方案概述
隨著中央企業(yè)全面推進(jìn)信息化建設(shè),業(yè)務(wù)依賴信息系統(tǒng)的程度大幅增強(qiáng),特別是企業(yè)的基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)已經(jīng)成為支撐企業(yè)業(yè)務(wù)發(fā)展、提高企業(yè)核心競(jìng)爭(zhēng)力的重要載體和主要手段。伴隨隨著新技術(shù)、新模式在中央企業(yè)的廣泛應(yīng)用和發(fā)展,央企商密信息的獲取、存儲(chǔ)、傳輸和處理等發(fā)生了新的變化,也增加了新形勢(shì)下的信息安全威脅,目前的安全威脅也正向多元化、復(fù)雜化方向發(fā)展,進(jìn)而加強(qiáng)了商密信息安全防護(hù)的難度,同時(shí)也對(duì)信息安全風(fēng)險(xiǎn)管理工作提出更高的要求。面對(duì)日趨激烈的競(jìng)爭(zhēng)環(huán)境,近年來(lái)如何保護(hù)商密數(shù)據(jù)資產(chǎn)在央企經(jīng)營(yíng)中的安全保護(hù),已經(jīng)成為不少央企的重點(diǎn)關(guān)注點(diǎn)。
需求分析
在當(dāng)前面臨日趨激勵(lì)的商業(yè)競(jìng)爭(zhēng)環(huán)境下,業(yè)務(wù)不斷變化及創(chuàng)新,監(jiān)管要求也日益加強(qiáng),依據(jù)國(guó)資委頒布的《中央企業(yè)商業(yè)秘密保護(hù)暫行規(guī)定》(國(guó)資發(fā)[2010]41號(hào))其中依法確定中央企業(yè)商業(yè)秘密的保護(hù)范圍,建立健全信息安全保障機(jī)制,完善信息安全運(yùn)行,以確保重要商密數(shù)據(jù)安全和商密信息系統(tǒng)穩(wěn)定運(yùn)行。同時(shí)針對(duì)數(shù)據(jù)安全防護(hù),也必須面對(duì)內(nèi)控、等級(jí)保護(hù)和分級(jí)保護(hù)中的數(shù)據(jù)保護(hù)合規(guī)監(jiān)管要求:
近年來(lái)央企對(duì)信息安全的投入力度不斷加強(qiáng),但針對(duì)商密數(shù)據(jù)的保護(hù)手段大多為其他技術(shù)層面的安全管理控制,數(shù)據(jù)本身還是以明文方式存在,鑒于目前復(fù)雜的業(yè)務(wù)應(yīng)用場(chǎng)景和無(wú)處不在的數(shù)據(jù),傳統(tǒng)的以封堵終端和外部處理設(shè)備的安全保護(hù)方式已經(jīng)無(wú)法滿足商密數(shù)據(jù)的保護(hù)要求。在商密數(shù)據(jù)的使用、傳輸、保管的過(guò)程中仍然存在較多安全隱患。要想在經(jīng)營(yíng)過(guò)程中可持續(xù)性發(fā)展,就必須面對(duì)和解決以下問(wèn)題:
1.商密數(shù)據(jù)明文傳輸、存儲(chǔ)、使用中的風(fēng)險(xiǎn)如何應(yīng)對(duì)?
2. 如何實(shí)現(xiàn)商密數(shù)據(jù)的密級(jí)標(biāo)識(shí)、定密、密級(jí)變更及有效期的管理?
3. 員工企業(yè)終端和移動(dòng)終端辦公敏感數(shù)據(jù)如何防止泄密和失密?
4. 如何防止企業(yè)內(nèi)部人員有意或無(wú)意泄漏重要敏感數(shù)據(jù)?
5. 內(nèi)部重要應(yīng)用系統(tǒng)內(nèi)關(guān)鍵敏感數(shù)據(jù)資產(chǎn)如何集中防泄密?
6. 商密數(shù)據(jù)保護(hù)如何從被動(dòng)防御到主動(dòng)管理?
7. 央企如何貫徹核心商密和普通商密數(shù)據(jù)的統(tǒng)一安全防護(hù)策略?
8. 如何有效的解決面對(duì)來(lái)自不同監(jiān)管機(jī)構(gòu)的數(shù)據(jù)安全防護(hù)要求?
9. 商密數(shù)據(jù)保護(hù)和央企信息安全管理體系如何才能有效結(jié)合落地?
解決方案
央企商密數(shù)據(jù)安全保護(hù)體系以數(shù)據(jù)安全為核心,以商密數(shù)據(jù)的安全技術(shù)管控保障為落實(shí)關(guān)鍵,結(jié)合企業(yè)業(yè)務(wù)發(fā)展規(guī)劃及商密條例與等保合規(guī)要求,構(gòu)建完善的央企商密數(shù)據(jù)安全保護(hù)體系。通過(guò)前沿信安商密數(shù)據(jù)保護(hù)解決方案,總體實(shí)現(xiàn)效果如下:
1.終端數(shù)據(jù)保護(hù)
● 遵循商密保護(hù)條例及等保要求,針對(duì)不同密級(jí)的商密涉密文檔的安全存儲(chǔ),在涉密文檔標(biāo)密、定密及密級(jí)變更等方面進(jìn)行控制管理;
● 對(duì)關(guān)鍵商秘?cái)?shù)據(jù)采用前沿DSM文檔權(quán)限管理系統(tǒng)實(shí)現(xiàn)數(shù)據(jù)保護(hù),可以控制敏感數(shù)據(jù)的用戶訪問(wèn)范圍、文檔使用操作限制,防止內(nèi)部人員有意或無(wú)意造成的泄密;
● 對(duì)分支機(jī)構(gòu)和移動(dòng)便攜辦公人員終端數(shù)據(jù)泄密形成有效保護(hù)。
2.應(yīng)用系統(tǒng)數(shù)據(jù)保護(hù)
● 通過(guò)前沿信安文檔安全應(yīng)用系統(tǒng)加密集成技術(shù),實(shí)現(xiàn)對(duì)央企應(yīng)用系統(tǒng)中敏感數(shù)據(jù)的集成保護(hù),確保從這些應(yīng)用系統(tǒng)下載的數(shù)據(jù)在終端加密受控流轉(zhuǎn)使用;
● 終端加密數(shù)據(jù)數(shù)據(jù)上傳到應(yīng)用系統(tǒng)后可以自動(dòng)解密,不影響使用習(xí)慣;
● 對(duì)于應(yīng)用系統(tǒng)后臺(tái)采用明文數(shù)據(jù)存儲(chǔ),因此系統(tǒng)間的后臺(tái)數(shù)據(jù)傳遞不受影響。
3. 商密數(shù)據(jù)外發(fā)安全保護(hù)
● 可以通過(guò)前沿信安文檔外發(fā)管理功能實(shí)現(xiàn)對(duì)外發(fā)送的敏感數(shù)據(jù)安全保護(hù),防止合作機(jī)構(gòu)或第三方人員有意無(wú)意擴(kuò)散使用。
4. 業(yè)務(wù)效率保障
● 不改變或不過(guò)多改變現(xiàn)有業(yè)務(wù)流程效率及用戶使用習(xí)慣;
● 通過(guò)加密網(wǎng)關(guān)實(shí)現(xiàn)終端與應(yīng)用系統(tǒng)數(shù)據(jù)無(wú)縫集成保護(hù);
● 系統(tǒng)內(nèi)置單級(jí)和多級(jí)審批流程,讓流轉(zhuǎn)操作更快速容易;
● 通過(guò)郵件白名單可實(shí)現(xiàn)受信用戶或伙伴數(shù)據(jù)自動(dòng)脫密,降低溝通影響。
5. 商密數(shù)據(jù)操作審計(jì)
● 對(duì)所有受前沿DSM系統(tǒng)保護(hù)的數(shù)據(jù)使用操作,提供審計(jì)機(jī)制,一旦泄密行為發(fā)生,可通過(guò)審計(jì)信息明確泄密責(zé)任,追究泄密行為;
● 對(duì)于前沿DSM系統(tǒng)角色實(shí)現(xiàn)三權(quán)分立和操作審計(jì),同時(shí)可針對(duì)解密管理員的解密操作執(zhí)行過(guò)程跟蹤審計(jì)。
中央企業(yè)解決方案優(yōu)勢(shì)如下:
通過(guò)本方案對(duì)中央企業(yè)核心商密數(shù)據(jù)及業(yè)務(wù)系統(tǒng)現(xiàn)有的數(shù)據(jù)泄漏風(fēng)險(xiǎn)進(jìn)行管控,加強(qiáng)數(shù)據(jù)產(chǎn)生源頭、使用過(guò)程、對(duì)外發(fā)布整體的防護(hù),為集團(tuán)及各下屬企業(yè)核心數(shù)據(jù)的安全運(yùn)行提供保障和指導(dǎo),方案的價(jià)值體現(xiàn)如下:
1. 方案圍繞數(shù)據(jù)全生命周期安全,以預(yù)防為主、控制為輔,縱深強(qiáng)化商密數(shù)據(jù)安全防護(hù),可確保商業(yè)秘密安全,降低數(shù)據(jù)安全風(fēng)險(xiǎn)。
2. 基于敏感數(shù)據(jù)流向分析,方案實(shí)現(xiàn)數(shù)據(jù)流到哪里,保護(hù)就執(zhí)行到哪里,數(shù)據(jù)保護(hù)實(shí)現(xiàn)從業(yè)務(wù)系統(tǒng)、終端電腦到移動(dòng)終端的三重保護(hù)。
3. 方案具備良好的可操作性和擴(kuò)展性,可在保障企業(yè)商業(yè)秘密安全的前提下,最大限度降低對(duì)于企業(yè)原有工作效率的影響。
4. 為中央企業(yè)核心系統(tǒng)的數(shù)據(jù)安全、穩(wěn)定的運(yùn)行管理提供安全保障。
5. 提供完整的商密數(shù)據(jù)資產(chǎn)生命周期風(fēng)險(xiǎn)控制和自動(dòng)化管理。
6. 通過(guò)技術(shù)平臺(tái)有效降低企業(yè)運(yùn)營(yíng)中的泄密風(fēng)險(xiǎn)。
7. 落實(shí)不同監(jiān)管機(jī)構(gòu)的數(shù)據(jù)按去合規(guī)要求,提升商密數(shù)據(jù)安全保護(hù)管理能力。
8. 通過(guò)商密數(shù)據(jù)風(fēng)險(xiǎn)控制平臺(tái)引入降低總體合規(guī)管理成本。
9. 依據(jù)“總體規(guī)劃,分步實(shí)施,先試點(diǎn),后推廣”的原則逐步落實(shí)風(fēng)險(xiǎn)控制。
商密政策
依據(jù)《商業(yè)秘密保護(hù)》政策為基礎(chǔ),從存儲(chǔ)中的數(shù)據(jù)安全、傳輸中的數(shù)據(jù)保護(hù)、使用中的數(shù)據(jù)保護(hù)、數(shù)據(jù)安全審計(jì)(完整性、備份與恢復(fù))四個(gè)方向建立電子數(shù)據(jù)安全一體平臺(tái)。
系統(tǒng)規(guī)范:
采用國(guó)家密碼管理機(jī)構(gòu)認(rèn)定的加密算法對(duì)重要電子文檔進(jìn)行多種不同密級(jí)的加密保護(hù),并可根據(jù)文檔保護(hù)策略對(duì)特定用戶群賦予文檔各種內(nèi)容訪問(wèn)權(quán)限的文檔保護(hù)、管理系統(tǒng)。
商密依據(jù):
1.按照商密數(shù)據(jù)所處的位置以及形式進(jìn)行分類劃分,對(duì)不同位置和形式的數(shù)據(jù)實(shí)行不同的防護(hù)策略;
2.針對(duì)商密數(shù)據(jù)的重要性不同,進(jìn)行分級(jí)管理,對(duì)不同的級(jí)別的數(shù)據(jù)實(shí)行不同的防護(hù)策略。
3.采取事前、事中、事后的整體策略對(duì)商業(yè)秘密進(jìn)行全過(guò)程的保護(hù)。事前預(yù)防應(yīng)做到避免安全事件發(fā)生或降低安全事件發(fā)生的概率;事中監(jiān)控應(yīng)做到減少安全事件造成的影響;事后審計(jì)應(yīng)做到在安全事件發(fā)生后可追溯。
