淺談企業(yè)商密信息安全的防護(hù)技術(shù)

一、引言

隨著信息技術(shù)的快速發(fā)展，信息化系統(tǒng)的廣泛應(yīng)用，越來越多的企業(yè)商密數(shù)據(jù)、工作秘密數(shù)據(jù)存儲于信息系統(tǒng)中，所有這些敏感信息均面臨被泄漏的風(fēng)險(xiǎn)，這些信息的泄漏將會(huì)給企業(yè)帶來巨大損失，因此亟需對公司敏感數(shù)據(jù)進(jìn)行統(tǒng)一分類和保護(hù)，防止敏感信息泄漏。

2012年6月，國務(wù)院下發(fā)《國務(wù)院關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見》通知，在健全安全防護(hù)和管理，保障重點(diǎn)領(lǐng)域信息安全要求中，重點(diǎn)提出了加強(qiáng)企業(yè)涉密信息系統(tǒng)安全管理。同年5月，國資委下發(fā)《企業(yè)商業(yè)秘密信息系統(tǒng)安全技術(shù)指引》通知，要求企業(yè)部署自己的商密信息安全防護(hù)系統(tǒng)，完成相關(guān)安全保密措施，具體包括數(shù)據(jù)安全，物理安全、網(wǎng)絡(luò)安全、終端安全、服務(wù)器與應(yīng)用安全、移動(dòng)存儲介質(zhì)安全等6大方面，從數(shù)據(jù)授權(quán)、加密保護(hù)、外發(fā)監(jiān)控、內(nèi)容審計(jì)等130項(xiàng)要求全面開展商業(yè)秘密信息的防護(hù)工作。

二、企業(yè)商密信息安全面臨的威脅

目前針對商密數(shù)據(jù)的保護(hù)手段大多為輔助技術(shù)層面的安全管理，數(shù)據(jù)本身還是以明文方式存在，鑒于目前復(fù)雜的業(yè)務(wù)應(yīng)用場景和無處不在的數(shù)據(jù)，傳統(tǒng)的以封堵終端和外部處理設(shè)備的安全保護(hù)方式已經(jīng)無法滿足商密數(shù)據(jù)的保護(hù)要求。在商密數(shù)據(jù)的使用、傳輸、保管的過程中仍然存在較多安全隱患。面對日趨激烈的競爭環(huán)境，近年來如何保護(hù)商密數(shù)據(jù)資產(chǎn)在企業(yè)經(jīng)營中的安全保護(hù)，已經(jīng)成為不少企業(yè)的重點(diǎn)關(guān)注點(diǎn)。其主要威脅有以下幾點(diǎn)：

1.人員威脅：如企業(yè)涉密人員管理不當(dāng)導(dǎo)致涉密文件、信息泄露；人員安全意識淡漠，將所保管的涉密信息轉(zhuǎn)借或共享與他人，都會(huì)導(dǎo)致商密信息泄露。

2.黑客攻擊：黑客為獲取非法的利益，會(huì)嘗試各種手段攻擊獲取商業(yè)秘密，黑客會(huì)在網(wǎng)絡(luò)中監(jiān)聽我們發(fā)送的數(shù)據(jù)，采取信息截取對商密信息進(jìn)行截取，黑客針對所截取到的通信流量加以分析，從而獲取有用的商密信息。

3.企業(yè)內(nèi)部竊密與破壞：企業(yè)內(nèi)部竊取是最為嚴(yán)重的，企業(yè)內(nèi)部的人員竊取與泄露商業(yè)秘密是案例屢見不鮮，據(jù)不完全統(tǒng)計(jì)企業(yè)出現(xiàn)商密泄露有70%以上，是遭受了內(nèi)部的破壞攻擊。從而導(dǎo)致商密泄露。

三、企業(yè)商密信息安全防護(hù)體系建設(shè)

制定敏感數(shù)據(jù)分級、審計(jì)和監(jiān)控標(biāo)準(zhǔn)規(guī)范，確定敏感數(shù)據(jù)的安全防護(hù)策略，分析企業(yè)現(xiàn)有的數(shù)據(jù)安全防護(hù)技術(shù)手段，結(jié)合數(shù)據(jù)安全防護(hù)的需求建立三層防護(hù)體系。如圖1所示。

1.監(jiān)控層：監(jiān)控層的數(shù)據(jù)保護(hù)安全分析監(jiān)控系統(tǒng)對終端、業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫、及互聯(lián)網(wǎng)出口的結(jié)構(gòu)化、非結(jié)構(gòu)化數(shù)據(jù)的使用、流轉(zhuǎn)、存儲等進(jìn)行監(jiān)控，實(shí)現(xiàn)企業(yè)數(shù)據(jù)安全行為的集中分析和統(tǒng)一展現(xiàn)。

2.防護(hù)管理層：業(yè)務(wù)控制層通過數(shù)據(jù)保護(hù)安全管理系統(tǒng)提供對數(shù)據(jù)安全防護(hù)的策略控制，并通過敏感數(shù)據(jù)全生命周期操作審計(jì)，為監(jiān)控層提供數(shù)據(jù)基礎(chǔ)。

3.防護(hù)層：針對數(shù)據(jù)在終端、應(yīng)用、數(shù)據(jù)庫、隔離裝置的流轉(zhuǎn)過程，防護(hù)層通過終端數(shù)據(jù)安全模塊、數(shù)據(jù)庫安全模塊、網(wǎng)絡(luò)數(shù)據(jù)安全監(jiān)測模塊對終端數(shù)據(jù)安全、數(shù)據(jù)庫數(shù)據(jù)安全、網(wǎng)絡(luò)邊界數(shù)據(jù)安全實(shí)施防護(hù)。

為確保企業(yè)數(shù)據(jù)的安全保護(hù)與應(yīng)用，企業(yè)應(yīng)對數(shù)據(jù)的保密措施提出需求，企業(yè)現(xiàn)有的體系及各業(yè)務(wù)現(xiàn)狀為基礎(chǔ)，著眼未來以未來企業(yè)數(shù)據(jù)安全發(fā)展需求為導(dǎo)向，從公司對數(shù)據(jù)安全管理要求出發(fā)，建設(shè)企業(yè)商密信息安全防護(hù)體現(xiàn)，從而實(shí)現(xiàn)數(shù)據(jù)安全保護(hù)、分類檢測和保護(hù)，從數(shù)據(jù)產(chǎn)生、操作、傳輸、存儲、銷毀的全周期過程考慮，保證數(shù)據(jù)在全生命周期過程中的安全，實(shí)現(xiàn)數(shù)據(jù)防泄漏，從而完善數(shù)據(jù)安全防護(hù)措施，提升數(shù)據(jù)安全防護(hù)水平。

通過在企業(yè)辦公終端部署數(shù)據(jù)安全模塊，實(shí)現(xiàn)對終端數(shù)據(jù)的敏感信息檢索與識別，通過系統(tǒng)指紋標(biāo)識生產(chǎn)技術(shù)，根據(jù)敏感信息的檢索結(jié)果，將指紋標(biāo)識嵌入至敏感數(shù)據(jù)文件中，從全面監(jiān)測與跟蹤指紋標(biāo)識方面實(shí)現(xiàn)敏感數(shù)據(jù)的全生命周期管理，針對終端上的敏感數(shù)據(jù)文件和從業(yè)務(wù)系統(tǒng)上下載的文件實(shí)現(xiàn)文檔加密、權(quán)限控制、外發(fā)控制和水印保護(hù)等功能，最終實(shí)現(xiàn)企業(yè)數(shù)據(jù)的全生命周期安全管控，保護(hù)數(shù)據(jù)在全生命周期的各個(gè)過程中的安全。

通過在企業(yè)網(wǎng)絡(luò)中部署數(shù)據(jù)安全監(jiān)測裝置，實(shí)現(xiàn)對網(wǎng)絡(luò)出口數(shù)據(jù)的采集和分析功能，識別網(wǎng)絡(luò)出口數(shù)據(jù)的敏感數(shù)據(jù)，對相關(guān)的網(wǎng)絡(luò)行為進(jìn)行審計(jì)，具體功能點(diǎn)包括：網(wǎng)絡(luò)數(shù)據(jù)監(jiān)測、敏感數(shù)據(jù)監(jiān)測、網(wǎng)絡(luò)行為審計(jì)等。