诸子云 | 走进传音:企业信息安全从顶层设计到战术落地
2018年,传音手机的出货量为惊人的1.24亿部,根据IDC统计数据,在全球手机品牌厂商中排名第四,在非洲的市场总份额排名第一,TECNO成为了在非洲大地上无人不晓的知名品牌。这一斐然的成绩并不单靠着新兴技术的支持,还离不开传音在IT规划建设方面做出的极大努力。
为探究企业信息安全架构的嬗变过程,及跨国企业网络安全防护建设等方面的问题,2019年11月30日,安在新媒体联合深圳传音控股共同举办了“诸子云——走进传音”系列沙龙活动。
安在有幸邀请 努比亚技术有限公司、深圳市跨越新科技有限公司、深圳市小赢科技有限责任公司、深圳威迈斯新能源股份有限公司、大族激光科技产业集团股份有限公司、深圳三代人科技有限公司、深圳市杰美特科技股份有限公司、盒子科技、欣旺达电子股份有限公司、澳门华人银行等安全专家、安全部门负责人和技术骨干的参与。
本次活动由诸子云深圳分会会长李维春主持。嘉宾们围坐桌前,进行了简短的自我介绍和相互了解,随后在传音信息安全经理姚史洁的带领之下,参观了传音各大展厅。
在参观展厅的同时,姚史洁介绍了传音从山寨机市场脱颖而出的宝贵秘诀:就是秉承深圳的创新精神和“以客户为中心”的精神,竭尽全力满足非洲客户的实际需求。
他表示,传音根据非洲客户的特点,进行了以下几个方面的改进:
1、非洲人民热爱跳舞,音乐声音要相对更大些;
2、非洲充电不如国内方便,所以电池要足够持久;
3、手机用久了必然有损耗,维修方便的是首要的;
4、而众所皆知的针对黑人朋友的拍照问题,传音也下足了功夫,做出了创新型突破。
此后,信息安全姚史洁经理较为详细地介绍了传音的IT架构及其演变路径,信息安全的架构及其演变过程。
传音信息安全专家也分享了传音在内部源代码保护上的演变过程,从第一代的代码加密,到目前第二代基于国外产品的数据防泄漏系统,再到将来预备实现的数据源头可审计,环环紧扣,令在场嘉宾赞叹不已。
随后,平安集团唐龙以“信息安全战略顶层设计方法”;信安世纪团队无线安全小组负责人Nine8以“打造属于自己的渗透神器”;前海人寿董黎波以“IT审计项目的三个视角”为主题,分别进行了分享。
要说信息安全的顶层战略,不得不提的就是企业本身的架构。企业架构就像企业的“城市总体规划蓝图”,是IT架构的完整性的自业务而下的描述。在它的指导下,各个IT系统的建设得以有序的开展。而信息安全顶层战略脱胎于企业架构,但同时又独立于其中:因为信息安全架构偏治理,而非技术产品的简单堆砌。
唐龙将这一庞大的议题一分为三,就信息安全顶层战略是什么、设计方法论和具体方法进行了分享。他提出,信息安全顶层规划方法论是由业务需求推导出安全需求,再通过架构进行满足;而安全顶层规划方法论也可以更加细化,扩展到治理层面。
规划的前提是制定目标,一个有效的安全能力成熟度评估工具能够帮助识别风险,找出差距,以便进行下一步计划。唐龙给出了一个融合了等保2.0和ISO27001的成熟度度评估标准,并强调组织应该根据业务需求设计出高层、管理层和执行层所需的职能及管辖范围、人员。
在防御攻击之前,我们需要先了解对手可能的招数。由Nine8从渗透视角带来的分享极为独特,他从一些简而易行的自制无线网渗透工具切入,介绍了几种不容易被发现的攻击类型。
他的演说充满激情,案例朴实详尽,给在场的安全从业者提供了一个新鲜的视角:不要只看到软件、系统安全,还必须要看到物理安全和人员安全,日常生活中需得多方位观察,避免死角。
IT审计是IT治理的手段之一,是实现公司内部IT有关的权力、职责、利益分配制衡的工具之一。其目的是保护企业的资产、维护数据的完整性、有效率的利用组织资源和有效果的实现组织目标。
IT审计时常以审计项目、调研走访、调查报告、事中咨询、督导等形式出现,囊括了风险内控、咨询、效益评价、舞弊监察等等审查类型。董黎波将IT审计项目的总体流程分为五步:
第一步:审计目标和范围
涉及组织机构、业务系统、涉及流程、控制活动的确定
第二步:制定审计计划
确定审计方法、组建审计团队、确定项目时间
第三步:审计执行
设计和实施测试、执行有效性测试
第四步:评价审计结果
控制活动设计是否有效、控制活动执行是否有效、总体评价
第五步:沟通并起草报告
征求意见、总结会议、与管理层沟通、审计报告
开展一个IT审计项目要考虑的问题不在少数:项目的目标、价值在哪?面很大,关注点在哪里?怎样系统地思考、明白的工作?如何理解各方的诉求,让各方满意等等。但其中最重要的,就是要运用好三个视角:自视、审视、俯视。
董黎波认为,想要做好一个IT审计项目,应具备多样的因素:首要的就是有技术、有素质的人才,以及体系化的方法或者程序。在项目期间,必须以极大的责任心去面对,进而调动所有资源,尽可能使沟通顺畅,同时还要注重方法。最后,董黎波强调安全人员须有强烈的绩效意识:注重做,也要注重“说”。
此外,还有一位来自某世界500强企业信息安全专家邓先生向我们分享了他在信息安全工作历程中的一些经验。
他将企业面对的信息安全威胁分为几个层次:由于好奇,出于报复,利益驱使,间谍和政治驱动,危害国家安全。他强烈推荐在信息安全规划过程中利用BLM(业务领先模型)来开展规划。这种方法的主要目的是基于业务战略、寻找差距,是他们常年使用的主要方法。
信息安全架构中现在采用的IPDRR模型,需要注意其中的I——资产。即使在变化多端的网络安全态势下,资产仍然是做好信息安全工作的前提和基础。在当前的信息环境下,特别强调“万物感知”,即基于感知,实现威慑、阻断、告警等分级的安全策略。
邓先生还提到,他所在的公司将基础设施可用性做到了100%。诸位嘉宾纷纷追问是如何做到的,他提出了两点诀窍:一是网络要做双向环路;二是与业务沟通并就SLA达成一致,业务目标和投入要相匹配,有投入就保障,提升可用性直到尽可能高,没有投入,就适当降低SLA。
几位演讲者的分享结束后,活动现场仍保持着极为热烈的气氛。嘉宾们与演讲者踊跃、持续讨论着关心的话题,直到聚会尾声。
诸子云活动回顾
诸子云 | 属于甲方安全专家的社群组织,启动了!
诸子云 | 唯品会黄承:想要成为CSO?这些基础不能丢!
诸子云 | 快钱赵锐:安全管理之密钥迷局
诸子云 | 走进海航:个人隐私、GDPR及数据安全
诸子云 | 走进华数:数据安全及等保2.0
诸子云 | 上海活动:不“搞定”领导怎能做好网络安全?
如何加入诸子云
诸子云已然来了,
目前已在上海、北京、武汉、深圳等地设立本地机构,可有心动?
心动不如行动,赶快联系我们,诸子云欢迎您!
申请加入诸子云
长按二维码识别联系安在君