方案概述
隨著中央企業全面推進信息化建設,業務依賴信息系統的程度大幅增強,特別是企業的基礎信息網絡和重要信息系統已經成為支撐企業業務發展、提高企業核心競爭力的重要載體和主要手段。伴隨隨著新技術、新模式在中央企業的廣泛應用和發展,央企商密信息的獲取、存儲、傳輸和處理等發生了新的變化,也增加了新形勢下的信息安全威脅,目前的安全威脅也正向多元化、復雜化方向發展,進而加強了商密信息安全防護的難度,同時也對信息安全風險管理工作提出更高的要求。面對日趨激烈的競爭環境,近年來如何保護商密數據資產在央企經營中的安全保護,已經成為不少央企的重點關注點。
需求分析
在當前面臨日趨激勵的商業競爭環境下,業務不斷變化及創新,監管要求也日益加強,依據國資委頒布的《中央企業商業秘密保護暫行規定》(國資發[2010]41號)其中依法確定中央企業商業秘密的保護范圍,建立健全信息安全保障機制,完善信息安全運行,以確保重要商密數據安全和商密信息系統穩定運行。同時針對數據安全防護,也必須面對內控、等級保護和分級保護中的數據保護合規監管要求:
近年來央企對信息安全的投入力度不斷加強,但針對商密數據的保護手段大多為其他技術層面的安全管理控制,數據本身還是以明文方式存在,鑒于目前復雜的業務應用場景和無處不在的數據,傳統的以封堵終端和外部處理設備的安全保護方式已經無法滿足商密數據的保護要求。在商密數據的使用、傳輸、保管的過程中仍然存在較多安全隱患。要想在經營過程中可持續性發展,就必須面對和解決以下問題:
1.商密數據明文傳輸、存儲、使用中的風險如何應對?
2. 如何實現商密數據的密級標識、定密、密級變更及有效期的管理?
3. 員工企業終端和移動終端辦公敏感數據如何防止泄密和失密?
4. 如何防止企業內部人員有意或無意泄漏重要敏感數據?
5. 內部重要應用系統內關鍵敏感數據資產如何集中防泄密?
6. 商密數據保護如何從被動防御到主動管理?
7. 央企如何貫徹核心商密和普通商密數據的統一安全防護策略?
8. 如何有效的解決面對來自不同監管機構的數據安全防護要求?
9. 商密數據保護和央企信息安全管理體系如何才能有效結合落地?
解決方案
央企商密數據安全保護體系以數據安全為核心,以商密數據的安全技術管控保障為落實關鍵,結合企業業務發展規劃及商密條例與等保合規要求,構建完善的央企商密數據安全保護體系。通過前沿信安商密數據保護解決方案,總體實現效果如下:
1.終端數據保護
● 遵循商密保護條例及等保要求,針對不同密級的商密涉密文檔的安全存儲,在涉密文檔標密、定密及密級變更等方面進行控制管理;
● 對關鍵商秘數據采用前沿DSM文檔權限管理系統實現數據保護,可以控制敏感數據的用戶訪問范圍、文檔使用操作限制,防止內部人員有意或無意造成的泄密;
● 對分支機構和移動便攜辦公人員終端數據泄密形成有效保護。
2.應用系統數據保護
● 通過前沿信安文檔安全應用系統加密集成技術,實現對央企應用系統中敏感數據的集成保護,確保從這些應用系統下載的數據在終端加密受控流轉使用;
● 終端加密數據數據上傳到應用系統后可以自動解密,不影響使用習慣;
● 對于應用系統后臺采用明文數據存儲,因此系統間的后臺數據傳遞不受影響。
3. 商密數據外發安全保護
● 可以通過前沿信安文檔外發管理功能實現對外發送的敏感數據安全保護,防止合作機構或第三方人員有意無意擴散使用。
4. 業務效率保障
● 不改變或不過多改變現有業務流程效率及用戶使用習慣;
● 通過加密網關實現終端與應用系統數據無縫集成保護;
● 系統內置單級和多級審批流程,讓流轉操作更快速容易;
● 通過郵件白名單可實現受信用戶或伙伴數據自動脫密,降低溝通影響。
5. 商密數據操作審計
● 對所有受前沿DSM系統保護的數據使用操作,提供審計機制,一旦泄密行為發生,可通過審計信息明確泄密責任,追究泄密行為;
● 對于前沿DSM系統角色實現三權分立和操作審計,同時可針對解密管理員的解密操作執行過程跟蹤審計。
中央企業解決方案優勢如下:
通過本方案對中央企業核心商密數據及業務系統現有的數據泄漏風險進行管控,加強數據產生源頭、使用過程、對外發布整體的防護,為集團及各下屬企業核心數據的安全運行提供保障和指導,方案的價值體現如下:
1. 方案圍繞數據全生命周期安全,以預防為主、控制為輔,縱深強化商密數據安全防護,可確保商業秘密安全,降低數據安全風險。
2. 基于敏感數據流向分析,方案實現數據流到哪里,保護就執行到哪里,數據保護實現從業務系統、終端電腦到移動終端的三重保護。
3. 方案具備良好的可操作性和擴展性,可在保障企業商業秘密安全的前提下,最大限度降低對于企業原有工作效率的影響。
4. 為中央企業核心系統的數據安全、穩定的運行管理提供安全保障。
5. 提供完整的商密數據資產生命周期風險控制和自動化管理。
6. 通過技術平臺有效降低企業運營中的泄密風險。
7. 落實不同監管機構的數據按去合規要求,提升商密數據安全保護管理能力。
8. 通過商密數據風險控制平臺引入降低總體合規管理成本。
9. 依據“總體規劃,分步實施,先試點,后推廣”的原則逐步落實風險控制。
商密政策
依據《商業秘密保護》政策為基礎,從存儲中的數據安全、傳輸中的數據保護、使用中的數據保護、數據安全審計(完整性、備份與恢復)四個方向建立電子數據安全一體平臺。
系統規范:
采用國家密碼管理機構認定的加密算法對重要電子文檔進行多種不同密級的加密保護,并可根據文檔保護策略對特定用戶群賦予文檔各種內容訪問權限的文檔保護、管理系統。
商密依據:
1.按照商密數據所處的位置以及形式進行分類劃分,對不同位置和形式的數據實行不同的防護策略;
2.針對商密數據的重要性不同,進行分級管理,對不同的級別的數據實行不同的防護策略。
3.采取事前、事中、事后的整體策略對商業秘密進行全過程的保護。事前預防應做到避免安全事件發生或降低安全事件發生的概率;事中監控應做到減少安全事件造成的影響;事后審計應做到在安全事件發生后可追溯。
