| 當前位置：拓步ERP資訊網(wǎng) >>管理咨詢 >>CIO技術(shù)專欄 >>CIO信息安全

從寶鋼商密建設，看集團型企業(yè)如何建設信息安全保密體系？

發(fā)布日期：2016-7-13 12:16:42 來源：m.guhuozai8.cn 編輯：拓步ERP資訊網(wǎng) 瀏覽：評論

摘要：寶鋼集團大概從2011年底開始商密保護體系建設工作，到目前為止，應該說初具成效，整個過程走下來，實際上是比較困難的，是一路摸索的過程，為什么這么說呢，這和我們大多數(shù)企業(yè)對信息安全的認識有關。 原標題：從寶鋼商密建設，看集團型企業(yè)如何建設信息安全保密體系？ 原作者：2016/7/13 來源：千店網(wǎng) 作者：賈大智
關鍵字：信息安全信息化建設數(shù)據(jù)安全防護

我們今天談到的保密體系建設，主要強調(diào)的是企業(yè)內(nèi)針對商業(yè)數(shù)據(jù)的保密體系建設，因為我們以往談企業(yè)的信息安全，更多的強調(diào)系統(tǒng)安全、邊界安全等等，因此2010年以前，集團型企業(yè)更多的信息安全資源都投入在這些基礎安全設施的建設上，2010年后商業(yè)秘密保護逐步開始被重視，但怎么做，大家都處于一個摸索的階段。寶鋼集團大概從2011年底開始商密保護體系建設工作，到目前為止，應該說初具成效，整個過程走下來，實際上是比較困難的，是一路摸索的過程，為什么這么說呢，這和我們大多數(shù)企業(yè)對信息安全的認識有關。

大型企業(yè)的信息安全基礎建設應該是比較完善的。我們有各類邊界防護、系統(tǒng)安全措施，也會有分級保護、等級保護等測評標準，因此很多企業(yè)的領導者都會認為自身企業(yè)的安全做的還不錯，但與此同時，我們依然會不停地看到、聽到央企的泄密事件，而問題恰恰就出在我們?nèi)菀缀鲆暤膬?nèi)部安全體系建設上。

首先從組織職能看，保密職能通常隸屬于行政職能部門，如辦公廳、保密辦等，甚至在很多企業(yè)都只是知識產(chǎn)權(quán)部門兼任，保密職能部門不關心業(yè)務，制定的保密措施往往無法落實。

其次，從企業(yè)信息化建設的過程看，系統(tǒng)與系統(tǒng)之間都是孤立的，各種信息的流轉(zhuǎn)無法受控，企業(yè)內(nèi)部失密的風險很大。

第三就是員工的意識問題，使用習慣難以改變，形成非主動性泄密源，這些都是商密體系建設過程中亟需解決的問題。

鑒于這些問題，商密體系建設可按如下圖的層次展開：

圖1 寶鋼商密體系建設

從上圖可以看到，這個體系其實有部分內(nèi)容會和我們所熟悉的等保比較重疊，我們稱之為傳統(tǒng)的信息安全防護手段。

這塊內(nèi)容在大型企業(yè)中基本上是比較完備的，因此可以這么認為，商密保護體系建設的核心在于上層的數(shù)據(jù)安全體系的建設，也即全生命周期的數(shù)據(jù)安全防護體系建設。

在數(shù)據(jù)安全這個事情上，我們也做過很多嘗試，包括文件加解密，權(quán)限管理，文件審計、關鍵字過濾等，最后發(fā)現(xiàn)很重要的一點是，這些技術(shù)手段都過于片面強調(diào)技術(shù)本身，而忽視了業(yè)務。在實踐過程中，特別是集團型的大型企業(yè)，很難推動，員工會想各種手段來突破，另外一點就是對于已經(jīng)建成的大量信息化系統(tǒng)中所包含的商密數(shù)據(jù)，這些技術(shù)手段很難有效管理，這也迫使我們做進一步的選擇。

因此，我們在方案選擇中需要考慮幾個原則：一是能不能與現(xiàn)有業(yè)務體系無縫結(jié)合，二是方案的實施是否能夠在安全與效率之間尋找到平衡，盡量不改變用戶的使用習慣，三就是怎么能讓企業(yè)的數(shù)據(jù)真正地屬于企業(yè)自身。

這幾個原則也促成了我們最后選擇以云存儲為基礎來建立整套商密體系。這是我們選型時候出示的一張說明圖，就是從這三個方面來做說明的。

圖2 云存儲為基礎來建立整套商密體系

選擇集中化，主要是為了解決企業(yè)數(shù)據(jù)分散的問題，希望通過集中化的手段做到有效商密數(shù)據(jù)可識別、可管理。而著力點放在訪問數(shù)據(jù)的終端，包括移動端，確保訪問、使用的安全，最后一點還是要強調(diào)用戶的使用習慣，只有用戶真正愿意用，作為工作的一部分，這套體系才有價值。

我們再來看另外一張圖，更細節(jié)化地說明了這些點：

圖3 企業(yè)數(shù)據(jù)分散的問題

從這張圖中我們可以看到我們關注兩大部分的數(shù)據(jù)來源：

一個是企業(yè)離散的非結(jié)構(gòu)化數(shù)據(jù)，按照我們看到的現(xiàn)象，企業(yè)內(nèi)結(jié)構(gòu)化數(shù)據(jù)大概的比例在15%，另外85%都是非結(jié)構(gòu)化數(shù)據(jù)，所以這部分是我們首先要關注的。

另外一個就是來自于應用系統(tǒng)的業(yè)務數(shù)據(jù)，這部分也是我們前面提到的對于已有業(yè)務系統(tǒng)中的涉密數(shù)據(jù)，我們也提供歸一化的處理手段。

在這個體系中，有幾個點比較重要：

1.信息資產(chǎn)的識別。

企業(yè)的資產(chǎn)管理是整個信息安全管理體系的基礎。首先企業(yè)要清晰地識別出所有的資產(chǎn)，評估出它們的價值，從而明確到底有多少需要保護的核心資產(chǎn)和商業(yè)秘密，明確它們的責任人、使用人和使用范圍，以及它們具體存放的地點。

早期企業(yè)大都是通過人工的方式來整理和維護自己的資產(chǎn)清單，但隨著組織規(guī)模的日益龐大，人工收集已經(jīng)非常不現(xiàn)實，容易造成新增資產(chǎn)的識別遺漏、資產(chǎn)變更后的更新不及時、尤其是分散在部門和個人處的資產(chǎn)，管理部門無法實時監(jiān)控和管理，容易造成資產(chǎn)的評級不準確，從而導致采取的控制措施無效。

這個識別過程是很痛苦的，因為你不可能逐一識別，只能通過積累形成自動化的判別手段，另外每個業(yè)務部門對同一個信息資產(chǎn)的重要度定義可能也不同。

我們最后通過不斷學習補充的規(guī)則庫的方式予以解決，庫建立后，基本上可以處理80%的文件。

2.就是信息共享與交換。

企業(yè)中，內(nèi)網(wǎng)用戶越來越多地采用共享目錄進行資源共享，共享目錄使用不當則很容易造成商密信息的泄露；如果開啟讀寫共享，則給病毒傳播開啟了更為方便的大門。但個人電腦的共享目錄管理員難以控制，單靠安全教育于事無補，安全事件層出不窮。

員工通過電話線撥號、VPN撥號、GPRS無線撥號等方式，繞過防火墻的監(jiān)控直接連接外網(wǎng)，使企業(yè)內(nèi)網(wǎng)的IT資源暴露在外部攻擊者面前，攻擊者或病毒可通過撥號線路進入企業(yè)內(nèi)網(wǎng)；另一方面，內(nèi)部員工可能通過這種不受監(jiān)控的網(wǎng)絡通道將企業(yè)的商業(yè)機密泄漏出去，給企業(yè)帶來經(jīng)濟損失但又難以對其進行法律取證。

除了使用移動介質(zhì)來輸出和交流數(shù)據(jù)外，我們還經(jīng)常使用郵件、即時通訊軟件來進行信息的交換，這在一定程度上也會導致數(shù)據(jù)的泄露。采用何種安全的信息交換方式，是迫切需要解決的問題。

針對這個問題，我們在商密技術(shù)體系中通過群組這樣的技術(shù)予以解決，這也是充分利用云存儲本身的協(xié)作功能。所謂群組是利用云存儲實現(xiàn)多人數(shù)據(jù)共享和協(xié)作的一種新的應用模式。用戶可根據(jù)組織或者項目的范圍創(chuàng)建群組工作區(qū)，群組內(nèi)不同用戶之間可快速地實現(xiàn)協(xié)作與共享。

下面這張圖描述了群組協(xié)作解決數(shù)據(jù)交換的一個場景：

圖4 群組協(xié)作解決數(shù)據(jù)交換

這是針對企業(yè)在項目過程中產(chǎn)生非結(jié)構(gòu)化文檔交換的一個典型應用，不同職責的員工協(xié)作一個項目，處理技術(shù)方案，商務報價，按原有的工作習慣，都需要通過多封郵件的反復，才能形成最后的工作成果，這個反復的過程就帶來效率的嚴重下降和商密數(shù)據(jù)的隨意擴散�，F(xiàn)在把大家放到一個工作群組（文件夾）下，給予每個人不同的授權(quán)，任何人的工作成果，其他人同步可以看到，這也是利用了云存儲雙向同步的一個好處。

3.就是信息資產(chǎn)的分級。

企業(yè)內(nèi)的數(shù)據(jù)重要度是不同的，以前沒有技術(shù)手段串聯(lián)的時候，我們都通過在文檔上做標注來進行分級，比如內(nèi)部事項，普通商密等，在技術(shù)體系中怎么來做呢，我們用下面一張圖來表示。

圖5 信息資產(chǎn)分級

這張圖是關于信息資產(chǎn)分級的一個示例，我們識別出資產(chǎn)后，還需要確定每個資產(chǎn)可能的安全防護手段，以確保不會出現(xiàn)高密低流的現(xiàn)象，對于企業(yè)內(nèi)最常規(guī)的一些操作手段均按照密級予以技術(shù)控制。

4.就是在終端的層面，我們不再片面強調(diào)終端安全，而是強調(diào)訪問數(shù)據(jù)時需要安全。

我們都知道，在企業(yè)內(nèi)推終端安全面臨的反彈是很大的，但如果適當調(diào)整定位，會發(fā)現(xiàn)效果完全不一樣，普通使用場景下，我們不對員工的終端進行管控，但員工通過電腦訪問受控數(shù)據(jù)時候，我們必須識別他的安全性，這也是一個比較好的經(jīng)驗。

總結(jié)下來，我們提出商密準入、商密合規(guī)訪問的創(chuàng)新商密保護思路，確保只有合法的人通過合規(guī)的終端才能創(chuàng)建安全磁盤，并通過安全磁盤與云端存儲進行實時同步，為用戶提供了全周期、全流程、全層次的數(shù)據(jù)保護解決方案。

全周期：實現(xiàn)商業(yè)秘密數(shù)據(jù)從制作、存儲、使用、傳遞到銷毀等全生命周期的閉環(huán)管理，以幫助企業(yè)建立全生命周期的數(shù)據(jù)安全防護體系。

全流程：從商業(yè)秘密保護的業(yè)務角度出發(fā)，實現(xiàn)了商業(yè)秘密定密、密級變更、審批、外發(fā)、離線外帶、內(nèi)外部流轉(zhuǎn)等各個流程的集中管控。

全層次：提供了從前臺傳統(tǒng)終端、移動終端到后端數(shù)據(jù)存儲的多重保護措施。在用戶終端層面，提供安全準入、健康體檢、虛擬磁盤、驅(qū)動層的透明加密、離線訪問、外發(fā)控制等功能，有效防范客戶端面臨的安全威脅；在后端存儲層面，采用了云存儲技術(shù)，實現(xiàn)了數(shù)據(jù)的集中存儲，通過高強度的加密、多重冗余、碎片化存儲等多種技術(shù)，確保服務端的數(shù)據(jù)安全。

因為企業(yè)內(nèi)已經(jīng)上線的應用系統(tǒng)很多，每套系統(tǒng)基本都是獨立閉環(huán)運行的，比如OA，財務，hr等等，這些系統(tǒng)本身數(shù)據(jù)既不互通，系統(tǒng)中涉及到的數(shù)據(jù)安全也難以防護，僅僅只能依賴應用本身的權(quán)限系統(tǒng)。

我們后來想了一個辦法，把應用系統(tǒng)后端的存儲數(shù)據(jù)對接到云存儲系統(tǒng)當中，前端用戶界面不做任何改動，盡量不改變用戶的使用習慣，這樣確保用戶可以無縫地使用起來。

這樣形成了一個比較明確的思路，就是應用系統(tǒng)的權(quán)限管理和云存儲商密系統(tǒng)的安全管理相結(jié)合，舉個例子，以前我們使用oa，只要有權(quán)限我們就可以隨意下載oa上的文件到本地，現(xiàn)在不行了，你有oa的權(quán)限，可以看到文件，但這個文件實際上是云存儲讓你看到的在線的部分，你不能隨意下載，你要下載也只能下載到系統(tǒng)受控的部分，這個部分不允許隨意的外發(fā)。

這樣做的好處很明顯，不增加員工的學習負擔，另外把商密保護落在業(yè)務過程當中，并不會給員工造成太多困擾，所以推行起來非常順暢。

最后再總結(jié)一點，這套系統(tǒng)建立后，逐步可以形成企業(yè)的匯集中心，現(xiàn)有的應用系統(tǒng)，新增加的應用系統(tǒng)，所有涉密的數(shù)據(jù)通過統(tǒng)一的原則進行匯集、管理，最終做到商密的可控、可管、可用。

Q&A

Q：就如我們之前嘉賓所分享的，傳統(tǒng)企業(yè)信息安全的意識相對較弱，你們當初在寶鋼做這些事情，在推廣意識方面有做什么嗎？寶鋼其實也是大型傳統(tǒng)企業(yè)。

賈大智：對的，您說的很對，這也是我們當初遇到的大問題，很多泄密都是員工無意識的，所以我們開始也試圖通過安全教育、定期培訓等方式來解決，后來發(fā)現(xiàn)這只是一方面，因為這個過程很長，但企業(yè)沒有這么長時間來等待�；蛘咄ㄟ^強制，比如上很多設備、措施，但這很容易引起反彈，所以后來我們提出安全要隱于無形，但關鍵時候要能出現(xiàn)。

Q：安全要隱于無形，但關鍵時候要能出現(xiàn)。怎么做的？

賈大智：這也是我們后來如上面分享所選型的原因，一個重要的不同點是，把安全植入業(yè)務，而不是隔離在業(yè)務之外，就如最后舉的例子，其實你不去下載，你會發(fā)現(xiàn)一切照舊，你的業(yè)務不受影響，但你要下載，對不起，這個地方有個要求，這個是業(yè)務的要求。

我們傳統(tǒng)的安全，比如桌面安全，就是要求你什么都不要做，現(xiàn)在我們是希望引導你怎么來做。

所以很重要的就是一點，企業(yè)內(nèi)部的安全不能脫離業(yè)務而單獨存在，不能為信息化服務，而是為業(yè)務服務。

Q：怎么考核保密工作已經(jīng)達標了？

賈大智：我們是這樣考核的，定期會從管理層面拉出每個業(yè)務單元的商密定級情況和使用統(tǒng)計，會對異常的數(shù)據(jù)進行人工分析并要求相關部門給出解釋。這也算是管理手段的跟進吧。

作者簡介：賈大智，寶信軟件信息安全產(chǎn)品總監(jiān)，企業(yè)云存儲產(chǎn)品部總經(jīng)理。2005-2016年，參與并領導多款信息安全類產(chǎn)品的研發(fā)與推廣，在企業(yè)信息安全體系建設及企業(yè)數(shù)據(jù)安全領域有著豐富的研發(fā)及實踐經(jīng)驗。

核心關注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理，全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域，是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://m.guhuozai8.cn/

本文標題：從寶鋼商密建設，看集團型企業(yè)如何建設信息安全保密體系？

本文網(wǎng)址：http://m.guhuozai8.cn/html/consultation/10839519623.html

關鍵詞標簽： 從寶鋼商密建設，看集團型企業(yè)如何建設信息安全保密體系？,信息安全信息化建設數(shù)據(jù)安全防護,ERP,ERP系統(tǒng),ERP軟件,ERP系統(tǒng)軟件,ERP管理系統(tǒng),ERP管理軟件,進銷存軟件,財務軟件,倉庫管理軟件,生產(chǎn)管理軟件,企業(yè)管理軟件,拓步,拓步ERP,拓步軟件,免費ERP,免費ERP軟件,免費ERP系統(tǒng),ERP軟件免費下載,ERP系統(tǒng)免費下載,免費ERP軟件下載,免費進銷存軟件,免費進銷存,免費財務軟件,免費倉庫管理軟件,免費下載,

本文轉(zhuǎn)自：e-works制造業(yè)信息化門戶網(wǎng)

本文來源于互聯(lián)網(wǎng)，拓步ERP資訊網(wǎng)本著傳播知識、有益學習和研究的目的進行的轉(zhuǎn)載，為網(wǎng)友免費提供，并盡力標明作者與出處，如有著作權(quán)人或出版方提出異議，本站將立即刪除。如果您對文章轉(zhuǎn)載有任何疑問請告之我們，以便我們及時糾正。聯(lián)系方式：QQ：10877846 Tel：0755-26405298。

上一篇：沒有了！

下一篇：下一代防火墻，決勝于應用層

相關文章

管理咨詢

拓步ERP系統(tǒng)軟件平臺11.5專業(yè)版v10.1.2...

拓步ERP系統(tǒng)軟件平臺11.5標..

金蝶KIS財務軟件標準版V8.1..

金蝶KIS財務軟件迷你版V8.1..

金蝶KIS工業(yè)貿(mào)易專業(yè)版V12...

SQL2000 4in1 ISO..

MSDE2000 SP4 簡體中..

金蝶KIS商貿(mào)高級版V4.0|破..

金蝶KIS財務軟件行政事業(yè)版V9..

金蝶KIS零售版V4.1|破解版..

熱門培訓視頻

拓步ERP系統(tǒng)平臺庫存管理系統(tǒng)培訓視頻教材

拓步ERP系統(tǒng)平臺客戶端安裝培訓..

拓步ERP財務管理系統(tǒng)培訓視頻

拓步ERP系統(tǒng)平臺數(shù)據(jù)庫安裝培訓..

拓步ERP系統(tǒng)平臺通用操作培訓視..

拓步ERP系統(tǒng)平臺采購管理系統(tǒng)培..

拓步ERP系統(tǒng)平臺考勤管理系統(tǒng)培..

拓步ERP系統(tǒng)平臺財務報表系統(tǒng)培..

拓步ERP系統(tǒng)平臺財務總帳系統(tǒng)培..

拓步ERP系統(tǒng)平臺應收帳款系統(tǒng)培..

熱門電子圖書

拓步ERP財務管理系統(tǒng)電子圖書

熱門管理軟件

拓步ERP系統(tǒng)管理軟件介紹

拓步ERP平臺系列旗艦版

拓步ERP生產(chǎn)系列標準版（進銷存..

拓步ERP業(yè)務系列倉存版（倉庫管..

拓步ERP平臺系列標準版

拓步ERP財務系列迷你版（財務管..

拓步ERP條碼系列業(yè)務標準版（條..

拓步ERP平臺系列企業(yè)版

拓步ERP平臺系列專業(yè)版

拓步ERP行業(yè)系列電子行業(yè)版


	ERP新聞動態(tài) 拓步新聞行業(yè)新聞關注產(chǎn)品觀點縱橫企業(yè)管理企業(yè)應用

	ERP解決方案按ERP應用行業(yè)分類按ERP企業(yè)規(guī)模分類按ERP管理領域分類按ERP軟件功能分類按ERP系統(tǒng)特性分類用友ERP解決方案金蝶ERP解決方案易飛ERP解決方案速達ERP解決方案其他ERP解決方案

	ERP顧問咨詢 ERP管理咨詢 ERP戰(zhàn)略診斷 ERP流程分析 ERP流程優(yōu)化 ERP風險分析 ERP可行性研究 ERP整體規(guī)劃 ERP選型招標 ERP實施監(jiān)理 ERP評審驗收 ERP績效評價 ERP基礎知識 ERP課程培訓 ERP培訓教育 ERP視頻教材

	CIO技術(shù)專欄 CIO企業(yè)應用 CIO網(wǎng)絡通信 CIO信息安全 CIO基礎設施 CIO云計算

	ERP技術(shù)支持技術(shù)支持知識庫常見問題資料庫在線學習資料庫日常辦公資料庫企業(yè)管理知識庫

	ERP系統(tǒng)價格拓步ERP系統(tǒng)價格體系拓步EIS軟件價格體系合作品牌ERP價格體系技術(shù)支持服務價格體系

	合作品牌用友UFIDA 金蝶KingDee 神州數(shù)碼Digital 速達SuperData 拓步ERP系統(tǒng)成功案例

	代理加盟合作聯(lián)盟策略代理合作指南代理聯(lián)盟前景聯(lián)盟技術(shù)支持快速搜索ERP軟件資訊

	關于拓步公司介紹公司愿景企業(yè)文化誠聘英才聯(lián)系我們在線留言在線訂購意向下載體驗登記

日本高清色本免费现在观看-日本高清色图-日本高清色视频在线观看免费-日本高清免费一本视频在线观看-国产精品电影久久-国产精品对白刺激久久久

ERP顧問咨詢

ERP原理知識

ERP實施培訓

CIO技術(shù)專欄

CIO企業(yè)應用

CIO網(wǎng)絡通信

CIO信息安全

CIO基礎設施

CIO云計算

即時聯(lián)系

服務熱線

快捷互動