我們今天談到的保密體系建設(shè),主要強(qiáng)調(diào)的是企業(yè)內(nèi)針對(duì)商業(yè)數(shù)據(jù)的保密體系建設(shè),因?yàn)槲覀円酝勂髽I(yè)的信息安全,更多的強(qiáng)調(diào)系統(tǒng)安全、邊界安全等等,因此2010年以前,集團(tuán)型企業(yè)更多的信息安全資源都投入在這些基礎(chǔ)安全設(shè)施的建設(shè)上,2010年后商業(yè)秘密保護(hù)逐步開(kāi)始被重視,但怎么做,大家都處于一個(gè)摸索的階段。寶鋼集團(tuán)大概從2011年底開(kāi)始商密保護(hù)體系建設(shè)工作,到目前為止,應(yīng)該說(shuō)初具成效,整個(gè)過(guò)程走下來(lái),實(shí)際上是比較困難的,是一路摸索的過(guò)程,為什么這么說(shuō)呢,這和我們大多數(shù)企業(yè)對(duì)信息安全的認(rèn)識(shí)有關(guān)。
大型企業(yè)的信息安全基礎(chǔ)建設(shè)應(yīng)該是比較完善的。我們有各類(lèi)邊界防護(hù)、系統(tǒng)安全措施,也會(huì)有分級(jí)保護(hù)、等級(jí)保護(hù)等測(cè)評(píng)標(biāo)準(zhǔn),因此很多企業(yè)的領(lǐng)導(dǎo)者都會(huì)認(rèn)為自身企業(yè)的安全做的還不錯(cuò),但與此同時(shí),我們依然會(huì)不停地看到、聽(tīng)到央企的泄密事件,而問(wèn)題恰恰就出在我們?nèi)菀缀鲆暤膬?nèi)部安全體系建設(shè)上。
首先從組織職能看,保密職能通常隸屬于行政職能部門(mén),如辦公廳、保密辦等,甚至在很多企業(yè)都只是知識(shí)產(chǎn)權(quán)部門(mén)兼任,保密職能部門(mén)不關(guān)心業(yè)務(wù),制定的保密措施往往無(wú)法落實(shí)。
其次,從企業(yè)信息化建設(shè)的過(guò)程看,系統(tǒng)與系統(tǒng)之間都是孤立的,各種信息的流轉(zhuǎn)無(wú)法受控,企業(yè)內(nèi)部失密的風(fēng)險(xiǎn)很大。
第三就是員工的意識(shí)問(wèn)題,使用習(xí)慣難以改變,形成非主動(dòng)性泄密源,這些都是商密體系建設(shè)過(guò)程中亟需解決的問(wèn)題。
鑒于這些問(wèn)題,商密體系建設(shè)可按如下圖的層次展開(kāi):
圖1 寶鋼商密體系建設(shè)
從上圖可以看到,這個(gè)體系其實(shí)有部分內(nèi)容會(huì)和我們所熟悉的等保比較重疊,我們稱(chēng)之為傳統(tǒng)的信息安全防護(hù)手段。
這塊內(nèi)容在大型企業(yè)中基本上是比較完備的,因此可以這么認(rèn)為,商密保護(hù)體系建設(shè)的核心在于上層的數(shù)據(jù)安全體系的建設(shè),也即全生命周期的數(shù)據(jù)安全防護(hù)體系建設(shè)。
在數(shù)據(jù)安全這個(gè)事情上,我們也做過(guò)很多嘗試,包括文件加解密,權(quán)限管理,文件審計(jì)、關(guān)鍵字過(guò)濾等,最后發(fā)現(xiàn)很重要的一點(diǎn)是,這些技術(shù)手段都過(guò)于片面強(qiáng)調(diào)技術(shù)本身,而忽視了業(yè)務(wù)。在實(shí)踐過(guò)程中,特別是集團(tuán)型的大型企業(yè),很難推動(dòng),員工會(huì)想各種手段來(lái)突破,另外一點(diǎn)就是對(duì)于已經(jīng)建成的大量信息化系統(tǒng)中所包含的商密數(shù)據(jù),這些技術(shù)手段很難有效管理,這也迫使我們做進(jìn)一步的選擇。
因此,我們?cè)诜桨高x擇中需要考慮幾個(gè)原則:一是能不能與現(xiàn)有業(yè)務(wù)體系無(wú)縫結(jié)合,二是方案的實(shí)施是否能夠在安全與效率之間尋找到平衡,盡量不改變用戶(hù)的使用習(xí)慣,三就是怎么能讓企業(yè)的數(shù)據(jù)真正地屬于企業(yè)自身。
這幾個(gè)原則也促成了我們最后選擇以云存儲(chǔ)為基礎(chǔ)來(lái)建立整套商密體系。這是我們選型時(shí)候出示的一張說(shuō)明圖,就是從這三個(gè)方面來(lái)做說(shuō)明的。
圖2 云存儲(chǔ)為基礎(chǔ)來(lái)建立整套商密體系
選擇集中化,主要是為了解決企業(yè)數(shù)據(jù)分散的問(wèn)題,希望通過(guò)集中化的手段做到有效商密數(shù)據(jù)可識(shí)別、可管理。而著力點(diǎn)放在訪問(wèn)數(shù)據(jù)的終端,包括移動(dòng)端,確保訪問(wèn)、使用的安全,最后一點(diǎn)還是要強(qiáng)調(diào)用戶(hù)的使用習(xí)慣,只有用戶(hù)真正愿意用,作為工作的一部分,這套體系才有價(jià)值。
我們?cè)賮?lái)看另外一張圖,更細(xì)節(jié)化地說(shuō)明了這些點(diǎn):
圖3 企業(yè)數(shù)據(jù)分散的問(wèn)題
從這張圖中我們可以看到我們關(guān)注兩大部分的數(shù)據(jù)來(lái)源:
一個(gè)是企業(yè)離散的非結(jié)構(gòu)化數(shù)據(jù),按照我們看到的現(xiàn)象,企業(yè)內(nèi)結(jié)構(gòu)化數(shù)據(jù)大概的比例在15%,另外85%都是非結(jié)構(gòu)化數(shù)據(jù),所以這部分是我們首先要關(guān)注的。
另外一個(gè)就是來(lái)自于應(yīng)用系統(tǒng)的業(yè)務(wù)數(shù)據(jù),這部分也是我們前面提到的對(duì)于已有業(yè)務(wù)系統(tǒng)中的涉密數(shù)據(jù),我們也提供歸一化的處理手段。
在這個(gè)體系中,有幾個(gè)點(diǎn)比較重要:
1.信息資產(chǎn)的識(shí)別。
企業(yè)的資產(chǎn)管理是整個(gè)信息安全管理體系的基礎(chǔ)。首先企業(yè)要清晰地識(shí)別出所有的資產(chǎn),評(píng)估出它們的價(jià)值,從而明確到底有多少需要保護(hù)的核心資產(chǎn)和商業(yè)秘密,明確它們的責(zé)任人、使用人和使用范圍,以及它們具體存放的地點(diǎn)。
早期企業(yè)大都是通過(guò)人工的方式來(lái)整理和維護(hù)自己的資產(chǎn)清單,但隨著組織規(guī)模的日益龐大,人工收集已經(jīng)非常不現(xiàn)實(shí),容易造成新增資產(chǎn)的識(shí)別遺漏、資產(chǎn)變更后的更新不及時(shí)、尤其是分散在部門(mén)和個(gè)人處的資產(chǎn),管理部門(mén)無(wú)法實(shí)時(shí)監(jiān)控和管理,容易造成資產(chǎn)的評(píng)級(jí)不準(zhǔn)確,從而導(dǎo)致采取的控制措施無(wú)效。
這個(gè)識(shí)別過(guò)程是很痛苦的,因?yàn)槟悴豢赡苤鹨蛔R(shí)別,只能通過(guò)積累形成自動(dòng)化的判別手段,另外每個(gè)業(yè)務(wù)部門(mén)對(duì)同一個(gè)信息資產(chǎn)的重要度定義可能也不同。
我們最后通過(guò)不斷學(xué)習(xí)補(bǔ)充的規(guī)則庫(kù)的方式予以解決,庫(kù)建立后,基本上可以處理80%的文件。
2.就是信息共享與交換。
企業(yè)中,內(nèi)網(wǎng)用戶(hù)越來(lái)越多地采用共享目錄進(jìn)行資源共享,共享目錄使用不當(dāng)則很容易造成商密信息的泄露;如果開(kāi)啟讀寫(xiě)共享,則給病毒傳播開(kāi)啟了更為方便的大門(mén)。但個(gè)人電腦的共享目錄管理員難以控制,單靠安全教育于事無(wú)補(bǔ),安全事件層出不窮。
員工通過(guò)電話(huà)線(xiàn)撥號(hào)、VPN撥號(hào)、GPRS無(wú)線(xiàn)撥號(hào)等方式,繞過(guò)防火墻的監(jiān)控直接連接外網(wǎng),使企業(yè)內(nèi)網(wǎng)的IT資源暴露在外部攻擊者面前,攻擊者或病毒可通過(guò)撥號(hào)線(xiàn)路進(jìn)入企業(yè)內(nèi)網(wǎng);另一方面,內(nèi)部員工可能通過(guò)這種不受監(jiān)控的網(wǎng)絡(luò)通道將企業(yè)的商業(yè)機(jī)密泄漏出去,給企業(yè)帶來(lái)經(jīng)濟(jì)損失但又難以對(duì)其進(jìn)行法律取證。
除了使用移動(dòng)介質(zhì)來(lái)輸出和交流數(shù)據(jù)外,我們還經(jīng)常使用郵件、即時(shí)通訊軟件來(lái)進(jìn)行信息的交換,這在一定程度上也會(huì)導(dǎo)致數(shù)據(jù)的泄露。采用何種安全的信息交換方式,是迫切需要解決的問(wèn)題。
針對(duì)這個(gè)問(wèn)題,我們?cè)谏堂芗夹g(shù)體系中通過(guò)群組這樣的技術(shù)予以解決,這也是充分利用云存儲(chǔ)本身的協(xié)作功能。所謂群組是利用云存儲(chǔ)實(shí)現(xiàn)多人數(shù)據(jù)共享和協(xié)作的一種新的應(yīng)用模式。用戶(hù)可根據(jù)組織或者項(xiàng)目的范圍創(chuàng)建群組工作區(qū),群組內(nèi)不同用戶(hù)之間可快速地實(shí)現(xiàn)協(xié)作與共享。
下面這張圖描述了群組協(xié)作解決數(shù)據(jù)交換的一個(gè)場(chǎng)景:
圖4 群組協(xié)作解決數(shù)據(jù)交換
這是針對(duì)企業(yè)在項(xiàng)目過(guò)程中產(chǎn)生非結(jié)構(gòu)化文檔交換的一個(gè)典型應(yīng)用,不同職責(zé)的員工協(xié)作一個(gè)項(xiàng)目,處理技術(shù)方案,商務(wù)報(bào)價(jià),按原有的工作習(xí)慣,都需要通過(guò)多封郵件的反復(fù),才能形成最后的工作成果,這個(gè)反復(fù)的過(guò)程就帶來(lái)效率的嚴(yán)重下降和商密數(shù)據(jù)的隨意擴(kuò)散,F(xiàn)在把大家放到一個(gè)工作群組(文件夾)下,給予每個(gè)人不同的授權(quán),任何人的工作成果,其他人同步可以看到,這也是利用了云存儲(chǔ)雙向同步的一個(gè)好處。
3.就是信息資產(chǎn)的分級(jí)。
企業(yè)內(nèi)的數(shù)據(jù)重要度是不同的,以前沒(méi)有技術(shù)手段串聯(lián)的時(shí)候,我們都通過(guò)在文檔上做標(biāo)注來(lái)進(jìn)行分級(jí),比如內(nèi)部事項(xiàng),普通商密等,在技術(shù)體系中怎么來(lái)做呢,我們用下面一張圖來(lái)表示。
圖5 信息資產(chǎn)分級(jí)
這張圖是關(guān)于信息資產(chǎn)分級(jí)的一個(gè)示例,我們識(shí)別出資產(chǎn)后,還需要確定每個(gè)資產(chǎn)可能的安全防護(hù)手段,以確保不會(huì)出現(xiàn)高密低流的現(xiàn)象,對(duì)于企業(yè)內(nèi)最常規(guī)的一些操作手段均按照密級(jí)予以技術(shù)控制。
4.就是在終端的層面,我們不再片面強(qiáng)調(diào)終端安全,而是強(qiáng)調(diào)訪問(wèn)數(shù)據(jù)時(shí)需要安全。
我們都知道,在企業(yè)內(nèi)推終端安全面臨的反彈是很大的,但如果適當(dāng)調(diào)整定位,會(huì)發(fā)現(xiàn)效果完全不一樣,普通使用場(chǎng)景下,我們不對(duì)員工的終端進(jìn)行管控,但員工通過(guò)電腦訪問(wèn)受控?cái)?shù)據(jù)時(shí)候,我們必須識(shí)別他的安全性,這也是一個(gè)比較好的經(jīng)驗(yàn)。
總結(jié)下來(lái),我們提出商密準(zhǔn)入、商密合規(guī)訪問(wèn)的創(chuàng)新商密保護(hù)思路,確保只有合法的人通過(guò)合規(guī)的終端才能創(chuàng)建安全磁盤(pán),并通過(guò)安全磁盤(pán)與云端存儲(chǔ)進(jìn)行實(shí)時(shí)同步,為用戶(hù)提供了全周期、全流程、全層次的數(shù)據(jù)保護(hù)解決方案。
全周期:實(shí)現(xiàn)商業(yè)秘密數(shù)據(jù)從制作、存儲(chǔ)、使用、傳遞到銷(xiāo)毀等全生命周期的閉環(huán)管理,以幫助企業(yè)建立全生命周期的數(shù)據(jù)安全防護(hù)體系。
全流程:從商業(yè)秘密保護(hù)的業(yè)務(wù)角度出發(fā),實(shí)現(xiàn)了商業(yè)秘密定密、密級(jí)變更、審批、外發(fā)、離線(xiàn)外帶、內(nèi)外部流轉(zhuǎn)等各個(gè)流程的集中管控。
全層次:提供了從前臺(tái)傳統(tǒng)終端、移動(dòng)終端到后端數(shù)據(jù)存儲(chǔ)的多重保護(hù)措施。在用戶(hù)終端層面,提供安全準(zhǔn)入、健康體檢、虛擬磁盤(pán)、驅(qū)動(dòng)層的透明加密、離線(xiàn)訪問(wèn)、外發(fā)控制等功能,有效防范客戶(hù)端面臨的安全威脅;在后端存儲(chǔ)層面,采用了云存儲(chǔ)技術(shù),實(shí)現(xiàn)了數(shù)據(jù)的集中存儲(chǔ),通過(guò)高強(qiáng)度的加密、多重冗余、碎片化存儲(chǔ)等多種技術(shù),確保服務(wù)端的數(shù)據(jù)安全。
因?yàn)槠髽I(yè)內(nèi)已經(jīng)上線(xiàn)的應(yīng)用系統(tǒng)很多,每套系統(tǒng)基本都是獨(dú)立閉環(huán)運(yùn)行的,比如
OA,財(cái)務(wù),hr等等,這些系統(tǒng)本身數(shù)據(jù)既不互通,系統(tǒng)中涉及到的數(shù)據(jù)安全也難以防護(hù),僅僅只能依賴(lài)應(yīng)用本身的權(quán)限系統(tǒng)。
我們后來(lái)想了一個(gè)辦法,把應(yīng)用系統(tǒng)后端的存儲(chǔ)數(shù)據(jù)對(duì)接到云存儲(chǔ)系統(tǒng)當(dāng)中,前端用戶(hù)界面不做任何改動(dòng),盡量不改變用戶(hù)的使用習(xí)慣,這樣確保用戶(hù)可以無(wú)縫地使用起來(lái)。
這樣形成了一個(gè)比較明確的思路,就是應(yīng)用系統(tǒng)的權(quán)限管理和云存儲(chǔ)商密系統(tǒng)的安全管理相結(jié)合,舉個(gè)例子,以前我們使用oa,只要有權(quán)限我們就可以隨意下載oa上的文件到本地,現(xiàn)在不行了,你有oa的權(quán)限,可以看到文件,但這個(gè)文件實(shí)際上是云存儲(chǔ)讓你看到的在線(xiàn)的部分,你不能隨意下載,你要下載也只能下載到系統(tǒng)受控的部分,這個(gè)部分不允許隨意的外發(fā)。
這樣做的好處很明顯,不增加員工的學(xué)習(xí)負(fù)擔(dān),另外把商密保護(hù)落在業(yè)務(wù)過(guò)程當(dāng)中,并不會(huì)給員工造成太多困擾,所以推行起來(lái)非常順暢。
最后再總結(jié)一點(diǎn),這套系統(tǒng)建立后,逐步可以形成企業(yè)的匯集中心,現(xiàn)有的應(yīng)用系統(tǒng),新增加的應(yīng)用系統(tǒng),所有涉密的數(shù)據(jù)通過(guò)統(tǒng)一的原則進(jìn)行匯集、管理,最終做到商密的可控、可管、可用。
Q&A
Q:就如我們之前嘉賓所分享的,傳統(tǒng)企業(yè)信息安全的意識(shí)相對(duì)較弱,你們當(dāng)初在寶鋼做這些事情,在推廣意識(shí)方面有做什么嗎?寶鋼其實(shí)也是大型傳統(tǒng)企業(yè)。
賈大智:對(duì)的,您說(shuō)的很對(duì),這也是我們當(dāng)初遇到的大問(wèn)題,很多泄密都是員工無(wú)意識(shí)的,所以我們開(kāi)始也試圖通過(guò)安全教育、定期培訓(xùn)等方式來(lái)解決,后來(lái)發(fā)現(xiàn)這只是一方面,因?yàn)檫@個(gè)過(guò)程很長(zhǎng),但企業(yè)沒(méi)有這么長(zhǎng)時(shí)間來(lái)等待;蛘咄ㄟ^(guò)強(qiáng)制,比如上很多設(shè)備、措施,但這很容易引起反彈,所以后來(lái)我們提出安全要隱于無(wú)形,但關(guān)鍵時(shí)候要能出現(xiàn)。
Q:安全要隱于無(wú)形,但關(guān)鍵時(shí)候要能出現(xiàn)。怎么做的?
賈大智:這也是我們后來(lái)如上面分享所選型的原因,一個(gè)重要的不同點(diǎn)是,把安全植入業(yè)務(wù),而不是隔離在業(yè)務(wù)之外,就如最后舉的例子,其實(shí)你不去下載,你會(huì)發(fā)現(xiàn)一切照舊,你的業(yè)務(wù)不受影響,但你要下載,對(duì)不起,這個(gè)地方有個(gè)要求,這個(gè)是業(yè)務(wù)的要求。
我們傳統(tǒng)的安全,比如桌面安全,就是要求你什么都不要做,現(xiàn)在我們是希望引導(dǎo)你怎么來(lái)做。
所以很重要的就是一點(diǎn),企業(yè)內(nèi)部的安全不能脫離業(yè)務(wù)而單獨(dú)存在,不能為信息化服務(wù),而是為業(yè)務(wù)服務(wù)。
Q:怎么考核保密工作已經(jīng)達(dá)標(biāo)了?
賈大智:我們是這樣考核的,定期會(huì)從管理層面拉出每個(gè)業(yè)務(wù)單元的商密定級(jí)情況和使用統(tǒng)計(jì),會(huì)對(duì)異常的數(shù)據(jù)進(jìn)行人工分析并要求相關(guān)部門(mén)給出解釋。這也算是管理手段的跟進(jìn)吧。
作者簡(jiǎn)介:賈大智,寶信軟件信息安全產(chǎn)品總監(jiān),企業(yè)云存儲(chǔ)產(chǎn)品部總經(jīng)理。2005-2016年,參與并領(lǐng)導(dǎo)多款信息安全類(lèi)產(chǎn)品的研發(fā)與推廣,在企業(yè)信息安全體系建設(shè)及企業(yè)數(shù)據(jù)安全領(lǐng)域有著豐富的研發(fā)及實(shí)踐經(jīng)驗(yàn)。
核心關(guān)注:拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴(lài)品牌。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:從寶鋼商密建設(shè),看集團(tuán)型企業(yè)如何建設(shè)信息安全保密體系?
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/10839519623.html