编者按:数据安全,没有一次两次,只有零次和无数次;数据赋能,没有有效无效,只有利用和不利用。当数据已经成为企业竞争的核心资产,我们要像经营资本一样来“经营数据”,央企如此,其它也应该如此。
简介
▼
迈普通信技术股份有限公司成立于 1993 年,是国内领先的网络产品及解决方案供应商,工信部重点支持的四大国产网络设备厂商之一。公司于 2015 年加入中国电子信息产业集团有限公司(CEC),是 CEC 网络安全与信息化领域的重要核心力量。公司总部位于成都,在成都、武汉分别设立了研发机构,在北京设立了营销中心。公司现有员工1400余人,共申请国内外专利1600多件,通过了“国家企业技术中心”认定。迈普产品及解决方案覆盖云数据中心、广域网、园区网、安全、网络可视化、融合通信、SDN 及软件产品7 大场景,广泛应用于金融、党政、运营商、能源、交通、教育、医疗等行业。
困扰
▼
迈普是个研、产、销一体的制造型企业,岗位多业务复杂,给信息安全管理造成了很大的困扰,总结如下:
» 数据资产没有统一的管理。
早年,企业内部数据资产概念相对来说是比较模糊,业务部门对自己业务所产生、使用哪些数据资产,这些数据资产存在哪些风险,这些风险会给公司带来多大的影响,是没有掌握的。企业IT部门资源有限,也没法全面掌握这些数据资产,无法进行全面的数据资产安全管理。
» 办公环境相对来说比较复杂。
虽然办公区域做了内外网划分,但是实际办公需求复杂,即使同一办公区里也会内外网相互交错,甚至紧邻的两个工位就是一个接内网一个接外网。导致整个网络环境管理起来非常繁琐,数据安全潜在风险巨大。
» 和“网络大神”斗法,专业难比拼。
最早,安全管理采用一刀切的形式,把所有内外网的文件传递全部做了阻断。内网终端采用比较原始的方式用易碎纸封闭USB口,不让数据通过 U 盘导出。然而,这种管控给业务交互带来极大不便且无法真正确保安全。毕竟迈普是做网络通信设备的,研发人员都是网络专家,这些简单的管控措施很容易被绕过。
这种混沌状态下,安全和效率都没有很好的保障。随着业务扩大和网络复杂程度提升,安全隐患愈发严峻。14年公司确立国产化自主研发的战略目标后,也意识到了数据资产安全管理的重要性,提出了全面建设安全体系的要求。
思考
▼
命题有了,那么我们该怎么做?最开始,IT部门局限于发现一个问题解决一个问题,发现并不能从整体上改变现状。经过多方学习考察,我们意识到要全面提升安全管理,必须建立一套安全体系,系统管控。而ISO27001信息安全管理标准就是现成的标杆,值得我们学习。
规划
▼
有了指引之后,我们开始准备工作。首先,统一思想、确定主体。在公司内部明确安全职责,安全并不是IT部门的责任,而是整个公司出于自身的发展需要去关注的事。公司成立以总经理为组长的信息安全领导小组,包括了 IT、 研发、档案等相关部门,以领导小组方式来推动整个公司的信息安全治理。组织也有了,该怎么干?我们总结了三个步骤:
第一步:明确该管什么
各个部门逐个做信息资产的识别,梳理在业务发生的过程中会用到、产生哪些数据资产。
第二步:资产分级,规划安全区域的分级管理
组织各部门梳理数据资产的重要性:一旦出现安全事故对公司的影响有多大?出现这种事故的发生几率有多高?通过分析拉出综合的评定和评级,把资产进行重要性排序,然后再结合资产的全生命周期中所涉及的环境进行归类管理划分,规划出重要性相近、安全要求类似、业务关系密切的安全区域进行分级管理。
第三步:识别现状逐步改进根据不同区域的安全要求,审视现状能否达到安全要求,存在哪些风险,风险造成的影响会有多大,形成风险台账。对风险评级较高的风险点,尽快从技术上和管理上制定相应的整改方案。
行动
▼
前面讲了对安全管理的前期思考和规划,下面具体看看过程成果。»过程成果1:形成数据资产台账对资产识别并记录。通过汇总整合各业务部门梳理的数据资产清单形成全公司的信息资产台账,台账中包括了对资产重要性的评级以及当前管理方式。同时配套发布了商业秘密管理政策,并每年组织对资产台账和管理政策重新梳理和评审。对新同事在入职培训时进行信息安全培训,加强意识明确职责,对老员工也不定期的组织安全培训巩固意识。
» 过程成果2:信息安全区域划分根据业务活动场景,最终把公司的网络分成了红、黄、绿三个区:红区是研发的生产区域,活动频繁,过程中会产生设计资料、程序代码、硬件图纸等,需要严格防止数据外泄。黄区是我们非研发的信息敏感区域。包括商务、人力、财务、机要等部门,他们的特点是和公司其他区域/部门信息交互繁多,需要在交付过程中进行精准的权限控制来保障安全。绿区属于低密度、低密级的工作区,主要是销服、IT、行政这些部门,他们的特点是和互联网上的外部客户交互比较多,容易受到外部的攻击,需要加强外部的防范。
鸿翼
» 过程成果3:信息安全技术架构有了对各个区域的情况分析,我们规划出整个IT的信息安全的技术架构,针对薄弱点制定信息安全建设规划。
鸿翼
通过不断地建设完善,我们形成了以安全设备对外防渗透攻击,以云桌面加网络控制对内防泄密,以企业内容管理系统(ECM)集中安全管理企业非结构化数据的数据资产安全保障机制。安全成果也逐渐显现:数据资产有台账有归口责任部门,数据和服务有集中存储、安全保护,环境风险有定期评估和处置,几年内没再发生信息安全事件,连续三年随 CEC 集团参加了国家级网络安全演练没有丢过分,2020年顺利通过国家27001体系认证。
» 过程成果4:主要场景应用
场景一:云桌面研发生产是我司的核心业务,内部信息交互非常频繁。研发工作环境规划为红区,数据文档都需要严格防泄密。我们研究测试过透明加解密、沙箱等安全手段,发现透明加解密对文档访问干预多影响速度,不适合研发一次编译上万个文件的业务场景。沙箱是本地化隔离管控,对终端操作系统、使用方式有一定要求,不能满足研发需求,而且本地数据加密依然不能消除数据分散存放的安全风险。最终,我们考察云桌面找到了答案。云桌面可在云端搭建全套研发开发编译环境,本地终端仅作为键盘和显示器,再通过网络管控文件访问,能够达到即保障业务生产又实现数据安全的目的。
研发业务虽然相对独立但也和其他业务有大量交互,一刀切的隔离势必影响整体业务,还需要打通周边业务数据链路。实施遇到两类业务情况:
一类是多角色审批类业务,这类业务参与角色多,而很多是非研发的周边部门。我们拉通相关各业务部门讨论流程,将交互时限要求高的环节及角色纳入云桌面中操作,到了交互时限要求不高的环节再通过工作流引擎和文件安全摆渡系统将数据从云桌面(红区)安全转移到黄区或者绿区。这样的流程一共梳理了几十个,满足了绝大部分研发周边业务的需求。另一类是固定作业数据导出,这类业务特点是参与人少但非常频繁,必须论证新的安全方案做到安全效率两者兼顾,其代表就是编译成果导出。软件编译成果需要到硬件设备上进行测试验证,一个测试人员每天就会发生上百次导出动作。迁云之前,测试设备接本机串口编译后直接即可导入调试,迁云后如果每次都通过流程审批来导出,执行效率和工作量都无法承受。为此,我们与研发工具部门反复论证后形成了一套云上自助编译中心的解决方案。方案结合DLP、审计留痕以及文件跨区摆渡等多种安全管理手段,实现了研发人员在云端自助发起编译,编译结果文件立即从云端摆渡到云外的服务器上可获取测试,编译结果在导出前要通过智能语义识别并留痕备审。由此,实现整个流程安全顺畅,和迁云之前基本一致。
场景二:文档管理电子文档的使用和交互几乎所有部门都涉及,企业数字化基础除了结构化数据和流程的打通,也需要打通非结构化数据。之前,文档没有统一系统管理、无法协同、版本混乱、文档安全管理更是无从下手。我们建立整个公司统一的文档架构和分级管理体系(公司级、领域级、部门级),引入企业内容管理系统(ECM)将各部门业务文档集中管理,为各部门之间的文档协作交互提供工具平台以提升效率,通过对文档权限的精细化管理来提升整个文档的安全水平。在实施过程中,最大的难题是红黄绿区的安全分区和统一文档架构的兼顾:从效率角度出发需要实现系统在各区均可使用且文件搜索结果保持一致。从安全管控角度又要求在低安全区域不能打开高安全区域文件仅能从搜索结果知道该文件存在,此原则还必须高于系统角色身份授权。经过实施团队反复论证,最终通过文档数据库与文档实体库分离,文档实体库分区域部署的技术架构完美解决了这一难题。
文档产品在我司不仅是一个知识门户,还是整个企业的非结构化数据库。要求以文档服务形式集成到系统总线中,提供给业务端系统集成调用,典型案例是规章制度系统。
制度库是公司管理和知识的一个结晶,需要集中管理存放能够让员工快速地获取,同时也需要安全管理放批量外泄。我们以文档产品为非结构化数据库,流程审批之后进行发布。通过文档产品对权限的精细化控制,实现员工可在线查阅制度内容但不能下载打印,而所需要的附件文件又允许下载。即实现了制度的统一发布宣惯,也保证了数据资产的安全。
价值分析
▼
回顾信息安全建设过程,作为IT部门该怎么展现价值?是简单上点安全工具把安全管控实现就大功告成吗?不是!公司领导提出来的安全基线,合规遵从等等要求,其实都有一个隐含的前提:企业利益的最大化保障,安全和利益都要保障,要双赢!这对IT部门是挑战,也是体现价值的机会。怎么做到双赢?我们需要深入剖析公司安全管理要求,理解要求背后的需求出发点。真正走进业务,站在他们的角度去识别问题、分析问题。不强制执行,也不一味妥协,以安全要求为底线,为业务效率提升追求最大化效益。就能够得出即满足公司安全要求也能得到业务部门支持的落地方案。
最终实现IT的价值——为企业数字化转型保驾护航!