方案概述
随着中央企业全面推进信息化建设,业务依赖信息系统的程度大幅增强,特别是企业的基础信息网络和重要信息系统已经成为支撑企业业务发展、提高企业核心竞争力的重要载体和主要手段。伴随随着新技术、新模式在中央企业的广泛应用和发展,央企商密信息的获取、存储、传输和处理等发生了新的变化,也增加了新形势下的信息安全威胁,目前的安全威胁也正向多元化、复杂化方向发展,进而加强了商密信息安全防护的难度,同时也对信息安全风险管理工作提出更高的要求。面对日趋激烈的竞争环境,近年来如何保护商密数据资产在央企经营中的安全保护,已经成为不少央企的重点关注点。
需求分析
在当前面临日趋激励的商业竞争环境下,业务不断变化及创新,监管要求也日益加强,依据国资委颁布的《中央企业商业秘密保护暂行规定》(国资发[2010]41号)其中依法确定中央企业商业秘密的保护范围,建立健全信息安全保障机制,完善信息安全运行,以确保重要商密数据安全和商密信息系统稳定运行。同时针对数据安全防护,也必须面对内控、等级保护和分级保护中的数据保护合规监管要求:
近年来央企对信息安全的投入力度不断加强,但针对商密数据的保护手段大多为其他技术层面的安全管理控制,数据本身还是以明文方式存在,鉴于目前复杂的业务应用场景和无处不在的数据,传统的以封堵终端和外部处理设备的安全保护方式已经无法满足商密数据的保护要求。在商密数据的使用、传输、保管的过程中仍然存在较多安全隐患。要想在经营过程中可持续性发展,就必须面对和解决以下问题:
1.商密数据明文传输、存储、使用中的风险如何应对?
2. 如何实现商密数据的密级标识、定密、密级变更及有效期的管理?
3. 员工企业终端和移动终端办公敏感数据如何防止泄密和失密?
4. 如何防止企业内部人员有意或无意泄漏重要敏感数据?
5. 内部重要应用系统内关键敏感数据资产如何集中防泄密?
6. 商密数据保护如何从被动防御到主动管理?
7. 央企如何贯彻核心商密和普通商密数据的统一安全防护策略?
8. 如何有效的解决面对来自不同监管机构的数据安全防护要求?
9. 商密数据保护和央企信息安全管理体系如何才能有效结合落地?
解决方案
央企商密数据安全保护体系以数据安全为核心,以商密数据的安全技术管控保障为落实关键,结合企业业务发展规划及商密条例与等保合规要求,构建完善的央企商密数据安全保护体系。通过前沿信安商密数据保护解决方案,总体实现效果如下:
1.终端数据保护
● 遵循商密保护条例及等保要求,针对不同密级的商密涉密文档的安全存储,在涉密文档标密、定密及密级变更等方面进行控制管理;
● 对关键商秘数据采用前沿DSM文档权限管理系统实现数据保护,可以控制敏感数据的用户访问范围、文档使用操作限制,防止内部人员有意或无意造成的泄密;
● 对分支机构和移动便携办公人员终端数据泄密形成有效保护。
2.应用系统数据保护
● 通过前沿信安文档安全应用系统加密集成技术,实现对央企应用系统中敏感数据的集成保护,确保从这些应用系统下载的数据在终端加密受控流转使用;
● 终端加密数据数据上传到应用系统后可以自动解密,不影响使用习惯;
● 对于应用系统后台采用明文数据存储,因此系统间的后台数据传递不受影响。
3. 商密数据外发安全保护
● 可以通过前沿信安文档外发管理功能实现对外发送的敏感数据安全保护,防止合作机构或第三方人员有意无意扩散使用。
4. 业务效率保障
● 不改变或不过多改变现有业务流程效率及用户使用习惯;
● 通过加密网关实现终端与应用系统数据无缝集成保护;
● 系统内置单级和多级审批流程,让流转操作更快速容易;
● 通过邮件白名单可实现受信用户或伙伴数据自动脱密,降低沟通影响。
5. 商密数据操作审计
● 对所有受前沿DSM系统保护的数据使用操作,提供审计机制,一旦泄密行为发生,可通过审计信息明确泄密责任,追究泄密行为;
● 对于前沿DSM系统角色实现三权分立和操作审计,同时可针对解密管理员的解密操作执行过程跟踪审计。
中央企业解决方案优势如下:
通过本方案对中央企业核心商密数据及业务系统现有的数据泄漏风险进行管控,加强数据产生源头、使用过程、对外发布整体的防护,为集团及各下属企业核心数据的安全运行提供保障和指导,方案的价值体现如下:
1. 方案围绕数据全生命周期安全,以预防为主、控制为辅,纵深强化商密数据安全防护,可确保商业秘密安全,降低数据安全风险。
2. 基于敏感数据流向分析,方案实现数据流到哪里,保护就执行到哪里,数据保护实现从业务系统、终端电脑到移动终端的三重保护。
3. 方案具备良好的可操作性和扩展性,可在保障企业商业秘密安全的前提下,最大限度降低对于企业原有工作效率的影响。
4. 为中央企业核心系统的数据安全、稳定的运行管理提供安全保障。
5. 提供完整的商密数据资产生命周期风险控制和自动化管理。
6. 通过技术平台有效降低企业运营中的泄密风险。
7. 落实不同监管机构的数据按去合规要求,提升商密数据安全保护管理能力。
8. 通过商密数据风险控制平台引入降低总体合规管理成本。
9. 依据“总体规划,分步实施,先试点,后推广”的原则逐步落实风险控制。
商密政策
依据《商业秘密保护》政策为基础,从存储中的数据安全、传输中的数据保护、使用中的数据保护、数据安全审计(完整性、备份与恢复)四个方向建立电子数据安全一体平台。
系统规范:
采用国家密码管理机构认定的加密算法对重要电子文档进行多种不同密级的加密保护,并可根据文档保护策略对特定用户群赋予文档各种内容访问权限的文档保护、管理系统。
商密依据:
1.按照商密数据所处的位置以及形式进行分类划分,对不同位置和形式的数据实行不同的防护策略;
2.针对商密数据的重要性不同,进行分级管理,对不同的级别的数据实行不同的防护策略。
3.采取事前、事中、事后的整体策略对商业秘密进行全过程的保护。事前预防应做到避免安全事件发生或降低安全事件发生的概率;事中监控应做到减少安全事件造成的影响;事后审计应做到在安全事件发生后可追溯。