【51CTO.com 綜合消息】企業(yè)核心數(shù)據(jù)是企業(yè)的命脈。通過(guò)建立完善的信息安全系統(tǒng)，保護(hù)企業(yè)核心數(shù)據(jù)尤其是企業(yè)商業(yè)機(jī)密，防止從企業(yè)內(nèi)部泄密，已經(jīng)成為當(dāng)前眾多企業(yè)的共識(shí)。企業(yè)從信息系統(tǒng)的安全性、穩(wěn)定性和可靠性等方面為基點(diǎn)，以數(shù)據(jù)安全為目標(biāo)，紛紛構(gòu)建企業(yè)數(shù)據(jù)泄露防護(hù)體系。要想建立完善的數(shù)據(jù)泄露防護(hù)體系，必須遵循科學(xué)嚴(yán)謹(jǐn)?shù)男畔踩芾眢w系。

當(dāng)前，BS7799體系（或ISO/ICE17799體系）是全球普遍采用的信息安全系統(tǒng)建設(shè)標(biāo)準(zhǔn)。這套體系能保證企業(yè)信息（包括： 專(zhuān)利 商業(yè)檔案、 文件、 標(biāo)準(zhǔn)、 專(zhuān)有技術(shù) 、客戶資料、 統(tǒng)計(jì)數(shù)據(jù)、 圖樣 、配方、 報(bào)價(jià)、 規(guī)章制度 、財(cái)務(wù)數(shù)據(jù) 、工藝 計(jì)劃 、資源配置、 管理體系等）的安全風(fēng)險(xiǎn)降低到可接受的最低水平，防止可能由于人 員的原因（疏忽、跳槽、破壞）、競(jìng)爭(zhēng)對(duì)手原因（商業(yè)間諜、收買(mǎi)、盜竊、網(wǎng)絡(luò)攻擊）和自然災(zāi)害（火災(zāi)、水災(zāi)、地震）等 原因，被毀滅、消失、損壞、盜竊、貶值、轉(zhuǎn)移，給企業(yè)帶來(lái)致命的打擊。

億賽通數(shù)據(jù)泄露防護(hù)（DLP）體系，是中國(guó)第一套完全基于BS7799制定的數(shù)據(jù)安全保護(hù)體系。以下將以中集集團(tuán)數(shù)據(jù)泄露防護(hù)（DLP）工程為例，介紹數(shù)據(jù)安全政策的制定。

一、項(xiàng)目背景

中國(guó)國(guó)際海運(yùn)集裝箱（集團(tuán)）股份有限公司（簡(jiǎn)稱：中集集團(tuán)），是一家為全球市場(chǎng)提供“現(xiàn)代化交通運(yùn)輸裝備和服務(wù)”的企業(yè)集團(tuán)，主要經(jīng)營(yíng)集裝箱、道路運(yùn)輸車(chē)輛、能源、化工及食品裝備、海洋工程、機(jī)場(chǎng)設(shè)備等裝備的制造和服務(wù)。目前，中集集團(tuán)總資產(chǎn)345.58億、凈資產(chǎn)134.17億元，2008年銷(xiāo)售額473.27億元，凈利潤(rùn)14.07億元。在中國(guó)以及北美、歐洲、亞洲、澳洲等國(guó)家和地區(qū)擁有100余家全資及控股子公司，員工近五萬(wàn)人，初步形成跨國(guó)公司運(yùn)營(yíng)格局。

中集集團(tuán)于1980年1月創(chuàng)立于深圳，1994年在深圳證券交易所上市，目前主要股東為中遠(yuǎn)集團(tuán)和招商局集團(tuán)。經(jīng)過(guò)二十多年的發(fā)展，中集集團(tuán)已經(jīng)成為根植于中國(guó)本土的全球交通運(yùn)輸裝備制造與服務(wù)業(yè)的領(lǐng)先企業(yè)。2008年，中集集團(tuán)被列為“2008最具全球競(jìng)爭(zhēng)力中國(guó)公司”第49位，“中國(guó)國(guó)有上市企業(yè)社會(huì)責(zé)任榜”第39位，中國(guó)500最具價(jià)值品牌第40位；2007年9月“CIMC中集”牌集裝箱被國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局評(píng)選為“中國(guó)世界名牌”產(chǎn)品稱號(hào)，“中集”商標(biāo)被國(guó)家工商總局正式認(rèn)定為中國(guó)馳名商標(biāo)。

中集集團(tuán)的發(fā)展目標(biāo)是：到2012年，銷(xiāo)售額達(dá)到1000億元人民幣，凈利潤(rùn)50億元人民幣，成為所進(jìn)入行業(yè)的世界級(jí)企業(yè)。      

二、中集集團(tuán)數(shù)據(jù)泄露防護(hù)（DLP）政策的制定過(guò)程

按照BS7799（或ISO/ICE17799）體系，要建立企業(yè)信息安全體系，首先要確立信息安全政策。那什么是信息安全政策呢？從本質(zhì)上來(lái)說(shuō)，信息安全政策是描述企業(yè)具有哪些重要信息資產(chǎn)，并說(shuō)明這些信息資產(chǎn)如何被保護(hù)的一個(gè)計(jì)劃，其目的就是對(duì)企業(yè)中成員闡明如何使用信息系統(tǒng)資源，如何處理敏感信息，如何采用安全技術(shù)產(chǎn)品，用戶在使用信息時(shí)應(yīng)當(dāng)承擔(dān)什么樣的責(zé)任，詳細(xì)描述對(duì)員工的安全意識(shí)與技能要求，列出被組織禁止的行為。

BS7799明確提出：管理層應(yīng)當(dāng)提出一套清晰的政策來(lái)指導(dǎo)信息安全實(shí)踐，并且通過(guò)在組織內(nèi)發(fā)布和維護(hù)信息安全政策來(lái)表明對(duì)信息安全的支持和承諾。億賽通根據(jù)這一原則，按照以下步驟來(lái)制定中集集團(tuán)數(shù)據(jù)泄露防護(hù)體系：

1、理解中集集團(tuán)的企業(yè)文化和業(yè)務(wù)特征

中集集團(tuán)在中國(guó)以及北美、歐洲、亞洲、澳洲等國(guó)家和地區(qū)擁有100余家全資及控股子公司，員工近五萬(wàn)人，這是一個(gè)規(guī)模龐大的企業(yè)機(jī)構(gòu)，企業(yè)內(nèi)部人員不僅是管理層和普通員工，還有不同文化、民族和種族的人群。企業(yè)使用數(shù)據(jù)泄露防護(hù)體系，必須要考慮總公司與分公司，分公司與辦事處，管理層和普通員工等等復(fù)雜關(guān)系。不僅如此，總公司與分公司之間、分公司與辦事處之間，并發(fā)各種類(lèi)型的業(yè)務(wù)往來(lái)，涵蓋不同類(lèi)型的保密等級(jí)需求，對(duì)不同類(lèi)型的文件類(lèi)型進(jìn)行加密等等。億賽通經(jīng)過(guò)與中集集團(tuán)的有效溝通，充分了解中集集團(tuán)企業(yè)文化和業(yè)務(wù)特征，這是設(shè)計(jì)數(shù)據(jù)安全政策的前提。

2、得到管理層的明確支持與承諾

要制定一個(gè)好的數(shù)據(jù)信息安全政策，必須與決策層進(jìn)行有效溝通，并得到企業(yè)高層領(lǐng)導(dǎo)的支持與承諾。這有三個(gè)作用，一是制定的信息安全政策與企業(yè)的業(yè)務(wù)目標(biāo)一致；二是制定的安全方針政策、控制措施可以在企業(yè)的上上下下得到有效的貫徹；三是可以得到有效的資源保證。億賽通經(jīng)過(guò)數(shù)月努力，與中集集團(tuán)保持好良好的實(shí)時(shí)交流，得到領(lǐng)導(dǎo)層的充分信任和支持，這是中集集團(tuán)數(shù)據(jù)泄露防護(hù)體系得以順利實(shí)施的保證。

3、組建一個(gè)安全政策制定小組

億賽通與中集集團(tuán)通力合作，建立了以億賽通團(tuán)隊(duì)和中集集團(tuán)相關(guān)人士的數(shù)據(jù)安全政策制定小組。安全政策制定小組由億賽通團(tuán)隊(duì)（包括技術(shù)團(tuán)隊(duì)及項(xiàng)目咨詢成員）和中集集團(tuán)團(tuán)隊(duì)（包括高級(jí)管理人員、文檔保密員、IT部門(mén)負(fù)責(zé)人、律師、中集集團(tuán)用戶部門(mén)的人員）組成。

4、確定信息安全整體目標(biāo)經(jīng)過(guò)調(diào)研，確定中集集團(tuán)的數(shù)據(jù)安全整體目標(biāo)是：

確保電子文檔在企業(yè)內(nèi)部和授權(quán)部門(mén)內(nèi)部，可以安全共享；在對(duì)外合作時(shí)能確保機(jī)密文件不被二次擴(kuò)散；在保證數(shù)據(jù)安全的同時(shí)，還要保證業(yè)務(wù)持續(xù)性，并最小化業(yè)務(wù)損失，為企業(yè)實(shí)現(xiàn)業(yè)務(wù)目標(biāo)提供保障。

5、確定信息管理體系的范圍

中集集團(tuán)公司所有部門(mén)都參與此次數(shù)據(jù)安全項(xiàng)目，根據(jù)中集集團(tuán)各個(gè)分部職能、工作內(nèi)容、文件類(lèi)型、文件保密等級(jí)要求的不同，將億賽通文檔安全管理動(dòng)態(tài)加解密和權(quán)限管理兩個(gè)模塊靈活搭配使用，即保障了核心電子信息的安全也實(shí)現(xiàn)了文檔的安全流轉(zhuǎn)。

6、風(fēng)險(xiǎn)評(píng)估與選擇數(shù)據(jù)安全控制

數(shù)據(jù)安全政策制定小組經(jīng)過(guò)對(duì)中集集團(tuán)的數(shù)據(jù)信息安全管理現(xiàn)狀調(diào)查，并采用風(fēng)險(xiǎn)評(píng)估工作是建立具體的信息安全策略的基礎(chǔ)與關(guān)鍵，在安全體系建立的整個(gè)過(guò)程中，風(fēng)險(xiǎn)評(píng)估工作占了很大的比例，風(fēng)險(xiǎn)評(píng)估的工作質(zhì)量直接影響安全控制的合理選擇和安全策略的完備制定。

7、起草擬訂數(shù)據(jù)安全政策

按照BS7799體系，億賽通按照PDCA的持續(xù)改進(jìn)的管理模式，通過(guò)風(fēng)險(xiǎn)評(píng)估來(lái)了解安全需求，然后根據(jù)需求設(shè)計(jì)解決方案；在實(shí)施（Do）階段將解決方案付諸實(shí)現(xiàn)；解決方案是否有效？是否有新的變化？應(yīng)該在檢查（Check）階段予以監(jiān)視和審查；一旦發(fā)現(xiàn)問(wèn)題，需要在措施（Act）階段予以解決，以便改進(jìn)ISMS。 

圖1  BS7799的PDCA模型

8、評(píng)估數(shù)據(jù)安全政策

中集集團(tuán)數(shù)據(jù)泄露防護(hù)體系被制訂出來(lái)后，雙方聯(lián)合召開(kāi)了專(zhuān)家評(píng)審會(huì)，對(duì)該體系進(jìn)行評(píng)估，并進(jìn)行了測(cè)試，以評(píng)審體系的完備性、易用性，最終確定，改體系安全政策能完全達(dá)到企業(yè)所需的安全目標(biāo)。

9、數(shù)據(jù)安全政策的實(shí)施

在數(shù)據(jù)安全政策通過(guò)測(cè)試評(píng)估后，中集集團(tuán)管理層正式批準(zhǔn)實(shí)施，編制了成中集集團(tuán)數(shù)據(jù)信息安全政策手冊(cè)，發(fā)布到企業(yè)中的每個(gè)員工與相關(guān)利益方，明確安全責(zé)任與義務(wù)。

10、政策的持續(xù)改進(jìn)

在中集集團(tuán)數(shù)據(jù)泄露防護(hù)（DLP）實(shí)施后，億賽通與中集集團(tuán)公司建立了“售后保障服務(wù)體系”，其中包含了對(duì)數(shù)據(jù)安全政策的定期評(píng)審，并進(jìn)行持續(xù)改進(jìn)。

三、中集集團(tuán)數(shù)據(jù)泄露防護(hù)（DLP）政策的內(nèi)容　　

中集集團(tuán)數(shù)據(jù)安全政策通過(guò)基本的規(guī)則、指南、定義，以及億賽通完善的數(shù)據(jù)泄露防護(hù)（DLP）解決方案，建立了一套數(shù)據(jù)資源保護(hù)標(biāo)準(zhǔn)，防止員工的不安全行為引入風(fēng)險(xiǎn)。信息安全政策是進(jìn)一步制定控制規(guī)則、安全程序的必要基礎(chǔ)。建立了數(shù)據(jù)安全政策，就設(shè)置了企業(yè)的數(shù)據(jù)安全基礎(chǔ)，可以使員工了解與自己相關(guān)的數(shù)據(jù)安全保護(hù)責(zé)任，強(qiáng)調(diào)數(shù)據(jù)系統(tǒng)安全對(duì)企業(yè)業(yè)務(wù)目標(biāo)的實(shí)現(xiàn)、業(yè)務(wù)活動(dòng)持續(xù)運(yùn)營(yíng)的重要性?！　?/P>

數(shù)據(jù)安全策略的主要功能就是要建立一套安全需求、控制措施及執(zhí)行程序，定義安全角色賦予管理職責(zé)，陳述組織的安全目標(biāo)，為安全措施在組織的強(qiáng)制執(zhí)行建立相關(guān)輿論與規(guī)則的基礎(chǔ)。中集集團(tuán)數(shù)據(jù)泄露防護(hù)策略的內(nèi)容包括：　　

1、目標(biāo)：中集集團(tuán)數(shù)據(jù)泄露防護(hù)體系要對(duì)所有員工強(qiáng)調(diào)“信息安全，人人有責(zé)”的原則，使員工了解自己的安全責(zé)任與義務(wù)。從技術(shù)實(shí)現(xiàn)的角度，要對(duì)數(shù)據(jù)進(jìn)行實(shí)時(shí)加密、權(quán)限控制、身份認(rèn)證、日志審計(jì)、筆記本磁盤(pán)全盤(pán)加密、文件外發(fā)管理、系統(tǒng)容災(zāi)等全方位進(jìn)行保護(hù)?！　?/P>

2、范圍：中集集團(tuán)數(shù)據(jù)泄露防護(hù)體系包含足夠的范圍廣度。數(shù)據(jù)類(lèi)型包括員工持股會(huì)文件、董事長(zhǎng)來(lái)往文件、法務(wù)文件、公司體系文件、銷(xiāo)售合同評(píng)審文件、綜合合同評(píng)審文件、檔案文件電子版、行政文件等所有電子類(lèi)文件；

3、策略內(nèi)容：根據(jù)BSS7799中定義，對(duì)數(shù)據(jù)安全策略的描述應(yīng)該集中在三個(gè)方面：機(jī)密性、完整性和可用性。這三種特性是組織建立信息安全策略的出發(fā)點(diǎn)。機(jī)密性是指信息只能由授權(quán)用戶訪問(wèn)，其他非授權(quán)用戶、或非授權(quán)方式不能訪問(wèn)。完整性就是保證信息必須是完整無(wú)缺的，信息不能被丟失、損壞，只能在授權(quán)方式下修改?？捎眯允侵甘跈?quán)用戶在任何時(shí)候都可以訪問(wèn)其需要的信息，信息系統(tǒng)在各種意外事故、有意破壞的安全事件中能保持正常運(yùn)行。億賽通數(shù)據(jù)泄露防護(hù)（DLP）解決方案完全滿足以上三個(gè)方面特性。

在中集集團(tuán)內(nèi)部，，給員工明確描述與這些特性相關(guān)的信息安全要求，信息安全策略以員工熟悉的活動(dòng)、信息、術(shù)語(yǔ)等方式來(lái)反映安全目標(biāo)。例如，在研發(fā)部門(mén)，采用動(dòng)態(tài)加解密系統(tǒng)，對(duì)所有文件進(jìn)行實(shí)時(shí)加密，包括了文檔的制作、保存、流轉(zhuǎn)、存儲(chǔ)全過(guò)程。另外，還采用權(quán)限控制等手段，對(duì)文檔的只讀、打印等進(jìn)行權(quán)限控制。而在研發(fā)部門(mén)之外，主要采用權(quán)限管理系統(tǒng)、文件外發(fā)管理系統(tǒng)等，對(duì)財(cái)務(wù)、法務(wù)、管理文件等進(jìn)行授權(quán)、再授權(quán)的控制。

4、角色責(zé)任：數(shù)據(jù)安全策略除了要建立安全程序及程序管理職責(zé)外，還需要在組織中定義各種角色并分配責(zé)任，明確要求。億賽通數(shù)據(jù)泄露解決方案明確規(guī)定文檔管理權(quán)、系統(tǒng)管理權(quán)、日志審計(jì)權(quán)“三權(quán)分立”。在這種分權(quán)管理制度中， 能有效確保文檔、系統(tǒng)和日志的分別管理和控制，完全滿足對(duì)不同角色的責(zé)任分配和制衡。　　　　

5、執(zhí)行紀(jì)律：億賽通數(shù)據(jù)泄露解決方案并不直接制定違反數(shù)據(jù)安全法規(guī)，而是通過(guò)日志審計(jì)手段，對(duì)所有文件的訪問(wèn)控制全程記錄，為追查文件流轉(zhuǎn)路徑提供有效保證，從而使泄密無(wú)所遁形?！　?/P>

6、專(zhuān)業(yè)術(shù)語(yǔ)： 億賽通數(shù)據(jù)泄露防護(hù)（DLP）體系，采用標(biāo)準(zhǔn)文檔管理方式，對(duì)所有涉及到數(shù)據(jù)泄露防護(hù)的專(zhuān)業(yè)術(shù)語(yǔ)進(jìn)行嚴(yán)謹(jǐn)解釋?zhuān)苊猱a(chǎn)生歧義。

7、版本歷史：對(duì)策略版本在各個(gè)階段的修訂情況作出說(shuō)明

四、總結(jié)　　

采用科學(xué)的信息安全管理體系，是建立數(shù)據(jù)泄露防護(hù)體系的理論依據(jù)和制度保障。億賽通自2002年以來(lái)，已經(jīng)成功為外交部、解放軍二炮、酒泉衛(wèi)星發(fā)射中心、中國(guó)移動(dòng)集團(tuán)、正泰集團(tuán)、比亞迪股份、國(guó)人通信、宇龍通信等大型集團(tuán)建立數(shù)據(jù)泄露防護(hù)（DLP）體系。億賽通項(xiàng)目管理的科學(xué)性，再加上技術(shù)的先進(jìn)性、產(chǎn)品的穩(wěn)定、安全性，才成就了億賽通，成為中國(guó)數(shù)據(jù)泄露防護(hù)領(lǐng)域的第一品牌。