2016年6月24-25日，由51CTO.com主辦的【W(wǎng)OT2016企業(yè)安全技術峰會】在北京珠三角JW萬豪酒店召開。自2012年以來，WOT品牌大會秉承專注技術、服務技術人員的理念已經(jīng)成功舉辦九屆，不僅積累了大量的專家資源，更獲得了廣大IT從業(yè)者和技術愛好者的認可和好評，并成為業(yè)界重要的技術分享及人脈拓展平臺。

本次【W(wǎng)OT企業(yè)安全技術峰會】分為11大技術主題，分別是企業(yè)安全管理與運維、工控安全與物聯(lián)網(wǎng)安全、大數(shù)據(jù)安全、移動Web與安全、云安全、CISSP開放創(chuàng)新論壇、金融與電子商務安全、威脅情報與攻擊防護、漏洞挖掘與分析、安全測試與應急處理、技術管理專場。51CTO.com作為本次大會的主辦方，將通過快速報道、現(xiàn)場專訪與后期視頻等多種形式,向廣大用戶全方位展示這場盛宴。

下面是大會主會場上來自普華永道風險及控制服務的合伙人冼嘉樂先生帶來的主題為新形勢下企業(yè)安全管理面臨的挑戰(zhàn)與應對的現(xiàn)場演講實錄。

[[167795]]

普華永道風險及控制服務合伙人 冼嘉樂

(演講實錄)

大家好，我是冼嘉樂。我來自中國香港，聽我普通話可以聽到，我在北京待了10多年，我普通話還是不地道。

關于普華永道全球安全調查，今天跟大家分享比較重要的一些信息。我們這一次調查是跟很多的企業(yè)合作，大部分都是在大企業(yè)。全世界來講，北美大概是37%，歐洲是30%。在中國香港本土我們有超過330%的受訪者，全世界一共有1萬個。

關于網(wǎng)絡安全的事件，網(wǎng)絡安全事件是不斷地發(fā)生，差不多每天都是有新的新聞。在過去12年，通過調查發(fā)現(xiàn)，全世界的網(wǎng)絡事件增長率38%，中國本土其實增長率是非常的高，增長了4倍，大概是417，過去12個月我相信，大家在本土還有中國香港都是聽到不同的安全事件，有一些安全事件也是非常的多。

關于每一個安全案件帶來的財務損失，也是不斷地攀升。中國大陸和中國香港本土，每一個安全事件的平均財務損失現(xiàn)在是260萬美金，去年是240萬美金，比去年增長了10%。但是，如果我們在跟前年來看，前年那個數(shù)據(jù)平均180萬美金，同前年跟近年來比，已經(jīng)超過40%，這個金額非常大。這是一個平均數(shù)目，去年有一個很大的本地安全事件，其實它的損失的金額超過了很大很大了。那么，另外，企業(yè)來講，有什么樣子數(shù)據(jù)是黑客，還有很多人獲取的目標。一直以來客戶數(shù)據(jù)都是受到關注，根據(jù)我們的調查結果，很多受訪者都覺得客戶的數(shù)據(jù)比較的重要。重要性比去年來講也是上升了64%。除了客戶的數(shù)據(jù)以外，其他的數(shù)據(jù)都備受關注。除了客戶數(shù)據(jù)，除了有關材料的數(shù)據(jù)，現(xiàn)在還有什么數(shù)據(jù)備受關注呢?就是我們的知識產(chǎn)權。比如說，我們的生產(chǎn)汽車的那個設計圖，還有知識產(chǎn)權都是黑客要獲取的目標。從我們普華永道來講，我們以前一直做的安全有關的項目，大部分都是在金融行業(yè)。過去兩年客戶的需求，從一般的金融行業(yè)，銀行有監(jiān)管的要求，現(xiàn)在很多其他的行業(yè)。比如說汽車行業(yè)，互聯(lián)網(wǎng)，都有安全的需求。現(xiàn)在各行各業(yè)都在關注網(wǎng)絡安全，現(xiàn)在不僅有金融行業(yè)了。

然后，關于在網(wǎng)絡安全的預算，通過我們的調查發(fā)現(xiàn)，那個是比去年增長了10%，在中國地區(qū)平均來講800萬美金。那么，很多人都有一個問題，我應該花多少錢在網(wǎng)絡安全方面呢?根據(jù)我們的調查的結果發(fā)現(xiàn)，一般的公司的網(wǎng)絡安全的預算是整個IT預算的19%，那個數(shù)據(jù)是很好一個參考數(shù)字，我們有每一個行業(yè)的數(shù)字。大概是18%到20%。所以，如果有網(wǎng)絡安全預算，那個預算是整個IT預算的19%到20%左右。

剛剛很快地跟大家講了一下普華永道全球安全調查的結果，我們有很多更加詳細的結果，大家有興趣可以到我們網(wǎng)站上面下載整體的報告。

以下跟大家分享一下關于信息安全的管理的一些新的挑戰(zhàn)。

在安全圈有一個很有名一句話，安全是相對的，不完全是絕對的，永恒不變的是變化。之前都是講到了現(xiàn)在科技的發(fā)展，云計算，大數(shù)據(jù)，人工智能，移動網(wǎng)絡等等。在科技發(fā)展當中我們有不同的應用，比如說移動的APP，智能的硬件，私有云，公有云等等，這些都我們的民生，為我們生活帶來很多的益處。但是，同時也是帶來很多的網(wǎng)絡安全的風險，我們在網(wǎng)絡安全時間有攻防林種。也是有APP，黑客群體來攻擊企業(yè)的網(wǎng)絡。還有也用0 day方法入侵企業(yè)。很多也是用機器感知，加強那個防御。那么，他們最終為了保護什么?就是為了保護企業(yè)里面商業(yè)的數(shù)據(jù)。在企業(yè)商業(yè)的數(shù)據(jù)里面有一個什么數(shù)據(jù)是非常重要的呢?就是用戶個人信息，現(xiàn)在用戶個人信息我們也是看到了，現(xiàn)在科技發(fā)展也是發(fā)展到那個智能的設備?，F(xiàn)在智能設備也是獲取個人信息，如果那些信息泄露出去可能會對個人得身體健康，對于我們的生命會受到很大的威脅，今天我務要是跟大家分享一下，現(xiàn)在法律法規(guī)的最新的那個發(fā)展，對于保護我們的個人隱私有什么需求，

我們現(xiàn)在的生活都圍繞在網(wǎng)上，有互聯(lián)網(wǎng)，移動互聯(lián)網(wǎng)，有智能的設備。很多這些不同渠道都是獲取個人信息，現(xiàn)在很多國家都是非常的關注去保護個人的隱私。很多現(xiàn)在都是有個人隱私法。尤其是歐盟，歐盟其實在95年有一個個人隱私保護法律。在去年2015年12月出了一個最新的一般個人數(shù)據(jù)保護條例，里面的要求是非常非常的嚴厲，一會兒跟大家慢慢分享一下里面重要的要求。

在美國，其實美國是第一個國家最早有個人隱私法的，當時個人隱私法是在1974年已經(jīng)開始有了，1974年很久以前了，我當年是剛剛上小學一年級的時候，1974年，2012年奧巴馬政府也是推消費者個人信息保護條例，現(xiàn)在也是有一個非常嚴謹?shù)囊粋€個人隱私保護。在中國我們暫時還沒有一個個人隱私法，但是，草案是有的。去年我國的網(wǎng)絡安全法的草案也是出來了。我們也是相信，這個法案也會很快地出臺，但是對于用戶個人信息的保護也是有一定的要求。

關于GDPR，是管轄的領域，其實不僅僅是在歐盟國家，其實全世界都是在管。為什么呢?如果你是一個階級，你沒有在歐盟國家注冊。但是，如果你的業(yè)務，你賣的商品，你提供服務，你的用戶，你的客戶，里面有公民的話，你需要滿足GDPR的要求。本土的企業(yè)如果你的客戶有歐盟的共鳴，你需要滿足GDPR要求，你在海外也是需要滿足這個GDPR的要求。所以，這個GDPR那個法律是對全世界所有國家都是有很大的影響。還有歐盟之間他們也是有一些協(xié)議，其實在過去的15年，歐盟歐美兩個地區(qū)是有一個安全崗的協(xié)議。15年以前，歐盟雙方的商業(yè)數(shù)據(jù)可以自由地往來，就是兩個地區(qū)。但是，后來這個安全搞這個協(xié)議。但是知道為什么嗎?突然過了15年以后，在去年給歐盟暫停了。大家知道什么事情嗎?2013年發(fā)生了什么事情?有一個大哥叫斯摩登，出來曝料，歐盟也是非常的憤怒，把安全崗協(xié)議砍掉。美國跟歐盟再去協(xié)調，最后有一個另外一個協(xié)議，歐盟隱私盾牌，里面什么要求?如果歐盟的公民數(shù)據(jù)傳達到美國，雖然在美國，但是還是享受在歐盟GDPR法律的管轄的領域，還有美國也承諾，不會建設歐盟公民的個人數(shù)據(jù)。這個就是歐盟隱私盾牌。

大數(shù)據(jù)時代，很多我們個人信息，不同的信息都是不同的渠道給手機，然后再加工，然后進行大數(shù)據(jù)的分析。那么，在GDP里面，你要手機用戶的信息，一定不可以默認，一定不可以等用戶默認，一定要明確，得到用戶的名稱的同意，才可以知道個人數(shù)據(jù)。還有，對于未成年人的數(shù)據(jù)也是有一定的要求，在GDP里面說了，如果你手機的數(shù)據(jù)，那個個人的年齡是低與16歲，一定要父母和監(jiān)護人同意才可以。有一些國家年齡段要求不一樣，但是，最低不少于13歲。他們的數(shù)據(jù)一定會得到監(jiān)護人的同意。所以，進行一些業(yè)務，涉及到兒童的時候我們也是需要關注的。

那么，關于數(shù)據(jù)個人隱私保護的管理。我們有幾個領域，關于數(shù)據(jù)手機使用，還有刪除。在數(shù)據(jù)手機的時候，剛剛我也是說了，一定要得到用戶的明確的同意才用手機。還有，在國外的網(wǎng)站，比如說一些大的網(wǎng)站，你點擊進去，他們有一個個人隱私聲明，拿你數(shù)據(jù)是用來干什么的，怎么處理你的數(shù)據(jù)。這些都是有很細的一個描述。在我們本土的網(wǎng)站，雖然有一些網(wǎng)站也是有個人隱私的聲明，但是沒有這些網(wǎng)站的內容那么豐富。所以，這個也是我們需要完善的一個地方。

另外，關于這個數(shù)據(jù)的備份，如果談到國家網(wǎng)絡安全草案，里面也是說了，在本土的數(shù)據(jù)是不可以存在國外的，這個是一個明確的要求。如果你的數(shù)據(jù)需要放到海外的話，你需要跟網(wǎng)信辦，還有國務院有關的部門申請，進行一個安全回顧。通過以后才可以把這個數(shù)據(jù)放在海外。那么，還有就是GDP，另外有一個要求，就是企業(yè)要委托一個人員，叫做EPO，叫做數(shù)據(jù)隱私關，代表公司處理個人隱私的工作。制訂一個制度，還有建設個人隱私的操作。

數(shù)據(jù)刪除領域，在GDPR有一個地方是非常重要的。數(shù)據(jù)被遺忘權，這個要求是非常非常的大，你要忘記用戶，不是那么的簡單，很痛苦。好像男朋友有一天突然跟你說，分手了，突然很難接受，很難把它忘記。對于企業(yè)來講，首先有一些用戶信息，可能企業(yè)很多不同的合作方，有很多的外包商，你要把那個用戶的信息刪掉，不僅僅是你自己在你范圍內刪掉數(shù)據(jù)。合作方，外包商也是需要同時刪數(shù)據(jù)。通過大數(shù)據(jù)的加工以后的信息也要把它刪掉。那么，也是可以想象一下，如果刪掉一個用戶，我有這樣一個架構，要刪除一個用戶信息是多么的復雜。但是，現(xiàn)在這個歐盟法律刪除用戶信息的程度到了多少?現(xiàn)在是沒有一個明確的說法，所以，這個問題還是需要我們去研究的。然后，關于GDPR法律的罰款也是非常的重要，大家也是需要關注。也是根據(jù)違法一個程度來定那個罰款是多少。那個法律里面說了，如果是一般的行為的違法，那個罰款的上限是1千萬歐元或者是企業(yè)全球營業(yè)額的2%，看哪一個數(shù)最大。如果企業(yè)去年全球的營業(yè)額100個億人民幣，罰款的上限是到2個億的人民幣，這個是非常非常的龐大。如果是嚴重的違法，罰款上線是2千萬歐元，或者全球營業(yè)額4%，非常非常的高。這個罰款可以導致一個小企業(yè)的倒閉。另外，如果違法了，如果對歐盟法律違法了，對于公司聲譽有影響，除了罰款，還有其他的法律訴訟。所以，對于企業(yè)來講也是很大的一個挑戰(zhàn)。

下面給大家?guī)讉€問題，可以回去思考一下，我們應該對于哪些個人隱私數(shù)據(jù)于是保護?我們對于企業(yè)個人的數(shù)據(jù)風險狀況有可能的威脅，有沒有一個完全的了解?我們有沒有測試我們企業(yè)最終的安全框架，有沒有有效?如果我們的數(shù)據(jù)給黑客獲取，我們有沒有一個機制恢復我們的操作?專門對媒體交代我們的一個事件，這些都是我們需要去思考的幾個問題。

最后跟大家講一下有什么應對方案。在我們的安全管理體系方面，我們有一些標準。講到個人隱私保護，大家也是可以去看一下GDPR，也可以看到美國有一個GAPP，一般接收個人隱私原則，這個GAPP，里面寫的非常的好，都是一些基本的，關于個人隱私保護的內控的要求。那么，在每一個通知點也會提供一個例子，怎么做好那個流程控制?你需要什么控制點?他會很細地、一個點一個點地告訴你的。那個GAPP那個文檔是免費的，可以上網(wǎng)去百度搜索一下。獲取到GAPP，可以打開后下載一份文檔，這個文檔是非常的好，大家可以用來做一個參考。

關于我們企業(yè)在IT部門里面，我們的安全的組織架構，這個我提供的一個比較標準的一個結構，給大家參考，里面除了我們的CIO，還有CISO，里面有安全的分析員、信息安全的管理員，審計員等等等等?，F(xiàn)在除了這些崗位以外，我們也需要考慮增加數(shù)據(jù)保護專員，這個是GDP要求的一個崗位，如果你覺得你企業(yè)會涉及到歐盟公民，是需要完成個人信息保護的管理。還要做數(shù)據(jù)保護專員，這個專員，如果你的企業(yè)是在歐洲的國家，是有分支機構，你可以委任當?shù)赝伦瞿莻€。如果企業(yè)在歐盟沒有分支機構，但是你還需要有個DPO，你怎么找DPO，你的DPO一定要在歐洲找，就需要找第三方，找一個中介。在歐洲有一些中介是可以幫你裝DPO。建設個人保護隱私操作，如果有什么問題發(fā)生，他是聯(lián)系人，需要跟相關的監(jiān)管機構去匯報。

現(xiàn)在的企業(yè)所做的業(yè)務都可能跟其他的國家有關系，尤其我們做電商，不僅僅是做本土，我們也是做跨國傳輸我們的數(shù)據(jù)，通過業(yè)務操作。所以，我們除了要了解本土的要求，我們也是需要了解國外的個人隱私保護的要求。剛剛我講的是GDPR，除了美國之外，還有其他國家也是需要了解他們有關的個人隱私的保護的要求，因為每一個國家都有他不同的要求。有一個共同的地方，我們一定要跟我們的數(shù)據(jù)做一個分級，做一個風險評估。然后，我們也是需要根據(jù)他的那個分級，然后，再設定一定的安全的管控來保護那些數(shù)據(jù)。

比如說，在俄羅所他們個人隱私法也跟我國網(wǎng)絡安全草案一樣的，國民數(shù)據(jù)不可能傳到國外，澳大利亞那邊的數(shù)據(jù)可以傳到國外，但是一定要做好數(shù)據(jù)分級，風險評估，做那個評估。就是保護那個數(shù)據(jù)，才可以把這個數(shù)據(jù)傳到國外。

有一些國家和地區(qū)，如果關于電信行業(yè)的數(shù)據(jù)，是不允許把一些數(shù)據(jù)傳到國外。但是，有一些國家他說，我的數(shù)據(jù)雖然放在國外。但是，我們本土的也是需要留一個備份，比如說馬來西亞，放在國外沒有問題，但是需要有一個備份放在馬來西亞。對于其他國家以外，我們需要了解其他國家對于個人隱私法的要求。我們的業(yè)務是涉及到不同的國家。

我提上5個點完善我們數(shù)據(jù)保護工作。首先，剛剛說了，了解不同國家的要求，我們確保我們是監(jiān)管的。我們要識別我們的核心數(shù)據(jù)，進行分析，進行分級，然后，再做風險的評級。那就把高風險數(shù)據(jù)來做好安全的保護。然后，如果我們的數(shù)據(jù)發(fā)生泄露，我們一定有一個響應機制，怎么去處理那個事件?怎么和媒體報道?怎么恢復我們那個問題?另外，剛剛說了，如果有一個用戶需要你刪除它的數(shù)據(jù)，可能你有很多不同的合作方。那么，你一定要有一個機制。最終數(shù)據(jù)跟其他的合作方立馬把那個數(shù)據(jù)刪掉。所以，我們要不停跟第三方和外包商多溝通。最后，定期去做網(wǎng)絡安全的評估，如果發(fā)生了什么問題，我們馬上整改。

最后，想跟大家說的，是GDPR，這個是去年12月份立法，但是，現(xiàn)在一直到18年是一個過度期，是18年全面落實。如果大家覺得你的企業(yè)是需要滿足歐盟的GDPR，其實我們現(xiàn)在要做好準備，因為18年，一年半以后，這個法律會全面落實。還有剛剛提到，我國網(wǎng)絡安全反草案還沒有出臺，但是應該很快。里面涉及到關于用戶信息的保護。但是，那個要求是什么?是比較的宏觀，暫時沒有很詳細的一個落實的一個方法給大家參考。我國有可能會參考歐盟那個GDPR，有可能做一些東西把它本地化。建議大家關注歐盟GDPR，看看詳細要求?，F(xiàn)在是時候去準備了。

我今天跟大家分享的到此為止。謝謝大家。

以上是51CTO.com記者從【W(wǎng)OT企業(yè)安全技術峰會】一線為您帶來的精彩報道。一大波精彩內容報道正在襲來，敬請持續(xù)關注!