用技術保護技術

敖瑾

10月份在深圳舉行的首屆商業秘密保護灣區峰會上，《企業商業秘密管理規范》發布。在這份共有十三章節，涉及人員、區域、物品、信息軟件等各個維度的商業秘密管理規范中，可以看到，技術手段在商業秘密保護中發揮著重要作用。

技術手段門檻高，且費用不低，對于技術手段到底可以做到哪些，以及應該采用哪些手段，很多企業仍存在疑惑。

參與制定《企業商業秘密管理規范》的深信服科技股份有限公司，是一家專注于企業級網絡安全、云計算、IT基礎設施與物聯網的產品和服務供應商，是提供商業秘密保護整體解決方案的頭部企業。而這樣一家企業，自身也存在著商業秘密保護的需求，這或許更能為企業提供技術手段保護商業秘密的借鑒。

深信服最早對商業秘密保護開始重視，也是由于事件驅動。

2018年，深信服的一位老員工離職后，帶走了公司的客戶名單和商業機會，還憑借著對業務的熟悉，將原公司的客戶和項目“一挖一個準”。項目機會和客戶關系遭到惡意挖角和搭便車的行為，是深信服絕對不能容忍的。雖然公司針對這些不正當競爭行為及時采取了法律措施，對相關人員也采取了法律行動，但還是給公司利益造成了一定的損害。

深信服法務總監胡海斌告訴南都周刊記者，在正式開始搭建商業秘密保護體系之前，深信服先全盤梳理了公司稅務、法務、財務、技術等經營信息和技術信息。

其次，深信服確立了商業秘密保護的工作方向，即實行商業秘密的分類分級保護：

杜絕任何泄露的風險，比如源代碼，側重“0發生”，以隔離為主;

杜絕全量數據泄露的風險，比如，非全量的銷售信息，側重預警和法律反制，以審計和訪問控制為主;

側重預防和事后追責，以宣貫、訪問控制、審計及法律反制為主。

接下來就是結合技術手段，對不同等級的商業秘密進行管理。

深信服有一套專門用于監控數據安全的系統，企業數據當前的安全態勢、安全事件、網絡攻擊態勢、外連數據和流向等都將以圖表或模型的形式清晰地記錄、保存。深信服每月都會進行內部信息的安全稽查，滾動監控信息的運輸情況，一旦出現異動，相關人員就可以迅速做出反應。

“有一次，一個員工的電腦壞了，公司配發了新電腦后，他就把舊電腦的數據拷貝到新電腦，信息安全部馬上就給他發消息，詢問突然大量拷貝數據的原因，最后需要經過信息安全部同意后，數據拷貝才能繼續進行。”胡海斌舉例說。

隨著云計算、大數據、物聯網等新興技術的興起，企業傳統的安全邊界逐漸被打破，特別是新冠疫情以來移動辦公的流行，給企業的商業秘密保護帶來了更大的挑戰。

“零信任”是一種解決的辦法，具體到實際操作而言，就是網絡隔離，數據不落地以及嚴格且靈活的訪問控制。

網絡隔離，指的是企業研發部門擁有自己獨立的研發網絡，配備獨立的服務器和網絡，避免與其他部門的網絡交互。

而數據不落地則依靠云桌面來實現。在深信服展廳，記者看到了云桌面的運行原理。云桌面將所有的數據都保存在云端，通過沙箱實現輕量級數據的本地隔離。也就是說，員工看到的數據都以圖片形式出現，圖片定期被覆蓋，上面還有加密的代碼水印，以此保證全量數據在服務器上無法轉移。

另外，通過這種云端存儲的方式，接觸保密信息的員工用的電腦里沒有存留任何數據，他們只能看到數據遠程輸出后的結果，也就無法對數據進行任何拷貝或竊取。云桌面可以在公有云、私有云部署，也可以在本地數據中心分布式部署，通過云桌面實現對數據安全可控的管理。

嚴格且靈活的訪問控制，指的是對人、物（終端）默認不信任，通過運用統一身份管理、動態訪問控制、業務及數據訪問以及數據隔離等多種手段實現有效且靈活的數據訪問控制。可以實現不區分內網外網，不區分終端類型，不區分網絡環境下的數據訪問控制，實現了不同的辦公方式和數據保護之間的平衡。

基于零信任概念的解決方案就相當于網絡世界的門禁卡，可以應用到所有的產品中去，這本質上是員工進入系統訪問數據前的權限控制。“好處就是個人辦公不用分內網外網了，在家里、在機場、在車上都可以辦公。”胡海斌介紹，零信任概念的出現就是因為疫情在家辦公需求的催化。

他介紹，深信服還由此升級了移動辦公軟件。“所有人在登錄公司網絡之前，都需進行一次身份驗證，驗證內容除了常規的賬號密碼，還會關注賬號登錄的地點和場景，有時需要用手機號進行再次驗證。多重維度驗證后，證明確實是員工本人在合適的地方、合適的場景，才能允許用戶進入公司網絡。”

胡海斌在2016年入職深信服，他記得，在2018年正式開啟商業秘密保護體系建設前，深信服每年都會處理十幾起泄密事件，但近兩年相關事件的數量越來越少，他認為這是公司員工逐漸接受并遵守商業秘密保護規則帶來的結果。

但他仍然保持著警惕，“在技術和制度都逐漸完善后，商業秘密保護是否還存在著無法被監管到的角落？新的商業模式、新的產品形態、新的研發模式或新的移動終端的出現，原有的保護體系是否同樣能夠實現商業秘密保護的理解和平衡？比如，華為的研發部門和安全部門都有門禁，不能攜帶任何帶有攝像頭的設備，但未來智能眼鏡出現后該怎么辦？”

胡海斌始終認為，“商業秘密的保護存在一個度，不可能做到百分之百的安全”。而如何正確地把握這個度，是企業從最開始建立商業秘密保護工作目標和工作機制時，就要考慮的一個問題。“達到業務效率和保密合規之間的平衡，這才是最核心的點。”

“商業秘密的保護存在一個度，不可能做到百分之百的安全”。達到業務效率和保密合規之間的平衡，才是最核心的點。