以下為現(xiàn)場速記。

 

瀘州老窖 數(shù)字發(fā)展中心副總經(jīng)理 崔偉

 

崔偉：很高興今天能夠在這里跟全國各地的幾百位CIO大咖們一起探討關(guān)于數(shù)字化轉(zhuǎn)型和信息安全方面的一些話題。我簡單跟大家分享一下瀘州老窖的信息安全建設(shè)，如果大家有一些需要詳細(xì)溝通的問題，歡迎大家在會議期間進(jìn)行交流，也歡迎大家能夠抽空蒞臨到我們四川瀘州，到我們公司現(xiàn)場來指導(dǎo)我們的相關(guān)工作。我們別的沒有，我們有美酒，各位大咖、各位前輩、各位專家你們只要過來，提前給我打電話，我會準(zhǔn)備好，我們邊品美酒、邊聊IT。

 

下面我簡單地介紹一下瀘州老窖的信息安全的相關(guān)情況。像剛才戴爾的劉總提到的，在整個數(shù)字化轉(zhuǎn)型的過程中，瀘州老窖作為一個傳統(tǒng)的白酒企業(yè)，實際上是處于數(shù)字化轉(zhuǎn)型的一個后進(jìn)者和跟隨者的發(fā)展階段。為了在數(shù)字化轉(zhuǎn)型的浪潮中我們能夠逐漸追趕上來，我們從2015年到今天開始了大規(guī)模的信息化建設(shè)工作，與之配套的是信息安全的相關(guān)建設(shè)。但是和我們數(shù)字化轉(zhuǎn)型的整體處于的階段一樣，在信息安全的整體階段上，我認(rèn)為瀘州老窖仍然是處于一個跟隨者的位置。因此在這里把我們目前的工作分享出來，希望在座的各位大咖能夠給我們提出寶貴的意見和建議。

 

我的分享分成四個部分：第一是整體的背景，第二是信息安全發(fā)展的歷程，第三是在今年的主要工作，第四是未來在信息安全方面的一些計劃。

 

首先，背景我想分成內(nèi)外兩部分，外部的背景是，整個國家對于信息安全的重視程度的提高，這個我相信在座的各位都有直觀的感受，我就不贅述了。內(nèi)部的背景，眾所周知在2012年以前白酒行業(yè)相對來講處于一個野蠻生長的階段。所以說在那個階段我去跟老板講，我要搞IT，先不說安不安全的問題，我說我要搞IT，老板口頭可能是支持的，但是心里面可能不一定把它放在一個很重要的位置上。從2012年到2015年，實際上白酒行業(yè)處于一個深度調(diào)整的階段，那個時候可能任何一家酒企的重點也不會放在IT建設(shè)領(lǐng)域。到2015年、2016年左右行業(yè)調(diào)整基本上告一段落，轉(zhuǎn)過頭來白酒行業(yè)的競爭開始加劇，和以前的野蠻生長躺著賺錢不一樣了，這個時候可能白酒企業(yè)紛紛開始了IT建設(shè)、開始了數(shù)字化轉(zhuǎn)型，從2015年開始到大概2017年、2018年才初步具備了信息安全建設(shè)的基礎(chǔ)。

 

我之前經(jīng)常跟我們公司的領(lǐng)導(dǎo)們匯報，為什么我們要搞信息安全?可能在2017年以前，我們有那么一些IT系統(tǒng)，比較少，核心的財務(wù)系統(tǒng)有、辦公系統(tǒng)有一些，有一些To B的訂單系統(tǒng)，完了以后其它都是一些很周邊的無關(guān)緊要的軟件。那就相當(dāng)于說我家里面根本沒有東西，所以我基本上不需要擔(dān)心人家悄悄地來我家里面遛一圈或者來我家里面搞一搞，不用擔(dān)心這些問題。從2017年開始我們大量的大數(shù)據(jù)項目的建設(shè)，包括一些核心業(yè)務(wù)系統(tǒng)的調(diào)整，我們手里面有一些數(shù)據(jù)了，有一些核心的業(yè)務(wù)在我們自己的數(shù)據(jù)中心里面跑了。如果我再像以前一樣僅僅只有幾臺防火墻保證我的網(wǎng)絡(luò)，我想我們就相當(dāng)于只穿了一條內(nèi)褲，接近于在街上裸奔?；谶@樣的一個內(nèi)部背景，我們隨著信息建設(shè)的推進(jìn)，我們的安全問題就日益凸顯出來。

 

到了2017年的時候，我們終于說服了領(lǐng)導(dǎo)，認(rèn)為確實我們存在比較嚴(yán)峻的安全問題，我們也要做這件事情，但是怎么做，我們不知道。就像剛才講的，我們以前僅僅只有幾臺防火墻，制度沒有、團(tuán)隊沒有、工具沒有、運維支撐體系也沒有。所以說，第一個需要回答的問題是信息安全方面的工作怎么做。我們在2017年的時候?qū)ｉT啟動了一個信息安全的項目，請到北京的一家有軍隊背景的安全公司來給我們做整體規(guī)劃。整體規(guī)劃完了以后，實際上回答了我們團(tuán)隊怎么建、制度管理措施怎么建、系統(tǒng)工具怎么建、運維怎么做幾個問題。

 

我們立刻面臨第二個問題，雖然說老板領(lǐng)導(dǎo)層對信息安全有一些初步的認(rèn)識，但是假設(shè)我把整個規(guī)劃比如說花若干的經(jīng)費、要投入若干年，要各個業(yè)務(wù)管理層面做大量的變革，我把這些東西全部拋給老板，然后告訴老板做完這些東西之后，我們的信息安全可能才真正搞定。我想可能對于老板來講是很難接受的一件事情。所以說，我需要拋出一個東西，讓老板很直觀地看到，我做了這個東西，我投了一少部分的資金，我以現(xiàn)有的有限的團(tuán)隊力量來投入，對變革的沖擊很少，但是可以看到有一部分問題得到解決，我需要找到這么一個項目，然后作為信息安全落地實施的第一件事情。

 

這是第二個項目，所以我們選到移動終端，通過兩三年的大規(guī)模建設(shè)，我們在2017年的時候有了在手機上使用APP，有了6、7個的樣子，其中有幾個是領(lǐng)導(dǎo)層每天都要使用的。如果在移動端上面能做一些工作，能夠很快地從上而下的統(tǒng)一公司的思想，讓他們知道第一IT部門在做這件事情，第二這件事情肯定是會有效果的，第三這件事情并不是你想象中那么痛苦，好像我們搞安全就是要監(jiān)控你業(yè)務(wù)部門，或者我就是要知道你的什么秘密，我就是要來管你，我覺得通過這樣的一個項目能夠給到我們從領(lǐng)導(dǎo)層到各個部門一個比較好的釋放作用。這是我們的第二個項目，我們推動移動終端的安全項目。

 

第二個和第三個幾乎是同時推動的，但是第三個進(jìn)展慢一點。以前瀘州老窖僅僅只有一個防火墻，基本的設(shè)備和基本的工具全部都是缺失的，我們需要通過第三個項目--基礎(chǔ)設(shè)施項目，把相關(guān)的設(shè)備、相關(guān)的工具和一些網(wǎng)絡(luò)架構(gòu)調(diào)整做好，作為一個打基礎(chǔ)的項目。所以說第二個項目是一個速贏的項目，我要很快見到效果，第三個項目是打基礎(chǔ)，我要為未來一系列的舉措奠定良好的基礎(chǔ)。

 

第四個是電子郵件信息安全專項治理工作，這個是應(yīng)政府的要求。

 

這是我們的咨詢項目，前面的第一個等級保護(hù)和第二個風(fēng)險評估是政府要求做的。第三是管理體系變革，第四是信息安全建設(shè)規(guī)劃，第五是支撐服務(wù)保障。

 

我們在2017年的時候啟動了移動端的安全項目，坦白講這是我們的廠商，我們用了他們的產(chǎn)品，他們給我們做的。大概的架構(gòu)基本是這樣的，我不展開說。我說一下當(dāng)時為什么會考慮到使用這個產(chǎn)品，我們當(dāng)時想做速贏項目的時候，我們要達(dá)到的目標(biāo)，第一是很快的落地，第二是能夠盡最大可能降低業(yè)務(wù)部門以及領(lǐng)導(dǎo)層的反彈。因為我們之前做咨詢到各個業(yè)務(wù)部門調(diào)研的時候已經(jīng)聽到很大的聲音，當(dāng)然是開玩笑地說，你是不是要監(jiān)控我，是不是我在QQ上和誰聊天你也知道，有各種各樣的聲音出來。我們想通過這個項目讓他們知道這個事情并不是像他們想象中的那么恐怖，我并不是一個變態(tài)要去窺探他，不是這樣子的。

 

我們需要的產(chǎn)品，我認(rèn)為它需要具備幾個特征。第一個特征，之前市場上有一種主流的產(chǎn)品叫做配方的終端，比如軍隊、武警，整個手機給你全部定制，包括手機的攝像頭、手機的存儲全部可以控制，在定制手機的基礎(chǔ)上再來安裝各種企業(yè)上的應(yīng)用。我認(rèn)為折衷方案通常在一般的企業(yè)里面顯然是不現(xiàn)實的，一方面是投入的問題，一方面我們顯然不能干涉每個員工使用哪個手機的自由，這顯然是不現(xiàn)實的。第二種方案是提出來把我們的辦公應(yīng)用利用軟件的方法集中到一個箱子或者應(yīng)用商店里面，我們的所有辦公應(yīng)用只能從這個應(yīng)用商店里面下載，下載完之后自動進(jìn)行包括數(shù)據(jù)加密和行為審計在內(nèi)的功能，對于用戶是無感的，他只需要下載一個應(yīng)用商店就可以了，這就遇到比較少的反彈。像我們?yōu)o州老窖，我只是把他的審計功能使用起來就可以了，我只要確保一旦有信息的泄漏，我就可以追溯到就可以了，達(dá)到這個目的的基礎(chǔ)上對用戶的影響越低越好，最好他完全感覺不到。我們基本上是選用了這樣的一個思路，最后對應(yīng)了這樣的一個產(chǎn)品。

 

第三個信息安全基礎(chǔ)建設(shè)項目的工作，主要是對網(wǎng)絡(luò)架構(gòu)的調(diào)整，以及對一些基本的設(shè)備和工具的整合。在2017年以前瀘州老窖的網(wǎng)絡(luò)，我打個比方，其實就像我們這個大廳，進(jìn)了門之后都是自己人，你想干什么就干什么，沒有分區(qū)的。我們的服務(wù)器也在這里，我們的數(shù)據(jù)也在這里，我們的前端應(yīng)用也在這里，這個顯然是具有極大風(fēng)險的。所以第一個動作是分區(qū)，區(qū)域之間進(jìn)行管控。第二個，因為它是基礎(chǔ)設(shè)施的建設(shè)，所以對合規(guī)性的要求是比較高的，不可能我建了一堆以后最后發(fā)現(xiàn)我過不了等保，這個建設(shè)就有點傻了。以及配套運維方面的一些工作。

 

到了今年，我們除了前面的一些項目還在持續(xù)推進(jìn)之外，今年主要做了幾個專項的工作。第一是對于終端，因為之前講到的所有東西是針對我們的數(shù)據(jù)中心以及針對應(yīng)用層面的，對于我們各類的PC終端，我們的一個工作是殺毒，以前都是用戶各自自己想裝什么裝什么，不想裝想裸奔就裸奔，現(xiàn)在我們統(tǒng)一地管控起來。第二是商業(yè)秘密保護(hù)，我們稱為終端數(shù)據(jù)安全防護(hù)，是商業(yè)秘密保護(hù)的一個東西。我們認(rèn)為我們面臨的安全威脅其實是內(nèi)部和外部兩個方面的，內(nèi)部的安全威脅不管是主觀還是無意的信息泄漏，實際上是非常大的問題，我們會有一個專項的工作來解決這個問題。第三是應(yīng)急演練，我剛才一直在講我們怎么樣說服高層，因為我想信息首先是一把手工程，信息安全更是一把手工程。我說服高層做了這些投資和工作，給了人員編制、項目資金和時間，最后我一定要把效果秀給他們看，所以我們會有一個以及演練的專項工作，告訴領(lǐng)導(dǎo)們，第一你的憂慮已經(jīng)解決掉一部分了，第二還有一些憂慮需要進(jìn)一步的投入，需要達(dá)到這樣的目的。最后仍然有一個規(guī)定動作，等保測評是要做的。這是今年的相關(guān)工作。

 

最后我簡要說一下未來的建設(shè)思路，剛才實際上我有談到，安全威脅是內(nèi)部和外部兩個部分的。我們除了基礎(chǔ)設(shè)施項目主要應(yīng)對外部的威脅之外，其它的項目應(yīng)對的都是內(nèi)部的威脅。所以我們在前期的建設(shè)里面對內(nèi)的處理力度要強一些，未來對外我們?nèi)绾胃兄桨踩那樾?，主要是可視化，我們的風(fēng)險在哪里，我們怎么樣探測到它，開始感知這一塊。以及之前一直在講的運維能力，之前我們是沒有專門的人、沒有專門的工具，現(xiàn)在我們上了一大堆東西之后，我相信像瀘州老窖這種企業(yè)是不可能養(yǎng)一個非常龐大的團(tuán)隊來應(yīng)對安全威脅的，畢竟這目前暫時還是威脅。

 

所以說，如何運用智能化的一些運維平臺，使我的整個投資真正地發(fā)揮作用，能夠真正地在有威脅來臨的時候立得住，這是未來的問題。最后是云安全，前面幾位大咖已經(jīng)分享過關(guān)于云方面的話題了。我想對于一些大中型的企業(yè)而言，無論是上公有云還是上混合云，最終一定是大量的業(yè)務(wù)會放在云上。云安全和傳統(tǒng)數(shù)據(jù)中心的安全防護(hù)，我認(rèn)為是非常不同的兩個概念，而且我們現(xiàn)在已經(jīng)在受到一些挑戰(zhàn)，我們之前在3月份的時候一些SaaS應(yīng)用已經(jīng)被人攻擊過，當(dāng)然我們采用了一些措施扛住了，所以這個話題也是我們未來的一個重點。

 

今天限于時間關(guān)系，我簡單地拋磚引玉，剛才也說過，我們實際上是后進(jìn)者、是跟隨者，希望在座的各位大咖有這方面經(jīng)驗的不吝賜教。謝謝大家!