贾大智：宝信软件信息安全产品总监，企业云存储产品部总经理。2005-2016年，参与并领导多款信息安全类产品的研发与推广，在企业信息安全体系建设及企业数据安全领域有着丰富的研发及实践经验。

以下是贾大智在ITValue企业信息安全微信课上的分享，经ITValue记者整理后发布。

我们今天谈到的保密体系建设，主要强调的是企业内针对商业数据的保密体系建设，因为我们以往谈企业的信息安全，更多的强调系统安全、边界安全等等，因此2010年以前，集团型企业更多的信息安全资源都投入在这些基础安全设施的建设上，2010年后商业秘密保护逐步开始被重视，但怎么做，大家都处于一个摸索的阶段。宝钢集团大概从2011年底开始商密保护体系建设工作，到目前为止，应该说初具成效，整个过程走下来，实际上是比较困难的，是一路摸索的过程，为什么这么说呢，这和我们大多数企业对信息安全的认识有关。

大型企业的信息安全基础建设应该是比较完善的。我们有各类边界防护、系统安全措施，也会有分级保护、等级保护等测评标准，因此很多企业的领导者都会认为自身企业的安全做的还不错，但与此同时，我们依然会不停地看到、听到央企的泄密事件，而问题恰恰就出在我们容易忽视的内部安全体系建设上。

1
首先从组织职能看，保密职能通常隶属于行政职能部门，如办公厅、保密办等，甚至在很多企业都只是知识产权部门兼任，保密职能部门不关心业务，制定的保密措施往往无法落实。
2
其次，从企业信息化建设的过程看，系统与系统之间都是孤立的，各种信息的流转无法受控，企业内部失密的风险很大。
3
第三就是员工的意识问题，使用习惯难以改变，形成非主动性泄密源，这些都是商密体系建设过程中亟需解决的问题。


鉴于这些问题，商密体系建设可按如下图的层次展开：



从上图可以看到，这个体系其实有部分内容会和我们所熟悉的等保比较重叠，我们称之为传统的信息安全防护手段。

这块内容在大型企业中基本上是比较完备的，因此可以这么认为，商密保护体系建设的核心在于上层的数据安全体系的建设，也即全生命周期的数据安全防护体系建设。

在数据安全这个事情上，我们也做过很多尝试，包括文件加解密，权限管理，文件审计、关键字过滤等，最后发现很重要的一点是，这些技术手段都过于片面强调技术本身，而忽视了业务。在实践过程中，特别是集团型的大型企业，很难推动，员工会想各种手段来突破，另外一点就是对于已经建成的大量信息化系统中所包含的商密数据，这些技术手段很难有效管理，这也迫使我们做进一步的选择。

因此，我们在方案选择中需要考虑几个原则：一是能不能与现有业务体系无缝结合，二是方案的实施是否能够在安全与效率之间寻找到平衡，尽量不改变用户的使用习惯，三就是怎么能让企业的数据真正地属于企业自身。

这几个原则也促成了我们最后选择以云存储为基础来建立整套商密体系。这是我们选型时候出示的一张说明图，就是从这三个方面来做说明的。



选择集中化，主要是为了解决企业数据分散的问题，希望通过集中化的手段做到有效商密数据可识别、可管理。而着力点放在访问数据的终端，包括移动端，确保访问、使用的安全，最后一点还是要强调用户的使用习惯，只有用户真正愿意用，作为工作的一部分，这套体系才有价值。

我们再来看另外一张图，更细节化地说明了这些点：



从这张图中我们可以看到我们关注两大部分的数据来源：

一个是企业离散的非结构化数据，按照我们看到的现象，企业内结构化数据大概的比例在15%，另外85%都是非结构化数据，所以这部分是我们首先要关注的。

另外一个就是来自于应用系统的业务数据，这部分也是我们前面提到的对于已有业务系统中的涉密数据，我们也提供归一化的处理手段。

在这个体系中，有几个点比较重要：

1. 信息资产的识别。

企业的资产管理是整个信息安全管理体系的基础。首先企业要清晰地识别出所有的资产，评估出它们的价值，从而明确到底有多少需要保护的核心资产和商业秘密，明确它们的责任人、使用人和使用范围，以及它们具体存放的地点。

早期企业大都是通过人工的方式来整理和维护自己的资产清单，但随着组织规模的日益庞大，人工收集已经非常不现实，容易造成新增资产的识别遗漏、资产变更后的更新不及时、尤其是分散在部门和个人处的资产，管理部门无法实时监控和管理，容易造成资产的评级不准确，从而导致采取的控制措施无效。

这个识别过程是很痛苦的，因为你不可能逐一识别，只能通过积累形成自动化的判别手段，另外每个业务部门对同一个信息资产的重要度定义可能也不同。

我们最后通过不断学习补充的规则库的方式予以解决，库建立后，基本上可以处理80%的文件。

2. 就是信息共享与交换。

企业中，内网用户越来越多地采用共享目录进行资源共享，共享目录使用不当则很容易造成商密信息的泄露；如果开启读写共享，则给病毒传播开启了更为方便的大门。但个人电脑的共享目录管理员难以控制，单靠安全教育于事无补，安全事件层出不穷。

员工通过电话线拨号、VPN拨号、GPRS无线拨号等方式，绕过防火墙的监控直接连接外网，使企业内网的IT资源暴露在外部攻击者面前，攻击者或病毒可通过拨号线路进入企业内网；另一方面，内部员工可能通过这种不受监控的网络通道将企业的商业机密泄漏出去，给企业带来经济损失但又难以对其进行法律取证。

除了使用移动介质来输出和交流数据外，我们还经常使用邮件、即时通讯软件来进行信息的交换，这在一定程度上也会导致数据的泄露。采用何种安全的信息交换方式，是迫切需要解决的问题。

针对这个问题，我们在商密技术体系中通过群组这样的技术予以解决，这也是充分利用云存储本身的协作功能。所谓群组是利用云存储实现多人数据共享和协作的一种新的应用模式。用户可根据组织或者项目的范围创建群组工作区，群组内不同用户之间可快速地实现协作与共享。

下面这张图描述了群组协作解决数据交换的一个场景：



这是针对企业在项目过程中产生非结构化文档交换的一个典型应用，不同职责的员工协作一个项目，处理技术方案，商务报价，按原有的工作习惯，都需要通过多封邮件的反复，才能形成最后的工作成果，这个反复的过程就带来效率的严重下降和商密数据的随意扩散。现在把大家放到一个工作群组（文件夹）下，给予每个人不同的授权，任何人的工作成果，其他人同步可以看到，这也是利用了云存储双向同步的一个好处。

3. 就是信息资产的分级。

企业内的数据重要度是不同的，以前没有技术手段串联的时候，我们都通过在文档上做标注来进行分级，比如内部事项，普通商密等，在技术体系中怎么来做呢，我们用下面一张图来表示。



这张图是关于信息资产分级的一个示例，我们识别出资产后，还需要确定每个资产可能的安全防护手段，以确保不会出现高密低流的现象，对于企业内最常规的一些操作手段均按照密级予以技术控制。

4. 就是在终端的层面，我们不再片面强调终端安全，而是强调访问数据时需要安全。

我们都知道，在企业内推终端安全面临的反弹是很大的，但如果适当调整定位，会发现效果完全不一样，普通使用场景下，我们不对员工的终端进行管控，但员工通过电脑访问受控数据时候，我们必须识别他的安全性，这也是一个比较好的经验。

总结下来，我们提出商密准入、商密合规访问的创新商密保护思路，确保只有合法的人通过合规的终端才能创建安全磁盘，并通过安全磁盘与云端存储进行实时同步，为用户提供了全周期、全流程、全层次的数据保护解决方案。

全周期：实现商业秘密数据从制作、存储、使用、传递到销毁等全生命周期的闭环管理，以帮助企业建立全生命周期的数据安全防护体系。

全流程：从商业秘密保护的业务角度出发，实现了商业秘密定密、密级变更、审批、外发、离线外带、内外部流转等各个流程的集中管控。

全层次：提供了从前台传统终端、移动终端到后端数据存储的多重保护措施。在用户终端层面，提供安全准入、健康体检、虚拟磁盘、驱动层的透明加密、离线访问、外发控制等功能，有效防范客户端面临的安全威胁；在后端存储层面，采用了云存储技术，实现了数据的集中存储，通过高强度的加密、多重冗余、碎片化存储等多种技术，确保服务端的数据安全。

因为企业内已经上线的应用系统很多，每套系统基本都是独立闭环运行的，比如oa，财务，hr等等，这些系统本身数据既不互通，系统中涉及到的数据安全也难以防护，仅仅只能依赖应用本身的权限系统。

我们后来想了一个办法，把应用系统后端的存储数据对接到云存储系统当中，前端用户界面不做任何改动，尽量不改变用户的使用习惯，这样确保用户可以无缝地使用起来。

这样形成了一个比较明确的思路，就是应用系统的权限管理和云存储商密系统的安全管理相结合，举个例子，以前我们使用oa，只要有权限我们就可以随意下载oa上的文件到本地，现在不行了，你有oa的权限，可以看到文件，但这个文件实际上是云存储让你看到的在线的部分，你不能随意下载，你要下载也只能下载到系统受控的部分，这个部分不允许随意的外发。

这样做的好处很明显，不增加员工的学习负担，另外把商密保护落在业务过程当中，并不会给员工造成太多困扰，所以推行起来非常顺畅。

最后再总结一点，这套系统建立后，逐步可以形成企业的汇集中心，现有的应用系统，新增加的应用系统，所有涉密的数据通过统一的原则进行汇集、管理，最终做到商密的可控、可管、可用。


Q&Ａ
1

Q：就如我们之前嘉宾所分享的，传统企业信息安全的意识相对较弱，你们当初在宝钢做这些事情，在推广意识方面有做什么吗？宝钢其实也是大型传统企业。
贾大智：对的，您说的很对，这也是我们当初遇到的大问题，很多泄密都是员工无意识的，所以我们开始也试图通过安全教育、定期培训等方式来解决，后来发现这只是一方面，因为这个过程很长，但企业没有这么长时间来等待。或者通过强制，比如上很多设备、措施，但这很容易引起反弹，所以后来我们提出安全要隐于无形，但关键时候要能出现。

２
Q：安全要隐于无形，但关键时候要能出现。怎么做的？
贾大智：这也是我们后来如上面分享所选型的原因，一个重要的不同点是，把安全植入业务，而不是隔离在业务之外，就如最后举的例子，其实你不去下载，你会发现一切照旧，你的业务不受影响，但你要下载，对不起，这个地方有个要求，这个是业务的要求。
我们传统的安全，比如桌面安全，就是要求你什么都不要做，现在我们是希望引导你怎么来做。
所以很重要的就是一点，企业内部的安全不能脱离业务而单独存在，不能为信息化服务，而是为业务服务。

３
Q：怎么考核保密工作已经达标了？
贾大智：我们是这样考核的，定期会从管理层面拉出每个业务单元的商密定级情况和使用统计，会对异常的数据进行人工分析并要求相关部门给出解释。这也算是管理手段的跟进吧。