论坛 产品库 视频 专题 CIO俱乐部 Windows8 实验室 CMO俱乐部 案例

央企商秘数据资产防泄密解决方案

发布时间:2014-05-28 10:04:00 来源:比特网 作者:佚名
关键字:解决方案 数据防泄密 亿赛通

  1. 现状描述

  中央企业作为我国经济建设的一支特殊队伍,一直以来在我国的国民经济建设和发展中发挥着主力军的作用。近年来,随着中央企业全面推进信息化建设,企业信息系统数量大幅增加,系统复杂程度大幅提高,业务依赖程度大幅增强,特别是企业的基础信息网络和重要信息系统已经成为支撑企业业务发展、提高企业核心竞争力的重要载体和主要手段,已成为国家关键基础设施

  在当前面临日趋激励的商业竞争环境下,业务不断变化及创新,面临监管要求日益加强,而中央企业信息化进程中,随着新技术、新模式在中央企业的广泛应用和发展,商密信息的获取、存储、传输和处理等发生了新的变化,也增加了新形势下的信息安全威胁,目前的安全威胁也正向多元化、复杂化方向发展,进而加强了商密信息安全防护的难度,同时也对信息安全风险管理工作提出更高的要求。因此必须要保持央企核心竞争力并满足相关合规要求,确保加强行业领先地位。

  国资委《关于加强“十二五”时期中央企业信息化工作的指导意见》中明确指出目前央企信息安全保障能力较弱,成为制约信息化发展的重要瓶颈。因此需要着力提高信息安全保障能力,开展涉密系统的分级保护和非涉密系统的信息安全等级保护工作,保障信息系统稳定运行。通过建立健全信息安全保障机制,完善信息安全运行,以确保重要商密数据安全和商密信息系统稳定运行。

  国资委于2010年3月25日颁布《中央企业商业秘密保护暂行规定》,其中依法确定中央企业商业秘密的保护范围,2010年12月26日,公安部、国资委又联合颁布《关于进一步推进中央企业信息安全等级保护工作的通知》,通知中明确要求各中央企业:“高度重视,切实将信息安全等级保护工作纳入企业信息化工作同步推进”;“全面梳理企业信息网络和系统,认真做好企业信息系统安全等级保护定级、备案工作”;“开展信息安全等级保护安全建设整改和等级测评工作,完善重要信息系统安全防护体系”;“加强检查和考核,确保信息系统安全保护能力达到等级保护要求”。

  因此,建议一套完整的信息安全等级保护体系,重点保护各企业的核心商业秘密甚至是国家秘密,成为各中央企业信息安全建设的核心与重点。

  2. 面临问题

  依据国资委颁布的《中央企业商业秘密保护暂行规定》(国资发[2010]41号)中央企业依法确定本企业商业秘密的保护范围,主要包括:战略规划、管理方法、商业模式、改制上市、并购重组、产权交易、财务信息、投融资决策、产购销策略、资源储备、客户信息、招投标事项等经营信息;设计、程序、产品配方、制作工艺、制作方法、技术诀窍等技术信息。同时针对数据安全防护,以下国家政策法规也是央企经营过程中必须要面对的合规监管要求:

  《中央企业全面风险管理指引》(国资委2006)

  《企业内部控制基本规范》(五部委2008)

  《中央企业商密信息系统安全技术规范》(征求意见稿)(国资委2011)

  《关于进一步推进中央企业信息安全等级保护工作的通知》(公安部、国资委2010)

  《涉及国家秘密的信息系统分级保护技术要求》(BMB17-2006)

  目前针对商密数据的保护手段大多为辅助技术层面的安全管理,数据本身还是以明文方式存在,鉴于目前复杂的业务应用场景和无处不在的数据,传统的以封堵终端和外部处理设备的安全保护方式已经无法满足商密数据的保护要求。在商密数据的使用、传输、保管的过程中仍然存在较多安全隐患。面对日趋激烈的竞争环境,近年来如何保护商密数据资产在央企经营中的安全保护,已经成为不少央企的重点关注点。要想在经营过程中可持续性发展,就必须面对和解决以下问题:

  · 商密数据明文传输、存储、使用中的风险如何应对?

  · 如何实现商密数据的密级标识、定密、密级变更及有效期的管理?

  · 员工企业终端和移动终端办公敏感数据如何防止泄密和失密?

  · 如何防止企业内部人员有意或无意泄漏重要敏感数据?

  · 内部重要应用系统内关键敏感数据资产如何集中防泄密?

  · 商密数据保护如何从被动防御到主动管理?

  · 央企如何贯彻核心商密和普通商密数据的统一安全防护策略?

  · 如何有效的解决面对来自不同监管机构的数据安全防护要求?

  · 商密数据保护和央企信息安全管理体系如何才能有效结合落地?

  3. 解决方案

  央企商密数据安全保护体系以数据安全为核心,以商密数据的安全技术管控保障为落实关键,结合企业业务发展规划及商密条例与等保合规要求,构建完善的央企商密数据安全保护体系。通过亿赛通商密数据保护解决方案,总体实现效果如下:

  图:商密数据安全方案整体实现效果

  1) 终端数据保护:

  · 遵循商密保护条例及等保要求,针对不同密级的商密涉密文档的安全存储,在涉密文档标密、定密及密级变更等方面进行控制管理;

  · 通过亿赛通DLP平台的透明加密产品,建立数据安全边界,确保敏感研发数据在研发部门内安全使用,防止内部人员有意或无意造成的泄密;

  · 对非研发部门如财务、销售、生产部门采用DLP文档权限管理系统实现数据保护,可以控制敏感数据的用户访问范围、文档使用操作限制,对敏感信息的内部使用实现高细粒度控制;

  · 对分支机构和移动便携办公人员终端数据泄密形成有效保护。

  2) 应用系统数据保护

  · 通过亿赛通文档安全加密网关,实现对央企应用系统中敏感数据的集成保护,确保从这些应用系统下载的数据在终端加密受控流转使用;

  · 终端加密数据数据上传到应用系统后可以自动解密,不影响使用习惯;

  · 对于应用系统后台采用明文数据存储,因此系统间的后台数据传递不受影响。

  3) 商密数据外发安全保护

  · 可以通过亿赛通文档外发管理功能实现对外发送的敏感数据安全保护,防止合作机构或第三方人员有意无意扩散使用。

  4) 业务效率保障

  ·不改变或不过多改变现有业务流程效率及用户使用习惯;

  · 通过加密网关实现终端与应用系统数据无缝集成;

  l 系统内置单级和多级审批流程,让流转操作更快速容易;

  · 通过邮件白名单可实现受信用户或伙伴数据自动脱密,降低沟通影响。

  5) 商密数据操作审计:

  · 对所有受DLP系统保护的数据使用操作,提供审计机制,一旦泄密行为发生,可通过审计信息明确泄密责任,追究泄密行为;

  · 对于DLP系统角色实现三权分立和操作审计,同时可针对解密管理员的解密操作执行过程跟踪审计。

  4. 建设方案

  商密安全保护作为一项长期的任务,需考虑其自身的复杂性和系统性,为避免总体实施风险过大,结合信息安全建设规划阶段需求,本方案中亿赛通将采取“总体规划,分步实施,先试点,后推广”的总体思路,协助央企逐步提升商密数据安全保护能力,因此项目总体落实工作,建议分为三个阶段,以逐步有序推动商密保护建设工作:

  第一阶段:规划导入阶段

  · 制定企业的商秘数据安全工作规划

  · 依据国标、条例、指引、最佳实践建立商密数据保护体系

  · 导入央企商秘安全意识,初步形成商秘安全保护文化

  · 引入安全技术针对重大风险实施安全控制措施

  · 选择试点进行普通商密数据保护体系及安全技术平台的导入

  第二阶段:推广部署阶段

  · 根据试点工作总结完善央企商密数据保护体系

  · 各板块企业依据集团要求建立符合自身的商密数据保护体系

  · 全面推广将各板块下属企业纳入安全技术平台管控

  第三阶段:持续优化阶段

  · 优化商秘安全技术产品整合防护能力

  · 落实核心商密保护策略

  · 进一步加强商秘安全保护文化的建设

  · 通过保密检查及审计机制改进管理及流程风险

  · 持续降低央企商业秘密安全合规管理成本

  · 建立并引入商密安全保护绩效考核机制

  5. 优势收益

  通过本方案对中央企业核心商密数据及业务系统现有的数据泄漏风险进行管控,加强数据产生源头、使用过程、对外发布整体的防护,为集团及各下属企业核心数据的安全运行提供保障和指导,方案的价值体现如下:

  · 方案围绕数据全生命周期安全,以预防为主、控制为辅,纵深强化商密数据安全防护,可确保商业秘密安全,降低数据安全风险;

  · 基于敏感数据流向分析,方案实现数据流到哪里,保护就执行到哪里,数据保护实现从业务系统、终端电脑到移动终端的三重保护;

  · 方案具备良好的可操作性和扩展性,可在保障企业商业秘密安全的前提下,最大限度降低对于企业原有工作效率的影响;

  · 通过本方案的实施与落地,可为公司建立完善的商秘数据安全体系,有效降低企业商业秘密泄露风险;

  · 通过该方案的总体规划,分步实施,可为央企在各中央企业中树立商密数据保护体系的标杆,指引其他企业进行商密数据保护体系建设。

  通过亿赛中央企业DLP数据防泄密方案的部署实施,您将获得以下收益:

  · 深化合规认知和意识、建立健全商密保护制度体系及技术体系;

  · 为中央企业核心系统的数据安全、稳定的运行管理提供安全保障;

  · 提供完整的商密数据资产生命周期风险控制和自动化管理;

  · 通过技术平台有效降低企业运营中的泄密风险;

  · 落实不同监管机构的数据按去合规要求,提升商密数据安全保护管理能力;

  · 通过商密数据风险控制平台引入降低总体合规管理成本。


比特微信账号
比特微信账号

微信扫一扫
关注Chinabyte

返回首页 长微博 返回顶部