作者:ITValue 吴以四|文 / 日期:2010-08-16
7月底,“维基解密”网站曝光了9万多份驻阿富汗美军的秘密作战记录,引发的一连串风波至今仍未平息,让美国政府和军方甚为头疼。虽然尚无从得知“维基解密”网站获取这些秘密作战记录的渠道,但有一点可以肯定,驻阿美军对重要文档的保护,存在漏洞。
实际上,这种重要文档的外泄,不仅在政治和军事领域存在,在商业领域则更为常见。根据宁波市民营企业对外贸易商会对该市4999家外贸企业中的400家中等以上规模企业进行的调查,100%的企业有过商业经营秘密被侵害的遭遇,经济损失在50万元以上的占1/3。调查还显示,80%的商业秘密在职工跳槽时被带走,这些跳槽者大多是企业的业务骨干和核心秘密的掌握者,对企业内部情况了如指掌。
2004年到2009年,全国范围内,仅公安机关处理的商业秘密外泄案件就达到了683起,涉及金额24.7亿元。
因此,越来越多的企业开始重视重要文档和信息资产的保密性,希望借助IT的手段,加强对重要文档和信息在流转过程中的保密性,防止外泄之后给企业造成损失。
文档保密新需求
作为日本第一三共制药株式会社出资成立的独资企业,第一三共制药(北京)有限公司承担着很多新药产品的研发、生产和销售。如何确保研发、生产和销售过程一些重要文档的保密性,成为他们关注的重点。
“我们希望以开发本部为核心,引入一套文档加密系统,对重要信息进行权限控制,分级别进行文件处理权限的划分。并覆盖到与开发本部进行频繁涉密文档交流的营业本部、生产本部和管理本部等部门。” 第一三共制药(北京)有限公司系统管理科经理栗冬说。
按照栗冬的设想,新的文档加密系统应该主要包括这些功能:对机密等级高的文档,要求一般员工可以打开浏览,但不可以拷贝、粘贴、复制、修改、打印、外发等涉及到泄密的操作;对于提交给药监局等上级主管机构的电子文档要进行解密;对于发给下级合作单位、同级协作机构的电子文档可以进行操作权限的控制;如允许浏览、修改,但不可以打印、复制;对信息保密级别高的文档的操作要保留操作记录,以备查;简单易用,安全稳定,保证文档本身不被破坏。
与此同时,栗冬还对产品本身提出了要求:加密的文档要能在多语言环境浏览,如英语、日语、繁体中文;产品客户端软件要能在日语、中文、英文系统环境下安装,并应已经通过WINDOWS 7的新系统平台测试;要满足功能需求,易于部署,安全可靠;产品设计模式易于功能扩展,并能很好的和OA系统融合。
“国内产品迎合企业需求设计,出发点是内部文档机密、级别管控,重视防患于未然。”在考察了国内外主要供应商之后,栗冬给出了自己的比较,“国外产品用插件式组合方式满足需求,灵活组装产品方案,设计角度多防止外部意外获得加密信息窃取,而对内部的文档处理多以记录形式备案,控制较为弱化。”
栗冬表示,公司对文档保密的需求并不复杂,在对主要供应商考察完成之后,项目很快就可以启动。
技术与管理并重
对于阻止重要文档和信息的外泄,IT手段虽然很重要,却也并不是一劳永逸的方法。“需要有相应的制度和管理措施相配套。”栗冬说。
这一点也得到了独立CIO陈其伟的认同,“有数据表明,能用技术解决的信息安全问题不到20%。提高全员信息安全意识,建立完整的信息安全管理体系更为重要和急迫。”陈其伟说。
同时,陈其伟也表示,单一的信息管理和技术都不能解决信息安全的问题。要确保信息的安全,有五个方面的内容、机制和体系,缺一不可——信息安全战略是方向;信息安全治理与组织是保障;信息安全管理体系是规范;信息安全运行是落实;信息安全技术是支撑。
对于具体的信息保密的方式方法,陈其伟认为需要建立敏感信息分级分类控制和员工安全保密意识教育,两者很好地结合才行。
信息的分类控制,主要包括三方面内容:1. 信息的分级分类;2. 内网安全,包括,上网行为管理、接入管理、终端管理、移动计算管理、安全审计;3. 网络优化,安全域、安全边界控制,监测和应急响应等等。
曾经部署过类似加密系统的宁波乐歌视讯科技股份有限公司CIO陈罡,也给出了建议:“可以考虑和行为管理一起做,也就是尽量考虑带行为管理的加密系统,否则部署两套系统非常麻烦,还要考虑兼容性、对性能的影响等。”