗(yàn)、最前沿的技術(shù)、最新的產(chǎn)品在此匯聚，碰撞出屬于CIO的精彩火花。

以下為現(xiàn)場(chǎng)速記。

聯(lián)合汽車(chē)電子信息安全總監(jiān) 趙超

趙超：大家可以叫我超姐，我來(lái)自聯(lián)合汽車(chē)電子有限公司。范總給我布置這個(gè)任務(wù)的時(shí)候，其實(shí)我剛剛做了一個(gè)轉(zhuǎn)崗，從IT部門(mén)的IT總監(jiān)轉(zhuǎn)為信息安全總監(jiān)，這也是公司的組織架構(gòu)有一個(gè)調(diào)整，我們把信息安全從原來(lái)IT的一個(gè)科室獨(dú)立出來(lái)一個(gè)部門(mén)。我當(dāng)時(shí)覺(jué)得范總給我的任務(wù)簡(jiǎn)直像我的上崗考。但是我還是要感謝一下，因?yàn)椴粌H有上崗考，還有一個(gè)上崗培訓(xùn)，這兩天我覺(jué)得學(xué)到了很多東西。我也把我自己考試的材料跟大家匯報(bào)一下，看看范總能給我打幾分，看看是不是能夠及格。

我們先看一張圖片，大家都知道扁鵲見(jiàn)蔡桓公，這是信息安全的人必讀的教材，因?yàn)樗�有關(guān)于信息安全的要素在這個(gè)故事里都提到了。我們看一下，立有間在干什么？做風(fēng)險(xiǎn)評(píng)估，看看哪里有問(wèn)題，對(duì)于蔡煌公而言，這件事沒(méi)有什么外部的威脅，沒(méi)有人拿刀殺他或者有病毒流感，但是他自身有一個(gè)脆弱性。我們都知道，這個(gè)脆弱性沒(méi)有被及時(shí)的彌補(bǔ)，所以后來(lái)不得已這件事情只好走到應(yīng)急響應(yīng)這一步。在應(yīng)急響應(yīng)里說(shuō)趕緊找扁鵲吧，結(jié)果是什么呢？大家知道嗎？只好逃了。

在座的各位真的碰到問(wèn)題的時(shí)候，不一定有機(jī)會(huì)能逃，但確實(shí)有可能會(huì)引咎辭職，其實(shí)在我的職業(yè)生涯里好多年，我都擔(dān)心這個(gè)問(wèn)題，至少在我們的交換機(jī)被雷劈的時(shí)候，確實(shí)發(fā)生過(guò)我們的交換機(jī)被雷劈了。還好我們的網(wǎng)絡(luò)管理人住在一個(gè)小區(qū)，當(dāng)時(shí)他的電話打不通，當(dāng)時(shí)我的孩子比較小，我就讓我的小孩去找他，這就是當(dāng)時(shí)的應(yīng)急響應(yīng)措施。后來(lái)我們的數(shù)據(jù)庫(kù)擴(kuò)展命令把數(shù)據(jù)庫(kù)弄趴掉了，我們從頭到尾重建。其實(shí)我們的心臟也夠強(qiáng)大的，再后來(lái)發(fā)生系統(tǒng)管理員晚上8點(diǎn)鐘，說(shuō)起來(lái)也是努力工作的好同事，一條命令把公司幾百多臺(tái)還在工作的電腦沒(méi)有關(guān)機(jī)的格式化。我們?cè)僖膊荒苓@樣做事情了，因?yàn)槲覀冏鯥T的人都知道是靠經(jīng)驗(yàn)的，如果信息安全這件事情還是繼續(xù)靠經(jīng)驗(yàn)會(huì)怎么樣呢？所有的坑都湯一遍，大家就見(jiàn)不到我了。

大病靠防，小病靠治，可是這兩個(gè)體系是我們IT工作兩個(gè)“雙輪”，我們基本上是靠著這個(gè)“雙輪”在動(dòng)。但是它的目標(biāo)是什么呢？保證我們的資產(chǎn)CIO，但是關(guān)于這個(gè)CIO我后面還會(huì)提到多一樣?xùn)|西。可是IT這個(gè)資產(chǎn)很特別，也就是說(shuō)我們這兩個(gè)體系其實(shí)都不涉及到這個(gè)資產(chǎn)的建設(shè)過(guò)程。這點(diǎn)特別不同于汽車(chē)的物理產(chǎn)品，我也是汽車(chē)行業(yè)零部件的，16949或者環(huán)境保護(hù)14800、18000也是風(fēng)險(xiǎn)體系，但是它們都是產(chǎn)品的開(kāi)發(fā)、設(shè)計(jì)、生產(chǎn)過(guò)程，生產(chǎn)完就沒(méi)事了，反正交到消費(fèi)者手里了，出了事情消費(fèi)者會(huì)來(lái)找我們的。

可是我們的IT產(chǎn)品生之前是沒(méi)關(guān)系的，生了之后就脫不了手了，就粘在手上了。系統(tǒng)和安全這兩件事情確實(shí)不是同年同月同日生，但是恐怕它們只能同年同月同日死，也就是說(shuō)我們所做的工作都是從它呱呱墜地的時(shí)候開(kāi)始的，是不是它的建設(shè)過(guò)程也要把這個(gè)體系的事情融入呢？我覺(jué)得這個(gè)應(yīng)該是有變化的，我后面也會(huì)點(diǎn)到一些。之所以我們要從系統(tǒng)建設(shè)好了以后才開(kāi)始，當(dāng)然得益于信息技術(shù)自身的一個(gè)特點(diǎn)，也就是說(shuō)軟件硬件不斷的迭代，發(fā)展得非�？�，有問(wèn)題多一層，這一層就把問(wèn)題隔離了，所以當(dāng)我們的軟件有問(wèn)題的時(shí)候，我們可以重啟。

但是還有更重要的一點(diǎn)，就是信息資產(chǎn)的特點(diǎn)，這個(gè)資產(chǎn)和硬件資產(chǎn)不一樣，它是有靈魂的。也就是說(shuō)，信息數(shù)據(jù)被載入到了一個(gè)載體里面，甚至是不可分的，真的像靈魂，如果硬件壞了，你的靈魂也沒(méi)了，當(dāng)然好在它可以重新恢復(fù)，可以再來(lái)。另外人人都可以踩一腳，汽車(chē)的數(shù)據(jù)屬于誰(shuí)之前是一個(gè)問(wèn)題，是屬于消費(fèi)者嗎？消費(fèi)者這些數(shù)據(jù)是我的，你不要碰，但是傳感器有問(wèn)題你要不要知道。運(yùn)營(yíng)的人、管理的人、使用的人都有責(zé)任，這個(gè)不是我說(shuō)的，是國(guó)資委說(shuō)的，我在國(guó)資委培訓(xùn)的時(shí)候他們說(shuō)誰(shuí)管理誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)營(yíng)誰(shuí)負(fù)責(zé)、誰(shuí)使用誰(shuí)負(fù)責(zé)。

另外我們還看到一個(gè)變化，就是軟件即服務(wù)，以及后面的現(xiàn)實(shí)世界和虛擬世界的融合。這兩點(diǎn)會(huì)對(duì)我們整個(gè)來(lái)考慮信息資產(chǎn)的安全帶來(lái)了一個(gè)很大的變化，正是因?yàn)檫@樣的一些原因，我在過(guò)去的工作過(guò)程當(dāng)中，我覺(jué)得我們一定要“雙輪”工作，既要按照ISO的體系方式，比如說(shuō)ISO20000，我們要有真本事，等到咨詢(xún)項(xiàng)目做完以后，我們順便過(guò)個(gè)證吧，不過(guò)證第二年別人不會(huì)管你，自己也沒(méi)有那么強(qiáng)的主動(dòng)性把這個(gè)體系運(yùn)行下去，我們可以進(jìn)行回顧。但是它們有很大的不同，也就是說(shuō)20000關(guān)注的是SLA服務(wù)水平，他一定要知道這些資產(chǎn)之間的配置關(guān)系，結(jié)果以配置項(xiàng)作為整個(gè)管理的核心。安全會(huì)塌了一筆，但是在20000體系里面沒(méi)有特別展開(kāi)，這就需要我們從另外一個(gè)視角來(lái)看。

這個(gè)資產(chǎn)不是配置項(xiàng)，這個(gè)資產(chǎn)最主要的是要看資產(chǎn)的價(jià)值，它值多少錢(qián)、它損壞了、被人篡改了，它到底會(huì)造成多大的損失。所以計(jì)劃的過(guò)程是一個(gè)識(shí)別風(fēng)險(xiǎn)的過(guò)程，但是識(shí)別風(fēng)險(xiǎn)要首先找到你的資產(chǎn)，蔡桓公還是很金貴的，這是最大的資產(chǎn)。執(zhí)行的過(guò)程其實(shí)是找到措施，來(lái)把風(fēng)險(xiǎn)消除或者健身健體或者待在家里不出去，這樣會(huì)比較安全。檢查是檢查這些措施有沒(méi)有到位，是不是有效的，不能說(shuō)我上了一個(gè)措施了，我們的數(shù)據(jù)倉(cāng)庫(kù)恢復(fù)三個(gè)星期這件事情，是因?yàn)楣こ處熞恢闭f(shuō)我備份了、我備份了，但是不能恢復(fù)。如果這些措施沒(méi)有整改，就會(huì)再來(lái)一輪。我們要保持它的一致性，一致性就是不被篡改。還有保密性，這個(gè)都好理解。而我們IT運(yùn)維的目標(biāo)，就是保證SLA的可用性更多一些。