梅 維

(寶鋼集團新疆八一鋼鐵有限公司數(shù)智辦)

前言

鋼鐵冶金行業(yè)是我國國民經(jīng)濟的支柱性產(chǎn)業(yè),是技術(shù)、資源、勞動力密集型產(chǎn)業(yè)。 更是為國民經(jīng)濟各行業(yè)提供原材料的重要基礎(chǔ)行業(yè)。 如今在國家大力推進信息技術(shù)自主創(chuàng)新、全面優(yōu)化信息產(chǎn)業(yè)結(jié)構(gòu)、深入推動鋼鐵行業(yè)“兩化”融合這一時代戰(zhàn)略背景下,鋼鐵企業(yè)通過信息化建設(shè)及提升改造,改進企業(yè)管理效率和經(jīng)營績效,提高智能制造水平,實現(xiàn)整體競爭力的提升。 如何在全面信息化的背景下防范內(nèi)部和外部數(shù)據(jù)對接時的泄露、做好企業(yè)商業(yè)秘密文檔安全的防護工作、確保內(nèi)部商業(yè)秘密不被竊取與外泄,如何實現(xiàn)企業(yè)員工工作效率與企業(yè)商業(yè)秘密管控之間的有效平衡,如何確定商業(yè)秘密信息,企業(yè)有多少商業(yè)秘密,分別存儲在什么地方,是鋼鐵冶金行業(yè)數(shù)據(jù)安全所亟待解決的問題。

1 鋼鐵企業(yè)商業(yè)秘密數(shù)據(jù)保護的要求

根據(jù)企業(yè)商業(yè)秘密數(shù)據(jù)保護要求,需要對聯(lián)網(wǎng)用戶終端上涉及企業(yè)商密的電子文檔均要做數(shù)據(jù)保護措施,防止內(nèi)部人員有意或無意造成數(shù)據(jù)泄露。 企業(yè)商業(yè)數(shù)據(jù)需集中安全管理。 商密文檔需統(tǒng)一集中儲存、分級授權(quán)控制、文件下載存儲與借閱需要統(tǒng)一審批與后臺登記管理,建立起商密統(tǒng)一的文檔管理體系。 對鋼鐵冶金行業(yè)常用的業(yè)務(wù)系統(tǒng)進行規(guī)范化管理,如OA、EMS、DMS、EMP 等在線應(yīng)用系統(tǒng)都要進行嚴(yán)格的上傳、下載加密,防止內(nèi)部數(shù)據(jù)外發(fā)時發(fā)生泄漏。 只有受控的計算機并同時擁有權(quán)限的用戶才能訪問企業(yè)內(nèi)部應(yīng)用系統(tǒng),如何防止企業(yè)員工調(diào)閱后帶走的可能性,公司的內(nèi)部核心技術(shù)文檔怎么流失到競爭對手那里去了,企業(yè)商密泄密安全事件發(fā)生后,需要一定的手段進行審計和數(shù)據(jù)溯源。

2 終端數(shù)據(jù)的保護措施

在終端用戶商業(yè)秘密保護方面,需要實現(xiàn)拷貝記錄、外發(fā)管理、即時通信管理、系統(tǒng)行為管理、水印追溯、數(shù)據(jù)偵探、數(shù)據(jù)防泄露、打印機管控、移動介質(zhì)管理等多種數(shù)據(jù)安全保護策略。 文件加密通過對商密電子文檔的創(chuàng)建、修改、傳輸、歸檔、分發(fā)、銷毀等全過程的加密或者權(quán)限控制管理,以達到電子文檔的保護目標(biāo)。 企業(yè)內(nèi)的重要商業(yè)秘密電子文檔,只能在許可的范圍內(nèi)使用,在沒有經(jīng)過許可的情況下,無論以何種方式脫離應(yīng)用范圍,電子文件都將不可使用,從信息的源頭進行商密數(shù)據(jù)的保護。 終端商密數(shù)據(jù)保護措施主要有以下幾種:

(1)員工行為管控。 全面監(jiān)控和審計企業(yè)員工在辦公過程將商業(yè)秘密數(shù)據(jù)另存為、打印、拷貝粘貼、截屏、發(fā)送郵件或使用QQ、微信等即時通訊工具傳播文件等會引起的操作行為,并向管理員發(fā)送預(yù)警信息或直接阻斷操作,防止員工泄露企業(yè)信息。 要求共享與傳輸商業(yè)密碼數(shù)據(jù)必須通過私有傳輸平臺進行,如企業(yè)私有云文檔與私有聊天工具,例如八鋼公司全面采取OA 系統(tǒng)內(nèi)嵌寶武云文檔與寶武聊天來處理商密文件。

(2)數(shù)據(jù)安全。 外發(fā)用戶可以根據(jù)用戶授權(quán)設(shè)置外發(fā)策略,需要外發(fā)的文件需要通過審批才允許外發(fā),對于特別重要的商業(yè)秘密文檔,還可設(shè)置多級審批。 可以根據(jù)需要對外發(fā)文件進行權(quán)限管控,控制外發(fā)文件的編輯權(quán)限、使用時間、使用次數(shù)、打印權(quán)限、硬件綁定等措施。

(3)離線辦公。 設(shè)置離線策略,系統(tǒng)就可以在設(shè)定的時間或日期范圍內(nèi),脫離公司服務(wù)器獨立運行,可以保證數(shù)據(jù)安全可控的同時滿足員工外出工作無礙,但是在規(guī)定時間內(nèi)用戶必須與服務(wù)器聯(lián)系,否則文件將無法打開使用。 系統(tǒng)提供脫機時間延長策略,通過延長審批后保證外出工作的正常進行。

(4)遠程異地辦公。 公司員工外出可以利用VPN 技術(shù)接入公司辦公服務(wù)器正常辦公,同時安全方面也實現(xiàn)數(shù)據(jù)安全可控管理。

(5)數(shù)據(jù)溯源。 利用屏幕水印、文件水印或打印水印技術(shù),對外傳的截圖圖片和重要文檔進行水印標(biāo)記,水印的風(fēng)格可以自定義為明文水印、二維碼水印、點陣水印或隱藏水印,水印可為商密文檔的歸屬提供可靠的證據(jù),有效實現(xiàn)文件的溯源。

3 業(yè)務(wù)應(yīng)用系統(tǒng)商業(yè)秘密數(shù)據(jù)保護措施

針對鋼鐵冶金行業(yè)使用的OA、EMS、ERP、MES、PLM、PSCS 等業(yè)務(wù)系統(tǒng)在線使用,可通過實施信息系統(tǒng)加密集成模塊對系統(tǒng)商密數(shù)據(jù)實施保護,從而防止泄密事件的發(fā)生,主要措施有:

(1)文件上傳自動解密。 用戶將加密文件上傳到應(yīng)用系統(tǒng)時,信息系統(tǒng)加密集成模塊會自動解密該文件,保障應(yīng)用系統(tǒng)中存儲的是明文,不影響應(yīng)用系統(tǒng)的正常工作。

(2)文件下載強制加密。 用戶通過應(yīng)用系統(tǒng)下載文件時,信息系統(tǒng)加密集成模塊會對下載的文件進行落地加密,這些文件只能在加密環(huán)境內(nèi)使用,一旦離開這個環(huán)境,所有文件無法打開。

(3)應(yīng)用系統(tǒng)訪問控制。 為了防止用戶賬號被盜,系統(tǒng)內(nèi)的明文數(shù)據(jù)外泄,信息系統(tǒng)加密集成模塊對請求訪問的終端IP 會進行篩查判斷,非授信的終端無法訪問應(yīng)用系統(tǒng)。 特別是重要商業(yè)數(shù)據(jù)系統(tǒng),可以采取劃分VLAN 方式單獨組網(wǎng)實現(xiàn)安全獨立的訪問策略,從而滿足系統(tǒng)安全訪問要求。

(4)對商業(yè)秘密數(shù)據(jù)進行存儲加密和脫敏控制。 從而降低開發(fā)、運維人員通過直接訪問數(shù)據(jù)庫使用數(shù)據(jù)過程中的數(shù)據(jù)泄露風(fēng)險,保護大數(shù)據(jù)所有者權(quán)益。 通過開發(fā)集成的方式,將第三方加密和脫敏產(chǎn)品集成到平臺上來,以實現(xiàn)鋼鐵企業(yè)核心業(yè)務(wù)系統(tǒng)數(shù)據(jù)存儲加密和脫敏的功能。

4 商業(yè)秘密文檔管理措施

(1)商密文檔權(quán)限管理。 使用云文檔管理系統(tǒng)可以高效地完成文檔集中儲存、系統(tǒng)訪問、文件權(quán)限管控、文件在線預(yù)覽、文件在線編輯、文件操作審計。 從而實現(xiàn)對企業(yè)文檔從集中、安全和共享三方面實現(xiàn)一體化的管理,解決文檔制作、分享與協(xié)作問題。 同時從全流程編制、傳輸、使用、存儲安全性方面提供符合國資委商業(yè)密碼保護要求。

(2)商密文檔集中存儲管理。 為用戶搭建一個電子文檔集中管理的平臺,提供個人文檔中心和企業(yè)文檔庫管理。 文檔集中存儲在管理系統(tǒng)中,即使本地硬盤損壞,文件丟失,還可以從文檔管理系統(tǒng)(通常企業(yè)采用的OA 系統(tǒng)與云文檔兩者結(jié)合方式)中下載恢復(fù)。

(3)商密文檔安全管理。 提供完善的商密數(shù)據(jù)權(quán)限管理與安全機制,通過強制訪問控制技術(shù)實現(xiàn)相關(guān)電子文檔的權(quán)限控制,從系統(tǒng)中下載的文件通過后臺識別用戶權(quán)限策略進行,無權(quán)限需要審批后方可下載,確保文件的上傳和使用有序進行,確保文件的安全性。

(4)商密文檔共享管理。 利用云文檔共享模式,實現(xiàn)將文檔進行內(nèi)部共享和鏈接外發(fā),提高工作效率。 共享文檔可配置使用權(quán)限,包括閱覽、編輯、修改、下載、復(fù)制等權(quán)限,既方便內(nèi)部共享協(xié)作又保證了文檔的安全性,文檔所有者可開啟檢索共享,保證既能被其他用戶全文檢索到,又能便于知識資產(chǎn)的共享共用。

(5)商密文檔打印管理。 對于商密核心部門,采用打印機集中管控方案,實現(xiàn)信息網(wǎng)商密打印機的集中管控,打印集中管控系統(tǒng)與公司一卡通對接,獲取組織、人員、卡戶信息,并通過讀卡服務(wù)用于員工打印刷卡,增強打印數(shù)據(jù)的保密管理。 對于上外網(wǎng)的終端,采用在現(xiàn)有終端準(zhǔn)入系統(tǒng)上擴充終端數(shù)據(jù)防泄漏和移動介質(zhì)管理組件,實現(xiàn)相關(guān)功能。

5 結(jié)束語

黨的十八大以來,習(xí)近平總書記圍繞筑牢國家網(wǎng)絡(luò)安全屏障發(fā)表了一系列重要論述,商業(yè)秘密是企業(yè)的核心競爭力,商密保護是企業(yè)防止不正當(dāng)競爭、發(fā)展創(chuàng)新、促進高質(zhì)量經(jīng)濟增長的需要,企業(yè)必須圍繞商密的分類分級保護、事前預(yù)防、事中監(jiān)控、事后審計進行全方位保護,從而避免企業(yè)核心利益損失。