賈大智：寶信軟件信息安全產(chǎn)品總監(jiān)，企業(yè)云存儲(chǔ)產(chǎn)品部總經(jīng)理。2005-2016年，參與并領(lǐng)導(dǎo)多款信息安全類產(chǎn)品的研發(fā)與推廣，在企業(yè)信息安全體系建設(shè)及企業(yè)數(shù)據(jù)安全領(lǐng)域有著豐富的研發(fā)及實(shí)踐經(jīng)驗(yàn)。

以下是賈大智在ITValue企業(yè)信息安全微信課上的分享，經(jīng)ITValue記者整理后發(fā)布。

我們今天談到的保密體系建設(shè)，主要強(qiáng)調(diào)的是企業(yè)內(nèi)針對(duì)商業(yè)數(shù)據(jù)的保密體系建設(shè)，因?yàn)槲覀円酝勂髽I(yè)的信息安全，更多的強(qiáng)調(diào)系統(tǒng)安全、邊界安全等等，因此2010年以前，集團(tuán)型企業(yè)更多的信息安全資源都投入在這些基礎(chǔ)安全設(shè)施的建設(shè)上，2010年后商業(yè)秘密保護(hù)逐步開始被重視，但怎么做，大家都處于一個(gè)摸索的階段。寶鋼集團(tuán)大概從2011年底開始商密保護(hù)體系建設(shè)工作，到目前為止，應(yīng)該說初具成效，整個(gè)過程走下來，實(shí)際上是比較困難的，是一路摸索的過程，為什么這么說呢，這和我們大多數(shù)企業(yè)對(duì)信息安全的認(rèn)識(shí)有關(guān)。

大型企業(yè)的信息安全基礎(chǔ)建設(shè)應(yīng)該是比較完善的。我們有各類邊界防護(hù)、系統(tǒng)安全措施，也會(huì)有分級(jí)保護(hù)、等級(jí)保護(hù)等測(cè)評(píng)標(biāo)準(zhǔn)，因此很多企業(yè)的領(lǐng)導(dǎo)者都會(huì)認(rèn)為自身企業(yè)的安全做的還不錯(cuò)，但與此同時(shí)，我們依然會(huì)不停地看到、聽到央企的泄密事件，而問題恰恰就出在我們?nèi)菀缀鲆暤膬?nèi)部安全體系建設(shè)上。

1
首先從組織職能看，保密職能通常隸屬于行政職能部門，如辦公廳、保密辦等，甚至在很多企業(yè)都只是知識(shí)產(chǎn)權(quán)部門兼任，保密職能部門不關(guān)心業(yè)務(wù)，制定的保密措施往往無法落實(shí)。
2
其次，從企業(yè)信息化建設(shè)的過程看，系統(tǒng)與系統(tǒng)之間都是孤立的，各種信息的流轉(zhuǎn)無法受控，企業(yè)內(nèi)部失密的風(fēng)險(xiǎn)很大。
3
第三就是員工的意識(shí)問題，使用習(xí)慣難以改變，形成非主動(dòng)性泄密源，這些都是商密體系建設(shè)過程中亟需解決的問題。


鑒于這些問題，商密體系建設(shè)可按如下圖的層次展開：



從上圖可以看到，這個(gè)體系其實(shí)有部分內(nèi)容會(huì)和我們所熟悉的等保比較重疊，我們稱之為傳統(tǒng)的信息安全防護(hù)手段。

這塊內(nèi)容在大型企業(yè)中基本上是比較完備的，因此可以這么認(rèn)為，商密保護(hù)體系建設(shè)的核心在于上層的數(shù)據(jù)安全體系的建設(shè)，也即全生命周期的數(shù)據(jù)安全防護(hù)體系建設(shè)。

在數(shù)據(jù)安全這個(gè)事情上，我們也做過很多嘗試，包括文件加解密，權(quán)限管理，文件審計(jì)、關(guān)鍵字過濾等，最后發(fā)現(xiàn)很重要的一點(diǎn)是，這些技術(shù)手段都過于片面強(qiáng)調(diào)技術(shù)本身，而忽視了業(yè)務(wù)。在實(shí)踐過程中，特別是集團(tuán)型的大型企業(yè)，很難推動(dòng)，員工會(huì)想各種手段來突破，另外一點(diǎn)就是對(duì)于已經(jīng)建成的大量信息化系統(tǒng)中所包含的商密數(shù)據(jù)，這些技術(shù)手段很難有效管理，這也迫使我們做進(jìn)一步的選擇。

因此，我們?cè)诜桨高x擇中需要考慮幾個(gè)原則：一是能不能與現(xiàn)有業(yè)務(wù)體系無縫結(jié)合，二是方案的實(shí)施是否能夠在安全與效率之間尋找到平衡，盡量不改變用戶的使用習(xí)慣，三就是怎么能讓企業(yè)的數(shù)據(jù)真正地屬于企業(yè)自身。

這幾個(gè)原則也促成了我們最后選擇以云存儲(chǔ)為基礎(chǔ)來建立整套商密體系。這是我們選型時(shí)候出示的一張說明圖，就是從這三個(gè)方面來做說明的。



選擇集中化，主要是為了解決企業(yè)數(shù)據(jù)分散的問題，希望通過集中化的手段做到有效商密數(shù)據(jù)可識(shí)別、可管理。而著力點(diǎn)放在訪問數(shù)據(jù)的終端，包括移動(dòng)端，確保訪問、使用的安全，最后一點(diǎn)還是要強(qiáng)調(diào)用戶的使用習(xí)慣，只有用戶真正愿意用，作為工作的一部分，這套體系才有價(jià)值。

我們?cè)賮砜戳硗庖粡垐D，更細(xì)節(jié)化地說明了這些點(diǎn)：



從這張圖中我們可以看到我們關(guān)注兩大部分的數(shù)據(jù)來源：

一個(gè)是企業(yè)離散的非結(jié)構(gòu)化數(shù)據(jù)，按照我們看到的現(xiàn)象，企業(yè)內(nèi)結(jié)構(gòu)化數(shù)據(jù)大概的比例在15%，另外85%都是非結(jié)構(gòu)化數(shù)據(jù)，所以這部分是我們首先要關(guān)注的。

另外一個(gè)就是來自于應(yīng)用系統(tǒng)的業(yè)務(wù)數(shù)據(jù)，這部分也是我們前面提到的對(duì)于已有業(yè)務(wù)系統(tǒng)中的涉密數(shù)據(jù)，我們也提供歸一化的處理手段。

在這個(gè)體系中，有幾個(gè)點(diǎn)比較重要：

1. 信息資產(chǎn)的識(shí)別。

企業(yè)的資產(chǎn)管理是整個(gè)信息安全管理體系的基礎(chǔ)。首先企業(yè)要清晰地識(shí)別出所有的資產(chǎn)，評(píng)估出它們的價(jià)值，從而明確到底有多少需要保護(hù)的核心資產(chǎn)和商業(yè)秘密，明確它們的責(zé)任人、使用人和使用范圍，以及它們具體存放的地點(diǎn)。

早期企業(yè)大都是通過人工的方式來整理和維護(hù)自己的資產(chǎn)清單，但隨著組織規(guī)模的日益龐大，人工收集已經(jīng)非常不現(xiàn)實(shí)，容易造成新增資產(chǎn)的識(shí)別遺漏、資產(chǎn)變更后的更新不及時(shí)、尤其是分散在部門和個(gè)人處的資產(chǎn)，管理部門無法實(shí)時(shí)監(jiān)控和管理，容易造成資產(chǎn)的評(píng)級(jí)不準(zhǔn)確，從而導(dǎo)致采取的控制措施無效。

這個(gè)識(shí)別過程是很痛苦的，因?yàn)槟悴豢赡苤鹨蛔R(shí)別，只能通過積累形成自動(dòng)化的判別手段，另外每個(gè)業(yè)務(wù)部門對(duì)同一個(gè)信息資產(chǎn)的重要度定義可能也不同。

我們最后通過不斷學(xué)習(xí)補(bǔ)充的規(guī)則庫的方式予以解決，庫建立后，基本上可以處理80%的文件。

2. 就是信息共享與交換。

企業(yè)中，內(nèi)網(wǎng)用戶越來越多地采用共享目錄進(jìn)行資源共享，共享目錄使用不當(dāng)則很容易造成商密信息的泄露；如果開啟讀寫共享，則給病毒傳播開啟了更為方便的大門。但個(gè)人電腦的共享目錄管理員難以控制，單靠安全教育于事無補(bǔ)，安全事件層出不窮。

員工通過電話線撥號(hào)、VPN撥號(hào)、GPRS無線撥號(hào)等方式，繞過防火墻的監(jiān)控直接連接外網(wǎng)，使企業(yè)內(nèi)網(wǎng)的IT資源暴露在外部攻擊者面前，攻擊者或病毒可通過撥號(hào)線路進(jìn)入企業(yè)內(nèi)網(wǎng)；另一方面，內(nèi)部員工可能通過這種不受監(jiān)控的網(wǎng)絡(luò)通道將企業(yè)的商業(yè)機(jī)密泄漏出去，給企業(yè)帶來經(jīng)濟(jì)損失但又難以對(duì)其進(jìn)行法律取證。

除了使用移動(dòng)介質(zhì)來輸出和交流數(shù)據(jù)外，我們還經(jīng)常使用郵件、即時(shí)通訊軟件來進(jìn)行信息的交換，這在一定程度上也會(huì)導(dǎo)致數(shù)據(jù)的泄露。采用何種安全的信息交換方式，是迫切需要解決的問題。

針對(duì)這個(gè)問題，我們?cè)谏堂芗夹g(shù)體系中通過群組這樣的技術(shù)予以解決，這也是充分利用云存儲(chǔ)本身的協(xié)作功能。所謂群組是利用云存儲(chǔ)實(shí)現(xiàn)多人數(shù)據(jù)共享和協(xié)作的一種新的應(yīng)用模式。用戶可根據(jù)組織或者項(xiàng)目的范圍創(chuàng)建群組工作區(qū)，群組內(nèi)不同用戶之間可快速地實(shí)現(xiàn)協(xié)作與共享。

下面這張圖描述了群組協(xié)作解決數(shù)據(jù)交換的一個(gè)場(chǎng)景：



這是針對(duì)企業(yè)在項(xiàng)目過程中產(chǎn)生非結(jié)構(gòu)化文檔交換的一個(gè)典型應(yīng)用，不同職責(zé)的員工協(xié)作一個(gè)項(xiàng)目，處理技術(shù)方案，商務(wù)報(bào)價(jià)，按原有的工作習(xí)慣，都需要通過多封郵件的反復(fù)，才能形成最后的工作成果，這個(gè)反復(fù)的過程就帶來效率的嚴(yán)重下降和商密數(shù)據(jù)的隨意擴(kuò)散。現(xiàn)在把大家放到一個(gè)工作群組（文件夾）下，給予每個(gè)人不同的授權(quán)，任何人的工作成果，其他人同步可以看到，這也是利用了云存儲(chǔ)雙向同步的一個(gè)好處。

3. 就是信息資產(chǎn)的分級(jí)。

企業(yè)內(nèi)的數(shù)據(jù)重要度是不同的，以前沒有技術(shù)手段串聯(lián)的時(shí)候，我們都通過在文檔上做標(biāo)注來進(jìn)行分級(jí)，比如內(nèi)部事項(xiàng)，普通商密等，在技術(shù)體系中怎么來做呢，我們用下面一張圖來表示。



這張圖是關(guān)于信息資產(chǎn)分級(jí)的一個(gè)示例，我們識(shí)別出資產(chǎn)后，還需要確定每個(gè)資產(chǎn)可能的安全防護(hù)手段，以確保不會(huì)出現(xiàn)高密低流的現(xiàn)象，對(duì)于企業(yè)內(nèi)最常規(guī)的一些操作手段均按照密級(jí)予以技術(shù)控制。

4. 就是在終端的層面，我們不再片面強(qiáng)調(diào)終端安全，而是強(qiáng)調(diào)訪問數(shù)據(jù)時(shí)需要安全。

我們都知道，在企業(yè)內(nèi)推終端安全面臨的反彈是很大的，但如果適當(dāng)調(diào)整定位，會(huì)發(fā)現(xiàn)效果完全不一樣，普通使用場(chǎng)景下，我們不對(duì)員工的終端進(jìn)行管控，但員工通過電腦訪問受控?cái)?shù)據(jù)時(shí)候，我們必須識(shí)別他的安全性，這也是一個(gè)比較好的經(jīng)驗(yàn)。

總結(jié)下來，我們提出商密準(zhǔn)入、商密合規(guī)訪問的創(chuàng)新商密保護(hù)思路，確保只有合法的人通過合規(guī)的終端才能創(chuàng)建安全磁盤，并通過安全磁盤與云端存儲(chǔ)進(jìn)行實(shí)時(shí)同步，為用戶提供了全周期、全流程、全層次的數(shù)據(jù)保護(hù)解決方案。

全周期：實(shí)現(xiàn)商業(yè)秘密數(shù)據(jù)從制作、存儲(chǔ)、使用、傳遞到銷毀等全生命周期的閉環(huán)管理，以幫助企業(yè)建立全生命周期的數(shù)據(jù)安全防護(hù)體系。

全流程：從商業(yè)秘密保護(hù)的業(yè)務(wù)角度出發(fā)，實(shí)現(xiàn)了商業(yè)秘密定密、密級(jí)變更、審批、外發(fā)、離線外帶、內(nèi)外部流轉(zhuǎn)等各個(gè)流程的集中管控。

全層次：提供了從前臺(tái)傳統(tǒng)終端、移動(dòng)終端到后端數(shù)據(jù)存儲(chǔ)的多重保護(hù)措施。在用戶終端層面，提供安全準(zhǔn)入、健康體檢、虛擬磁盤、驅(qū)動(dòng)層的透明加密、離線訪問、外發(fā)控制等功能，有效防范客戶端面臨的安全威脅；在后端存儲(chǔ)層面，采用了云存儲(chǔ)技術(shù)，實(shí)現(xiàn)了數(shù)據(jù)的集中存儲(chǔ)，通過高強(qiáng)度的加密、多重冗余、碎片化存儲(chǔ)等多種技術(shù)，確保服務(wù)端的數(shù)據(jù)安全。

因?yàn)槠髽I(yè)內(nèi)已經(jīng)上線的應(yīng)用系統(tǒng)很多，每套系統(tǒng)基本都是獨(dú)立閉環(huán)運(yùn)行的，比如oa，財(cái)務(wù)，hr等等，這些系統(tǒng)本身數(shù)據(jù)既不互通，系統(tǒng)中涉及到的數(shù)據(jù)安全也難以防護(hù)，僅僅只能依賴應(yīng)用本身的權(quán)限系統(tǒng)。

我們后來想了一個(gè)辦法，把應(yīng)用系統(tǒng)后端的存儲(chǔ)數(shù)據(jù)對(duì)接到云存儲(chǔ)系統(tǒng)當(dāng)中，前端用戶界面不做任何改動(dòng)，盡量不改變用戶的使用習(xí)慣，這樣確保用戶可以無縫地使用起來。

這樣形成了一個(gè)比較明確的思路，就是應(yīng)用系統(tǒng)的權(quán)限管理和云存儲(chǔ)商密系統(tǒng)的安全管理相結(jié)合，舉個(gè)例子，以前我們使用oa，只要有權(quán)限我們就可以隨意下載oa上的文件到本地，現(xiàn)在不行了，你有oa的權(quán)限，可以看到文件，但這個(gè)文件實(shí)際上是云存儲(chǔ)讓你看到的在線的部分，你不能隨意下載，你要下載也只能下載到系統(tǒng)受控的部分，這個(gè)部分不允許隨意的外發(fā)。

這樣做的好處很明顯，不增加員工的學(xué)習(xí)負(fù)擔(dān)，另外把商密保護(hù)落在業(yè)務(wù)過程當(dāng)中，并不會(huì)給員工造成太多困擾，所以推行起來非常順暢。

最后再總結(jié)一點(diǎn)，這套系統(tǒng)建立后，逐步可以形成企業(yè)的匯集中心，現(xiàn)有的應(yīng)用系統(tǒng)，新增加的應(yīng)用系統(tǒng)，所有涉密的數(shù)據(jù)通過統(tǒng)一的原則進(jìn)行匯集、管理，最終做到商密的可控、可管、可用。


Q&Ａ
1

Q：就如我們之前嘉賓所分享的，傳統(tǒng)企業(yè)信息安全的意識(shí)相對(duì)較弱，你們當(dāng)初在寶鋼做這些事情，在推廣意識(shí)方面有做什么嗎？寶鋼其實(shí)也是大型傳統(tǒng)企業(yè)。
賈大智：對(duì)的，您說的很對(duì)，這也是我們當(dāng)初遇到的大問題，很多泄密都是員工無意識(shí)的，所以我們開始也試圖通過安全教育、定期培訓(xùn)等方式來解決，后來發(fā)現(xiàn)這只是一方面，因?yàn)檫@個(gè)過程很長，但企業(yè)沒有這么長時(shí)間來等待。或者通過強(qiáng)制，比如上很多設(shè)備、措施，但這很容易引起反彈，所以后來我們提出安全要隱于無形，但關(guān)鍵時(shí)候要能出現(xiàn)。

２
Q：安全要隱于無形，但關(guān)鍵時(shí)候要能出現(xiàn)。怎么做的？
賈大智：這也是我們后來如上面分享所選型的原因，一個(gè)重要的不同點(diǎn)是，把安全植入業(yè)務(wù)，而不是隔離在業(yè)務(wù)之外，就如最后舉的例子，其實(shí)你不去下載，你會(huì)發(fā)現(xiàn)一切照舊，你的業(yè)務(wù)不受影響，但你要下載，對(duì)不起，這個(gè)地方有個(gè)要求，這個(gè)是業(yè)務(wù)的要求。
我們傳統(tǒng)的安全，比如桌面安全，就是要求你什么都不要做，現(xiàn)在我們是希望引導(dǎo)你怎么來做。
所以很重要的就是一點(diǎn)，企業(yè)內(nèi)部的安全不能脫離業(yè)務(wù)而單獨(dú)存在，不能為信息化服務(wù)，而是為業(yè)務(wù)服務(wù)。

３
Q：怎么考核保密工作已經(jīng)達(dá)標(biāo)了？
賈大智：我們是這樣考核的，定期會(huì)從管理層面拉出每個(gè)業(yè)務(wù)單元的商密定級(jí)情況和使用統(tǒng)計(jì)，會(huì)對(duì)異常的數(shù)據(jù)進(jìn)行人工分析并要求相關(guān)部門給出解釋。這也算是管理手段的跟進(jìn)吧。