敖瑾

10月份在深圳舉行的首屆商業(yè)秘密保護灣區(qū)峰會上，《企業(yè)商業(yè)秘密管理規(guī)范》發(fā)布。在這份共有十三章節(jié)，涉及人員、區(qū)域、物品、信息軟件等各個維度的商業(yè)秘密管理規(guī)范中，可以看到，技術(shù)手段在商業(yè)秘密保護中發(fā)揮著重要作用。

技術(shù)手段門檻高，且費用不低，對于技術(shù)手段到底可以做到哪些，以及應(yīng)該采用哪些手段，很多企業(yè)仍存在疑惑。

參與制定《企業(yè)商業(yè)秘密管理規(guī)范》的深信服科技股份有限公司，是一家專注于企業(yè)級網(wǎng)絡(luò)安全、云計算、IT基礎(chǔ)設(shè)施與物聯(lián)網(wǎng)的產(chǎn)品和服務(wù)供應(yīng)商，是提供商業(yè)秘密保護整體解決方案的頭部企業(yè)。而這樣一家企業(yè)，自身也存在著商業(yè)秘密保護的需求，這或許更能為企業(yè)提供技術(shù)手段保護商業(yè)秘密的借鑒。

深信服最早對商業(yè)秘密保護開始重視，也是由于事件驅(qū)動。

2018年，深信服的一位老員工離職后，帶走了公司的客戶名單和商業(yè)機會，還憑借著對業(yè)務(wù)的熟悉，將原公司的客戶和項目“一挖一個準”。項目機會和客戶關(guān)系遭到惡意挖角和搭便車的行為，是深信服絕對不能容忍的。雖然公司針對這些不正當競爭行為及時采取了法律措施，對相關(guān)人員也采取了法律行動，但還是給公司利益造成了一定的損害。

深信服法務(wù)總監(jiān)胡海斌告訴南都周刊記者，在正式開始搭建商業(yè)秘密保護體系之前，深信服先全盤梳理了公司稅務(wù)、法務(wù)、財務(wù)、技術(shù)等經(jīng)營信息和技術(shù)信息。

其次，深信服確立了商業(yè)秘密保護的工作方向，即實行商業(yè)秘密的分類分級保護：

杜絕任何泄露的風險，比如源代碼，側(cè)重“0發(fā)生”，以隔離為主;

杜絕全量數(shù)據(jù)泄露的風險，比如，非全量的銷售信息，側(cè)重預(yù)警和法律反制，以審計和訪問控制為主;

側(cè)重預(yù)防和事后追責，以宣貫、訪問控制、審計及法律反制為主。

接下來就是結(jié)合技術(shù)手段，對不同等級的商業(yè)秘密進行管理。

深信服有一套專門用于監(jiān)控數(shù)據(jù)安全的系統(tǒng)，企業(yè)數(shù)據(jù)當前的安全態(tài)勢、安全事件、網(wǎng)絡(luò)攻擊態(tài)勢、外連數(shù)據(jù)和流向等都將以圖表或模型的形式清晰地記錄、保存。深信服每月都會進行內(nèi)部信息的安全稽查，滾動監(jiān)控信息的運輸情況，一旦出現(xiàn)異動，相關(guān)人員就可以迅速做出反應(yīng)。

“有一次，一個員工的電腦壞了，公司配發(fā)了新電腦后，他就把舊電腦的數(shù)據(jù)拷貝到新電腦，信息安全部馬上就給他發(fā)消息，詢問突然大量拷貝數(shù)據(jù)的原因，最后需要經(jīng)過信息安全部同意后，數(shù)據(jù)拷貝才能繼續(xù)進行?！焙１笈e例說。

隨著云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)等新興技術(shù)的興起，企業(yè)傳統(tǒng)的安全邊界逐漸被打破，特別是新冠疫情以來移動辦公的流行，給企業(yè)的商業(yè)秘密保護帶來了更大的挑戰(zhàn)。

“零信任”是一種解決的辦法，具體到實際操作而言，就是網(wǎng)絡(luò)隔離，數(shù)據(jù)不落地以及嚴格且靈活的訪問控制。

網(wǎng)絡(luò)隔離，指的是企業(yè)研發(fā)部門擁有自己獨立的研發(fā)網(wǎng)絡(luò)，配備獨立的服務(wù)器和網(wǎng)絡(luò)，避免與其他部門的網(wǎng)絡(luò)交互。

而數(shù)據(jù)不落地則依靠云桌面來實現(xiàn)。在深信服展廳，記者看到了云桌面的運行原理。云桌面將所有的數(shù)據(jù)都保存在云端，通過沙箱實現(xiàn)輕量級數(shù)據(jù)的本地隔離。也就是說，員工看到的數(shù)據(jù)都以圖片形式出現(xiàn)，圖片定期被覆蓋，上面還有加密的代碼水印，以此保證全量數(shù)據(jù)在服務(wù)器上無法轉(zhuǎn)移。

另外，通過這種云端存儲的方式，接觸保密信息的員工用的電腦里沒有存留任何數(shù)據(jù)，他們只能看到數(shù)據(jù)遠程輸出后的結(jié)果，也就無法對數(shù)據(jù)進行任何拷貝或竊取。云桌面可以在公有云、私有云部署，也可以在本地數(shù)據(jù)中心分布式部署，通過云桌面實現(xiàn)對數(shù)據(jù)安全可控的管理。

嚴格且靈活的訪問控制，指的是對人、物（終端）默認不信任，通過運用統(tǒng)一身份管理、動態(tài)訪問控制、業(yè)務(wù)及數(shù)據(jù)訪問以及數(shù)據(jù)隔離等多種手段實現(xiàn)有效且靈活的數(shù)據(jù)訪問控制。可以實現(xiàn)不區(qū)分內(nèi)網(wǎng)外網(wǎng)，不區(qū)分終端類型，不區(qū)分網(wǎng)絡(luò)環(huán)境下的數(shù)據(jù)訪問控制，實現(xiàn)了不同的辦公方式和數(shù)據(jù)保護之間的平衡。

基于零信任概念的解決方案就相當于網(wǎng)絡(luò)世界的門禁卡，可以應(yīng)用到所有的產(chǎn)品中去，這本質(zhì)上是員工進入系統(tǒng)訪問數(shù)據(jù)前的權(quán)限控制?！昂锰幘褪莻€人辦公不用分內(nèi)網(wǎng)外網(wǎng)了，在家里、在機場、在車上都可以辦公?！焙１蠼榻B，零信任概念的出現(xiàn)就是因為疫情在家辦公需求的催化。

他介紹，深信服還由此升級了移動辦公軟件?！八腥嗽诘卿浌揪W(wǎng)絡(luò)之前，都需進行一次身份驗證，驗證內(nèi)容除了常規(guī)的賬號密碼，還會關(guān)注賬號登錄的地點和場景，有時需要用手機號進行再次驗證。多重維度驗證后，證明確實是員工本人在合適的地方、合適的場景，才能允許用戶進入公司網(wǎng)絡(luò)?！?/p>

胡海斌在2016年入職深信服，他記得，在2018年正式開啟商業(yè)秘密保護體系建設(shè)前，深信服每年都會處理十幾起泄密事件，但近兩年相關(guān)事件的數(shù)量越來越少，他認為這是公司員工逐漸接受并遵守商業(yè)秘密保護規(guī)則帶來的結(jié)果。

但他仍然保持著警惕，“在技術(shù)和制度都逐漸完善后，商業(yè)秘密保護是否還存在著無法被監(jiān)管到的角落？新的商業(yè)模式、新的產(chǎn)品形態(tài)、新的研發(fā)模式或新的移動終端的出現(xiàn)，原有的保護體系是否同樣能夠?qū)崿F(xiàn)商業(yè)秘密保護的理解和平衡？比如，華為的研發(fā)部門和安全部門都有門禁，不能攜帶任何帶有攝像頭的設(shè)備，但未來智能眼鏡出現(xiàn)后該怎么辦？”

胡海斌始終認為，“商業(yè)秘密的保護存在一個度，不可能做到百分之百的安全”。而如何正確地把握這個度，是企業(yè)從最開始建立商業(yè)秘密保護工作目標和工作機制時，就要考慮的一個問題。“達到業(yè)務(wù)效率和保密合規(guī)之間的平衡，這才是最核心的點?！?/p>

“商業(yè)秘密的保護存在一個度，不可能做到百分之百的安全”。達到業(yè)務(wù)效率和保密合規(guī)之間的平衡，才是最核心的點。