毛文波：我是道里公司的毛文波，最近我看到云的大潮又开始，还是非常有持续性的起来了，我们的云安全准备好了没有，我们终端，会议的话题是云安全，终端安全有什么挑战，我们有幸请来六位嘉宾，首先是爱康国宾集团的冯朝辉，演讲的题目是“企业信息安全战略”。

冯朝辉：今天非常有幸跟大家一起来谈安全，我演讲的内容与今天分会场有很大关系，会范围更宽一点儿，今天一天的会议下来，大家都看到网络和信息安全是很多企业面临的一个非常残酷的现实，我自己在美国工作了十多年，然后再回到国内有五六年的时间，我的感觉，在美国的企业信息安全对企业来说可能不是第一也是第二的一个非常重大的战略的问题，在中国企业，绝大多数企业，除了金融、证券，大家是抱着一种很侥幸的当鸵鸟的态度希望不要发生，大家对这块并不重视。

今天借这个机会分享一下爱康国宾作为全国最大的体检的连锁机构，我们每年有将近200万人在企业体检，对我们来说，对我们体检人信息的安全非常重视，因为你的健康状况可能是你非常重要的个人隐私，如果这种信息得不到保障的话，对我们客户是一个非常大的损失。所以，在这个领域值得我们很多企业思考，我觉得中国的企业不应该抱着鸵鸟心态希望不要发生，有一天安全泄漏是一定会发生的，我们看到国外很多的案例，我想中国一样也会发生。

企业怎么考虑？我们应该从一个战略的层面综合考虑，前面的演讲讲了很多了，这是一个长期战略的投入，大家可以分享一下我们的一些体验。

我不再讲现在形势有多么严峻，我们前面讲了很多这种话题了，对企业来说，信息安全从有IT开始就是一个命题，只是变的越来越严酷，许多我们新的技术的使用，云的技术，虚拟化的技术，包括我们现在移动终端的使用，这个问题变的越来越严峻，我们传统的一些方法，防火墙这些东西已经在新的时代里已经不能再保护一个企业边界的安全了。这种情况下我们作为企业应该怎么应对，这些新的技术，他带来很多便利，但是同时也带来很多的挑战，特别是在安全方面的挑战。具体怎么去保护我们的云，我相信后面的嘉宾会有很多解决手段，更多的是作为一个企业IT的从业人员应该怎么面对不断出现的新的技术，不断出现的一些新的安全，应该怎么应对他们做一些分享。

数据中心变的越来越严酷。我们提到云安全，我们云方面的供应商会给我们分享他们安全的防护，但是从目前国外的经验来说，从美国来说，千万不要相信你的供应商能保护你的安全，作为企业我们还是应该有一套自己安全防护的手段。

移动终端的出现，对所有的IPO这是一个恶梦，以前我可以保护起来，现在老板要用iPAD，用手机看每天的财务信息，怎么保护移动的终端对所有的IT从业人都是一个恶梦，对一个企业来说，总IT的角度，在你的安全战略里一定要充分的考虑你的移动终端的安全问题，不然你的信息一定会通过各种各样的方式泄漏出去。

其实我觉得在手机端一个非常可惜的事件就是黑霉的没落，黑霉是一个非常重视安全的企业，但是因为它被苹果这样的企业击败了，苹果的安全保护做的很不够的，以前企业大部分用黑霉，现在转向苹果，给我们带来很多的挑战，因为在这方面的恶意软件有很多，我相信安全的技术它的生命周期，一般一个心的系统出现有三到五年的潜伏期，三到五年会有一个爆发，随着苹果大量的在企业应用，很快会有一个安全问题大的爆发期，这基本上是国外的一些趋势，安卓也是一样，基本上3—5年就会出现一个大的安全漏洞爆发的时期。

对我们企业来说，现在有这么多新的技术，影响到我们企业的安全，数据中心逐渐的虚拟化，逐渐的转向公有云，放到公有云上的数据如何得到保护，我们终端从PC到移动终端越来越多使用Web的技术，以前大家做股票交易，要去大厅里操作一个终端，现在都在手机上做，如何保护你客户的安全，越来越多技术的出现使得安全变的越来越复杂。

我们可以看到各种各样新的技术出现，使得本身我们的网络，我们企业本身IT基础的架构就越来越复杂，它带来很多安全挑战，希望我们在座的这些做IT的供应商，希望你们真正为企业提供更多更好的解决方案。

另外一方面，从业务的角度来说，安全永远不只是一个IT的问题，安全里有三个非常核心的因素，一个是人的因素。我们发现很多安全的泄漏可能是因为人的原因造成的，一个是企业内部流程的因素，你的流程控制的因素，都造成安全的漏洞。第三个因素才是我们IT的因素。所以，我们作为安全的角度，我想我们今天探讨的很多是关于技术层面的，我们如何保护网络，如何保护我的服务器，我们作为一个企业里，如果你承担一个信息安全的责任，你不光要考虑到IT的基础测试的安全，同时一定要考虑人的安全，一定要考虑你业务的安全，这是你整个安全策略里一个不可忽略的两个非常重要的部分，你的流程，你的人员如何控制它。

安全的困境，我们无数企业已经出了安全事故了，对我们来说，我们企业如何保护自己的安全，我们的信息安全是我作为一个公司负责信息技术安全的高管最担心的事情，但是这个工作，这个困难你逃不掉，你只能有一个战略的思想，一步步区市县，这也不是一天能建成的，就像长城不是一天能建成的，你应该怎么做呢？有一些简单的安全治理方面的。

安全治理，首先应该对企业内部的安全现状做一个评估，所谓企业安全度模型，我想我们绝大多数的中国企业都处于一种被动的方式，被迫的做一些安全，而没有主动的做一些安全的防护，更多的谈不上合规，可能很多美国的企业在合规和主动安全方面做了很多工作，最后我们会做到安全的优化，我们中国的企业很多还处于非常被动的阶段，如何进行安全的建设，其实最理想的方式是从治理向下一种方法，首先安全治理，然后有合规的管理，流程的改进，信息技术的安全，IT基础架构的安全，这是治理项下的方法。

大多数中国企业的现状你不得不采用治理向上的方法，先解决基础的安全架构，为了保护网站，再慢慢的往上做，但是我觉得如果你是一个企业IT的负责，从顶往下，先可以做一些考虑，同时在基础建设方面也做一定的投入和工作。ISO信息安全管理体系大家有时间可以看一看，对你做企业信息安全战略规划的时候会有很大的帮助，里面对ISO企业安全的管理做了很多的分类，大家在做规划的时候可以参照这个分类，首先安全策略，这是总业务角度控制，人力资源的安全是从人的角度考虑，我资产的安全，其次才是访问的控制，我的基础设施，这些东西我们有时间都可以找到。

我最终要强调一下企业要做安全一定是持续不断的改进的过程，根据流程不断的做实施，做评估，做感应，做提高。黑客想做什么事情我们控制不了，我们能做的事情只是把自己的铠甲做的越来越强，只有这样才能保护我们企业自己的安全。一个企业安全体系规划从统一身份认证开始，到安全管理分级，一直到病毒的防护，这都是整个安全体系规划要考虑的非常重要的一些工作。

大家会看到安全是一个非常复杂的问题，这是一个全面的信息化建构的一个工程。时间关系，我不会一点点累赘，这是一个信息安全的模型，每个企业如果你真正的对安全非常重视的话，你应该去做一个安全的模型。首先是考虑到你的策略问题，策略问题非常重要的是你一定要得到你的管理层的支持，你要跟老板讲我们为什么要做信息安全，然后安全的分析，其次是对你的资产的导入，你有什么样的安全资产，对我体检行业来说，体检客人的隐私信息、病例档案这是我的安全资产，我怎么管理，它的优先级是什么，弱点是什么，我漏洞在什么地方，只有这样，再反过来分析你的威胁是什么，有什么可能威胁你，风险的监控，最后落实到你具体要做什么事情，怎么防护它，怎么保护它。从基础设施到业务流程的改变，我怎么改变我的工作流，怎么改变我的业务。最后一步是合规，对中国企业来说比较幸运，也是一种不幸，我们没有太多的合规工作去做，对国外的企业他们不幸也有幸，他们有很多合规工作要做，在美国信息安全很多政府的法规必须去，这样很多企业可以做的好一些，对企业本身的利益来说，不管有没有合规的要求，我们都应该把安全的工作作为一个战略，有一个长期的规划，然后逐步的实施，今天就跟大家分享这些。谢谢