首席信息安全官,也称首席安全官 (CSO,Chief Security Officer),是机构中维护业务支撑及信息系统健康、稳定、安全运行的最高负责人。在“互联网+”的时代背景下,CSO不仅担负本机构的工作职责,同时对公众个人信息、公共服务乃至国家安全也负有重要责任。为宣传首席安全官的工作价值与成绩、传播安全管理工作经验,2015年首度在国内开展优秀首席安全官评选活动,得到了行业内外的一致好评,并开展了“首席安全官进校园”等系列公益活动。借此,第三届优秀首席安全官评选活动即日起正式启动。首席安全官(CSO),我们期待你的加入!

稀锁(CSO),他们是稀缺网络安全人才中的佼佼者,默默无闻地守护着网络安全,为我们的信息、资产加上一把牢固之锁。

杭州安恒信息技术有限公司首席安全官(CSO)

刘志乐

上海出入境检验检疫局信息化管理处处长

忻源荣

斗象科技创始人兼首席执行官

袁劲松

上海海事局信息安全具体负责人

许柯

壳牌中国区零售信息安全经理

彭浩

诺亚财富集团运营副总经理、信息安全负责人

顾全民

上海建工集团股份有限公司信息安全负责人

吴梦

上海银行信息科技部总经理

曹广智

上海市数字证书认证中心有限公司信息安全产品研发负责人

陈荦祺

上海市通信管理局网络安全处副处长

戴沁芸

GE Digital China

Kevin

浙商银行上海分行信息科技部总经理

郭文晶

中国电信-天翼电子商务有限公司安全中心总经理

乔锌

中国银行数据中心信息安全技术团队主管

张强

上海工业自动化仪表研究院副总工程师,检测所副所长

王英

中国工商银行上海市分行信息科技部副总经理

邱琳

北京华热科技发展有限公司安全管理负责人

殷国强

奇瑞捷豹路虎汽车有限公司信息安全与合规高级经理

欧建军

银客集团网络与信息安全负责人

常亮

上海众人网络安全技术有限公司科技首席安全官(CSO)

王红阳

唯品会(中国)信息安全部总监

黄承

上海地铁维护保障有限公司信息安全管理,工业控制方向管理,申通集团网络安全督察大队重要成员、申通集团工业控制信息系统归口管理单位管理人员。

沈青

上海观安信息技术有限公司

胡绍勇

优秀首席安全官参评获选名录(2016)

黄彪 中国电信上海公司安全管理部总经理

谢以清 中国农业银行上海数据中心安全管理部总经理

谭晓生 北京奇虎科技有限公司技术副总裁兼首席隐私官

薛峥 中国移动通信集团上海有限公司信息安全管理部总经理

朱建平 上海市工商行政管理局信息中心副主任

李涛 联想集团信息安全总监

潘旭乐 中国建设银行上海市分行信息技术部总经理

郝昌富 证通股份有限公司信息科技部总经理

李江力 北京匡恩网络科技有限责任公司高级副总裁兼首席安全官

薛忠胜 中国太平保险集团共享服务中心系统运行部副总经理

优秀首席安全官参评获选名录(2015)

杜守国 上海市人力资源和社会保障局信息中心总工程师副主任

应伟 上海市税务局信息中心副主任

黄育华 上海农商银行信息科技部资深业务主管

刘爽 上海电气电站信息技术部部长

卢珍 国家注册信息安全专业人员

俞枫 国泰君安信息技术部总经理

朱宏 上海地铁维护保障有限公司副总经理

王成勇 中国外汇交易中心工程运行部副总经理

马明 中国电信上海公司副总经理

顾骏 中国工商银行数据中心(上海)安全部总经理

一、什么是CSO?

首席信息安全官,也称首席安全官 (CSO,Chief Security Officer),是机构中维护业务支撑及信息系统健康、稳定、安全运行的最高负责人。在“互联网+”的时代背景下,CSO不仅担负本机构的工作职责,同时对公众个人信息、公共服务乃至国家安全也负有重要责任。为宣传首席安全官的工作价值与成绩、传播安全管理工作经验,2015年首度在国内开展优秀首席安全官评选活动,得到了行业内外的一致好评,并开展了“首席安全官进校园”等系列公益活动。借此,第三届优秀首席安全官评选活动即日起正式启动。首席安全官(CSO),我们期待你的加入!

稀锁(CSO),他们是稀缺网络安全人才中的佼佼者,默默无闻地守护着网络安全,为我们的信息、资产加上一把牢固之锁。

二、成为cso的判断标准是什么?

1. 全国范围内提供公共服务机构、企业(含外资)的部门总监及以上管理者。

2. 工作职责包括信息化建设与运维、风险管理与公共安全等技术与管理方向。

3. 具有较强社会责任感,在网络安全与信息化领域取得一定的工作成绩。

三、成为优秀首席安全官有什么好处?

1. 您将在国家网络安全宣传周期间参与颁奖盛宴并接受表彰

2. 在2017国家安全宣传周期间有机会优先受邀参加行业论坛峰会和各类交流会议

3. 成为下一年度的优秀首席安全官评选专家组成员

4. 有机会成为ISG竞赛专家委员会成员

5. 作为特邀嘉宾参加年度CSO盛会

6. 参加CSO俱乐部各类沙龙活动、下午茶活动、行业交流和其他益趣活动

上一篇
  • 乔锌 中国电信-天翼电子商务有限公司安全中心总经理

从心所欲,不逾矩——反差萌的乔帅

提到‘国企’,大多数人脑海里想必立刻会联想到的一个词——“一本正经”。然而,乔锌却和这样官方的标签,有些大相径庭。简洁的发型,剑眉星眼;一件T恤衫,随性的休闲鞋,说他是网络安全CSO,他倒是更像是教体育的年轻老师。

而同样让人感到意外的,是他的出场。作为一场CSO的专访,乔锌首次登场便带着3位小伙伴,兴致勃勃地出现在我们面前。这样的举动一时间,让人诧异,还以为或许是打开方式不对。乔锌这样解释道:“有什么缺漏的,大家就可以相互补充。而且您也可以更全面的了解我们。”

对于乔锌而言,他的安全团队就代表着自己,自己作为团队中的领队者,但更是其中普通的一员。就如同他所钟爱的足球一样,自己即是主帅,把握抉择,部署战略;同样也是一名球员参与每一场竞赛,和队员共同面对一切挑战。

加入甜橙之初,乔锌主要担任技术规划这一块,对于网络安全,实际上只能说是一知半解。但在2012年,一起信息安全事件的发生,却让他和“网络安全”从此亲密无间。当时,乔锌临危受命,参与该事件的调查。通过剥茧抽丝,逐步网络勘察、取证。最终这件信息安全事件,在多方努力下,得以平定。回忆起这场网络安全的首战,他笑得像个大男孩似得,更戏称道:“这就像是一场极具冒险的推理游戏”。

体验到了维护网络安全带来的刺激,乔锌感到了维护过程所带来的快感和使命感;但也在这一刻,让他意识到了隐藏在网络中,这股暗流所产生的巨大危险性,以及破坏力;这一切都不容小觑。于是,他决意组织成立网络安全团队。

然而,万事开头难。2012年,甜橙金融尚未形成像如今这样健全的网络安全“护卫队”。业务繁多、底层IT架构仍不完备••••••面临一系列的问题,乔锌并没有退却,反而迎难而上,从零开始,组建团队。在一次次和“对手”较量的过程中,他更加深刻地意识到在互联网金融发展迅猛的大时代里,维护网络安全、保障信息安全的举措,势在必行!尤其是作为甜橙金融,这样服务于大众,建立于百姓信誉之上的国企单位。乔锌坚定地告诉我们,自己所保障的不仅仅是企业自身,而是要对更多的人负责,对社会负责!这就是他的信念,更是整个团队所秉承的信念!锌率领的团队,短短几年间,创建多项网络安全防御体系、防护系统,都分别取得巨大成功。

对于网络安全方面,人才流失是不少CSO头疼的事情。何况如此优异的团队,难道乔锌就不担心吗?问及这个问题,乔锌表示无压力。自己所带领的安全团队状态很好,非常年轻,平均年龄只有29岁。对于这样年轻化的团队,乔锌的第一个带队理念就是:独立。支持大家独立思考,自主学习、研究,发展每一个人独有的人格魅力,而非固守着“规矩”。他自信地说道:“团队的凝聚力受大环境下影响,更基于团体内成员件彼此的牵绊。”大环境下,甜橙金融企业文化,主张员工应该具备四字诀——“勤、勇、乐、胜”:勤于创新思考;勇于承担使命;乐于助人成功;胜于持续改进。在这样企业文化的熏陶下,乔锌进一步突出团队成员的自立自强、敢为人先的精神,形成了团队成员独有的品格——个性、随性、有担当、热心肠、敢拼博!

安全团队成员工作时间随性,但在思考如何防御攻击,创新防护上表现得异常勤奋积极;作为网络安全的守护者,面对来自外界的“战火”,他们主动担起责任,成为甜橙“护卫队”;无论企业内外,分享彼此间遇到的安全问题,避免他人重蹈覆辙,组织行业间的技术沙龙、安全竞赛、挖洞比赛更是促进安全行业情报、漏洞、信息的分享以及人才的交流,对于乔锌他们而言都是举手之劳的事情。

大环境造就外力,团队内部则生成内力。乔锌的安全队伍里,“没大没小”似乎早已成为了彼此之间司空见惯的事情。相互起绰号,体格大的叫做“大象”;娇小的女孩,被称为“小金刚”;还有一本正经的“王sir”••••••每个人都有着自己量身打造的“昵称”,就连乔锌本人也不例外,他被大家亲切得称呼为“乔帅”。成员们齐声解释,因为乔锌是全军之帅,也是全队颜值担当。乔锌先生笑道:“就连刚入职的新人,也会不例外。”幽默的调侃,造就安全团队一种轻松自然的氛围,让刚入职的新人倍感亲切,很快融入这个队伍。

如果说“取绰号”显得有些中二,那么拍摄彼此的照片,P成表情包,在安全团队内“互黑”则可以说对国企严肃形象的再次颠覆。据成员们爆料,乔锌主要是被P对象。面对这样的“黑客”,乔锌本人不仅不在意,反倒喜闻乐见。甚至有时还会“黑”回去。团队氛围融洽,将年轻人那份“无节操”贯彻到底。团队成员在一起玩得开心,干得专注;大家目标一致,怀着一颗赤子之心,凭着这内心这股澎湃的冲劲,一同守护着这块“第五领地”平安。随性张扬,团队共荣,让每个人在不断进步的同时,也更加清晰地认识到不可逾越底线是什么;自己坚持是什么。乔锌表示,外力和内力互通,就是现在展现在眼前的甜橙安全团队。这样具有凝聚力的团队,其内部分工明确,布置工作不受阻力,成员间关系融洽,形成互补,所以彼此间默契程度也极高。作为主帅,往往自己的意图,简单几句,大家就能够领会,并且高效执行。

在2016年,乔锌更建立产学研一体化的安全联合实验室,进行校企合作,产学研一体。将AI威胁建模、ATP攻击防护此类走在国际前沿的学术研究,运用在甜橙金融的未来发展中。同时,也为许许多多学生们提供了实践理论的平台;而优秀的学生,加入实验室后,成为企业的自造血液,形成新生力量。

稳固的安全团队,不断发掘、培养人才,这样的管理策略,也难怪乔锌如此自信了。然而乔锌还是有自己的担忧,那就是随着互联网和移动互联网的普及,网络安全攻防博弈的对决将会持续升温,虽然更多的企业持续不断的投入安全防护保障,但没有绝对的安全,敌暗我明,防不胜防,需要全社会共同努力去营造一个健康的网络环境。

2017年6月1月,国家正式实施《中华人民共和国网络安全法》。问及关于这部法的看法时,乔锌直起身子,重新坐定,一本正经地说道:“没有规矩,不成方圆。我认为《网络安全法》不仅仅是维护了各方权益,更保障了网络安全的发展。”他进一步说道,尤其是现在!《网络安全法》的正式实施,告诉了大家明确的底线在哪里,让安全人更加平稳的前行,而不是像以往那样要大家自己去摸索。就像是汤水过河一样,都不知道脚下的路在哪里,会不会踏空?而《网络安全法》则给了我们一条较为清楚的路线图,从而得知法律所规定的基准在什么地方。

作为CSO,乔锌能够把控全局,权衡利弊,减少经济损失,防范企业声誉损失,保障企业公信力。品牌的公信力受损,那将是不可估量的;而让老百姓失望,那将更加不可估量。保障网络信息安全,追求稳定、绿色的支付形式,杜绝套现、诈骗等不良行业现象,使得金融类优化,在生态大环境得到认可,这乔锌所坚持的为社会奉献精神。随性为人,克己处事,当断则断,这就是甜橙金融CSO乔锌。

介绍视频

  • 殷国强 北京华热科技发展有限公司CSO

铁骨柔情,旭日朝阳

这是一场别具一格的采访——隔空式采访。或许正是因为这样特别的开端,才使得本次采访注定与众不同。

殷国强先生现就职于北京华热科技发展有限公司,任公司CSO。进入信息安全界,对于殷国强先生来说可以说是一气呵成。大学刚毕业便入伍总参的他,在2000年从部队转业后,直接进入了安全圈。在长达16年的时间里,殷国强一直担任信息安全产品企业技术管理或部门管理职务,售前售后技术支持、安全服务、标准编制等工作均有涉及。

最初华热科技邀请殷国强加入公司时,殷国强还是有所顾虑的,毕竟热力行业在信息安全方面的需求在当时并不明显。直到2016年初,通过进一步的深入了解,他得知华热科技在供热行业信息化和信息安全方面的工作已经展开,并已经取得了一定的成绩,而华热科技领导层对供热行业工控安全的认知和企业发展理念使殷国强甚为认同,让他感到这正是他所要的发展空间,也是工控安全和信息安全所需要的发展空间;虽然供热行业信息化相对落后,但是也正是应为这样,能够给信息安全和工控安全建设带来更大的发展机会。瞄准这两点,殷国强接受了华热科技信息安全部门的工作安排。

出身军旅的殷国强,即使已经“从文”多年,依然秉持着中国军人的品质——坚韧,这在编写制订《信息系统安全管理平台技术要求和测试评价方法》时,表现得尤为突出。

殷国强很早便意识到,该项标准最终是要服务于国家等级保护的制度要求的,同时还要能够符合信息安全技术的发展趋势。他深知一个道理——无论信息技术、信息安全技术、工控安全技术、物联网安全技术如何发展,信息安全管理的目标不会变、原则不会变。而改变的,只是具体技术和方法。因此,在标准编制过程中,他和其他几位编辑人一直不断地和各个安全厂商、安全专家进行探讨研究,希望通过寻找、讨论、摸索,能够找到达成大家共识,且符合等级保护已有标准要求和技术发展方向的最终“基准点”。

历经8年的修订,《信息系统安全管理平台技术要求和测试评价方法》正式成为信息安全管理上的“墨线”。在这8年里最大的挑战,殷国强直言是从“本来无一物”中生“有一物”。信息系统安全管理平台实际上并没有任何现成的国内外产品标准可以作为参照,一切完全是凭借对安全管理需求上的理解,参照市场上现有产品的主要功能,以及相关政策法规要求来编写。前前后后改动了无数次,甚至推翻了几十稿,才得以使得标准得以实现!身边很多人劝殷国强放弃,但他觉得这项标准的诞生,对于信息安全行业,对于国家等级保护建设意义重大。怀着一份军人与生俱来的责任感,一份对信息安全的炙热之心,加之崔书昆、景乾元、陈冠直等众多老专家的鼎力支持,殷国强就这么咬着牙,一路挺了过来。而最终的结果,也证明了他的付出是值得的!

对待许多问题上,殷国强所做出的前瞻性举措同样让人钦佩。用他的说法就是:自己的思路是找问题、看实质、拿办法。比如工控安全问题。2010年伊朗发生“震网”病毒事件后引起多方重视,殷国强便首先提出了解决震网病毒类似工控安全问题的工作思路。通过分析工控安全事件,他发现工控系统安全问题的主要有安全设计问题、安全运维问题、人员意识及技能问题等,即工控系统在设计及运行时缺乏信息安全方面的考虑和应对准备。因此,解决工控安全事件,首先要解决工控系统的安全设计;然后,是针对工控系统进行上线前安全检查,确保工控系统在运行前具有有效的安全保护措施;再有,就是按照等级保护标准,通过日常安全管理和运维监测手段,加强对工控系统运行风险的管控;另外,还有提高管理和操作人员的安全意识,使其掌握发现和处置工控安全问题的技能,以此来解决工控安全问题。

为了解决“震网”病毒问题,自2012年开始,殷国强致力于研究工控安全问题,提出过工控白名单策略、时空防御模型、安全基因等解决工控安全问题的设计思路,但是,面对类似“震网”病毒或木马的攻击,如何才能在不影响现有工控网络正常运行的情况下准确发现病毒,并能及时采取控制措施,这是工控安全亟待解决的问题。

“首先是发现”。对于震网类病毒或木马,只有及时发现、准确定位,才是有效应对的前提!为此,他曾一度考虑采用蜜罐技术+仿真技术等现有技术措施来实现对攻击行为的发现和定位,但蜜罐易被病毒识别,且不易被一线操作人员掌握,一旦失控反而可能成为攻击的跳板。

加入华热科技以后,面对智能热网工控安全问题的挑战,他与各个传统安全厂商、工控安全厂商进行了反复交流沟通,发现还没有一个能真正解决“震网”病毒问题,很多措施只是停留在理论或实验层面,没有真正落地。经过与原先做硬件的合作伙伴沟通,发现采用软硬结合的仿真诱捕系统可以有效发现病毒攻击,获取攻击证据,同时避免被攻陷后成为攻击跳板。同时,配合专门为工控系统开发的安全管理平台、主机安全基因植入等技术和产品,能够从主机、网络、业务应用等几个维度定位并控制安全威胁源。

在去年底到今年初,在华热科技信息与工控安全部门的员工的共同努力下,他们用仿真诱捕系统、工控安全管理平台在热力有关单位进行测试,发现了很多受病毒感染的设备,基本上还没有发现没被病毒感染的网络。经过实验,对于后来爆发的勒索病毒,它也能及时发现。目前,他们正筹建供热系统工控安全实验室,以更好地服务于供热行业的工控安全设计、安全运维和人才培养。

前不久,在大连举办的“第九届供热技术与企业管理信息化论坛暨首届中国智慧供热高峰论坛”中,殷国强发表了以《保障供热关键基础设施——关注智能热网工控安全》为主题的演讲。借这个机会,殷国强表示想为整个行业提个醒:当前工控安全形势严峻,《网络安全法》已经开始正式实施,而很多供热企业和信息化服务提供商都还没有准备好迎接工控安全挑战,这会给供热信息化、智能化建设带来不利影响。

而对于《网络安全法》的看法,这位“战士”直抒胸臆。他这样说道:“网络安全早就应该纳入法治轨道。《网络安全法》只是在补课。补课总比缺课强。未来网络安全的法治化道路还很漫长,好在我们已经迈出了第一步。而我今年的主要任务就是宣传推广《网络安全法》,并在供热行业率先推行《网络安全法》的落地。”

智能热网的建设离不开工控安全和信息安全保障,其本身就是《网络安全法》中规定要重点保护的关键信息基础设施,因此对于安全团队的建设,殷国强认为,要建立符合网络安全保卫作战要求的“网络民兵部队”,平时为民,战时为军,担负起保卫关键信息基础设施的责任。

在采访过程中,殷国强说到,信息安全就像一个阵地,不能有任何闪失,一旦出现问题便难以弥补。通过殷国强,我们能够看到一个“战士”对待任务的重视,也能感受到信息安全问题的重要。随着互联网的兴起,信息安全问题随之而来 ;随着工业互联网应用的日益广泛,工控安全问题也逐渐突出。守护这一道阵地除了依靠工作人员的责任心,更需要强大的技术力量支持,殷国强表示,他将以华热科技为基地,大力加强企业安全技能培训和演练,提升技术力量,将现有IT运维团队打造成供热行业领先的安全运维服务团队,坚决守卫住这个阵地。

  • 刘志乐 安恒信息

时代洪流下的网络信息安全

刘志乐,北京大学光华管理学院EMBA学位,广东外语外贸大学特聘教授,浙江师范大学特聘教授,现任杭州安恒信息技术有限公司首席安全官(CSO),高级副总裁,中国网络空间安全协会竞评演练工作委员会委员等职务。长期致力于网络安全业务,并始终保持着对信息安全前沿技术的敏锐把握。在安恒信息工作期间先后参与和主持了智慧城市安全、大数据安全和态势感知等信息安全创新领域的研究和开拓,主要研究方向有安全形势的严峻与安全技术的发展趋势、云计算和大数据的安全挑战与机遇等多个研究方向。

新的形势下,网络信息安全迎来新的机遇,未来也将面临着新的挑战。刘志乐在百忙之中接受了我们的采访,就网络信息安全的发展,谈过去,说现在,话未来。

遇见安恒——梦想终将启航

在没加入安恒前他还只是个程序员,网络信息安全对他来说还单纯的只是个爱好,他自己也没有考虑把爱好发展成一种职业。所以多年的坚持,也并不全因梦想。还有一方面是从05、06年开始,中国的网络安全行业在迅速发展壮大,也是这样的契机下,爱好有了发展为职业的机会。他自己也说,这是个很现实的世界,如果爱好不足以养活自己,养活家人,那它终究只是一个爱好,而不能成为梦想,更别说是为之奋斗的事业。

爱好最终如何成为奋斗的事业?那是一个他和安恒结缘的故事。2009年夏天,当时他还在江苏做程序员,和多年挚友无意间的谈话,他去到了安恒总部。最初只想去看看,但了解安恒具体情况后,他毅然决定留下来。没和家人商量,没带任何生活用品,留下来之后就连续一周的加班加点工作,期间连衣服都没机会换。直到一周工作结束后,他才告诉家人自己换了工作,接着搬到杭州。他感慨道:“也许就是冥冥中注定的缘分,让他遇见安恒——梦想启航之地。”

团队建设,人才战略是关键

他所带领的安恒信息安全服务团队最初只有五个人,发展到现在100多人。他说团队建设是他在过去几年里做得最多的事情,有着深刻体会——人才是第一要务,他作为管理者,只有做好自身才能管理好一个团队,创造公平的环境,帮助每个员工做好职业发展规划,促使员工自主追求卓越、不断提升。

近几年中,行业人才缺口很大,安恒以何打动人心?“并不是他们能给员工多少利益和经济条件,而是他们有着自己的发展平台,企业的核心竞争力;企业在行业内的影响力让他们更有说服力。同时他们对员工有着百分之百的信任,有实力,安恒就给你展现的平台。

技术不是“原罪”,关键在于用

他在光华管理学院读书的时候,有一个商战模拟课程:是在一个虚拟平台上模拟一家公司从注册到产品原型的设计、产品的生产等,根据不同的人物性格分组,组建一家公司,经过PK赛,最后决出冠军。可比赛中他发现,通过自己的技术能看到竞争对手的分组、决策。但总决赛他们与对手的比分拉开时,他并没有篡改对手的数据,只是做了截图为方便之后的课程总结汇报。最终,这场模拟赛他们小组取得第二名。

最后课程汇报总结时,他将那张截图放在了最后一页的PPT上,他说这是在一个虚拟环境下的比赛,他没有做任何改动。可现实世界就不一样了,你的竞争对手就可以利用这个漏洞去窃取你的个人信息,雇佣黑客去修改你公司的决策。他提醒同学:网络安全问题是无时不在的,在做模拟比赛的过程中,大家都没有考虑存在网络安全问题,更没有意识到自己的行动都在别人的掌控之中。

“技术本身没有原罪,它就像把菜刀一样,可以切菜,同样也可以杀人,就拿网络上的黑客技术来说,没有所谓的对与错,关键在你怎么用。”如果他拿着他的技术去篡改对手的数据,让他们小组获得第一名,这个时候这项技术就不是一件很光彩的事。但是他跟同学们一起分享这一项技术,用于提醒同学树立正确的网络信息安全观,那就能发挥本身存在的意义。“

从内到外,打造企业核心竞争力

他们企业对于安全管理理念是外防黑客、内防内鬼。企业资产和信息有着很重要的泄漏途径,一是黑客攻击,黑客通过入侵外部系统将后端数据导出,不法分子再将数据进行整理买卖,用于广告或者用于欺诈。另一类就是和外部黑客攻击旗鼓相当的内部数据泄露,也被称为“内鬼”。“内鬼”出现在各行各业,涵盖范围非常广。但是“内鬼”并不一定是指公司内部员工、软件开发人员、维护人员,有一定权限可以在内部网络进行操作和查询的,都属于这个范畴。

而他们企业有着他们自身的防护理念。从外部防护来看,通过边界防护、云防护等几道防护措施,做好监控和预警。内控就会比较复杂,“内鬼”的防护他们自己的“四件套”组合拳,可以彻底解决管理和技术上的难题。也因为各个平台的特性能够有效的利用起来,让他们的这套系统在当下的各行各业中有着明显的成效。他们也在致力于创新自己的安全防护技术,从内到外,打造企业核心竞争力。

网络信息安全重点不只是防护

刘志乐表示,现在很多企业对于安全防护意识还是很淡薄的,就乌镇世界互联网大会的事件来说,确定会议在乌镇举行之后,公司团队到乌镇开始对各大信息系统进行全面检查,在检查过程中,发现能很轻易得到他们的核心数据库资料。可也恰恰说明了:这么多年,很多企业在网络安全问题上的重视程度并不够,如果不是因为承办重大的国际性会议,他们的领导人甚至认为这一切都是合理的。会议再过两天就要举行了,大量的信息安全问题被发现,他们团队将问题反馈给对方公司之后就没有收到任何消息。一直到中央网信办高度重视这个问题之后,对方公司才主动找到他们,寻求解决方法。

这个事情也恰好说明网络信息安全问题无时不在,他提出了自己的倡议:首先公司在战略上要支持,在新的威胁形势下,要改变过去注重防护这种思维。其次要监测,也要有应急响应体系、预测体系,这个体系不是说出事之后才开始解决问题,而是防患于未然,将这种危害扼杀在萌芽状态。防护只是一个手段,监控预测才是关键,从被动到主动,这能从根本解决问题。这是技术层面,而在日常的信息安全宣传中,我们又该如何做?比如时常给老总提提醒,也可以利用技术团队做个小实验,引导他去重视信息安全问题。最重要的就是能够在高层面前宣传信息安全防护意识,还可能将不可调和的矛盾转化为相互认可的文化。

时代浪淘沙,与时共前进

他自己也表示他们这个行业还只是个小众群体,不被理解、缺乏广泛关注是曾经这个行业的常态,《网络安全法》的颁布对这个行业来说是一个契机,法律的出台让很多企业去关注网络信息安全。可在企业构建属于自己企业的文化特色时,使网络安全文化上升到一个新的高度又该如何实施?这是值得深思的。

在这点上他首先提出——创新,同时企业要有符合自身文化的安全文化宣传理念。在构建企业安全文化时,企业要树立凡事有章可循、凡事有据可查、凡事有人负责、凡事有人监督的企业安全文化,那么多年以来他们的公司也在一直坚持这么做。

面对时代洪流下的信息发展,对未来网络信息安全的发展道路和面临的挑战,他提出了自己的见解:未来信息变革的实质——就是生产力的提高,生产安全在未来就是一种生产工具。而我们作为CSO应该明白的一点是,由于我们这个时代的发展,传统的生产力终究会被现代信息化的生产工具所替代,传统与现代信息化生产的叠合,将过去的管理思路与信息化时代的产物相结合起来,创新出的管理方法才是符合时代发展要求的。在过去我们只是以人为主要的管理思路,可未来更重要的就是要以信息化数据为主要的管理方向。在传统与现代的融合时,未来还有很多东西需要我们思考,信息化时代我们面对的可能会是人工智能,而我们在这方面的管理上又会擦出怎样的火花?目前这还是超前的话题。总的来说,信息安全文化的形成、管理还是一场硬仗。

  • 戴沁芸 上海市通信管理局

站在网络安全保障第一线的英雄

随着网络信息技术的广泛应用,网络安全问题逐渐成为人们关注的焦点。人们在享受计算机网络为生产生活带来便捷性的同时,也要面对信息化所带来的风险。无论是拒绝服务攻击事件,还是“WannaCry“病毒的袭击,都会影响公共互联网的网络安全。上海作为中国的金融中心,必然成为黑客攻击的重点目标。为了应对这些问题的出现,上海互联网应急中心承担着国家和政府的要求,站在了网络安全保障的第一线。在互联网的前线有一批人在默默地为我们保驾护航。

走进戴沁芸女士的办公室时,她微笑的向我们走来,与我们相继握手交谈,从容而大气。作为上海互联网应急中心网络安全处副处长,长期从事公共互联网网络安全保障的工作,开展网络安全前沿技术的跟踪和研究。戴沁芸早期毕业于军校的信号处理专业,对密码也有一定的研究。后来到华中科技大学学习通信专业,博士毕业。在中科院上海微系统所做的4G无线通信网络。到应急中心后,需要重新学习网络安全。这一切都是一个新的开始,从通信领域跨度到安全领域,一点点去学习,一点点去摸索。寻找合适的工作方法、学习方法、思考方法,再加上自己内心的动力,成功跨越到另一个行业。

“虽然我们的日常工作特别的繁杂和琐碎,承受的压力很大,但是我们承担的是党和国家所赋予的使命和责任。”戴沁芸在叙述她的工作时十分自豪的说道。所有的行业除了各自的内网、专网外,都需要接入公共的网络通信服务。运营商是站在网络最前面的一部分,应急中心既是基础运营商的主管部门和技术支持部门,又是具体的执行部门。上海互联网应急中心与其共同面对一线的网络安全形势的挑战。早在2010年上海世博会时,单位要求214天的不间断值班对互联网进行检测和保障,包括世博会的开始和结束前后半个月,无论是筹备、备战、决战、攻坚战等一系列不同的阶段都需要对互联网进行安全预警。每天要处理大量的数据、暗网、暗链以及网络钓鱼等安全事件。无论是“G20峰会”、“十八大”、全国“两会”还是 “建党95周年”等重大事件时,上海互联网应急中心都在为上海地区网络安全监管与防护工作的具体实施发挥着积极作用。

当面对如此强大的工作量,其团队的员工数量却十分的少。“因为工作具有保密性,有些工作可以请外协团队支撑,工作的核心内容仅能依靠我们自己做。“戴沁芸表示。她的团队岗位编制十余人,现阶段真正在岗在编的只有8位。人数远低于其他重要行业的技术部门。相比之下,承受的任务与压力也更大。整体来讲,网络安全工作也缺乏专业的技术人才队伍。按照我国目前网络安全人员培养体系,2015年国家刚刚成立了网络安全空间学科,也就是说网络安全空间学科的第一批博士基本要到最2025年才可能毕业。现阶段,从事网络安全工作的人员大都来自计算机、通信等相关专业,很多问题都依赖在工作实践中学习和探索,没有成熟的业务模式能够借鉴。上海互联网应急中心团队中的员工有着认真踏实的工作态度、孜孜以求的敬业精神,大家会在繁杂琐碎甚至枯燥的工作中寻求乐趣,能够对国家赋予自身网络安全工作承担起使命感与责任感,每个人都在自身岗位默默奉献。“安全这份工作,你可以做“一分”也可以做“十分”,深浅很长,甘苦自知,付出多、责任大是这个行业的特点。

外部诱惑大导致了人才流失的现状,而人才稀少是根本的原因。“我们单位不是和经济收入挂靠的单位,这是和企业最大的不同,赋予的是党和国家的工作、责任、使命,既然选择了这个单位,就要面对现实状况。”戴沁芸回答道。作为应急中心,身上肩负着国家层面的政治使命的,更多的是从意识上去教育,肩负着社会的责任感,单位的员工都是共产党员,要定期学习习总书记的讲话,还要学习廖峻波同志的优秀思想做事情抓核心抓关键点抓要害。与此同时,要注重技术的培养,一是尽可能的寻求外部的学习机会,让员工外出交流与学习。二是自己学习。在内部财力允许的话,单位会对员工组织岗位职业培训,但主要的提升还是来源自身努力。

信息化发展的脚步越来越快,如今人工智能,云制造各种新的概念在国际上不断被提出。安全大脑的出现是指通过数据分析去发现一些新的存在的安全威胁,可能是多规则的匹配,或者是利用一些算法的实现去识别。国内也在一直探寻着新科技的发展。作为保障部门,员工大多数都是年轻的博士,怎样才能把新鲜学到的知识运用到这个行业中,领导也在考虑各种各样的激励措施,以此来鼓励他们的积极性。很多人都在这个项目上做研究,做突破。国内怎样才能和国际接轨,能够赶上国际的前沿步伐,这也是值得探讨的问题。戴沁芸表示:“在做学术讨论时,对国外的研究点进行了解的同时,不要盲目崇拜,是否运用的合适以及是否适合推广,这些都是需要时间来检验的。一种技术要运用到一种领域,首先要保持清醒的头脑,冷静的去看待前景。国外的发达科技领域运用到中国时,需要一个平滑的过渡,到底适不适合中国,是否适合各个行业,实践是检验真理性的唯一标准。而未来怎么样,时间也会有客观的评判。。”

作为站在网络安全保障第一线的英雄,戴沁芸及其团队默默无闻的坚守在岗位上,无私奉献是他们的标签。他们用实际行动在互联网的前线,为网络安全保障贡献自己的力量。

介绍视频

  • 王英 上海工业自动化仪表研究院

这个坑,我要挖到底—工控安全领域CSO

“安全是国际的,不是一个国家、一个地区、一个工厂的问题。人类是一个大社会,我们在这个生态圈,我要谨慎,不会违背自己的良心,我要守住最后的底线,这是我的使命。”

这是采访中王英女士最后告诉我们的话,然而这句话的重要性贯穿整个工业控制系统安全的事业中,因为不比金融业、互联网产业安全问题损失的是利益,工控安全最后的那条底线是人的生命。她畅谈了两个小时,甚至超过了约定的时长,就是想唤醒所有人对工控安全的关注。

总有人觉得这个行业深不可测,离我们太遥远。王英在最开始宣传工控安全理念的时候也遇到了这样的难题。“很多老总对工控太不了解,感觉我们好像很高大上,然后人才方面上来就想到黑客了?”“刚开始,我们上门直接就被拒绝,一些企业老总说到工控安全问题就讲还有会议要开不谈了不谈了。””她无奈地笑着说道。安全自古以来就是高投入低产出的事业,在如今这样以经济效益和产值为导向的评价体系里,承担风险大收益不实际可见,所以没有人愿意为此投资,这是每个行业安全部门的难题。然而外界对工控行业的陌生感更让她步履维艰。其实,大到核电站的监控,涉及国家安全,城市的基础设施建设;小到自来水厂的控制系统,这都是工控事业的管理范围。一个指标的出错,我们可能喝不到纯净的自来水甚至丧失工控人员和普通百姓的生命。

“这就是这个行业悲哀的地方,因为工控安全总以事故为导向引起人们的注意。”比如历史上著名的切尔诺贝利核电站事故,让人闻风丧胆。而近几年,人们在2011年伊朗核电站事件才开始意识到工控安全概念,国家才开始排查这个问题。2011年前,根本没有安全队伍,工控安全本身开始是本质产品安全,之后才谈功能安全,信息安全。她作为工控传统安全监管的先锋人物,临危受命担起重任。“真的是一个很偶然的机会,领导说你是做传统安全,传统背景最接近这个行业,可承受这个压力去挑战一下,赋予你新的责任。”作为一名CSO,听到责任两字,使命感油然而生。

可问题也接着来了--从软件代码到风险评估,信息安全专家来的时候完全术语不通,“为了和信息安全组有对接,我就去学习了半年,完全不一样的东西,然后去企业做调研,调研结果拿到的时候完全是害怕的,真的没有安全意识,很多系统无人值守可以随意接入,重要性和必要性激励我,做安全的人责任心和使命,一定要搞好。”之后她开始实践,重新做了一套系统,开始做分析在工厂呆了半年才上了这个系统,但新系统遭到反对质疑,没有人理解,她继续用技术证明,后来创新性地研发出透明接入的方式克服了信息安全加固对工业控制系统实时性和可靠性的影响,设立工控专用的信息网,成功建立全方位的工控系统安全防护体系,如今项目成果在行业已经广泛推广。

王英和团队用技术证明工控安全的可实现性,也吸引了很多第三方企业的关注,比如互联网公司,融合之始气氛并不和谐,华为在一次会议上公然指责工控行业的保守封闭性:你们的通信协议这么多,高智能化高信息化的时代,信息互联互通都没法做到!她突然意识到或许工控行业真的要主动寻求变化,不能变成一座孤岛。后来如事实所见,it互联网带来的审计和监控系统的完善是系统性的创新进步。再回想起那场会议,她说:“我真的欣赏两个不同领域的人在一起交流,但刚开始真的就像是吵架但我觉得在安全领域,信息届比我们要活跃,它的思维理念会给我们带来很大的冲击和变化,但其实这就是融合的过程现在感觉真的能在一起了,工控系统现在心态很好。”终于,王英女士的笑里少了无奈。

工控安全50%技术,50%管理,技术进步只解决了50%的问题,作为一名上级管理人员,剩下50%她一样不会放过。首先不让外人接入:人员审查,分三级区,很多区都进不去,要进行安全教育一个星期才可以进去,到现在的工业现场去看,所有的光驱都是拿掉的,usb口都是封死的,主机也都会锁起来。这点很矛盾,信息化的高速发展反而带来了更多潜在的危险,需要用传统的方式来加强信息安全,需要更多地去监控人力。再者,王英女士已经为行业提供信息安全培训达500多次,通过管理培训,内部安全事件发生率大大下降。工业行业的特殊性对安全要求更加苛刻很多设备都在高温高压下操作,工控方面是人员损失和环境污染。“我不被允许犯错误的,器械安全压力真的很大,搞安全真的是掉进坑里了”

而就在前不久,国家新出台的《网络信息安全法》也是应需而生。这似乎给她减少了一些宣传负担,无疑对工控行业是个好消息,出事承担法律责任,从制度上保障,产业投资避免损失,从顶层抓起,谁运营谁主管谁负责,这样的安全责任制才让它意识到问题去建设这个团队。但王英又提出了新的担忧:“没有那么快,上层的法律法规要配套下层可实施的政策。政府还要有资金支持,比如现在在推广的安全示范企业,减税补贴相对鼓励等等。”安全意识和安全文化的建立是一个过程,法律当然是最基础和最坚固的保障。“这点我坚信我们会走的更好!”

信息化发展的脚步太快,给传统工业带来一次次挑战冲击,如今智能制造,云制造各种新的概念在国际上不断被提出,作为工控安全行业的稀缺精英,她代表我国去和其他国家交流,学习创新方面她一直走在前端,但有时她也坚决对某些技术说不“我要谨慎,我真的没有办法违背良心,中国的工业基础相对发达国家还很薄弱,当你看到北京郊区的某个工厂还发出恶臭的味道,你就知道我们没有办法这么快去谈新技术去谈信息安全,这条路还很长。”她再次忧虑了,这次出于对整个行业的人文关怀。两个小时的采访中,一路跟着她从不认同到被认同到被需要,充分感受到她对这个行业的热爱,所有辛酸背后的付出都化为了今日的谈笑风生,但只有这次她降低了音调,放缓了语气---出于一名CSO最后的使命感。但似乎就像她自嘲道,“以前他们总夸我年轻,现在都委婉地说你这些年‘成熟’了不少啊,掉进安全大坑了老了,我怎么总在给自己挖坑啊?”其实,你是这个行业的填坑人。

开头谈到结尾她说的话,最后讲讲刚见她的细节,刚进办公楼前台说:王英女士出差了不在的。深感诧异,王英解释道:“真不好意思刚回来她可能还不知道,你们采访完,明天又要走了…”路漫漫其修远兮,工控安全领域,这是她的心之所向,步履不停。

介绍视频

  • 忻源荣 上海出入境检验检疫局

一个永远严谨的工匠,一个低调是永远的管理者

这篇采访,想从入场讲起。

2017年7月7日上午十点,我们如约来到了被访人物忻源荣的工作单位—上海出入境检验检疫局。进了大门,一位女士带领我们接受保卫处的身份检查,需要携带身份证登记;大厅门口依旧有保安看守,听到那边的通过放行,我们才成功进入了工作大厅,整个环境安静肃穆,所有工作人员都穿着威严的制服。

这可以说是采访人员最难的一次入场。安全的重要和防范在小处体现,这也看出作为政府部门相比其他公司单位更严肃认真的态度。而忻处讲到安全对检疫局的价值则有着更深刻的理解:“信息安全价值,它更是一种无形的资产,比如政府的形象、企业的声誉,这些无形资产的价值是无法完全量化的。”看似简单易懂,却真的很少听其他受访者提到这个观念。无形资产是政府机关单位比起其他行业多出的压力和责任,也是忻处几十年从业经验的独到总结和体悟。除此之外,忻处也讲到了信息安全对国家贸易的影响不容小觑。

出入境检验检疫是贸易环节一个重要组成部分。中国经济的三大驱动之一--外贸占GDP很大比重。如今,业务信息化程度高--比如此次的采访地十分特殊,是在一个全局的监控大厅,一整面墙大小的LED显示屏展示了所有的上海国检业务数据,如主干系统运行情况、今日报检/申报量统计、入境不合格信息通报、通关便利化程度等等。各处闪烁的红蓝灯、实时的数据通报和系统运行情况都在这块电子屏幕上一览无余。高度信息化可以说把上海的口岸连成了一张网,牵一发而动全身。忻处还告诉我们:“如今通关单、查验结果、通知放行全部都是电子化的,很多窗口都是无人化的。而上海口岸业务数据占全国四分之一,肩负着长江经济带任务,所以安全是全局性的,出现问题损失是难以估量的。”如此重要性,如此的压力难免让人思考,他作为一个管理者怎么去加强信息安全体系建设才是最有效的呢?

忻处从容不迫、条理清晰地给出三点意见。要加强自主建设一是要制度先行,通过责任制度、人员管理制度、运行维护制度、设备和管理制度、应急响应管理制度、信息安全政策宣贯制度这六个方面来加强制度建设,比如“互联网、内务网准入都有严格准确管理制度。”二是技术防范,会购置信息安全设备从源头上控制。这里便涉及第三方合作机构问题,他颇有信心地说:“我们内部会有一个审核机制,只要审核进入的信息就一定是安全的。”但同时他对于第三方运维服务人员的有效管理也很头疼,呼吁业内人员的共同努力。因此第三点建议是加强员工信息安全培训,“信息安全意识教育,人是最关键因素。”这点忻处通过举例提出了十分新颖和有趣的观点和方法。

“我们每年也会请网络安全公司宣讲或者发一些小册子来让大家学习,但发现这种说教式的培训,员工真的听不进去,我们就新媒体技术把它改成体验式沉浸式培训。就从保护自己的手机终端做起,让每个人都意识到安全就在你身边。” 他们做了一个恶作剧的小测试,发出邮件,冒充IT管理员通知说系统更新要求用户修改账户密码,然后附上钓鱼链接,看看哪些员工还未能真正建立安全意识?如果有人上当,就用一个轻松的页面再次提醒,效果很好。“手机是自身的,其实黑客和钓鱼网站就在你身边,就像木桶原理。”

无论是关于安全价值、安全实践还是安全管理理念文化的培养,忻处的回答每一部分都十分精准清楚又不乏特色。采访全程他身板笔直但面带笑容娓娓道来,似乎温和是低调的特有附属品,所以即使是安静肃穆的环境下也并没有感觉到压迫感。途中,无意看到忻处那本厚重的笔记本旁边放着一些散落的打印纸,仔细看了下是我们提前会给每个受访者的18个问题,几乎所有受访者都是在现场草草看过,然而忻处的那些纸上18个问题每个都分层次写出了详细的回答,即使现场我们并不会完全按照其提问,但这种精益求精,严谨认真的态度令我震撼,作为一名采访者,我感到了前所未有的被尊重。这就是他提到的“工匠精神”--作实作细,追求完美,从80年代开始从事信息化行业到90年代临危不惧接受使命转到信息安全行业工匠精神贯穿整个工作核心,更落实到哪怕是一次小小的采访。作为一名普通公民,我感到一种前所未有的安全感。现在想来似乎那些侃侃而谈的经验都理所当然。

也正如这场对抗勒索病毒的完美结果一样水到渠成。最近发生的勒索病毒事件影响范围颇广,各行业的信息安全部门都高度重视,上海出入境检验检疫局也不例外。但出于多年的经验和团队建设,他完全不慌不忙。忻处组织本部分部的几十人团队连夜加班,联合许多媒体信息平台发布了一万多条预警,“整个过程忙而不乱,经过1天1夜的奋战,我局的勒索病毒感染率为零,我带领的团队也算是交上了一份满意的答卷。” “安全工作需要我们如履薄冰,不能有丝毫松懈。” 这是一堂生动的安全意识教育课,每个职员都亲身参与其中体验到了补丁和备份的重要性,领导对安全问题也提高关注。

说到关注,忻处无奈地笑着说:“我们搞安全这行很矛盾,总怕没人惦记,又总怕别人惦记太多,这个度如何平衡是我一直探索的。”是否真的只有教训才能引起人关注?出了事故才有人关心安全,但无疑最新出台的《网络安全法》给了另一种解决方案,那就是从法律层面给压力,提醒人们安全是一个不得不关注的问题。忻处深感欣慰:“这可以说是所有从事安全人员翘首以盼的。”一旁的安全团队中的蒋女士也感叹道:“从开始安全团队没有人理解,始终处于边缘,到现在勒索病毒出现,在周末一夜之间聚齐了所有人员,毫无怨言地全员在电脑前彻夜工作抵抗病毒。这中间走过许多辛酸,但现在看来努力都很值得,看到了自己的价值。”就像之前忻处参加的信息安全竞赛,掌声和赞许总会投给攻的人,比如黑客,防的人总在被动也难度更大却鲜有人关注。或许,就《网络安全法》开始唤醒人们的关注,这是所有信息安全从业人员的指明灯,也是民心所向,时代的进步。

最后当我很兴奋地问道:“这次优秀cso的评选,您终于走到了台前,有什么感悟想说吗?”忻处回答的第一句却是“低调是永远的。我不是一个人来参加这次评选,我代表整个我们安全团队”关于他个人他讲的很少,目光所及之处总是眼前那块工作的监控屏幕和身边的团队。中间我提到他把18个采访问题都整理的清楚,其实并不准确,因为第18个问题他空着没有写,那个问题是--您有没有想吐槽工作的话?

尽管世界嘈杂,匠人的内心是安静的。或许他把辛酸和怨言埋在心中,或许是他太专注于这份工作,追求完美忘记了抱怨,总之这些年,他坚持着工匠精神,听从责任感和内心的使命,专注地把安全的信念推送往前。其它的荣誉和光环,就留给时间去说吧。

介绍视频

  • 彭浩 壳牌中国区零售信息安全经理

此心光明,亦复何言

2017年7月21日上午十点,我们与彭老师相约在杭州的半山腰的一书吧之中,西湖的水与日光交相辉映,让人感觉十分惬意。

彭浩先生进入信息安全行业,可以说是非常有远见的。在大学毕业后的前六年工作于安永中国有限公司,从事IT信息安全咨询项目经理,IT审计经理等信息安全相关工作,具体负责安全审计类和安全咨询会类项目。“前几年看着这么多行业的时候,很容易找到一些共通的地方,现在看到互联网、微信这么发展的时候,你会发现很难可以用一个模式去套用所有的行业,在选择职业道路时,想到未来可能是一个专门化的信息安全发展的时代,而壳牌作为一个国际化世界第一的能源企业,其未来有着很大的发展空间。“彭老师说道。在壳牌企业中,担任担任中国区零售信息安全经理,也是中国区唯一一个信息安全岗。

随着互联网的发展,信息安全的行业的重要性越来越高,互联网OTO、O+O,各种新兴的技术发展起来之后,互联网达到了一个新阶段,也就是说,更多的服务级应用给到用户之后,会发现这个行业的安全领域从公司内部扩展到了和用户接触的每一个触点。这个行业未来的随着信息化的推进,包括大数据AI这些东西越来越成熟化,信息安全这个行业未来的发展会越来越多随着产品的消费者和用户越来越多的契合在一起。在发展的同时,也带来了许多的问题。

首先要面临的问题是:如何了解一个行业,了解到一个行业的颗粒度。当你要开始做一个新的业务时,面对一个新的数据时,首先需要了解它,这是一个非常大的挑战。在刚刚加入壳牌时,刚刚接触能源行业,首先要了解这个行业从中游到上游,中游到下游,整个的产业链是什么样子的,在不同的产业链当中,它的企业的行业特点,整个公司以及部门的运作节奏和速度都是不一样的。在这个时候,不仅需要把整个链条了解出来。当做的事情越来越接近前线的时候,不仅是要对零售行业进行理解,也要对用户的行为,整个行业的流程需要去很深刻的学习。

“信息安全这个行业带着一种阻挡的性质,当大家看到你的时候脸上不是带着笑脸,会很难会觉得你会告诉我一个好的消息,一般都是,你要出大问题了。”彭浩说道。而“如何和别人进行沟通,如何从价值的角度去描述风险”则是需要面临的另一个问题。在沟通时,不能让对方第一眼就看到它的价值所在,反而需要让别人先知道这个风险所在,当风险解决了之后,才去提到能给顾客带来多大的价值,是这样的一个过程。风险是由产生的影响以及可能性的大小两部分组成。从这两个角度看的时候,需要把这两个角度真正的价值讲给他听。当一个业务系统需要加一层控制,需要我们的供应商需要把现在的方案停下来并且要多加进去三个步骤,而三四个步骤导致你现在不能上线,这是一个在中国区很大的一个项目不能上线,一旦上线后,则会互联网暴露上很多的攻击。在这个时候,你仅要去和IT沟通,也要去和业务沟通。

当信息安全工作到了年底,老板会用不同的语气说一句话,如果今年没有发生什么事情,老板会说:“我公司很安全,我要你干嘛。“如果公司发生了事情,老板会说:“要了你还是会发生事故,我要你干嘛。”而“如何体现信息安全官的价值”则是最后需要面临的问题。这就首先需要把一年的工作有效率的去完成,去展示出来给你的同事和老板看。其实,信息安全从业人员最喜欢的和最不喜欢的事就是发生事故,但是不想用发生事故来体现价值。

“很多的东西,你必须要在实践当中一点点的去磨练、去锻炼。”信息安全要在企业的每一个事务中体现出来,当企业有一个新的业务的时候,不仅要对业务理解的很透彻,把信息安全夹杂在里面,给业务、IT找到一个帮助实现最佳平衡的点。当未来的业务到来之时,需要有一个沟通交流的过程,这个过程也就是“磨”的过程。“信息安全如果只是一个理念的话,那么我们是没有办法把它真正的落到“致良知“。我们已经预见和将要预见要做的业务的领域,业务的行业,要建设的系统时,我们要做的这些很多很具体的系统业务、业务流程、业务操作。做好沟通之外,也要做好和业务在一起互相理解,互相沟通,长期合作的一个模式。“磨”的过程,既要有计划,还要有实践,又要去检查,最后要对检查的结果要有一个回顾和提升。做事情不能很生硬的把一个体系扔下去,你一定要去和IT、管理层、业务部门进行沟通,大家一起站在每一项领域中有时间一块去“磨”,按照PDCA的流程,反复去理解,去提升,而不是一个变化的生硬的体系,这是不行的。包括在壳牌,这个理论体系的时候,我们也有一个定期的检查,定期的回顾,定期的和业务部门反复的去提问,重要的信息资产和重要的信息安全中的东西,“事上磨练”方可“致良知”。

“信息安全不只是个单纯的估评,信息安全重点是在风险和收益之间,找到最好的平衡点。如果你有一个信息的资产的价值是1000万,如果你花2000万去做一个控制,那你一定不是一个好的信息安全专家。“彭浩说道。当你防范了所有的事故的发生,但你忽视了整个企业的价值和整个企业的发展,这对企业来说是不值的。在做风险管控领域的时候,从概念上来讲,风险是无法消失的,你永远只能把它控制在一个范围内,而乐趣所在的地方就是:“当我们将它控制之后,既保护了业务的风险,同时也付出了恰当的代价去保护她们的资产,这也就是乐趣所在。在这个过程中,你会不停的和业务、IT、用户中搭很多的交网,这个东西是非常有乐趣的。” 当去看整个行业的时候,不仅要关注到这个点,而且还去接触这个行业的趋势。不能只关注过去和现在,这样只会永远跟在别人的后面,别人做完后,你跟上去检查一下,乐趣肯定是不存在的,这样只会很痛苦,跟在别人的后面,你没有创新,你没有发现,当你在扩大的时候,你会开始看整个行业以及整个未来的发展趋势时,你可以提出一些前瞻性的意见和看法,甚至你的一些想法就会和整个部门战略结合在一起的时候,这时候你的乐趣就出现了。信息安全这个行业的乐趣很难找,但是你要用创新的方法,创新的思路去找的话,你就会找到它。如果要用传统的思路去找的话,你很难找到它。在任何行业也都是这样。

此心光明,亦复何言”很好诠释了这样一位CSO做事做人的信念。正如他所说的:“你一定心中充满光明,我们一定要把我们企业的价值和职业操守放在第一位,首先要有坚定的信念,才能把所面对的困难解决掉,然后知道自己做的每件事情要在企业中去实践它。”

  • 张强 中国银行CSO

中行信息安全背后的护航者

张强,互联网安全领域的实干派,中国银行数据中心上海信息安全技术团队的负责人。从技术到管理,他经历了网络信息安全产业的变迁,在这个不为大多数人熟识的行业中,他并未感觉到寂寞,因为他在保护无数人在互联网上的信息安全和财产安全,这点是他认为做的最有意义的。

张强进入网络安全领域,可以说是顺应时代的发展潮流。最初他的主要工作是网络和系统管理。在2000年的时候,互联网络开始有了质的飞跃,在新的形势推动下,银行也需要做出新的转变。于是有了第一代网上银行的出现,而他也是在那个时候开始接触到网络安全这一块,再到后来的逐步加强和扩大,形成了现在大概念下的网络信息安全。

近年来,移动互联网新兴市场的发展和扩张吸引了无数资本市场的目光,伴随着大量资源涌向这里,网络信息安全也备受瞩目。而金融行业在新的历史时期下所面临的挑战会更大。张强说:现在企业里有这样一个新兴的说法——安全态势,所谓的安全态势没有绝对的满分,我们只能说它的发展道路越来越好,它将能够顺应这个时代的发展潮流,呈现出更好的状态。而我们做网络信息安全的,在这个发展的过程中难免会遇到各种不一样的问题。

自从转入信息安全技术工作,张强就一门心思搞安全,多年一路摸索着走来,他对待安全的想法表示:总体来说就是形成安全问题最主要的两个原因——内因和外因。内因是企业自身的系统、人员等存在薄弱点,存在漏洞。外因就是内外部人员的恶意行为,利用你的薄弱点进行攻击、恶意操作等。因此解决问题的关键要做到内外因共同防范,积极找出问题进行弥补,构建属于企业内部的网络安全防御体系。在外部因素如何解决?他提出了三点建议:第一防范,我们在无法预知安全问题何时到来的时候,要做的就是积极的防范,不断的改进自身存在的问题,减少漏洞。第二检测,在真正遇到攻击时能够及时的发现。第三是及时处理,做到高效解决问题。

安全在他看来是一个很大的范畴,有什么事能够吸引企业对安全做投入,目前主要是两个方面。第一是法律法规,第二是发生了安全事件,在这样的环境下,会去考虑安全态势,会在安全这方面加大投资。当然关键是要看到安全投入带来的效果。就像玩游戏一样,为什么你会觉得游戏好玩?主要是它能够及时反馈,能够知道自己最新的进展情况。同理的,做工作、安全,也需要反馈。领导层要看到的是成效,而不是接受一些冠冕堂皇的话。安全投入也是一样,要想得到持续的投入就要有所反馈,就要看到成效。因此有了反馈、提升,才会更加愿意去投入。

从业多年的他,一路兢兢业业。但他也十分感慨的说:目前对网络信息安全来说最大的困难就是资源的问题——人和工具。网络信息安全还处在一个发展的阶段,人员数量和技能要求都很高,在面对巨大的市场需求的时候人手紧张,人员质量也是需要考虑的问题。信息安全技术人员成长周期需要培养。那么,优秀的人才他们又是如何挖掘并留住的呢?

他表示:优秀的人才靠的不只是薪酬,很多有能力的人更在意自己的职业发展,更希望在一个团结的环境下工作。我们企业内部会对员工的职业发展有相应的规划,可以给员工展现自我的平台,给大家成长的机会。分各技术小组组织内训,组织员工参加央企网络安全技术大赛、ISG竞赛等;在企业内部会搭建攻防平台,积极创造出一个良好的内部环境。这也是我们能够吸收一些高水平人才的关键,他们需要的我们可以尽量的满足,给他们足够强大的舞台展现自我。今年五月,中国银行数据中心参加了央企网络安全技术竞赛。在这个比赛中获得了个人赛、团体赛的第五名,在四大行中排名第一!

当被问及对《网络安全法》的看法时,他是这样说的:网络安全法的实施积极作用肯定是有的。毕竟是一个新的法律法规,必然会引起大家的重视。在未来,随着网络科技的进步发展,互联网会越来越深入的融入到我们的日常生活中,互联网+的时代已经到来。互联网+时代中,人们高度依赖互联网技术,不管是从支付方式的改变,还是大数据技术的普及,还是人工智能给我们生活带来的便利,这些都会让我们人类变得越来越“虚拟化”。那时候,网络信息安全将面临空前的挑战,我们的信息随时面临着泄露、被窃取的风险,我们的日常生活会因为我们所使用的智能手机、智能家电,让我们毫无隐私可言地暴露在那些掌握着这些信息的幕后人的手中。国家颁发《网络安全法》就是预见以后的严重性,才提早的做出防范措施。而网络安全法对于从事网络信息安全的业内人员来讲,它着实是一则预警信号,警示业内人员,要居安思危,把眼光放长远,决不能因为现阶段的平安无事而放松警戒、停滞不前。在新的网络时代到临之前,作为网络安全卫士,就必须练就过硬技术,为网络的安全立起坚实高墙。

“路漫漫其修远兮,吾将上下而求索。” 网络安全的任务任重而道远。身处网络安全行业的张强,深知中国网络信息安全这一新兴行业稀缺高精人才,在行内行走多年的他,面对这新生一代年轻人,他运用他的领导艺术,引领他们共同前进着。星星之火,可以燎原,这一路走来,他见证了一个网络信息时代的变迁,同时,他呼吁并带领着更多身边的人,为中国网络信息安全保驾护航,让中国网络信息新势力安全平稳的驶向世界的大洋中心。

介绍视频

  • 邱琳 中国工商银行上海市分行信息科技部副总经理

工于至诚,行以致远

2017年7月31日下午,我们来到了中国工商银行上海市分行信息科技部,与邱琳进行了第一次见面。与其他拜访的IT部门主管不同,见到邱琳的第一印象便能感受到她的平易近人。采访中乐观开朗的谈笑之间,邱琳也透露出一位信息安全主管对于业务和专业的高度负责与严谨。

这位工行上海分行信息科技部的副总经理,始终坚持“科技转化生产力”,带领她的团队在金融科技工作领域中积极研究应用先进科学技术,推动使用大量先进技术得以快速在金融信息化工作中广泛应用和全面推广,大大加快了工商银行信息化进程。

“上海作为经济的前沿,它的想法、市场竞争,主要是在全国的最前面的。如何顺应业务的需求,如何把业务需求最快的转化为生产力,那就是工行科技部主要做的工作。”邱琳说道。

邱琳二十余年来始终奋战在工商银行信息科技服务一线,是工商银行金融信息化发展历程的杰出代表。

中国工商银行上海分行的信息科技部主要负责在分行内的信息安全、信息运行以及软件研发工作。其中保生产运行是重中之重,在生产运行中信息安全主要是一块比较大的方向。按照总行的监管机构以及总、分行的要求,对信息安全的要求是越来越严格,并且在这方面的投入也在逐渐增加,包括分行从零开始逐步搭建起覆盖办公、生产、测试研发领域近3万个终端的基于工行自主研发的统一认证管理登陆认证的办公管理系统、客户端安全管理体系、信息防泄露保护体系、电子文件安全加密体系、网络硬控制准入控制体系等一系列行之有效的信息安全防护技术体系,构筑起立体化、层次化的信息安全防护网络。除此之外,科技信息部还要满足整个上海地区工行的业务部门的需求,进行分行特色软件研发服务,并在软件开发需求阶段就对系统防护提出了基于我行技术安全规范的信息安全防护要求,从源头上大幅提高分行信息安全系统防护等级。

为人随和的邱琳与印象中十分严肃的IT部交融在一起,而这一切的开始是在她毕业后的1993年。毕业后加入了信息科技部,工作最早是从做软件研发开始的。刚刚参加工作,谁都可能犯错误。“谁都是从摔跤上成长起来的,也犯过很多的错误。”邱琳说道。而她最大的错误是发生在参加工作的第二年两年。

当时的银行是有联机业务和批量业务,而她主要负责的是批量业务。“当时晚上的某项批量业务出现了一些的问题,等我决策做完之后才意识到下的指令和做的决策是有差错的,但是当时的自己并没有意识到的。”而不同于现在的是当时的批量业务不是24小时对外,不然的话后果和影响都很大。当时回退和重做的时间也是来得及的,赶得及早上网点开门前解决问题,时间是足够的。

当时做批量业务的人都是半夜接电话的,半夜接电话脑子不一定能反应过来。但自从发生这件事后,只要半夜打电话,邱琳时刻保证自己的脑子不会是模糊的。“如果当时没有解决的话,会造成很大的影响。那时候领导和同事大家一起补救了。这其实也是一个成长的过程。”邱琳在讲述这个故事的时候,脸上一直挂着微笑。对个人来说,很多东西的教训和经验都可以从别人那里学到,但是最深刻的还是来自于自己。“自己摔的跤,爬起来之后,是非常深刻的。”邱琳坦然道。“当后续你在处理一些事情的时候,你会发现,之前的问题会对你影响很大,自此之后,你会发现在决策上很少会出现考虑不周的情况。自己一步步走上来,拿到的信息啊、一些判断啊,都会越来越成熟了。”

“毕竟刚工作,年龄还小,有些地方想的东西只到点上,不到面上。谁也不是一天很坦然的来面对所有经历的困难和问题,也都是来自于一些故事成长起来的,慢慢成长之后,很成熟了之后,你会对问题看的就会比较淡定和淡然了。”这些都是邱琳成长的过程,摔跤了才会跑得更快。

而工作中最艰难的就是处理生产问题,一旦遇到生产问题,需要第一时间恢复生产,而给你的时间很短,与此同时,更要在短时间内做出正确的决策。作为管理者来说,已经不单单是做技术了。对于做技术来说,做技术人员主要关注的是技术本身,它可能关注的是领导层和管理层,你如何指挥她们能迅速的归属,这时需要解决的比较大的问题。

“万事总有解决的办法,没有什么过不去的坎。问题总会有解决的那一刻,不要把问题想的太大,把问题和压力想的太深,只要静下心来想,所有的难题都会遇到解决的方案。今天解决不了,明天一定会解决。问题已经来了,就要面对它,不要把问题在扩大化。这么多年也是经历了许多的事,慢慢的使自己的承压能力、转压力为动力,使自己有了一个很大的提升。”邱琳说道。

邱琳在做系统维护科科长时,得到了“中国工商银行分行先进集体”的荣誉称号。她一直都认为,带队伍首先要有信任。如果主管和领导给予大家一些充分的信任度,让大家各司其职、有所发挥,职工们才会乐于去奉献自身的所学所长,乐于去多想多看。第二个是“知人善任”,知道这个人所长后,把它放在一个合适的岗位上。有些人适合做纯技术,有些人适合打交道,有些人适合做管理,有些人只能闷头编程,对不同的人有着不同的认识,要放在不同的岗位上。

邱琳说,带队伍一定要走近员工,了解其所想,不能有代沟。他们说的话不懂的时候,就立刻去百度,如果不懂,就会影响交流。这是一种交流的过程。了解他们的想法,了解他们的需求。要走到员工当中去,他们就会跟着你朝着大方向去走。

网络安全在生产运行这一方面是非常重要的一部分。银行作为金融行业,在最早的时候使用的是专线,银行的很多系统都是封闭的。在十几年二十年前,安全这方面的工作都是大家在无意识的去做,并不是单独的作为一个课题在做。对于安全信息的泄漏、防护、防攻击者一系列的东西来说,都是慢慢地把它散在各个地方的一些单独的想法,把它们慢慢的聚集起来,变成一个主要的课题来做。

对于银行来说,网络信息安全的中的重要性是不言而喻的。真正做网络安全的人,他们所有的安全意识,并不是所有人都有的。不做安全一行,感触不是特别深,做了安全这一行,你才知道这里面的风险和危害有多大。

邱琳和她的团队在致力于不单是科技部内部要把网络安全抬到一定的高度,在行里也在努力宣传网络安全知识,希望在业务层面也可以普及相关的安全知识。为此,他们努力推行一系列的活动和措施,包括行内员工的一些要求、内部安全检查、全员网络安全知识竞赛。这些都在以各种方式传递这样一个信息:信息安全不只是针对科技部的人员,也要包括行内做业务的人员、前台人员等等,大家都需要在信息安全意识和知识技能上有所提升。这条路,也许走得有些累,但也必须得走。

路漫漫兮其修远。不知不觉中,邱琳已经在工商银行信息科技服务一线奋斗了二十多年。“工于至诚,行以致远”,从一个初出茅庐的新人,到现在信息科技部的负责人之一。乐观、开朗的性格,坦然、严谨、细致的工作风格,想必在这样的环境里工作,未来邱琳将和她的团队走得更靠前,也会行得更稳固。

介绍视频

  • 欧建军 奇瑞捷豹路虎汽车有限公司信息安全与合规高级经理

事在人为--一个不再低调的安全官

7月26日的下午,我们来到受访者欧建军的工作地点,是家外企,所以你总能看到楼里的人拿着文件,脚步匆匆。楼下日料店里也会瞥见有人小口酌饮,礼貌而沉默地品味美食。或是咖啡铺前两人聊聊琐事。他们喜欢工作的紧张感,也享受着生活、珍惜这种快节奏工作下忙里偷闲的欢愉感,在这里从事安全工作的欧建军亦是如此。

和之前受访中CSO一贯的严肃严谨的说话方式不同,他介绍完自己的英文名James后就兴奋地讲起刚旅行回来的经历:“骑马,滑草,住蒙古包…我在北方呆了4年第一次去大草原,那里的视野很开阔,很喜欢。”谈笑风生,生活里他热爱自由,而在工作中他评价自己“像一个大侠”就更是少见了。

因为他敢于和领导针对安全问题叫板。“有些事你只能去争,我就会和其他公司和领导去争,做不好我就会给他们压力,因为事在人为,你要把权力握在自己手中很多事才可以推行。”的确,信息安全在汽车行业的挑战让他不得不这么做。汽车行业的信息安全业务包括在三个方面--研发、制造和销售。因为汽车行业是制造业的皇冠,一切高精尖的技术都想应用在汽车里,比如最近很火的无人驾驶、AI很多高科技的项目都会应用。之前的车子就像一部诺基亚手机,你只需要想油门刹车和外界没有联系,而现在推行的车联网技术让汽车像现在的智能手机,如今的工业4.0的趋势在很多汽车行业已经实现了。同样在制造方面,依靠系统和机器人完成,在工厂中基本都是机械手臂,人只是在系统中设置好了参数监控过程和结果。无论是研发中高科技的应用还是在制造过程中高度使用一些工业控制系统来实现自动化,这样高精端的技术给安全事业带来的挑战无疑更大,所以他不得不争取领导更多的重视,他相信事在人为。

“就像网络安全法出来之后,我就赶紧借这个机会去找领导签署了一份网络安全承诺书。”当所有人都沉浸在这份法律的出台的喜悦中,他没有囿于原地而还是选择持续给领导传达信息和压力,只有他真正地利用抓住这次机会做了实践推行这份法律的落地。他也幽默地调侃“我就是喜欢搞事。”其实这是一种能力,他善于抓住每一个机会然后发挥作用。比如一次政府检查工作,他就借此事件告诉领导这是需要被重视的,我们还有哪些问题,努力推动安全事业哪怕只是一小步“永远不要等着它成熟,而是你做了什么事推进它的成熟。”他在招聘安全人才的时候一定会问这个问题:“你觉得信息安全的成功有哪些因素?”他们都回答领导的重视,但当你在追问为了领导的重视你做了什么?他们便缄默不语。但如果下一次应聘的是欧建军本人,这个问题相信他可以满分做答。

来到这家公司两年,他将公司的信息安全工作从无到有地有序开展起来,“当时我15年来到这里,没有人有安全观,我们经常被审出有问题,从安全管理到技术到管控都有问题但我们只针对一个问题去改,没有人有全局观,也没有体系和框架。”意识到这些之后,James就开始梳理和建立整个安全体系架构通过管理和技术两方面,建立信息安全组织包括顶层的信息安全委员会以及工作层面的信息安全小组,对员工进行一些安全意识的培训,同时尽可能把自己的组织架构和汇报机制建立起来,而在技术方面安全运维、数据安全、安全加固这些也是推动安全意识、安全手段落地的重要环节。在他的努力下公司成立了一个风险管理委员会,这个成员包含了公司的两位老总和母公司的CFO,职位是很高,借助这个会议,他们努力把信息安全作为其中的一个定期的项目,通过汇报问题和想做的事情从而得到领导的支持 得到这个层次的领导支持在公司推行就很容易了。说到这里,他讲到:“对我来说影响最大的是我们两位CIO, 我认为他们是非常开明民主的,他们会支持你认为要做的事情,也会给预算,很幸运遇到他们吧。”有时候幸运是努力的附属品。

在这家公司努力了两年后的现在,他开始将信息安全工作扩展到其他部门,比如HR,采购等而不仅仅是IT部门,整个组织架构和全局的安全观在慢慢形成,但这种意识的提高绝不仅仅在于管理的成果,他创新性地提出在安全文化的建立行成中技术的至关重要性,这是在其他管理者中很少听到的观点。“其实这是两个方向,重技术还是重管理,而我认为你要通过一些技术手段拿到一些有用的信息以后,你才会推动这个管理。”比如他提到的数据防泄漏方案—DLP,这种系统可以清楚地看到数据是通过谁以哪种方式泄露的。这样就可以问责到人进行相应的惩罚,惩罚会引起重视,人们就不会轻易的再去做这种数据泄露的事情。有很多公司就是通过DLP真正地把数据安全的事情抓起来了。

“这就是这就是技术带来的变化 在你技术薄弱的时候你就想办法把技术抓上去,等技术建设好了,你再去抓管理。之前我也天天在推什么安全日、安全周、全国巡演到各个公司宣传,来到这个公司我觉得这样做的效果并不好,还是要先发现问题并解决问题,这样的安全培训才是有效的。”当技术和管理都到了成熟的阶段,一个公司自然会形成一种安全的气场。

坚定和勇敢是他工作时的标签,自由幽默是他谈话的方式。他一直在打破我对安全人员的刻板印象。同时他也总把问题和困难讲的很轻,他说“我十分热爱我的行业,我对信息安全很感兴趣”, “这是我主动选择的,04年IT行业的ERP是最火的,我也做过这个行业,当时认为时代的发展趋势数据安全对一个公司至关重要的,就选择了它虽然当时很冷门,但现在握在这个行业10多年了,大部分在世界五百强工作,我觉得我的工作是有价值的,我坚信。”

想起他谈到工作的价值,他也很坚定地说这难以让外人理解,但对工作的热爱他似乎更在意自身的建设和认同感而非别人的赞扬,他说“我觉得自己像一个侠客,我领导说我更像警察,我说对我就是警察,这个安全的底线我永远也不会松口和放手。”

最后,他讲到最近的勒索病毒事件对很多公司都影响很大,应对措施有些通过收回电脑进行防护这对工作的进度耽误了一整天。而James的公司完全没受到影响,“我觉得这更在于预防而不是应急响应,我们会定期和运维团队检查杀毒软件有没有更新到最新,补丁有没有打 通过前期的努力来实现预防效果更好。”当时有人问他我们要不要也把电脑收回来,他坚定地说:“你相信我没这个必要。想到这里我觉得很自豪,这都是有价值的。”

他很骄傲,他很自信,他很自如。但这种自信和骄傲一点也不让人厌恶,因为看到这里,你会发现,这一切是自然而然,水到渠成的。事在人为,这句话是他的信条,也是他如今气场存在的理由。

  • 王红阳 上海众人网络安全技术有限公司科技首席安全官(CSO)

做一位用户可信赖的安全专家

“我们是做用户可信赖的安全专家。”这是王红阳的从业信条,同样是整个采访过程中对他的最好诠释和理解。

但未见他时,有一种神秘感萦绕在脑中。

第一层神秘感来源于早有耳闻——这个声音从其他从业人士口中传来,以往的采访中,无论是工控领域、金融行业、还是电信运营商、政府的CSO都会提到一个名词“第三方企业”,印象深刻。王红阳所在的上海众人网络安全技术有限公司(简称:众人科技)就属于这类第三方企业,为甲方提供整体安全服务与解决方案。但以往听到甲方的口中却是充满着敬畏,一方面渴望这种专业公司的先进安全技术,一方面又担忧其提供服务的人才难以管理,存有戒心。

从业16年的他坦然接受:“甲方的这种想法可以理解也很正常,因为卖给用户的安全产品更多的是一种‘黑盒子’的方式。”他也提出三点解决方法:一是要求提供认可的资质和证书。二是甲方可以对乙方人员进行背景调查:政治性,过往的经历。三是提出针对性要求和惩罚措施,“从一些制度要求和方法上来说能够规范市场,让其变的更好。”

王红阳作为众人科技的CSO,更希望通过提供专业的安全产品和服务让甲方更加安心。首先前提是保证公司产品是安全的,不能有漏洞后门。这方面众人科技一直都有专门的安全攻防实验室来提供保证,但安全仅仅靠技术是完全不够的,还要帮助客户构建安全政策、落实安全制度和体系。

“我们在给用户提供整体安全体系的时候一般分为三部分:安全管理体系、安全技术体系、安全运营体系。”说到在国内做安全管理体系并没有一个统一的严格的标准,王红阳根据专业知识和从业经验给出了三个前提:一定要遵循国内外的标准和最佳的实践,这是第一条原则;一定要把安全和业务相结合,比如金融行业做反欺诈系统,工控领域做好安全的同时还要考虑节能的要求、提高效率,不能完全独立;最后要对安全体系进行动态调整,从桌面互联网到移动互联网,再到物联网、工业互联网,包括现在的智能汽车、智慧城市、智慧交通,现在大部分的数据和基础设施都搬到了云上,用户的基础架构、信息技术体系在发生变化,所以在整个安全体系建设的时候,一定要跟这些信息趋势的变化结合起来。“基于这三个原则,在新的技术环境,安全才能做得更好。”

第二层神秘感来源于他的出场,“您好,王总一会儿还有个会议,可能采访时长要控制一下。”“您好,我是他的助理。”先后见了一位接待者和一位助理,脑中开始构筑一位西装革履的领导形象。匆匆的脚步声,穿着黑T牛仔裤的他走进会议室,连声抱歉“刚出差回来,一会儿还有会议,明天又要去深圳,真是不好意思。”“没事尽管问,都可以聊的。”比起心中幻想,眼前这个质朴低调、幽默诙谐的王总更加平易近人和令人欣赏。

王红阳,也许这种欣赏来源于从事安全行业人员特有的气质——低调。“在这个行业,默默才能做到最好。”安全说起来是一个专业的领域,要做的非常深,但涵盖的领域又非常广,类似于T字形。仅仅懂安全是不够的,还需要懂许多领域的知识。所以对安全人才的知识领域和技能要求提的非常高非常多,于是想要成为一个合格的安全行业人员只能先踏实学习技能,之后进行更重要的实践。安全人才十年磨一剑,这把剑他磨了近17年。

王红阳从大学开始学习计算机专业,一次机缘巧合他接触了网络安全这个概念。“印象非常深刻,那堂课上中科院高能所的许榕生教授,提了一个问题‘谁知道intrusion的意思—就是入侵。谁知道的话谁就可以去我的实验室’,许教授是中国反黑客第一人,我觉得很有意思。”可能是兴趣热情也可能就是注定,毕了业到现在,他都为安全行业奋斗着。

从一开始在北京海信公司,做了两年的防火墙研发工程师,到之后2003年到了绿盟科技,7年的光阴去做安全服务体系的规划设计、安全技术测试、安全专项项目、重大活动的保障、参与国家标准的编写,他认识到光靠一个个的产品是不够的。那个问题就像牛顿的那颗苹果砸向他,引发兴趣,从兴趣出发到十几年的努力,让他成为一个真正的安全专家。但始终他选择站在巨人的背后。

正如他讲述的印象最深刻的一次安全保障任务,那是2005年的春晚。我很诧异一场春晚为什么需要信息安全人员的保护。“我们当然不是在春晚现场,而是在你看不见的机房里,最担心的就是DDoS 大流量的攻击,大概到九点半、十点的样子,确实有大流量的攻击,而且确实是非常大的,当时的DDoS大流量基本快到防护设备抵抗不住的情况了,后来我们通过一些溯源的取证和分析,发现发起攻击的受控机器就在同一个机房里,定位了之后就可以进行相应的封堵来解决问题。”

没有十足的经验和准备,是没有办法做到在现场及时应对这样的安全突发事件。因此,王红阳带领团队一个月前就开始了着手准备。他采用了一套科学的工作方法:PPT架构。即,People人员的组织、Process制定流程和规范,进行提前预防、持续检测、应急预案与响应,最后是Technology专家的技术分析。

“你看网上有很多工程师给服务器拜佛的图,别出事,我们也担心,大家压力都大。”他笑着说道。安全是动态实时的,每个人都担心出事,可CSO们也总提到人们对安全的理解和重视又恰恰都是事件驱动,这似乎是一对无法解决的矛盾。但王红阳提出了更加乐观的看法:“《网络安全法》的正式实行是安全文化的第二层落地。”

“对《网络安全法》的普及,在执行的过程中不断进行检查,随着执法检查和不断的安全事件的警示,使整个安全文化不断被接受,这是一个全员的问题。”当安全文化被理解后,安全事业也跟着发展。这个行业在慢慢的变好,他相信着、也正在见证着。

10年前用户在做安全投入的时候,基本就是买老三样的安全产品:防火墙、IDS、防病毒。随着客户对安全越来越深的认识和理解,他们开始寻找创新型、前沿型的技术产品和解决方案,这无疑对王红阳所在的乙方公司是一种挑战和动力。在专业领域研发新的产品,满足对方需求为第一位。其次随着国内的资本市场对安全领域的投资加大,有专门投资安全产业的基金和A股上市公司通过一些并购来扩大自己的安全版图,使得国内一些优秀的安全人才出来创业,他们所研发的产品和技术和之前诸多不同,很多直接和国外最先进的安全技术对标,比如基于人工智能、大数据分析的安全技术。这对国内的安全行业发展是一种有益推动,形成一个优良的生态圈。

但同时,王红阳站在国际眼光的角度也提出了一些建议。“国外在安全领域会比较领先,有几点做得非常好,对国内有参考意义:一是重视程度,安全预算远远超过国内,建设越靠前越花钱;二是标准先行:一件事和一个体系先制定一整套标准,有粗略的框架,也有细致的安全要求和每个点的安全控制要求与基线,衡量一个技术或安全控制措施优劣的指标,形成很高成熟度的一个完整体系。”

王红阳的忧虑是必要的,因为《网络安全法》的实行仅仅是一切开始的第一步,还有更多细致的落地规范等待着整个行业的一起努力。

最后,王红阳又谈到了那年开始的夏天。“当时去电信公司做安全服务,一步步教安全员怎么封端口、打补丁、杀病毒,手把手教学,从开始的安全普及到做风险评估到等保的逐步落地,它一直在成长。”他也讲起安全行业的那些朋友,因为安全行业人才流动率十分低,很多都是在一起工作5-10年。“现在很多朋友去创业、去了甲方、去了互联网公司,都在成长,协作连同的感觉很好,这都是对国内的安全领域起到非常大的作用和帮助。”讲到哪里,落脚之处都是他对安全整个行业的关心,其实当他在大学的那堂安全启蒙课的时候,他对这个行业爱的深沉。

离开前,他幽默地说:“没事,什么都能写。我是绝对相信你们的专业水平。”有些担心无法将现场感受到他身上的谦逊、幽默、低调完美的展现。因为毫不吝啬地说,这是我和同行的同事都很欣赏的一位CSO--同行的人被他专业和清晰的讲话逻辑折服,每个问题他都从国内到国外的视野、从浅入深的分层次阐述,每个回答都能看出他对整个行业的热爱和关心,即使足够专业全能他还是选择默默在巨人背后。但至少有一天,低调也会发光。

介绍视频

  • 胡绍勇 上海观安信息技术有限公司

蓝海波澜勇向前,乘风破浪看观安

2017年8月13日,在机场,胡绍勇接受了我们的电话采访。从业近20年,时光匆匆,一直不变的似乎是他忙碌的脚步和对信息安全事业的赤诚之心。

光阴回转,那是1996年的夏天,胡绍勇刚刚从大学毕业,出身计算机专业的他进入了银行从事IT工作。那时候的银行都是人工储蓄账单,刚刚转成信息化,IT工作既有挑战又充满机遇。这段时间的成长对胡绍勇来说是迅速的,也是难忘的。

后来的一次机缘巧合,胡绍勇来到了杭州。在2003年接触和认识了柏安,开始从事信息安全的工作。正是这一次的意外相知、相识,让他从此在信息行业一呆就是十几年。

而现如今,他自己已经成长为业界知名的信息专家,并且成为了观安这家充满活力与朝气的公司的一份子。

2003年以后,胡绍勇来到了柏安做安全咨询和服务项目:“那时候的安全项目大多是网络、系统层面的安全,我们是最早一批做应用安全的。”但这家公司接手的支付宝、太平洋保险这些国内比较大安全项目给了他一次接触应用安全的机会,对他来说是一次新的挑战,也默默决定了他的从业方向。

讲起在柏安的那段日子,“05年的时候接了阿里巴巴的项目,一切都是刚起步,去给他们做一些安全管理、安全建设、安全保护的项目。那时候开始做应用安全,初步开始接触了互联网企业,去学习他们的一些工作模式和安全性保护怎么做,这个项目对公司、对我的影响都很大,也是一种挑战。”而安全人士就是在一次次挑战中磨砺成长。

2007年,在太平洋保险的安全规划项目P13中,他同样临危不惧和整个团队一起完成,在此之后柏安的知名度显著提高,他开始意识到安全已经开始在各个行业占有重要位置且应用安全是主要的发展趋势。

把握住这样的趋势,胡总又给自己提了新的要求,“一直在做安全咨询和服务,有没有可能去做产品?”因此,他来到现在从事的公司——上海观安信息技术有限公司,把工作重心放在产品本身,这样更容易推广。

他主要分管技术方面的事务,包括产品研发和技术创新(安全前沿技术、安全实验室、大数据技术)两部分,包括三大部门:北京研发中心、上海研发中心、创新研究中心。

从做计算机、做软件到如今主要管理研发和技术创新,似乎一切都显得水到渠成,而信息安全行业随着科技本身的发展,要求和方向时刻在变化,胡绍勇的脚步也不能停歇,现在整个公司的大方向是在大数据+安全,整个社会的发展使得更多企业都会关注人工智能这个方向,大数据接近这些理念。

如何更好地做好大数据安全,这将是胡绍勇未来思考的主要方向之一

“其实现在很多企业收了很多的数据,怎么运用,怎么对日常的运维起作用,判断他是不是信息安全的事件和隐患,他并不知道怎么去做,那我们说的大数据就是帮他建立这样的一个平台,集中、标准化地采集起来再用我们的大数据分析能力去排除一些安全隐患。”

他抽丝剥茧通俗地解释了大数据安全对整个行业的重要引领作用,并朝着这个方向不断努力。同时对于一些新兴或前沿技术在安全上的应用,他提到国外是值得借鉴和学习的,比如AI和机器学习在安全分析上的应用、新型的认证技术、自动检测和修复漏洞的技术等等。

对于技术和管理是两手抓还是应有侧重,他也提出了自己的想法。甲方和乙方的观念出发点不一样,在做安全咨询时,最开始强调“七分管理,三分技术”,应该有一些明确的安全管理制度政策,明确每个人的安全职责 ,做一些安全培训安全意识教育,而慢慢到了后期就提出三分管理七分技术。

比如,最开始会制定很多管理流程禁止员工往外传邮件,不能看新闻网站,后面可以采取更好的技术手段,如:终端保护软件,上网行为管理,这样做的效果会更好。而在乙方公司,管理是从整个战略和发展考虑的,而对于安全公司技术肯定排在第一位,只有拿出最尖端的技术和硬实力才能更好的打动甲方。

胡绍勇:观照自心,安乐自在

说到这里,胡总对自己的安全团队和产品充满了信心,一是靠丰富的经验:“用大数据来做安全我们是最早的,最早就和一些运营商及重要的一些行业做了一些试点的项目,达成了很多成就和成果。”二是靠绝对的创新力和业务能力,他带领技术团队在大数据安全和云安全领域的研究卓有成效,同时研发了多个相关的信息安全产品,其中大数据安全脱敏产品、大数据安全分析产品均获得工信部2016年的创新工程奖项,技术团队也获得2017中国网络安全技术对抗赛的初赛和决赛第一名。三是靠自身产品的安全性,“我们对自己也是有严格要求的,本身会有一些资质,比如信息安全体系的ISO27000以及ISO9000 质量管理认证,同时也严格要求也会在安全实验室进行专家测试,保证安全性。”说起自身企业的产品安全和人员安全意识他表现出十足的自信。

可能这一切不仅源于他们绝对的实力和从业经验,还源于平日里公司安全文化的培养和熏陶,胡总讲起观安公司的一句标语:“观照自心,安乐自在。”他说这句话引自于《心经》,即是说,以自心观照身心世界之境,破除一切执著、挂碍。

从另一个角度来阐述,即是说人人本具珍贵的一面,而开发这个宝藏的人就是自己。放到我们工作中,就是要求时时审视自己的内心,是否将事情或工作做到极致,是否尽到了自己的最大努力。只要做到了这点,相信目标或期望一定能够达成。不管从硬实力还是软实力,胡绍勇都在追求极致。

然而在人才招聘方面他也遇到了困境,整个行业人员是远远不够的,你会发现最后走在信息安全行业的这些人大都是之前就认识的,新出的人才实在补不上这样的缺口。尤其大数据+安全的人才更是几乎没有,为了解决这样的难题,他加大了内部人员的大数据和算法的培训,然后再给大数据的人员培训安全业务。

比这些,他更希望有更多外部人才加入,带动整个国内安全行业的发展,他相信《网络安全法》的出台会促进人们对安全的认识,国家也提出安全形势,网络空间安全,态势安全这样的名词方向,政府的关注也在提高,一切都会更好地发展。

在安全行业,胡绍勇已经走过了20多个年头。未来他也将会继续坚定地走下去,不言放弃。

最后,想让他讲讲自己的辛酸史或者可以来一些吐槽,他说:“其实没什么,做技术的人这些都习惯了,不都叫我们什么理工男、程序猿?我们确实也不习惯于抛头露面,做好自己的事,整个行业一起进步是最好的。”

他用最真实、幽默的回答结束了此次隔空的电话采访,他的话里真真切切让我感到会好起来,整个行业都会变好的,所有安全官都在为安全行业奋斗着,而他至少已经走过20年,并不会放弃。

组织推荐:由本市县处级(或相当县处级)及以上党政机关、人民团体、企事业单位、社团(包括行业协会)直接推荐,名额不限。

个人自荐:凡从事信息安全相关领域工作的,取得一定成绩、有突出贡献的管理者可自荐。

附:可将任何形式材料(如视频、个人采访报道、个人介绍ppt等多样化材料,不局限于800字文字自我介绍)及个人信息免冠彩色证件照(文件大小不低于500K,像素不低于600×800)发送至指定邮箱chenling@e365.org

颁奖地址:上海国家会展中心(上海市青浦区崧泽大道333号)

中共上海市委网络安全与信息化领导小组办公室 上海市经济和信息化委员会
上海市信息安全行业协会
中国信息产业商会 信息化与首席信息官峰会 《信息安全与通信保密杂志社》 上海社会科学院 首席安全官(CSO)俱乐部