◆ 賈大智 崔晶晶 邵衛(wèi)軍 陳曉武/ 文

1 概述

隨著互聯(lián)網(wǎng)的普及以及信息化的高速發(fā)展，各種各樣的信息安全問題也隨之出現(xiàn)，以往企業(yè)主要關(guān)注的是保護(hù)計(jì)算機(jī)的硬件、軟件，將信息安全僅僅視為物理環(huán)境、網(wǎng)絡(luò)系統(tǒng)或者計(jì)算機(jī)的安全，而忽略了保護(hù)數(shù)據(jù)的安全。實(shí)際上，企業(yè)信息安全保護(hù)的最終對(duì)象是數(shù)據(jù)，尤其是涉及到企業(yè)核心資產(chǎn)的商業(yè)秘密。因此如何從技術(shù)手段和管理手段上全方位地保障核心數(shù)據(jù)不被竊取、篡改、泄露，是企業(yè)、組織甚至是國(guó)家都不得不直面的信息安全新課題。

ISO 27001：2005信息安全管理體系來源于信息安全管理體系（ISMS）標(biāo)準(zhǔn)，其最初的概念起源于英國(guó)標(biāo)準(zhǔn)化學(xué)會(huì)制定的英國(guó)國(guó)家標(biāo)準(zhǔn)BS7799標(biāo)準(zhǔn)，是系統(tǒng)化思想在信息安全領(lǐng)域的應(yīng)用，后被國(guó)際標(biāo)準(zhǔn)化組織認(rèn)可，作為國(guó)際標(biāo)準(zhǔn)發(fā)布、普及并被廣泛地接受，我國(guó)于2008年將其等同轉(zhuǎn)化為了國(guó)家標(biāo)準(zhǔn)GB/T 22080-2008/IS0/IEC 27001：2005。該標(biāo)準(zhǔn)包括了11個(gè)控制域、39個(gè)控制目標(biāo)和133個(gè)控制項(xiàng)，鼓勵(lì)企業(yè)、組織采用PDCA的過程方法建立、實(shí)施、運(yùn)行、監(jiān)控、評(píng)審，保證ISMS的持續(xù)改進(jìn)，減少企業(yè)面臨的信息安全風(fēng)險(xiǎn)，保護(hù)企業(yè)信息安全的機(jī)密性、完整性和可用性，保障企業(yè)的業(yè)務(wù)持續(xù)、有效地運(yùn)營(yíng)。

2 基于ISMS標(biāo)準(zhǔn)的數(shù)據(jù)安全風(fēng)險(xiǎn)分析

2.1 信息資產(chǎn)識(shí)別

企業(yè)的資產(chǎn)管理是整個(gè)信息安全管理體系的基礎(chǔ)。首先企業(yè)要清晰地識(shí)別出所有的資產(chǎn)，評(píng)估出它們的價(jià)值，從而明確到底有多少需要保護(hù)的核心資產(chǎn)和商業(yè)秘密，明確它們的責(zé)任人、使用人和使用范圍，以及它們具體存放的地點(diǎn)。

早期企業(yè)大都是通過人工的方式來整理和維護(hù)自己的資產(chǎn)清單，隨著組織規(guī)模的日益龐大，人工收集已經(jīng)非常不現(xiàn)實(shí)，容易造成新增資產(chǎn)的識(shí)別遺漏，資產(chǎn)變更后的更新不及時(shí)，尤其是分散在部門和個(gè)人處的資產(chǎn)，管理部門無法實(shí)時(shí)監(jiān)控和管理，容易造成資產(chǎn)評(píng)級(jí)的不準(zhǔn)確，從而導(dǎo)致采取的控制措施無效。

商業(yè)秘密作為企業(yè)重要的信息資產(chǎn)，往往包含著巨大的經(jīng)濟(jì)利益，是企業(yè)核心競(jìng)爭(zhēng)力所在。由于其具有一定壟斷性的特點(diǎn)，往往可以給企業(yè)帶來超出正常水平的收益回報(bào)。正因如此，商業(yè)秘密對(duì)競(jìng)爭(zhēng)者具有極大的誘惑力，極易導(dǎo)致不正當(dāng)手段進(jìn)行竊取和盜用的現(xiàn)象出現(xiàn)。特別是在越來越激烈的全球化市場(chǎng)競(jìng)爭(zhēng)中，企業(yè)將面臨日益增多的商業(yè)秘密侵權(quán)行為。因此，如何對(duì)商業(yè)秘密進(jìn)行有效的保護(hù)，是企業(yè)亟需解決的新問題。

2.2 商密訪問控制

隨著IT系統(tǒng)規(guī)模的擴(kuò)大，以及IT系統(tǒng)資產(chǎn)價(jià)值的增加，系統(tǒng)面臨的安全威脅也隨之增加。 這些威脅中除了來自外部的黑客攻擊以外，更多的是由于內(nèi)部操作管理水平的不足而產(chǎn)生的，如：內(nèi)部操作人員的惡意破壞操作、誤操作，第三方維護(hù)人員的越權(quán)訪問、數(shù)據(jù)竊取等等。這些由于內(nèi)部(第三方支持人員)而產(chǎn)生的安全事件，對(duì)單位或者企業(yè)造成更大的負(fù)面影響，其所能造成的損失往往是不可估量。

要防止這些損失的發(fā)生，最重要的就是要進(jìn)行有效的用戶訪問控制?，F(xiàn)代化的企業(yè)作為一個(gè)群體組織，各個(gè)環(huán)節(jié)上都可以產(chǎn)生出具有價(jià)值、值得保護(hù)的信息資源，這也就意味著企業(yè)的各個(gè)組成部分或多或少都掌握了一些商業(yè)秘密，如何在各個(gè)環(huán)節(jié)上防止商業(yè)秘密的泄漏，如何重點(diǎn)保障核心文件只有限定的幾個(gè)員工可以查看，都是需要我們重視的。

2.3 介質(zhì)管理

移動(dòng)介質(zhì)的管理一直是信息安全管理體系的一個(gè)難點(diǎn)。U盤、光驅(qū)、打印機(jī)等外設(shè)的使用提供了終端信息輸出和傳遞的主要途徑，但同時(shí)也為病毒傳播和信息泄密帶來了方便。為了保證內(nèi)部網(wǎng)絡(luò)安全，要求對(duì)網(wǎng)內(nèi)各終端計(jì)算機(jī)的外設(shè)使用進(jìn)行控制?，F(xiàn)有企業(yè)的做法是對(duì)接口進(jìn)行硬件上的封殺，拿掉光驅(qū)、軟驅(qū)，或用膠將USB口封住，這樣浪費(fèi)了硬件資源，同時(shí)管理效果也不理想。

2.4 信息交換

內(nèi)網(wǎng)用戶越來越多地采用共享目錄進(jìn)行資源共享，共享目錄使用不當(dāng)則很容易造成商密信息的泄露；如果開啟讀寫共享，則給病毒傳播開啟了更為方便的大門。但個(gè)人電腦的共享目錄管理員難以控制，單靠安全教育于事無補(bǔ)，安全事件層出不窮。

員工通過電話線撥號(hào)、VPN撥號(hào)、GPRS無線撥號(hào)等方式，繞過防火墻的監(jiān)控直接連接外網(wǎng)，使企業(yè)內(nèi)網(wǎng)的IT資源暴露在外部攻擊者面前，攻擊者或病毒可通過撥號(hào)線路進(jìn)入企業(yè)內(nèi)網(wǎng)；另一方面，內(nèi)部員工可能通過這種不受監(jiān)控的網(wǎng)絡(luò)通道將企業(yè)的商業(yè)機(jī)密泄漏出去，給企業(yè)帶來經(jīng)濟(jì)損失但又難以對(duì)其進(jìn)行法律取證。

除了使用移動(dòng)介質(zhì)來輸出和交流數(shù)據(jù)外，我們還經(jīng)常使用郵件、即時(shí)通訊軟件來進(jìn)行信息的交換，這在一定程度上也會(huì)導(dǎo)致數(shù)據(jù)的泄露。采用何種安全的信息交換方式，是迫切需要解決的問題。

2.5 數(shù)據(jù)備份

為了保障數(shù)據(jù)的完整性，數(shù)據(jù)備份是不可或缺的一個(gè)環(huán)節(jié)。如果缺少了數(shù)據(jù)備份，很可能導(dǎo)致業(yè)務(wù)的中斷，造成無法彌補(bǔ)的損失。

3 寶信商業(yè)秘密保護(hù)解決方案

對(duì)于現(xiàn)代企業(yè)來說，商業(yè)秘密可能存在于分散的用戶終端，也可能存在于企業(yè)或部門的文件服務(wù)器，或者應(yīng)用系統(tǒng)的服務(wù)器中，這些商業(yè)秘密面臨的風(fēng)險(xiǎn)是多方位的，既有來自內(nèi)部人員的泄密風(fēng)險(xiǎn)，也有來自外部競(jìng)爭(zhēng)對(duì)手的竊密風(fēng)險(xiǎn)。傳統(tǒng)的安全產(chǎn)品和技術(shù)由于自身的局限性，只能解決局部泄密問題，無法為企業(yè)商業(yè)秘密管理提供有效的支撐。

鑒于此，構(gòu)建企業(yè)內(nèi)商業(yè)秘密的防護(hù)是一項(xiàng)復(fù)雜的系統(tǒng)工程，涉及到主機(jī)、網(wǎng)絡(luò)、數(shù)據(jù)、終端等多個(gè)層面。在規(guī)劃、設(shè)計(jì)商密保護(hù)系統(tǒng)時(shí)，單純依賴經(jīng)驗(yàn)是無法對(duì)抗未知的威脅和攻擊的，因此需要遵循相應(yīng)的安全標(biāo)準(zhǔn)，從更全面的角度進(jìn)行差異性分析，才能保證技術(shù)方案的完整性。寶信在實(shí)踐ISO27001的過程中，形成了一整套最佳實(shí)踐，并自主研發(fā)了多款產(chǎn)品來解決ISO27001實(shí)施過程中的難題，商密保護(hù)平臺(tái)eCop-TSP及特權(quán)賬號(hào)管控eCop-ASP就是其中兩款優(yōu)秀產(chǎn)品。

“基于云存儲(chǔ)的商業(yè)秘密保護(hù)平臺(tái)”(eCop-TSP)，與傳統(tǒng)的數(shù)據(jù)防泄密產(chǎn)品相比，基于云存儲(chǔ)進(jìn)行商業(yè)秘密保護(hù)可以有效地限定商密的保護(hù)外延，以數(shù)據(jù)集中存儲(chǔ)，分級(jí)管理為核心理念，改變商業(yè)秘密分散管理、各自為政、難以管控的局面，通過數(shù)據(jù)的自動(dòng)匯聚、靈活的分級(jí)管理策略和全面的業(yè)務(wù)管理流程，更加貼近企業(yè)保密業(yè)務(wù)的需求特點(diǎn)，具有管控全面、流程完備、使用簡(jiǎn)便、擴(kuò)展靈活、成本低廉的優(yōu)勢(shì)。而且，在充分保證數(shù)據(jù)安全的同時(shí)，該產(chǎn)品還提供了數(shù)據(jù)共享、傳遞等協(xié)同辦公功能，實(shí)現(xiàn)了安全與效率的有效平衡，可以為企業(yè)帶來最佳的可控性和可用性。

從ISO27001體系的角度來看，通過eCop-TSP可以一站式解決商密數(shù)據(jù)資產(chǎn)識(shí)別、介質(zhì)管理、信息交換，數(shù)據(jù)備份的難題，可以有效控制企業(yè)商密數(shù)據(jù)泄露的風(fēng)險(xiǎn)。

3.1 商密信息識(shí)別與管理

寶信在實(shí)踐ISO27001過程中，成立了專門的商密信息資產(chǎn)識(shí)別團(tuán)隊(duì)，對(duì)各種類型的涉密數(shù)據(jù)進(jìn)行識(shí)別、歸類，建立了商密數(shù)據(jù)定義規(guī)范，可以確保員工在對(duì)企業(yè)數(shù)據(jù)資產(chǎn)進(jìn)行保護(hù)的過程中，自動(dòng)識(shí)別出應(yīng)該設(shè)置的保護(hù)級(jí)別，同時(shí)在eCop-TSP系統(tǒng)中，按照企業(yè)的保密管理規(guī)定，對(duì)云存儲(chǔ)中的文件提供核心商密、普通商密以及企業(yè)自定義的保密屬性，并可對(duì)不同密級(jí)的文件實(shí)施不同的安全策略。

通過系統(tǒng)將終端安全、數(shù)據(jù)安全與云存儲(chǔ)安全進(jìn)行有效聯(lián)動(dòng)，首次提出商密準(zhǔn)入，商密合規(guī)訪問的創(chuàng)新商密保護(hù)思路，確保只有合法的人通過合規(guī)的終端才能創(chuàng)建安全磁盤，并通過安全磁盤與云端存儲(chǔ)進(jìn)行實(shí)時(shí)同步，為用戶提供了全周期、全流程、全層次的數(shù)據(jù)保護(hù)解決方案。

全周期：實(shí)現(xiàn)商業(yè)秘密數(shù)據(jù)從制作、存儲(chǔ)、使用、傳遞到銷毀等全生命周期的閉環(huán)管理，以幫助企業(yè)建立全生命周期的數(shù)據(jù)安全防護(hù)體系。

全流程：從商業(yè)秘密保護(hù)的業(yè)務(wù)角度出發(fā)，實(shí)現(xiàn)了商業(yè)秘密定密、密級(jí)變更、審批、外發(fā)、離線外帶、內(nèi)外部流轉(zhuǎn)等各個(gè)流程的集中管控。

全層次：提供了從前臺(tái)傳統(tǒng)終端、移動(dòng)終端到后端數(shù)據(jù)存儲(chǔ)的多重保護(hù)措施。在用戶終端層面，提供安全準(zhǔn)入、健康體檢、虛擬磁盤、驅(qū)動(dòng)層的透明加密、離線訪問、外發(fā)控制等功能，有效防范客戶端面臨的安全威脅；在后端存儲(chǔ)層面，采用了云存儲(chǔ)技術(shù)，實(shí)現(xiàn)了數(shù)據(jù)的集中存儲(chǔ)，通過高強(qiáng)度的加密、多重冗余、碎片化存儲(chǔ)等多種技術(shù)，確保服務(wù)端的數(shù)據(jù)安全。

通過以上技術(shù)手段，保證企業(yè)的商密數(shù)據(jù)資產(chǎn)被有效識(shí)別并有效管控，同時(shí)，由于可以在云端服務(wù)器上設(shè)置管理統(tǒng)一、分級(jí)授權(quán)的安全防護(hù)機(jī)制，使得集團(tuán)總部及各分、子公司的數(shù)據(jù)，在集中化的前提下得到了統(tǒng)一的保護(hù)。

3.2 介質(zhì)管理與信息交換

在傳統(tǒng)的數(shù)據(jù)安全解決方案中，對(duì)于介質(zhì)管理采用的是簡(jiǎn)單的禁用策略，對(duì)企業(yè)用戶的正常工作帶來很多困擾，寶信在實(shí)施介質(zhì)管理的過程中，限定了介質(zhì)管控的外延，只有在涉及到商密數(shù)據(jù)訪問的時(shí)候才對(duì)介質(zhì)進(jìn)行管控，不影響用戶的非涉密正常使用。在eCop-TSP系統(tǒng)中，當(dāng)終端用戶建立安全磁盤視圖訪問商密數(shù)據(jù)時(shí)，如果用戶使用不受管控的移動(dòng)介質(zhì)，安全磁盤會(huì)自動(dòng)識(shí)別并關(guān)閉，防止數(shù)據(jù)外泄；只有當(dāng)用戶使用登記審核過的受控移動(dòng)介質(zhì)，才可以訪問安全磁盤中的商密數(shù)據(jù)。

受控移動(dòng)介質(zhì)內(nèi)置受控的數(shù)據(jù)運(yùn)行環(huán)境，有權(quán)限的用戶即使將數(shù)據(jù)拷貝到受控移動(dòng)介質(zhì)中也只能在受控環(huán)境下訪問，無法二次拷出或者傳輸，通過該手段可以有效確保數(shù)據(jù)不會(huì)通過移動(dòng)介質(zhì)泄密。

另外一方面，企業(yè)內(nèi)部的數(shù)據(jù)協(xié)同需求非常旺盛，現(xiàn)代企業(yè)更多的是采用郵件或者U盤的方式解決數(shù)據(jù)共享的問題，但這恰恰是數(shù)據(jù)泄密的最重要渠道，在eCop-TSP系統(tǒng)中，采用了云存儲(chǔ)技術(shù)對(duì)涉密數(shù)據(jù)進(jìn)行集中管理，并植入高效的協(xié)同機(jī)制，可以讓用戶快速地將安全數(shù)據(jù)磁盤的文件共享給他人，共享文件直接從云端服務(wù)器進(jìn)行下載，降低使用U盤等移動(dòng)介質(zhì)共享文件時(shí)帶來的安全風(fēng)險(xiǎn)。

在數(shù)據(jù)共享過程中，采用群組對(duì)數(shù)據(jù)信息進(jìn)行權(quán)限管理，所謂群組是利用云存儲(chǔ)實(shí)現(xiàn)多人數(shù)據(jù)共享和協(xié)作的一種新的應(yīng)用模式。用戶可根據(jù)組織或者項(xiàng)目的范圍創(chuàng)建群組工作區(qū)，群組內(nèi)不同用戶之間可快速的實(shí)現(xiàn)協(xié)作與共享，群組有如下特性：

——群組創(chuàng)建。授權(quán)用戶可創(chuàng)建群組，并在企業(yè)組織樹形結(jié)構(gòu)列表中選擇用戶，邀請(qǐng)加入群組。

——群組同步。群組中的數(shù)據(jù)，群組中一旦有用戶上傳或修改文件，變化的內(nèi)容即時(shí)推送至群組內(nèi)所有用戶的客戶端。

——群組歸檔。當(dāng)群組的生命周期結(jié)束后（如項(xiàng)目完工），管理員可對(duì)群組進(jìn)行歸檔。歸檔后所有文件自動(dòng)從所有成員的客戶端上清除。

——群組授權(quán)。群組管理員可對(duì)群組的所有文件統(tǒng)一授權(quán)，授權(quán)類型包括文件創(chuàng)建、讀取、修改、刪除。

——目錄分級(jí)授權(quán)。群組管理員可為每個(gè)目錄設(shè)定1名或多名目錄管理員，目錄管理員可對(duì)其他用戶進(jìn)行二次授權(quán)，授權(quán)類型包括文件創(chuàng)建、讀取、修改、刪除。

通過以上技術(shù)手段，在企業(yè)數(shù)據(jù)共享過程中，可以盡量降低高風(fēng)險(xiǎn)的移動(dòng)介質(zhì)使用頻度，另外在數(shù)據(jù)的安全性方面，用戶在上傳文件時(shí)同樣采用獨(dú)立的密鑰對(duì)每個(gè)數(shù)據(jù)塊進(jìn)行加密。數(shù)據(jù)塊密鑰保存在群組工作區(qū)數(shù)據(jù)庫(kù)內(nèi)，所有群組用戶均可以獲取密鑰對(duì)數(shù)據(jù)進(jìn)行解密訪問，實(shí)現(xiàn)企業(yè)新型的協(xié)同辦公，從而確保企業(yè)具備高效安全的信息交換手段。

3.3 數(shù)據(jù)備份

企業(yè)商密數(shù)據(jù)管控過程中，數(shù)據(jù)安全無疑是最重要的，在eCop-TSP中，存放在云端的文件在上傳前已經(jīng)被分割成數(shù)據(jù)塊，每個(gè)數(shù)據(jù)塊使用獨(dú)立的密鑰進(jìn)行加密，加密算法采用AES算法，密鑰長(zhǎng)度為256位。即使通過某種途徑獲取到某個(gè)數(shù)據(jù)塊密鑰，也無法解密其他數(shù)據(jù)塊，不會(huì)危及其他用戶的數(shù)據(jù)安全。另外當(dāng)數(shù)據(jù)存儲(chǔ)在云端時(shí)，系統(tǒng)根據(jù)預(yù)設(shè)值的策略，自動(dòng)進(jìn)行多重鏡像備份。在硬件方面，可采用多臺(tái)物理服務(wù)器，從硬件層把數(shù)據(jù)的存放位置分開，消除單點(diǎn)故障。在單臺(tái)服務(wù)器出現(xiàn)異常的情況下，依然能保障系統(tǒng)正常運(yùn)行，保障數(shù)據(jù)不丟失。

3.4 商密訪問控制

ISO27001中關(guān)于訪問控制有明確的要求，在條款A(yù)10.10.1要求組織必須記錄用戶訪問、意外和信息安全事件的日志，并保留一定期限，以便安全事件的調(diào)查和取證；

條款A(yù)10.10.4要求組織必須記錄系統(tǒng)管理和維護(hù)人員的操作行為；

條款A(yù)15.1.3明確要求必須保護(hù)組織的運(yùn)行記錄；

條款A(yù)15.2.1則要求信息系統(tǒng)經(jīng)理必須確保所有負(fù)責(zé)的安全過程都在正確執(zhí)行，符合安全策略和標(biāo)準(zhǔn)的要求。

在寶信實(shí)施ISO27001的過程中，針對(duì)商密數(shù)據(jù)保護(hù)，經(jīng)過詳盡的分析，發(fā)現(xiàn)企業(yè)的應(yīng)用本身都采用了完整的訪問控制，而對(duì)于特權(quán)賬號(hào)的管控則存在很大的泄密風(fēng)險(xiǎn)，因此在實(shí)施上采用的寶信自主研發(fā)的特權(quán)賬號(hào)管控與審計(jì)平臺(tái)（eCop-ASP）進(jìn)行商密訪問管控，寶信eCop-ASP特權(quán)賬號(hào)管控與審計(jì)平臺(tái)支持多種身份認(rèn)證方式，包括靜態(tài)密碼、Windows AD域、Radius認(rèn)證、LDAP認(rèn)證、數(shù)字證書等，此外還可以通過認(rèn)證接口擴(kuò)展與第三方認(rèn)證系統(tǒng)的集成。通過“操作審計(jì)賬號(hào)”與“服務(wù)器賬號(hào)”關(guān)聯(lián)的方式，為每次訪問過程建立賬號(hào)關(guān)聯(lián)信息，從而實(shí)現(xiàn)將用戶身份的通過操作賬號(hào)落實(shí)到唯一的操作“自然人”。

除了按照主機(jī)對(duì)象進(jìn)行授權(quán)外，特權(quán)賬號(hào)管控與審計(jì)平臺(tái)也能夠提供指令級(jí)細(xì)粒度的訪問控制，最大限度保護(hù)用戶資源的安全。管理員可以設(shè)定每個(gè)用戶能夠使用的黑、白指令集，一旦操作人員執(zhí)行黑名單指令，操作系統(tǒng)會(huì)自動(dòng)阻斷其操作，從而最大限度保護(hù)云存儲(chǔ)服務(wù)器的安全，確保操作用戶訪問商密數(shù)據(jù)過程的合規(guī)性。

4 總結(jié)

寶信在實(shí)施ISO27001過程中，所形成的這些最佳實(shí)踐，可以作為有益的知識(shí)進(jìn)行傳承，為其他企業(yè)提供幫助，在實(shí)施過程中所采用的技術(shù)手段具有很強(qiáng)的創(chuàng)新性與先進(jìn)性，也值得其他企業(yè)參考。與傳統(tǒng)的數(shù)據(jù)防泄密產(chǎn)品相比，寶信所采用的基于云存儲(chǔ)的商密保護(hù)產(chǎn)品，改變了以往企業(yè)商密數(shù)據(jù)分散在員工個(gè)人手中難以管控的局面；以數(shù)據(jù)集中存儲(chǔ)，分級(jí)管理為核心理念，改變商業(yè)秘密分散管理、各自為政的局面；通過數(shù)據(jù)的自動(dòng)匯聚、靈活的分級(jí)管理策略和全面的業(yè)務(wù)管理流程，更加貼近企業(yè)保密業(yè)務(wù)的需求特點(diǎn)，具有管控全面、流程完備、使用簡(jiǎn)便、擴(kuò)展靈活、成本低廉的優(yōu)勢(shì)。而且，在充分保證數(shù)據(jù)安全的同時(shí)，該產(chǎn)品還提供了數(shù)據(jù)共享、傳遞等協(xié)同辦公功能，實(shí)現(xiàn)了安全與效率的有效平衡，可為企業(yè)帶來最佳的可控性和可用性。

（略）