中國IDC圈9月25日報道:2007中國互聯(lián)網(wǎng)大會進入第二天。本次大會由中國互聯(lián)網(wǎng)協(xié)會舉辦,中國IDC圈作為大會支持媒體���,本屆互聯(lián)網(wǎng)大會技術(shù)論壇進行現(xiàn)場圖文直播���。以下為來自2007中國互聯(lián)網(wǎng)大會現(xiàn)場的報道。
啟明星辰首席戰(zhàn)略官潘柱廷
潘柱延:大家下午好���,非常高興在金秋這樣一個日子來跟大家分享我的想法�����,我少談一些公司的產(chǎn)品�����,啟明星辰在安全方面大家還是比較了解���,就談一些新的想法和一些創(chuàng)意,有的時候會有點忽悠忽悠這樣一種感覺�����,我希望一些想法���,一些亮點能夠給大家?guī)硪恍┬〉膸椭?/P>
從這個題目來說應(yīng)該是一個比較特別的習(xí)慣��。我在以前有一個經(jīng)歷����,在一個朋友遇到一些困難的時候,我也用7個習(xí)慣�����,頭兩個習(xí)慣來跟他溝通���,能夠幫助他,我覺得我當(dāng)時跟他的溝通���,確實用7個習(xí)慣改變了他的生活軌跡�����。
等級保護在安全圈里面大家比較熟悉�����,如果大家不在安全圈里不太熟悉�����。
我不知道大家有多少人看過《7個習(xí)慣》這本書�,這本書有很多年了,作為科維寫這本書的時候��,我最近看他的一本書是《心理學(xué)改變生活》�����,科維七個習(xí)慣大家看過這個書非常熟悉�,第一個談到積極主動,以終為始���,要事第一���,雙贏思維,知彼解己����,統(tǒng)合綜效,不斷更新����。你真正按照這7個習(xí)慣去思考會有新的感受,這7個習(xí)慣分成人成熟的過程,從依賴別人��,就是你依賴別人�,到你能夠獨立自主去成為一個自我,再往后形成一個互賴關(guān)系�����,你可以跟別人去合作�,有三個習(xí)慣從依賴性走向獨立,第四到第六個習(xí)慣談你怎么從一個獨立走到跟人合作�����,最后他通過不斷跟人改進去談�����,這七個習(xí)慣對人們來說應(yīng)該是很好的厲志的方法��,或者改變你的思考���。今天我想把這樣一個思路放到談安全,談等級保護�。所以我想談?wù)劦燃壉Wo。
等級保護其實有很多很多年�,從90年代中期開始有等級保護這樣一個話題����,實際上等級保護的源頭是來自于美國1985年這個經(jīng)濟數(shù)����,也都是分成7級,等級保護里面我們變成了5����,在整個等級保護里面,經(jīng)過99年����,99年在國內(nèi)強制性的推行等級保護,非���?蓺獾氖窃趪17859并沒有真正的落實�,在這樣一個商業(yè)的環(huán)境下有些這些東西是非常難得實現(xiàn)�����,實際上等級保護在這個程度開始陷入到第一個困境��,他提出要求以后很多事情我們無法去實施,這是等級保護遇到的一些困難����,后來陷入另外一個困境,等級保護分成五級���,不同的侵害程度對你有安全保障的要求���,不同的等級規(guī)定了相應(yīng)的要求,甚至是指南����,有很多相應(yīng)的國家標(biāo)準(zhǔn)和這個行業(yè)標(biāo)準(zhǔn)區(qū)指導(dǎo)你怎么去做等級保護,我現(xiàn)在說它陷入到第二個困境�,其實就是什么呢?就是它給大家提的要求太細(xì)�,我不知道大家有沒有對其他相應(yīng)合規(guī)性的要求有所了解�����,應(yīng)該說整個2005年到2006年受整個賽斑斯法案影響���,在整個過程中賽斑斯法案的推進��,它整個推進過程中有什么特點����,其實它就是三個條款推動整個合同,這三個條款��,說白了三個很簡單的條款�,第一個條款說明你CEO和CFO要對財務(wù)報表負(fù)責(zé),這三個條款整個推動相應(yīng)的東西�����,包括審計公司拿出拷貝的�����,等等一些指南去幫助你���,形成多方機制推動賽斑斯法案在行業(yè)中的推進�,賽斑斯法案整體還是不錯的����。
作為等級保護現(xiàn)在遇到一個困境,一個方面是很多人不理解這一件事情�����,覺得這一件事情跟我沒關(guān)系,我不愿意參與�����,你給我加一個條款����,我為什么要去等級保護呢,另外它給出非常詳細(xì)的�,當(dāng)然我也屬于專家之一,專家推出眾多的厚本的指南���,指引����,等等這些東西�,這些東西讓我們真正的用戶,真正面對等級保護工作的人群可能會遇到一些無所適從���,大家要推動合規(guī)性的東西,一定要注意合規(guī)性的東西要簡潔明了��。
等級保護大家知道了,是以等級為原則的��,安全性的���,國家強制性的要求���,從這一方面來說做是非做不可,從整個等級保護現(xiàn)在這個階段�����,如果在坐的大家有大型機構(gòu)�����,大型國家部委的機關(guān)�,比如電信,銀行��,等等這些大機構(gòu)的同事�,如果你從事信息安全和信息方面的工作你肯定會知道,在今年十月底之前你們必須完成定級工作���,這個是等級保護的要求��,針對這樣一個要求和壓力我們怎么去面對這一件事情���,不管你現(xiàn)在對它是什么樣的觀點�����,什么樣的態(tài)度���,喜歡它也好,不喜歡它也好��。我們面對任何合規(guī)性要求一般都是這樣��,像我們以前考試的時候很難有人很高興的面對考試�����,既然我們面對它怎么面對它�,等級保護,十余年的規(guī)范怎么保持活力����,是一個規(guī)定就是剛性,還會談到在一個錯綜復(fù)雜的格局中怎么讓各方從中受益�����。
談?wù)勂邆習(xí)慣����,我希望通過今天的溝通,大家更適合的一種思路和方式去看這個�����,等級保護的這個角色�。其實參與到各種的業(yè)務(wù),各種的規(guī)定當(dāng)中都會有很多的角色在里頭�,有客戶要求一定要做等級保護,客戶我可能在信息安全部門工作����,啟明星辰既是內(nèi)容提供商也是運營提供商,希望通過等級保護獲得收益����。還有第三方,就是主管機關(guān)�,比如保密局,國家信息辦等部門�����,就要求你怎么樣怎么樣,我們做任何事情要從角度去看�。我們把幾個習(xí)慣過一下。因為正好小標(biāo)擋了這幾個字���。
米盧的一句話�����,態(tài)度決定一切�,如果你一再把你放在關(guān)注圈就不太好��,你不要把精力放在你不能影響的東西���,你不能影響的東西你關(guān)注它沒有意義����,等級保護作為一項國家政策�����,你探討等級保護這個問題應(yīng)不應(yīng)該搞,這個東西不是你能夠左右的�����,這個時候你要以積極的態(tài)度�,既然它已經(jīng)勢在必行��,那我就以積極的態(tài)度去做它�����。這個態(tài)度去扭轉(zhuǎn)����,不光你個人的態(tài)度去扭轉(zhuǎn),其實借助這樣的力量使你整個機構(gòu)能夠以積極的態(tài)度去面對它����。就像我們現(xiàn)在面臨互聯(lián)網(wǎng)的世界一樣,如果你不積極適應(yīng)這個世界的話�,就是當(dāng)推土機過來的時候,你不要試圖變成一堵墻擋住它�����,你要挖一個坑。
我們明確一個態(tài)度�,這是第一個,從態(tài)度上面我們先積極化以后�,這個習(xí)慣的名字就是以終為始,就是你隨時要開始新的事情�,在我理解是行動,我理解這個事情非常值得做的時候我就去做����,你不能光去想,你一定把你的方式方法落實到行動上����。其實我們每一個機構(gòu)如果也能夠具有思想天賦的話應(yīng)該是一個戰(zhàn)無不勝的機構(gòu),我知道這個機構(gòu)是獨立于別的機構(gòu)��,存在于自我�����,首先你要意識到一個自我�����,其次你要有判斷是否的能力�,如果再談到人的話叫良知,在一個機構(gòu)我改成叫判斷力,你知道什么是好的��,什么是壞��,什么是正面的��,什么是負(fù)面的����,什么是應(yīng)該做的�,什么是不應(yīng)該做的,這個時候你還有一定的智慧你知道該怎么做��,你有智慧去享受��。最后看你有沒有勇氣去享受��,行動不需要智慧��,行動需要一個勇氣�����,當(dāng)然你面對�,比如等級保護,或者其他一些事情,其實你已經(jīng)知道這一件是非做不可�,這個時候你把一個非做不可的事情,確定在這里面我應(yīng)該獲得什么����,然后我判斷,我配合這件事情�����,然后你具體的方法����,我想作為一個機構(gòu)來說這個方法非常重要,我這個機構(gòu)到底具不具備這四項天賦���,或者哪一項天賦更強一些�����。這是談的習(xí)慣�。
科維談的第三個習(xí)慣�����,就是鑰匙第一,作為最重要的事情一定是最簡單的事情�����,所以最近啟明星辰經(jīng)常談一個口號����,就是安全從簡單開始,你如果覺得這一件事情變得簡單了你應(yīng)該做對的可能性比較大���,你應(yīng)該抓住一些關(guān)鍵性的東西��,你發(fā)現(xiàn)這個事情很復(fù)雜,你一定抓住復(fù)雜事情里面簡單的事情去做�����,你可能比較關(guān)注等級保護���,我發(fā)現(xiàn)問題改造��,你作為廠商來說��,你知道怎么改造�,最重要的第一個是定級,我到底把自己定位到什么樣要求的強度�����,你定在一級����,二級,三級�,我知道前面有幾個我們國家非常重要的金融機構(gòu),影響到我們上萬億資金的企業(yè)既然把自己定成為一級��,一級就是不需要任何機關(guān)�,像千億資金,萬億資金的機構(gòu)���,實際上這里面他沒有真正把這個要點把握��,其實他這個要點沒有把握住他其實自己反而非常的麻煩�����,因為他定級錯誤����,定級你把自己合適的定位在一個地方,這是一個非常重要的事情��,而且能夠讓你平衡你自己����。除了定級之外,我對合規(guī)性的要求�,后邊的話你要看看你離這個標(biāo)準(zhǔn)有多遠,這是另外一個非常重要的事情�����,當(dāng)你發(fā)現(xiàn)有多少的時候�����,你后邊怎么做就變得非常的簡單����。當(dāng)我知道我這個差距�����,這個差距具體的����,很清晰的存在的話����,你去滿足條件�����。這就是談到我對等級保護里面的鑰匙�,所以我這個里面放了一個鑰匙,所以鑰匙第一���。關(guān)鍵點在哪里�����。
這些都是談個人��,這個時候再往下一步����,你一定要想辦法去理解別人�����,這里邊談到兩個習(xí)慣,雙贏的思維��,實際上這里面是多贏的思維�,在整個等級保護里面有多方參與,我們尤其關(guān)注這三個方面�����,另外兩個方面你一定要看����,主管機關(guān)你怎么看,如果你是一個用戶��,等級保護的實施者����,你要去看主管機構(gòu)怎么去看,我這里面寫到了���,從我的理解來說�,這三個它在里面所處的想法�����,比如用戶我關(guān)心符合性���,我關(guān)心我能不能達標(biāo)�,我非常理解擁有萬億資金的企業(yè)怕自己達不到���,作為他這樣一個想法他沒有理解����,另外兩方一些想法��,他沒有理解主管機構(gòu)�,當(dāng)你把這樣重要的部門定為一級,主管機構(gòu)進行監(jiān)管和管理的時候沒有達到他的業(yè)務(wù)指標(biāo)�����,比如說玩笑的說一下���,如果用戶把自己安全級別定的非常低��,作為提供商我們的商機就非常少了�,作為安全廠商可以希望大家把安全級提的高高的,你光從提供商我希望大家都定的高高的�,這個時候你從主管機關(guān)和用戶角度看又不一樣,作為主管機關(guān)你其實并不希望大家都比級別定高�,使得監(jiān)管的工作非常復(fù)雜,在這個過程中可以看到��,即使就定級這個事情來看�,其實就是大家理解別人,理解別人的事情�,最重要這三個方面價值的訴求來說,都會有一個實際效果�����,用戶最終還是會關(guān)心你實際的效果�,我即使達到等級保護一級二級三級,告訴我你達標(biāo)了��,你真的出了嚴(yán)重事故���,領(lǐng)導(dǎo)同樣被摘掉烏紗帽�����,誰主管誰負(fù)責(zé)�����,所以說實際效果還是用戶要真正解決的問題���。主管機關(guān)和提供商也同樣關(guān)注實際效果,這里面一定要在這里面圍繞等級保護的思想達到雙贏的思維�。這相應(yīng)進入一個更加合作的狀態(tài)。
第六個習(xí)慣�����,叫做綜合統(tǒng)效���,意味著當(dāng)你面對這樣一個復(fù)雜的事情�,你想單一訴求一個方向獲得價值不太容易���,在內(nèi)部你要需求一種結(jié)構(gòu)����,比如說在技術(shù)上比較推崇用安全域的這種方法��。管理上��,BST99,2701��,2701有一百多種控制點給你提出來��,在管理上其實最關(guān)鍵這兩點��,一個是責(zé)任�����,一個是教育�����,這兩個關(guān)鍵點抓住了整個網(wǎng)在你的控制之下��。外部統(tǒng)效就是協(xié)作和合作��。
作為等保護其實十多年了�����,其實還非常的不成熟��,在這個過程中我們作為各方面應(yīng)該去包容各種想法�����,等級保護能不能跟我們的企業(yè)成長。
剛才簡單談了一下七個習(xí)慣看等級保護�����,七個習(xí)慣看等級保護其實也就是說你做一件比較有意思的事情都考慮這七個習(xí)慣對你的幫助和影響����。
科維《七個習(xí)慣》之后寫了《第八個習(xí)慣》��,《第八個習(xí)慣》主要談要找到你的新生����,就是關(guān)于等級保護的新生是什么呢?我覺得可以讓我們繼續(xù)探索����,最后我也以這樣一個問題,這樣一個新生來結(jié)束今天這樣一個演講����,非常感謝大家在中秋這樣一個寶貴的時間來分享這樣一個想法。謝謝�!
|
