![]()
作为第二届“十佳首席安全官(CSO)”荣誉的获得者之一,潘旭乐也是靠着他的厚实履历荣膺此任。作为中国建设银行上海市分行的信息技术部总经理,潘旭乐绝大部分时候都是身处幕后,用他的努力换得银行日常工作的平稳有序。作为一位大型国有银行的CSO,潘旭乐对于自己的岗位和行业有哪些不一样的见解?
CSO问答
Q:站在CSO的角度,您如何衡量安全对于企业的经济价值,如何确定企业安全投入的标准?
A:建行是一级法人银行,上海分行是下属一级分行。所以,分行的管理要求和标准主要由总行负责。作为分行的信息技术负责人,我们和其他企业CSO的工作内容,有相同之处,又有不同之处。
从经济性上来看,安全投入和产出就像一枚硬币的两边,高度统一又存在矛盾。虽然安全和便利存在反相关,但是安全投入也能产生经济效益,消除企业的安全隐患,提高企业安全生产水平。
如果企业不愿意合理投入,一旦发生事故,不仅会发生经济损失,还会有损企业品牌,甚至造成客户大量流失。
目前建行上海市分行的信息安全投入,占信息科技投入的20%到30%。对于安全投入,每个管理者心中都应该有一笔账,不是说投入越多越好,而是要寻找安全投入和利益最大化的平衡点。
![]()
Q:您是怎样探索符合企业发展的信息安全实践?
A:最初是制定一系列的规章制度,但是仅有管理要求,没有技术手段是不行的。比如十几年前要求密码口令的定期修改,但现在通过强制口令更改,这个管理要求就不需要了。
后来,我们布置了大量防火墙、VPN、网关等信息安全产品,最终才意识到企业的信息安全管理要求是不能和信息安全技术保障体系割裂的,于是我们根据ITIL、ISO27001等国际标准进一步完善了信息安全管理体系,并紧密结合自身的信息安全管理要求,规划建设了统一认证授权平台、终端安全系统、数据安全系统、运维控制与审计系统、安全监控系统和安全策略管理中心等信息安全系统,信息安全技术与信息安全管理形成了比较完美的融合。当然,这也是建行总行和各个分行协同布局。
有人说安全是“七分技术、三分管理”,但是现在管理的比重还比较高,技术的重要性正越来越凸显和提升。
Q:在探索过程中,碰到的最大困难是什么?如何克服?
A: 最大的困难是业务人员的安全意识比较薄弱,认为信息安全只是信息技术部门的工作。但是,一些员工的随意行为,就可能给企业带来很大的威胁。比如有人违规将内网外联,利用公开邮箱发送敏感信息等。
现在有了技术过滤,监测到敏感信息后,邮件就无法发送。我们也在做信息安全培训,每年都会有信息安全课件,要求在线学习。此外,我们也会和信息安全行业协会合作,开展相关信息安全培训。
![]()
Q:您如何看待信息安全意识教育?是否必要,如何开展?碰到哪些问题?
A:意识决定行为,行为决定习惯。习惯在信息安全上会产生不同的风险结果。所以,意识培养非常重要。我们也会开展培训,以实际安全案例强化员工的信息安全意识。
但是培训也面临一些问题。首先是培训频率不够高,现在是一年一次的全覆盖,平时也有些风险提示。我觉得一个月至少要提醒一下,做到警钟长鸣。其次是培训载体要丰富,最好能通过移动端培训,这样可以提高培训频度和有效时间。再次是培训内容最好要通过案例,避免枯燥。
Q: 您如何看待当前的安全技术、政府监管、政策,对这些的理解也非常关键?
A:深入了解安全技术、政策和要求是非常重要的,这也是最基本的要求。国家政策要求是什么,必须要领会,在实践中要逐步落地。比如国家现在提自主可控,所以包括U盾等,都是从国外算法逐步过渡到国内算法。
Q: 关于安全团队建设,您有什么心得体会?
A:目前我们信息技术人员总共73个人,直接负责安全管理的有4个人。
我们也很重视信息安全人才培养,安全人才一般都需要有一定经验,我们也会为其积极创造条件,包括参加外部培训,总行的支持力度也很大。
![]()
Q: 近年各类新安全技术层出不穷,您是如何看待技术创新、产品和服务?您会更看中什么样的产品和服务,是否有相关标准?
A:最近随着互联网+的深入,新的技术也层出不穷。比如量子通信、人脸识别、大数据分析等,特别是通过大数据来防范电子欺诈,对于异常行为的监控等。这些技术都能帮助银行拓展业务,控制风险,方便客户、降低银行成本。
![]()
Q: 你如何看待黑客文化,您认为怎样才算黑客?
A:在我的理解里,黑客文化是推崇自由和共享,黑客是一群计算机技术比较高超、对相关系统比较熟悉、有强烈的解决问题欲望的人。但目的不是蓄意破坏他人系统或利用技术手段牟利。
Q: 您如何看待“白帽子”与漏洞挖掘?在您企业中鼓励这种行为吗?
A:过线了就不好了。但是我们和白帽子几乎没有接触,因为分行没有针对互联网的系统,都是内网系统,总行针对网银、手机系统,也会经常做安全测试。
推荐阅读:
上海纺织袁炜:传统产业转型升级中的信息安全挑战
上海电信黄彪:用尽“洪荒之力”保护通信安全
证通郝昌富:安全哪有“沪深之争”?
![]()
扫描二维码 关注更多精彩
新锐丨大咖丨视频丨白帽丨在看
回复关键词获得关于安在更多信息
