賈大智:從寶鋼商密建設��,看集團型企業如何建設信息安全保密體系����?
作者:胡江路 ITValue / 日期:2016-07-08
賈大智:寶信軟件信息安全產品總監,企業云存儲產品部總經理�����。2005-2016年���,參與并領導多款信息安全類產品的研發與推廣��,在企業信息安全體系建設及企業數據安全領域有著豐富的研發及實踐經驗��。
以下是賈大智在ITValue企業信息安全微信課上的分享,經ITValue記者整理后發布。
我們今天談到的保密體系建設�����,主要強調的是企業內針對商業數據的保密體系建設�����,因為我們以往談企業的信息安全�����,更多的強調系統安全、邊界安全等等����,因此2010年以前��,集團型企業更多的信息安全資源都投入在這些基礎安全設施的建設上���,2010年后商業秘密保護逐步開始被重視����,但怎么做,大家都處于一個摸索的階段���。寶鋼集團大概從2011年底開始商密保護體系建設工作,到目前為止�,應該說初具成效��,整個過程走下來,實際上是比較困難的��,是一路摸索的過程��,為什么這么說呢�����,這和我們大多數企業對信息安全的認識有關���。
大型企業的信息安全基礎建設應該是比較完善的��。我們有各類邊界防護、系統安全措施���,也會有分級保護、等級保護等測評標準�����,因此很多企業的領導者都會認為自身企業的安全做的還不錯����,但與此同時�,我們依然會不停地看到、聽到央企的泄密事件�����,而問題恰恰就出在我們容易忽視的內部安全體系建設上����。
1
首先從組織職能看,保密職能通常隸屬于行政職能部門����,如辦公廳����、保密辦等����,甚至在很多企業都只是知識產權部門兼任,保密職能部門不關心業務��,制定的保密措施往往無法落實����。
2
其次,從企業信息化建設的過程看�����,系統與系統之間都是孤立的���,各種信息的流轉無法受控�����,企業內部失密的風險很大。
3
第三就是員工的意識問題,使用習慣難以改變�,形成非主動性泄密源�,這些都是商密體系建設過程中亟需解決的問題�。
鑒于這些問題,商密體系建設可按如下圖的層次展開:
從上圖可以看到,這個體系其實有部分內容會和我們所熟悉的等保比較重疊�����,我們稱之為傳統的信息安全防護手段���。
這塊內容在大型企業中基本上是比較完備的��,因此可以這么認為�����,商密保護體系建設的核心在于上層的數據安全體系的建設,也即全生命周期的數據安全防護體系建設。
在數據安全這個事情上,我們也做過很多嘗試,包括文件加解密����,權限管理����,文件審計、關鍵字過濾等,最后發現很重要的一點是����,這些技術手段都過于片面強調技術本身���,而忽視了業務�。在實踐過程中��,特別是集團型的大型企業��,很難推動����,員工會想各種手段來突破,另外一點就是對于已經建成的大量信息化系統中所包含的商密數據,這些技術手段很難有效管理��,這也迫使我們做進一步的選擇�����。
因此���,我們在方案選擇中需要考慮幾個原則:一是能不能與現有業務體系無縫結合���,二是方案的實施是否能夠在安全與效率之間尋找到平衡���,盡量不改變用戶的使用習慣�,三就是怎么能讓企業的數據真正地屬于企業自身���。
這幾個原則也促成了我們最后選擇以云存儲為基礎來建立整套商密體系�����。這是我們選型時候出示的一張說明圖�����,就是從這三個方面來做說明的。
選擇集中化,主要是為了解決企業數據分散的問題���,希望通過集中化的手段做到有效商密數據可識別、可管理。而著力點放在訪問數據的終端�,包括移動端,確保訪問����、使用的安全����,最后一點還是要強調用戶的使用習慣����,只有用戶真正愿意用,作為工作的一部分��,這套體系才有價值��。
我們再來看另外一張圖��,更細節化地說明了這些點:
從這張圖中我們可以看到我們關注兩大部分的數據來源:
一個是企業離散的非結構化數據,按照我們看到的現象�����,企業內結構化數據大概的比例在15%�����,另外85%都是非結構化數據���,所以這部分是我們首先要關注的��。
另外一個就是來自于應用系統的業務數據,這部分也是我們前面提到的對于已有業務系統中的涉密數據��,我們也提供歸一化的處理手段。
在這個體系中��,有幾個點比較重要:
1. 信息資產的識別����。
企業的資產管理是整個信息安全管理體系的基礎��。首先企業要清晰地識別出所有的資產�,評估出它們的價值���,從而明確到底有多少需要保護的核心資產和商業秘密�,明確它們的責任人、使用人和使用范圍�����,以及它們具體存放的地點�����。
早期企業大都是通過人工的方式來整理和維護自己的資產清單�,但隨著組織規模的日益龐大���,人工收集已經非常不現實���,容易造成新增資產的識別遺漏����、資產變更后的更新不及時、尤其是分散在部門和個人處的資產�����,管理部門無法實時監控和管理����,容易造成資產的評級不準確�,從而導致采取的控制措施無效。
這個識別過程是很痛苦的,因為你不可能逐一識別�����,只能通過積累形成自動化的判別手段����,另外每個業務部門對同一個信息資產的重要度定義可能也不同。
我們最后通過不斷學習補充的規則庫的方式予以解決,庫建立后���,基本上可以處理80%的文件。
2. 就是信息共享與交換�。
企業中���,內網用戶越來越多地采用共享目錄進行資源共享����,共享目錄使用不當則很容易造成商密信息的泄露���;如果開啟讀寫共享����,則給病毒傳播開啟了更為方便的大門。但個人電腦的共享目錄管理員難以控制,單靠安全教育于事無補�,安全事件層出不窮�。
員工通過電話線撥號�、VPN撥號、GPRS無線撥號等方式,繞過防火墻的監控直接連接外網,使企業內網的IT資源暴露在外部攻擊者面前,攻擊者或病毒可通過撥號線路進入企業內網;另一方面���,內部員工可能通過這種不受監控的網絡通道將企業的商業機密泄漏出去,給企業帶來經濟損失但又難以對其進行法律取證。
除了使用移動介質來輸出和交流數據外�,我們還經常使用郵件��、即時通訊軟件來進行信息的交換,這在一定程度上也會導致數據的泄露。采用何種安全的信息交換方式,是迫切需要解決的問題�����。
針對這個問題��,我們在商密技術體系中通過群組這樣的技術予以解決��,這也是充分利用云存儲本身的協作功能。所謂群組是利用云存儲實現多人數據共享和協作的一種新的應用模式���。用戶可根據組織或者項目的范圍創建群組工作區,群組內不同用戶之間可快速地實現協作與共享���。
下面這張圖描述了群組協作解決數據交換的一個場景:
這是針對企業在項目過程中產生非結構化文檔交換的一個典型應用,不同職責的員工協作一個項目����,處理技術方案����,商務報價���,按原有的工作習慣��,都需要通過多封郵件的反復��,才能形成最后的工作成果,這個反復的過程就帶來效率的嚴重下降和商密數據的隨意擴散。現在把大家放到一個工作群組(文件夾)下���,給予每個人不同的授權,任何人的工作成果�����,其他人同步可以看到���,這也是利用了云存儲雙向同步的一個好處�。
3. 就是信息資產的分級�����。
企業內的數據重要度是不同的��,以前沒有技術手段串聯的時候,我們都通過在文檔上做標注來進行分級���,比如內部事項,普通商密等�����,在技術體系中怎么來做呢���,我們用下面一張圖來表示����。
這張圖是關于信息資產分級的一個示例,我們識別出資產后����,還需要確定每個資產可能的安全防護手段�,以確保不會出現高密低流的現象��,對于企業內最常規的一些操作手段均按照密級予以技術控制�。
4. 就是在終端的層面��,我們不再片面強調終端安全�,而是強調訪問數據時需要安全���。
我們都知道�����,在企業內推終端安全面臨的反彈是很大的,但如果適當調整定位,會發現效果完全不一樣,普通使用場景下��,我們不對員工的終端進行管控���,但員工通過電腦訪問受控數據時候���,我們必須識別他的安全性,這也是一個比較好的經驗。
總結下來��,我們提出商密準入���、商密合規訪問的創新商密保護思路�����,確保只有合法的人通過合規的終端才能創建安全磁盤����,并通過安全磁盤與云端存儲進行實時同步�����,為用戶提供了全周期���、全流程����、全層次的數據保護解決方案�����。
全周期:實現商業秘密數據從制作、存儲����、使用����、傳遞到銷毀等全生命周期的閉環管理����,以幫助企業建立全生命周期的數據安全防護體系。
全流程:從商業秘密保護的業務角度出發,實現了商業秘密定密���、密級變更、審批、外發、離線外帶���、內外部流轉等各個流程的集中管控。
全層次:提供了從前臺傳統終端、移動終端到后端數據存儲的多重保護措施���。在用戶終端層面,提供安全準入、健康體檢����、虛擬磁盤����、驅動層的透明加密���、離線訪問���、外發控制等功能��,有效防范客戶端面臨的安全威脅;在后端存儲層面��,采用了云存儲技術�����,實現了數據的集中存儲�����,通過高強度的加密、多重冗余���、碎片化存儲等多種技術,確保服務端的數據安全�。
因為企業內已經上線的應用系統很多����,每套系統基本都是獨立閉環運行的,比如oa��,財務���,hr等等��,這些系統本身數據既不互通��,系統中涉及到的數據安全也難以防護,僅僅只能依賴應用本身的權限系統���。
我們后來想了一個辦法,把應用系統后端的存儲數據對接到云存儲系統當中����,前端用戶界面不做任何改動�����,盡量不改變用戶的使用習慣�,這樣確保用戶可以無縫地使用起來。
這樣形成了一個比較明確的思路�,就是應用系統的權限管理和云存儲商密系統的安全管理相結合�����,舉個例子,以前我們使用oa���,只要有權限我們就可以隨意下載oa上的文件到本地,現在不行了���,你有oa的權限,可以看到文件���,但這個文件實際上是云存儲讓你看到的在線的部分,你不能隨意下載��,你要下載也只能下載到系統受控的部分�,這個部分不允許隨意的外發。
這樣做的好處很明顯���,不增加員工的學習負擔,另外把商密保護落在業務過程當中��,并不會給員工造成太多困擾�����,所以推行起來非常順暢����。
最后再總結一點���,這套系統建立后�,逐步可以形成企業的匯集中心,現有的應用系統��,新增加的應用系統�,所有涉密的數據通過統一的原則進行匯集�、管理,最終做到商密的可控、可管��、可用����。
Q&A
1
Q:就如我們之前嘉賓所分享的,傳統企業信息安全的意識相對較弱,你們當初在寶鋼做這些事情����,在推廣意識方面有做什么嗎�����?寶鋼其實也是大型傳統企業。
賈大智:對的,您說的很對��,這也是我們當初遇到的大問題���,很多泄密都是員工無意識的,所以我們開始也試圖通過安全教育、定期培訓等方式來解決��,后來發現這只是一方面����,因為這個過程很長,但企業沒有這么長時間來等待?��;蛘咄ㄟ^強制,比如上很多設備、措施,但這很容易引起反彈����,所以后來我們提出安全要隱于無形����,但關鍵時候要能出現�����。
2
Q:安全要隱于無形,但關鍵時候要能出現。怎么做的�����?
賈大智:這也是我們后來如上面分享所選型的原因���,一個重要的不同點是�,把安全植入業務,而不是隔離在業務之外��,就如最后舉的例子���,其實你不去下載��,你會發現一切照舊�����,你的業務不受影響,但你要下載�,對不起��,這個地方有個要求,這個是業務的要求。
我們傳統的安全�,比如桌面安全�����,就是要求你什么都不要做,現在我們是希望引導你怎么來做。
所以很重要的就是一點�,企業內部的安全不能脫離業務而單獨存在�,不能為信息化服務���,而是為業務服務���。
3
Q:怎么考核保密工作已經達標了����?
賈大智:我們是這樣考核的�,定期會從管理層面拉出每個業務單元的商密定級情況和使用統計,會對異常的數據進行人工分析并要求相關部門給出解釋��。這也算是管理手段的跟進吧��。
