據(jù)CSI和FBI每年的聯(lián)合調(diào)查報(bào)告顯示：近幾年信息安全事件造成的損失當(dāng)中，30%～40%是由電子文件的泄漏造成的。而在《財(cái)富》雜志排名前1000位的公司每年因電子文件泄漏造成的損失總值高達(dá)500多億美元，該數(shù)值增速呈逐年加快之勢。

這則數(shù)據(jù)已經(jīng)清楚無誤的表明，在企業(yè)快速發(fā)展的今天，隨著企業(yè)信息化應(yīng)用的深入，電子文件泄密給企業(yè)帶來的損失已經(jīng)呈逐年加速之勢，如何保護(hù)企業(yè)的核心資產(chǎn)成為了當(dāng)務(wù)之急。本篇文章將就如何保住企業(yè)的核心資產(chǎn)展開討論，具體分為四大部分：安全評(píng)估、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)治理、價(jià)值體現(xiàn)。

一、企業(yè)信息保密狀態(tài)安全評(píng)估

要清楚認(rèn)識(shí)到企業(yè)自身的數(shù)據(jù)安全現(xiàn)狀,就必須有一套清晰的評(píng)估方法。這里可以提供三點(diǎn)評(píng)估方法供各位參考。

1. 數(shù)據(jù)保密意識(shí)是否具備？

2. 數(shù)據(jù)保密措施是否缺乏？

3. 數(shù)據(jù)保密制度是否健全？

在我們看來，評(píng)估一家企業(yè)的數(shù)據(jù)安全現(xiàn)狀，必須以人為本。企業(yè)領(lǐng)導(dǎo)是否有數(shù)據(jù)保密意識(shí)？員工是否能遵守保密制度？這都是關(guān)鍵。企業(yè)領(lǐng)導(dǎo)和員工具備良好的保密意識(shí)，輔之健全措施和制度，能大大提升企業(yè)核心資產(chǎn)的信息安全。當(dāng)然，這與企業(yè)的信息化程度以及數(shù)據(jù)是否以電子文檔形式存在也有很大關(guān)系。

圖１企業(yè)數(shù)據(jù)安全現(xiàn)狀評(píng)估

目前，國內(nèi)外的信息安全管理標(biāo)準(zhǔn)的核心要點(diǎn)都是圍繞技術(shù)和制度展開說明的。以BMB-17為例，技術(shù)方面主要從物理安全、網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)安全、應(yīng)用安全和數(shù)據(jù)安全等五個(gè)方面來評(píng)估企業(yè)的安全現(xiàn)狀，其中應(yīng)用安全和數(shù)據(jù)安全是其所強(qiáng)調(diào)的核心部分，也是評(píng)估企業(yè)保密工作情況的重要參考點(diǎn)。制度上，包括機(jī)房管理制度、計(jì)算機(jī)使用制度、人員管理制度、信息資產(chǎn)安全管理制等各方面的安全制度，都是企業(yè)需要考慮的。從我走訪的一些大型制造業(yè)來看，企業(yè)管理層對(duì)如何平衡技術(shù)和管理制度方面往往不知所措。這里可以給在座各位提個(gè)建議，即從生產(chǎn)經(jīng)營的各個(gè)角度和途徑尋找薄弱點(diǎn)，然后給予技術(shù)和制度上的改進(jìn)。

二、企業(yè)信息保密風(fēng)險(xiǎn)分析

企業(yè)數(shù)據(jù)泄密風(fēng)險(xiǎn)主要分為兩個(gè)方面：主動(dòng)泄密和被動(dòng)泄密。從相關(guān)統(tǒng)計(jì)數(shù)據(jù)觀察，主動(dòng)泄密占據(jù)高達(dá)80%，被動(dòng)泄密為20%。本文開頭已引述了一則因數(shù)據(jù)泄密給企業(yè)帶來的經(jīng)濟(jì)損失數(shù)據(jù)。這里我再提及一個(gè)案例。不久前去臺(tái)州，曾經(jīng)的亞洲最大的縫紉機(jī)廠倒閉的原因就是因?yàn)樯a(chǎn)數(shù)據(jù)沒有保護(hù)好，內(nèi)部相關(guān)人員能輕易的將核心資料拿到市場低價(jià)出售，這些核心資料一旦落到競爭者手中，其后果將是致命的。因此，保證企業(yè)的核心資料不被泄露是保證企業(yè)能否在競爭激烈市場的立足之本。

圖2 企業(yè)數(shù)據(jù)泄密途徑

對(duì)于數(shù)據(jù)泄密途徑，我們歸納出了七點(diǎn)，包括移動(dòng)終端遺失、跨部門或跨計(jì)算機(jī)的數(shù)據(jù)轉(zhuǎn)移以及外來計(jì)算機(jī)非法入侵、存儲(chǔ)介質(zhì)隨意使用、網(wǎng)絡(luò)外發(fā)程序(Mail\QQ\MSN\...)、打印以及CD刻錄、數(shù)據(jù)非法二次轉(zhuǎn)播、PDA等移動(dòng)辦公終端對(duì)于辦公系統(tǒng)的接入。

以上提到的每一個(gè)環(huán)節(jié)都不可忽視。對(duì)于制造企業(yè)，客戶信息、交易數(shù)據(jù)、研發(fā)數(shù)據(jù)都是企業(yè)的核心資產(chǎn)，必須封堵有可能導(dǎo)致這些數(shù)據(jù)泄密的途徑。對(duì)于上市的制造企業(yè)，還必須防止各種負(fù)面消息的出現(xiàn)，避免對(duì)股市產(chǎn)生不良影響。#p#

三、企業(yè)信息保密風(fēng)險(xiǎn)治理

面對(duì)前面提到的種種風(fēng)險(xiǎn)，企業(yè)該如何避開這些風(fēng)險(xiǎn)？將企業(yè)面臨的數(shù)據(jù)泄露風(fēng)險(xiǎn)降到最低？這就是涉及到對(duì)風(fēng)險(xiǎn)的管控和治理。

要做好企業(yè)風(fēng)險(xiǎn)治理，首先必須明確目標(biāo)，這個(gè)目標(biāo)就是將企業(yè)信息泄露風(fēng)險(xiǎn)降到可接受水平。之所以這樣講，是因?yàn)楸ＷC信息的絕對(duì)安全是不存在的，索尼PSN泄密事件可能已經(jīng)讓在座各位深刻的認(rèn)識(shí)到這一點(diǎn)。其次，就是要分析企業(yè)信息安全盲點(diǎn)，包括技術(shù)上和制度上的，然后逐一消除這些盲點(diǎn)。

那么如何將企業(yè)的信息泄露風(fēng)險(xiǎn)降低到可接受水平，并消除企業(yè)可能存在的信息安全管控盲點(diǎn)？明朝萬達(dá)的專業(yè)解決方案如圖3所示。

圖3 企業(yè)信息不同層級(jí)保密解決方案

第一層是基于終端的數(shù)據(jù)保密，即所有網(wǎng)內(nèi)的計(jì)算機(jī)都是企業(yè)需要保護(hù)的目標(biāo)。終端保密是明朝萬達(dá)信息保密解決方案中的核心，其中包括身份認(rèn)證管理、移動(dòng)存儲(chǔ)管理、本地硬盤加密、網(wǎng)絡(luò)傳輸控制、外部設(shè)備控制、敏感數(shù)據(jù)過濾六個(gè)方面，如圖4所示。

圖4 終端保密解決方案#p#

明朝萬達(dá)的終端保密產(chǎn)品能通過場景設(shè)定與應(yīng)用，實(shí)現(xiàn)工作模式和個(gè)人模式的切換。在個(gè)人模式下，員工只能訪問非工作資源區(qū)，員工可以隨意下載、訪問互聯(lián)網(wǎng)，但無法訪問企業(yè)關(guān)鍵數(shù)據(jù)。只有將模式切換到工作模式，接受系統(tǒng)監(jiān)控才能訪問工作資源區(qū)，從而平衡了員工對(duì)外網(wǎng)的訪問需求。

圖5 個(gè)人/工作模式切換

第二層是應(yīng)用保密，應(yīng)用保密需要結(jié)合企業(yè)的實(shí)際應(yīng)用情況來打造專門的解決方案。圖５是明朝萬達(dá)提供的專用于PDM應(yīng)用保密解決方案。允許員工將辦公文檔存儲(chǔ)在指定的路徑下，只有當(dāng)計(jì)算機(jī)處于"工作模式"時(shí)才能訪問該路徑。屆時(shí)，計(jì)算機(jī)處于嚴(yán)格的受控狀態(tài)，只留有辦公權(quán)限，嚴(yán)控各類數(shù)據(jù)外帶途徑與行為。

圖6應(yīng)用保密解決方案

圖６提供的是針對(duì)OA等大型化、分布式的業(yè)務(wù)系統(tǒng)的數(shù)據(jù)安全加固方案。明朝萬達(dá)提供的解決方案是部署一個(gè)權(quán)限運(yùn)維管理服務(wù)器。對(duì)于不同的員工可以賦予對(duì)下載文件的不同權(quán)限，包括復(fù)制、拷貝、截屏、導(dǎo)出等。通過這種方式。這種防護(hù)力度，只有在員工訪問涉密應(yīng)用(如訪問OA時(shí))時(shí)會(huì)體現(xiàn)出來，其它場景不受任何約束。籍此，企業(yè)可以將信息泄密的可能性降到最低，但服務(wù)器端仍保證完全的明文式存儲(chǔ)，有效降低產(chǎn)品上下線風(fēng)險(xiǎn)。

第三層是移動(dòng)保密，這是針對(duì)移動(dòng)終端保密的解決方案。隨著移動(dòng)終端越來越多的被應(yīng)用于企業(yè)的業(yè)務(wù)系統(tǒng)，基于移動(dòng)終端的數(shù)據(jù)保密將變得非常重要，涵蓋接入安全、數(shù)據(jù)傳輸保密等方面。

圖7 移動(dòng)安全接入解決方案

圖7為明朝萬達(dá)針對(duì)移動(dòng)終端接入的解決方案,該解決方案的關(guān)鍵設(shè)備是Chinasec移動(dòng)安全接入網(wǎng)關(guān)，這是明朝萬達(dá)專門開發(fā)的針對(duì)移動(dòng)終端接入的網(wǎng)關(guān)產(chǎn)品。企業(yè)只需將該網(wǎng)關(guān)產(chǎn)品部署到服務(wù)器前端，只有通過授權(quán)的終端才能通過網(wǎng)關(guān)接入到企業(yè)業(yè)務(wù)系統(tǒng)，根據(jù)接入終端的不同，授權(quán)方式可以是數(shù)字證書、也可以是SD/TF加密卡或USBkey。

四、信息保密的價(jià)值體現(xiàn)

中國制造業(yè)發(fā)展到今天，行業(yè)正處于由"制造"向"創(chuàng)造"的轉(zhuǎn)型，除部分高端領(lǐng)域外，行業(yè)同質(zhì)化競爭非常嚴(yán)重，模仿加改良等于創(chuàng)新的情況很多，，這是目前中國制造業(yè)所處的現(xiàn)狀。在這樣一種行業(yè)發(fā)展大環(huán)境下，企業(yè)更應(yīng)該重視對(duì)核心資產(chǎn)的保護(hù)，把企業(yè)智慧的結(jié)晶很好的保護(hù)起來，防止信息泄密或被復(fù)制。

圖8 制造業(yè)發(fā)展現(xiàn)狀

在制造業(yè)，目前明朝萬達(dá)擁有著非常龐大的客戶群，在我們的客戶中有499家是制造企業(yè)，占總客戶的54%，行業(yè)涉及電子電器、機(jī)械制造、汽車制造、軌道交通等。一汽集團(tuán)、奇瑞汽車、三一重工、長虹電器、上海電氣等大型企業(yè)集團(tuán)都成功應(yīng)用了明朝萬達(dá)為用他們量身訂制的數(shù)據(jù)安全解決方案。