【IT168 专稿】企业核心数据是企业的命脉。通过建立完善的信息安全系统，保护企业核心数据尤其是企业商业机密，防止从企业内部泄密，已经成为当前众多企业的共识。企业从信息系统的安全性、稳定性和可靠性等方面为基点，以数据安全为目标，纷纷构建企业数据泄露防护体系。然而 ，目前众多中小型加密软件厂商，由于起步较晚，对企业信息系统建立缺乏足够的认识，所以在给企业安装加密软件之后，却并没有达到有效防止数据泄露的目标，甚至导致企业加密项目的失败。

    要想建立完善的数据泄露防护体系，必须遵循科学严谨的信息安全管理体系。当前，BS7799体系（或ISO/ICE17799体系）是全球普遍采用的信息安全系统建设标准。这套体系能保证企业信息（包括： 专利 商业档案、 文件、 标准、 专有技术 、客户资料、 统计数据、 图样 、配方、 报价、 规章制度 、财务数据 、工艺 计划 、资源配置、 管理体系等）的安全风险降低到可接受的最低水平，防止可能由于人 员的原因（疏忽、跳槽、破坏）、竞争对手原因（商业间谍、收买、盗窃、网络攻击）和自然灾害（火灾、水灾、地震）等 原因，被毁灭、消失、损坏、盗窃、贬值、转移，给企业带来致命的打击。

    亿赛通数据泄露防护（DLP）体系，是中国知名套完全基于BS7799制定的数据安全保护体系。以下将以深圳国人通 信有限公司数据泄露防护工程为例，介绍亿赛通数据安全政策的制定。

    一、项目背景

    深圳国人通信有限公司主要从事以射频技术为基础的无线通信产品的开发、生产与销售，是中国领先的射频技术及产品开发商、中国领先的无线网络覆盖产品与解决方案提供商。公司于2006年3月在美国纳斯达克上市，在“中国通信设备制造企业50强”中名列第15位。 

    公司拥有国内领先的无线通信核心技术——射频技术及系列自主知识产权，拥有国内规模最大的射频研发团队。公司在深圳和泉州设有研发中心和生产基地，在国内31个省、直辖市、自治区、特别行政区设有分公司、办事处，在海外7个国家设有办事处。公司实施以射频技术为基础，目前主要开展两大类业务：无线网络覆盖业务和， 基站射频产品业务。公司成为中国移动、中国联通、中国电信、中国网通无线网络覆盖产品及解决方案的主要提供商，业务遍布国内31个省、直辖市、自治区，并为亚太及中东地区10多个国家的移动通信运营商提供产品及服务。 基站射频产品业务为国内外大型通信设备制造商提供系列化射频产品及解决方案，已成为华为、中兴、大唐、西门子、阿尔卡特、鼎桥等通信设备制造企业的射频产品供应商，并计划在深圳建设中国最具规模的射频产业化基地。

                        图1  国人通信公司组织结构图

    二、国人通信数据泄露防护（DLP）政策的制定过程

    按照BS7799体系，要建立企业信息安全体系，首先要确立信息安全政策。那什么是信息安全政策呢？从本质上来说，信息安全政策是描述企业具有哪些重要信息资产，并说明这些信息资产如何被保护的一个计划，其目的就是对企业中成员阐明如何使用信息系统资源，如何处理敏感信息，如何采用安全技术产品，用户在使用信息时应当承担什么样的责任，详细描述对员工的安全意识与技能要求，列出被组织禁止的行为。

    BS7799明确提出：管理层应当提出一套清晰的政策来指导信息安全实践，并且通过在组织内发布和维护信息安全政策来表明对信息安全的支持和承诺。亿赛通根据这一原则，按照以下步骤来制定国人通信数据泄露防护体系：

    1、理解国人通信的企业文化和业务特征

    国人通信业务遍及全国31个省、市、自治区和特别行政区，办事处涉及海外7个国家，这是一个规模庞大的企业机构，企业内部人员不仅是管理层和普通员工，还有不同文化、民族和种族的人群。企业使用数据泄露防护体系，必须要考虑总公司与分公司，分公司与办事处，管理层和普通员工等等复杂关系。不仅如此，总公司与分公司之间、分公司与办事处之间，并发各种类型的业务往来，涵盖不同类型的保密等级需求，对不同类型的文件类型进行加密等等。亿赛通经过与国人通信的有效沟通，充分了解国人通信企业文化和业务特征，这是设计数据安全政策的前提。

    2、得到管理层的明确支持与承诺

    要制定一个好的数据信息安全政策，必须与决策层进行有效沟通，并得到企业高层领导的支持与承诺。这有三个作用，一是制定的信息安全政策与企业的业务目标一致；二是制定的安全方针政策、控制措施可以在企业的上上下下得到有效的贯彻；三是可以得到有效的资源保证。亿赛通经过数月努力，与国人通信保持好良好的实时交流，得到领导层的充分信任和支持，这是国人通信数据泄露防护体系得以顺利实施的保证。

    3、组建一个安全政策制定小组

    亿赛通与国人通信通力合作，建立了以亿赛通团队和国人通信相关人士的数据安全政策制定小组。安全政策制定小组由亿赛通团队（包括技术团队及项目咨询成员）和国人通信团队（包括高级管理人员、文档保密员、IT部门负责人、律师、国人通信用户部门的人员）组成。

    4、确定信息安全整体目标经过调研，确定国人通信的数据安全整体目标是：确保电子文档在企业内部和授权部门内部，可以安全共享；在对外合作时能确保机密文件不被二次扩散；在保证数据安全的同时，还要保证业务持续性，并最小化业务损失，为企业实现业务目标提供保障。

    5、确定信息管理体系的范围

    国人通信公司所有部门都参与此次数据安全项目，根据国人通信公司各个分部职能、工作内容、文件类型、文件保密等级要求的不同，将亿赛通文档安全管理动态加解密和权限管理两个模块灵活搭配使用，即保障了核心电子信息的安全也实现了文档的安全流转。

    6、风险评估与选择数据安全控制

    数据安全政策制定小组经过对国人通信的数据信息安全管理现状调查，并采用风险评估工作是建立具体的信息安全策略的基础与关键，在安全体系建立的整个过程中，风险评估工作占了很大的比例，风险评估的工作质量直接影响安全控制的合理选择和安全策略的完备制定。

    7、起草拟订数据安全政策

    按照BS7799体系，亿赛通按照PDCA的持续改进的管理模式，通过风险评估来了解安全需求，然后根据需求设计解决方案；在实施（Do）阶段将解决方案付诸实现；解决方案是否有效？是否有新的变化？应该在检查（Check）阶段予以监视和审查；一旦发现问题，需要在措施（Act）阶段予以解决，以便改进ISMS。

图2  BS7799的PDCA模型

    8、评估数据安全政策

    国人通信数据泄露防护体系被制订出来后，双方联合召开了专家评审会，对该体系进行评估，并进行了测试，以评审体系的完备性、易用性，最终确定，改体系安全政策能完全达到企业所需的安全目标。

    9、数据安全政策的实施

    在数据安全政策通过测试评估后，国人通信管理层正式批准实施，编制了成国人通信数据信息安全政策手册，发布到企业中的每个员工与相关利益方，明确安全责任与义务。

    10、政策的持续改进

    在国人通信数据泄露防护（DLP）实施后，亿赛通与国人通信公司建立了“售后保障服务体系”，其中包含了对数据安全政策的定期评审，并进行持续改进。

    三、国人通信数据泄露防护（DLP）政策的内容

    国人通信数据安全政策通过基本的规则、指南、定义，以及亿赛通完善的数据泄露防护（DLP）解决方案，建立了一套数据资源保护标准，防止员工的不安全行为引入风险。信息安全政策是进一步制定控制规则、安全程序的必要基础。建立了数据安全政策，就设置了企业的数据安全基础，可以使员工了解与自己相关的数据安全保护责任，强调数据系统安全对企业业务目标的实现、业务活动持续运营的重要性。

    数据安全策略的主要功能就是要建立一套安全需求、控制措施及执行程序，定义安全角色赋予管理职责，陈述组织的安全目标，为安全措施在组织的强制执行建立相关舆论与规则的基础。国人通信数据泄露防护策略的内容包括：

    1、目标：国人通信数据泄露防护体系要对所有员工强调“信息安全，人人有责”的原则，使员工了解自己的安全责任与义务。从技术实现的角度，要对数据进行实时加密、权限控制、身份认证、日志审计、笔记本磁盘全盘加密、文件外发管理、系统容灾等全方位进行保护。

    2、范围：国人通信数据泄露防护体系包含足够的范围广度。数据类型包括员工持股会文件、董事长来往文件、法务文件、公司体系文件、销售合同评审文件、综合合同评审文件、档案文件电子版、行政文件等所有电子类文件；涉及到的部门和人员有：董事长、部门经理、机要组管、董秘、相应接收人、法务人员、律师事务所、法务关系涉及部门、公司所有员工、合同负责人、办事处经理、网优财经部、工程管理部、系统组管领导、CFO、合同负责人、部门经理、CEO等。

    3、策略内容：根据BSS7799中定义，对数据安全策略的描述应该集中在三个方面：机密性、完整性和可用性。这三种特性是组织建立信息安全策略的出发点。机密性是指信息只能由授权用户访问，其他非授权用户、或非授权方式不能访问。完整性就是保证信息必须是完整无缺的，信息不能被丢失、损坏，只能在授权方式下修改。可用性是指授权用户在任何时候都可以访问其需要的信息，信息系统在各种意外事故、有意破坏的安全事件中能保持正常运行。亿赛通数据泄露防护（DLP）解决方案完全满足以上三个方面特性。

    在国人通信内部，，给员工明确描述与这些特性相关的信息安全要求，信息安全策略以员工熟悉的活动、信息、术语等方式来反映安全目标。例如，在研发部门，采用动态加解密系统，对所有文件进行实时加密，包括了文档的制作、保存、流转、存储全过程。另外，还采用权限控制等手段，对文档的只读、打印等进行权限控制。而在研发部门之外，主要采用权限管理系统、文件外发管理系统等，对财务、法务、管理文件等进行授权、再授权的控制。

    4、角色责任：数据安全策略除了要建立安全程序及程序管理职责外，还需要在组织中定义各种角色并分配责任，明确要求。亿赛通数据泄露解决方案明确规定文档管理权、系统管理权、日志审计权“三权分立”。在这种分权管理制度中， 能有效确保文档、系统和日志的分别管理和控制，完全满足对不同角色的责任分配和制衡。
　　
    5、执行纪律：亿赛通数据泄露解决方案并不直接制定违反数据安全法规，而是通过日志审计手段，对所有文件的访问控制全程记录，为追查文件流转路径提供有效保证，从而使泄密无所遁形。

    6、专业术语： 亿赛通数据泄露防护（DLP）体系，采用标准文档管理方式，对所有涉及到数据泄露防护的专业术语进行严谨解释，避免产生歧义。

    7、版本历史：对策略版本在各个阶段的修订情况作出说明

    四、总结

    采用科学的信息安全管理体系，是建立数据泄露防护体系的理论依据和制度保障。亿赛通自2002年以来，已经成功为外交部、解放军二炮、酒泉卫星发射中心、中国移动集团、正泰集团、比亚迪股份等大型集团建立数据泄露防护（DLP）体系。亿赛通项目管理的科学性，再加上技术的先进性、产品的稳定、安全性，才成就了亿赛通，成为中国数据泄露防护领域的知名品牌。