由国务院国有资产监督管理委员会研究中心与工业信息系统管理化部电子科技情报研究所联合主办,国资委研究中心企业所管理咨询部和国资网联合承办的“2009国资企业CIO年会”于2009年10月22日在北京隆重举办。本次年会的主题是“后金融危机和国企变革挑战下的IT战略”。主管部门领导、近500位国有大中型企业信息化主管领导、知名IT企业代表、广大媒体单位代表莅临本次年会,共同探讨新形势下的信息化战略、思路和举措,分享后金融危机下的国资企业IT投资趋势。以下是华途软件CTO谭孟恩博士的演讲内容:
谭孟恩:各位领导、各位专家大家好。很高兴能和大家一起分享一下企业信息安全方面的一些观点。
首先,我们来回顾一下工业信息系统管理安全的发展历程。在PC没有普及的年代,绝大多数企业都使用纸质文档,大型企业都有专门的档案管理员进行文档的分发和收集工作。在这个时代,企业的信息化时代比较低,效率也比较低。在安全的角度来讲,给企业同时带来了安全性。随着IT企业的发展,这时候一些信息管理系统开始使用像图文档系统,这些系统的数据一般可以由机房管理人员负责,这个时期企业的信息化有所提升,效率有所提升,即便存在一定的危险,但是安全在一定范围内可以可控的。
随着互联网的广泛使用,大量的信息系统的使用使得电子文档的数量也大大增加。这就使企业的信息安全的风险也极具增加,这个时候防火墙、内网监控、杀毒软件等传统安全系统开始大量不足。这在一定程度上解决了一些安全问题,但总得来说,企业信息安全的现状还是不容乐观的。
下面看一些统计数据,关于工业信息系统管理安全现状的调查报告。所有受调查的企业当中,23.5%的企业三个月内出现过重要文件丢失,1.7%企业出现过客户资料泄露,这是非常严重的。48.5%的企业存在严重的安全问题,82%的企业从未使用过文档加密类产品。在所有受调查的企业当中一个共同的特点是企业的信息安全管理成本居高不下。这里面的成本包括两个方面,一个是直接成本,另一个是间接成本。像客户满意度属于间接成本,总而言之安全问题是企业十分关键的问题。
接下来我们来了解一下,目前工业信息系统管理安全面临的一些挑战。首先企业信息电子化的程度越来越高,正如我们前面所讲的目前企业信息对电子数据的形式存在无论是TDM、图文档系统管理的都是数据。第二是内网外网一体化,企业内网外网的边界越来越模糊,绝大多数的企业内网外网都是一起使用的,这使企业泄露的可能性大大增加。第三多种移动存储设备,包括像手机、U盘、移动硬盘等存储设备的广泛使用,这就使得数据的安全性受到的极大的挑战。第四,企业形态的延伸,企业已经不再是个简单的升级,也不仅仅体现在企业内部,更多供应商、销售商跟企业是共赢的,这是要解决的问题。第五,人力资源管理的复杂性,安全系统必须适应这种复杂性。第六,信息管理的复杂性与压力与日俱增,大量信息系统的使用,使得信息系统的复杂性与压力与日俱增。
以上这些是目前企业信息安全方面的共同特点,由此可以看到,传统的安全系统不能适应现代企业的发展需要,要构建新一代的安全系统,包括哪些方面呢?这是新一代安全系统的总体架构。我们认为新一代安全系统的核心思想应该包括以下几个方面,首先是集中化。一个统一集中化的安全管理环境,可以使企业信息安全的管理变得更为敏捷、有效。第二,流程化,在安全管理环境中,与安全相关业务的实施,必须有相应的流程和制度保障。因此,如何协助企业建立一个适合企业自身需要的安全流程是新一代安全系统的重要指标。第三个可靠性,安全永远是一个相对的概念,世界没有绝对安全的东西。所以我们必须构建一个事后审计监督系统,可以跟踪进入,可以做到事后跟踪。新一代安全系统的基本原理,数据加密这个过程是不受系统干预,充分保障了系统的安全性。
新一代安全系统相对传统安全系统来说有自身的特点,首先是智能化的系统,在公司内部有智能化的,如果离开公司就不能正常的打开和操作。所有都是自动透明的,我们称之为智能化的操作系统。第二与格式无关,新一代信息系统的加密与格式无关。第三从源头解决,新一代安全系统中,数据在硬盘上以应用的程序存在的,在互联网中泄露出去的数据,这在源头上解决了数据的泄露问题。
接下来介绍一下华途安全的系统的特点,第一保障业务扩展,华途安全系统有利于保障业务扩展,是一个安全可靠的网络解决方案,这一点可以从我们数以万计的应用客户端中得到体现。我们灵活的系统设计可以帮助企业应对变化的业务环境,使企业的应用系统随时得到华途安全系统的保护。真正协助企业扩张后,系统应用的连续性,这是非常关键的。
第二,华途安全系统有利于提升企业业务成效,无论是我们的专业、安全业务顾问,安全流程自动化,还是量身定制的解决方案,这一切都能有效提升企业的业务成效。最后华途安全系统构建企业坚强防线,第一行为可追溯、预警非法操作、实施事后监督。在目前的状况下,企业在信息安全方面应该如何决策?最简单当然是保持现状,但这意味着企业必须被动的接受来自企业内部、外部的各种安全威胁,其结果就是首先缺乏对安全问题的战略部署,由此可能导致企业的自身产权受到侵害,企业的知识结晶处于高风险状态,最终导致使企业缺乏对未来得控制。
第二种选择就是头痛医头,继续增加传统安全系统来解决安全问题,比如说做网络控制、移动存储设备的控制。这会导致以下结果,首先最终会增加企业安全业务成本,其次,临时性的非系统的解决方案,始终存在着未知的安全短版。最后在企业信息安全问题真正得到解决之前,我们所做的所有努力都有可能转化为对手的竞争力,而使企业错过对未来机遇的把握。
所以最优的选择是与华途合作,我们将与您一起共同构建适合企业自身的新一代安全系统,提升生产效率,实现长远的积极影响。所以我们的建议是马上行动起来,与华途安全专家团队共同讨论,首先是组建一个企业安全工作组,其次对企业安全现状进行评估,华途会为您量身定制一个您所需要的一个安全系统,这也是我们一直倡导的信息安全2.0时代。
下面介绍一下我们的信息安全的战略,华途信息系统管理安全的战略是提供面向个人消费者、中小企业、大型企业、企业的整体解决方案,特别是在大型企业方案,我们拥有行业龙头的客户。我们的使命,华途软件在成立之日起就是解决企业安全问题为己任,我们当年致力于企业安全问题的研究和开发,我们的目标是成为全面信息安全的领导厂商。我们的客户遍布全国各省,涉足的行业火车、汽车、船舶、化工、机械制造、电器、家具、设计院、金融、企业等。