方案概述
隨著中央企業(yè)全面推進信息化建設(shè),業(yè)務(wù)依賴信息系統(tǒng)的程度大幅增強,特別是企業(yè)的基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)已經(jīng)成為支撐企業(yè)業(yè)務(wù)發(fā)展、提高企業(yè)核心競爭力的重要載體和主要手段。伴隨隨著新技術(shù)、新模式在中央企業(yè)的廣泛應用和發(fā)展,央企商密信息的獲取、存儲、傳輸和處理等發(fā)生了新的變化,也增加了新形勢下的信息安全威脅,目前的安全威脅也正向多元化、復雜化方向發(fā)展,進而加強了商密信息安全防護的難度,同時也對信息安全風險管理工作提出更高的要求。面對日趨激烈的競爭環(huán)境,近年來如何保護商密數(shù)據(jù)資產(chǎn)在央企經(jīng)營中的安全保護,已經(jīng)成為不少央企的重點關(guān)注點。
需求分析
在當前面臨日趨激勵的商業(yè)競爭環(huán)境下,業(yè)務(wù)不斷變化及創(chuàng)新,監(jiān)管要求也日益加強,依據(jù)國資委頒布的《中央企業(yè)商業(yè)秘密保護暫行規(guī)定》(國資發(fā)[2010]41號)其中依法確定中央企業(yè)商業(yè)秘密的保護范圍,建立健全信息安全保障機制,完善信息安全運行,以確保重要商密數(shù)據(jù)安全和商密信息系統(tǒng)穩(wěn)定運行。同時針對數(shù)據(jù)安全防護,也必須面對內(nèi)控、等級保護和分級保護中的數(shù)據(jù)保護合規(guī)監(jiān)管要求:
近年來央企對信息安全的投入力度不斷加強,但針對商密數(shù)據(jù)的保護手段大多為其他技術(shù)層面的安全管理控制,數(shù)據(jù)本身還是以明文方式存在,鑒于目前復雜的業(yè)務(wù)應用場景和無處不在的數(shù)據(jù),傳統(tǒng)的以封堵終端和外部處理設(shè)備的安全保護方式已經(jīng)無法滿足商密數(shù)據(jù)的保護要求。在商密數(shù)據(jù)的使用、傳輸、保管的過程中仍然存在較多安全隱患。要想在經(jīng)營過程中可持續(xù)性發(fā)展,就必須面對和解決以下問題:
1.商密數(shù)據(jù)明文傳輸、存儲、使用中的風險如何應對?
2. 如何實現(xiàn)商密數(shù)據(jù)的密級標識、定密、密級變更及有效期的管理?
3. 員工企業(yè)終端和移動終端辦公敏感數(shù)據(jù)如何防止泄密和失密?
4. 如何防止企業(yè)內(nèi)部人員有意或無意泄漏重要敏感數(shù)據(jù)?
5. 內(nèi)部重要應用系統(tǒng)內(nèi)關(guān)鍵敏感數(shù)據(jù)資產(chǎn)如何集中防泄密?
6. 商密數(shù)據(jù)保護如何從被動防御到主動管理?
7. 央企如何貫徹核心商密和普通商密數(shù)據(jù)的統(tǒng)一安全防護策略?
8. 如何有效的解決面對來自不同監(jiān)管機構(gòu)的數(shù)據(jù)安全防護要求?
9. 商密數(shù)據(jù)保護和央企信息安全管理體系如何才能有效結(jié)合落地?
解決方案
央企商密數(shù)據(jù)安全保護體系以數(shù)據(jù)安全為核心,以商密數(shù)據(jù)的安全技術(shù)管控保障為落實關(guān)鍵,結(jié)合企業(yè)業(yè)務(wù)發(fā)展規(guī)劃及商密條例與等保合規(guī)要求,構(gòu)建完善的央企商密數(shù)據(jù)安全保護體系。通過前沿信安商密數(shù)據(jù)保護解決方案,總體實現(xiàn)效果如下:
1.終端數(shù)據(jù)保護
● 遵循商密保護條例及等保要求,針對不同密級的商密涉密文檔的安全存儲,在涉密文檔標密、定密及密級變更等方面進行控制管理;
● 對關(guān)鍵商秘數(shù)據(jù)采用前沿DSM文檔權(quán)限管理系統(tǒng)實現(xiàn)數(shù)據(jù)保護,可以控制敏感數(shù)據(jù)的用戶訪問范圍、文檔使用操作限制,防止內(nèi)部人員有意或無意造成的泄密;
● 對分支機構(gòu)和移動便攜辦公人員終端數(shù)據(jù)泄密形成有效保護。
2.應用系統(tǒng)數(shù)據(jù)保護
● 通過前沿信安文檔安全應用系統(tǒng)加密集成技術(shù),實現(xiàn)對央企應用系統(tǒng)中敏感數(shù)據(jù)的集成保護,確保從這些應用系統(tǒng)下載的數(shù)據(jù)在終端加密受控流轉(zhuǎn)使用;
● 終端加密數(shù)據(jù)數(shù)據(jù)上傳到應用系統(tǒng)后可以自動解密,不影響使用習慣;
● 對于應用系統(tǒng)后臺采用明文數(shù)據(jù)存儲,因此系統(tǒng)間的后臺數(shù)據(jù)傳遞不受影響。
3. 商密數(shù)據(jù)外發(fā)安全保護
● 可以通過前沿信安文檔外發(fā)管理功能實現(xiàn)對外發(fā)送的敏感數(shù)據(jù)安全保護,防止合作機構(gòu)或第三方人員有意無意擴散使用。
4. 業(yè)務(wù)效率保障
● 不改變或不過多改變現(xiàn)有業(yè)務(wù)流程效率及用戶使用習慣;
● 通過加密網(wǎng)關(guān)實現(xiàn)終端與應用系統(tǒng)數(shù)據(jù)無縫集成保護;
● 系統(tǒng)內(nèi)置單級和多級審批流程,讓流轉(zhuǎn)操作更快速容易;
● 通過郵件白名單可實現(xiàn)受信用戶或伙伴數(shù)據(jù)自動脫密,降低溝通影響。
5. 商密數(shù)據(jù)操作審計
● 對所有受前沿DSM系統(tǒng)保護的數(shù)據(jù)使用操作,提供審計機制,一旦泄密行為發(fā)生,可通過審計信息明確泄密責任,追究泄密行為;
● 對于前沿DSM系統(tǒng)角色實現(xiàn)三權(quán)分立和操作審計,同時可針對解密管理員的解密操作執(zhí)行過程跟蹤審計。
中央企業(yè)解決方案優(yōu)勢如下:
通過本方案對中央企業(yè)核心商密數(shù)據(jù)及業(yè)務(wù)系統(tǒng)現(xiàn)有的數(shù)據(jù)泄漏風險進行管控,加強數(shù)據(jù)產(chǎn)生源頭、使用過程、對外發(fā)布整體的防護,為集團及各下屬企業(yè)核心數(shù)據(jù)的安全運行提供保障和指導,方案的價值體現(xiàn)如下:
1. 方案圍繞數(shù)據(jù)全生命周期安全,以預防為主、控制為輔,縱深強化商密數(shù)據(jù)安全防護,可確保商業(yè)秘密安全,降低數(shù)據(jù)安全風險。
2. 基于敏感數(shù)據(jù)流向分析,方案實現(xiàn)數(shù)據(jù)流到哪里,保護就執(zhí)行到哪里,數(shù)據(jù)保護實現(xiàn)從業(yè)務(wù)系統(tǒng)、終端電腦到移動終端的三重保護。
3. 方案具備良好的可操作性和擴展性,可在保障企業(yè)商業(yè)秘密安全的前提下,最大限度降低對于企業(yè)原有工作效率的影響。
4. 為中央企業(yè)核心系統(tǒng)的數(shù)據(jù)安全、穩(wěn)定的運行管理提供安全保障。
5. 提供完整的商密數(shù)據(jù)資產(chǎn)生命周期風險控制和自動化管理。
6. 通過技術(shù)平臺有效降低企業(yè)運營中的泄密風險。
7. 落實不同監(jiān)管機構(gòu)的數(shù)據(jù)按去合規(guī)要求,提升商密數(shù)據(jù)安全保護管理能力。
8. 通過商密數(shù)據(jù)風險控制平臺引入降低總體合規(guī)管理成本。
9. 依據(jù)“總體規(guī)劃,分步實施,先試點,后推廣”的原則逐步落實風險控制。
商密政策
依據(jù)《商業(yè)秘密保護》政策為基礎(chǔ),從存儲中的數(shù)據(jù)安全、傳輸中的數(shù)據(jù)保護、使用中的數(shù)據(jù)保護、數(shù)據(jù)安全審計(完整性、備份與恢復)四個方向建立電子數(shù)據(jù)安全一體平臺。
系統(tǒng)規(guī)范:
采用國家密碼管理機構(gòu)認定的加密算法對重要電子文檔進行多種不同密級的加密保護,并可根據(jù)文檔保護策略對特定用戶群賦予文檔各種內(nèi)容訪問權(quán)限的文檔保護、管理系統(tǒng)。
商密依據(jù):
1.按照商密數(shù)據(jù)所處的位置以及形式進行分類劃分,對不同位置和形式的數(shù)據(jù)實行不同的防護策略;
2.針對商密數(shù)據(jù)的重要性不同,進行分級管理,對不同的級別的數(shù)據(jù)實行不同的防護策略。
3.采取事前、事中、事后的整體策略對商業(yè)秘密進行全過程的保護。事前預防應做到避免安全事件發(fā)生或降低安全事件發(fā)生的概率;事中監(jiān)控應做到減少安全事件造成的影響;事后審計應做到在安全事件發(fā)生后可追溯。
