基于ISMS标准要求实现企业商业秘密的保护

◆ 贾大智 崔晶晶 邵卫军 陈晓武/ 文

1 概述

随着互联网的普及以及信息化的高速发展，各种各样的信息安全问题也随之出现，以往企业主要关注的是保护计算机的硬件、软件，将信息安全仅仅视为物理环境、网络系统或者计算机的安全，而忽略了保护数据的安全。实际上，企业信息安全保护的最终对象是数据，尤其是涉及到企业核心资产的商业秘密。因此如何从技术手段和管理手段上全方位地保障核心数据不被窃取、篡改、泄露，是企业、组织甚至是国家都不得不直面的信息安全新课题。

ISO 27001：2005信息安全管理体系来源于信息安全管理体系（ISMS）标准，其最初的概念起源于英国标准化学会制定的英国国家标准BS7799标准，是系统化思想在信息安全领域的应用，后被国际标准化组织认可，作为国际标准发布、普及并被广泛地接受，我国于2008年将其等同转化为了国家标准GB/T 22080-2008/IS0/IEC 27001：2005。该标准包括了11个控制域、39个控制目标和133个控制项，鼓励企业、组织采用PDCA的过程方法建立、实施、运行、监控、评审，保证ISMS的持续改进，减少企业面临的信息安全风险，保护企业信息安全的机密性、完整性和可用性，保障企业的业务持续、有效地运营。

2 基于ISMS标准的数据安全风险分析

2.1 信息资产识别

企业的资产管理是整个信息安全管理体系的基础。首先企业要清晰地识别出所有的资产，评估出它们的价值，从而明确到底有多少需要保护的核心资产和商业秘密，明确它们的责任人、使用人和使用范围，以及它们具体存放的地点。

早期企业大都是通过人工的方式来整理和维护自己的资产清单，随着组织规模的日益庞大，人工收集已经非常不现实，容易造成新增资产的识别遗漏，资产变更后的更新不及时，尤其是分散在部门和个人处的资产，管理部门无法实时监控和管理，容易造成资产评级的不准确，从而导致采取的控制措施无效。

商业秘密作为企业重要的信息资产，往往包含着巨大的经济利益，是企业核心竞争力所在。由于其具有一定垄断性的特点，往往可以给企业带来超出正常水平的收益回报。正因如此，商业秘密对竞争者具有极大的诱惑力，极易导致不正当手段进行窃取和盗用的现象出现。特别是在越来越激烈的全球化市场竞争中，企业将面临日益增多的商业秘密侵权行为。因此，如何对商业秘密进行有效的保护，是企业亟需解决的新问题。

2.2 商密访问控制

随着IT系统规模的扩大，以及IT系统资产价值的增加，系统面临的安全威胁也随之增加。 这些威胁中除了来自外部的黑客攻击以外，更多的是由于内部操作管理水平的不足而产生的，如：内部操作人员的恶意破坏操作、误操作，第三方维护人员的越权访问、数据窃取等等。这些由于内部(第三方支持人员)而产生的安全事件，对单位或者企业造成更大的负面影响，其所能造成的损失往往是不可估量。

要防止这些损失的发生，最重要的就是要进行有效的用户访问控制。现代化的企业作为一个群体组织，各个环节上都可以产生出具有价值、值得保护的信息资源，这也就意味着企业的各个组成部分或多或少都掌握了一些商业秘密，如何在各个环节上防止商业秘密的泄漏，如何重点保障核心文件只有限定的几个员工可以查看，都是需要我们重视的。

2.3 介质管理

移动介质的管理一直是信息安全管理体系的一个难点。U盘、光驱、打印机等外设的使用提供了终端信息输出和传递的主要途径，但同时也为病毒传播和信息泄密带来了方便。为了保证内部网络安全，要求对网内各终端计算机的外设使用进行控制。现有企业的做法是对接口进行硬件上的封杀，拿掉光驱、软驱，或用胶将USB口封住，这样浪费了硬件资源，同时管理效果也不理想。

2.4 信息交换

内网用户越来越多地采用共享目录进行资源共享，共享目录使用不当则很容易造成商密信息的泄露；如果开启读写共享，则给病毒传播开启了更为方便的大门。但个人电脑的共享目录管理员难以控制，单靠安全教育于事无补，安全事件层出不穷。

员工通过电话线拨号、VPN拨号、GPRS无线拨号等方式，绕过防火墙的监控直接连接外网，使企业内网的IT资源暴露在外部攻击者面前，攻击者或病毒可通过拨号线路进入企业内网；另一方面，内部员工可能通过这种不受监控的网络通道将企业的商业机密泄漏出去，给企业带来经济损失但又难以对其进行法律取证。

除了使用移动介质来输出和交流数据外，我们还经常使用邮件、即时通讯软件来进行信息的交换，这在一定程度上也会导致数据的泄露。采用何种安全的信息交换方式，是迫切需要解决的问题。

2.5 数据备份

为了保障数据的完整性，数据备份是不可或缺的一个环节。如果缺少了数据备份，很可能导致业务的中断，造成无法弥补的损失。

3 宝信商业秘密保护解决方案

对于现代企业来说，商业秘密可能存在于分散的用户终端，也可能存在于企业或部门的文件服务器，或者应用系统的服务器中，这些商业秘密面临的风险是多方位的，既有来自内部人员的泄密风险，也有来自外部竞争对手的窃密风险。传统的安全产品和技术由于自身的局限性，只能解决局部泄密问题，无法为企业商业秘密管理提供有效的支撑。

鉴于此，构建企业内商业秘密的防护是一项复杂的系统工程，涉及到主机、网络、数据、终端等多个层面。在规划、设计商密保护系统时，单纯依赖经验是无法对抗未知的威胁和攻击的，因此需要遵循相应的安全标准，从更全面的角度进行差异性分析，才能保证技术方案的完整性。宝信在实践ISO27001的过程中，形成了一整套最佳实践，并自主研发了多款产品来解决ISO27001实施过程中的难题，商密保护平台eCop-TSP及特权账号管控eCop-ASP就是其中两款优秀产品。

“基于云存储的商业秘密保护平台”(eCop-TSP)，与传统的数据防泄密产品相比，基于云存储进行商业秘密保护可以有效地限定商密的保护外延，以数据集中存储，分级管理为核心理念，改变商业秘密分散管理、各自为政、难以管控的局面，通过数据的自动汇聚、灵活的分级管理策略和全面的业务管理流程，更加贴近企业保密业务的需求特点，具有管控全面、流程完备、使用简便、扩展灵活、成本低廉的优势。而且，在充分保证数据安全的同时，该产品还提供了数据共享、传递等协同办公功能，实现了安全与效率的有效平衡，可以为企业带来最佳的可控性和可用性。

从ISO27001体系的角度来看，通过eCop-TSP可以一站式解决商密数据资产识别、介质管理、信息交换，数据备份的难题，可以有效控制企业商密数据泄露的风险。

3.1 商密信息识别与管理

宝信在实践ISO27001过程中，成立了专门的商密信息资产识别团队，对各种类型的涉密数据进行识别、归类，建立了商密数据定义规范，可以确保员工在对企业数据资产进行保护的过程中，自动识别出应该设置的保护级别，同时在eCop-TSP系统中，按照企业的保密管理规定，对云存储中的文件提供核心商密、普通商密以及企业自定义的保密属性，并可对不同密级的文件实施不同的安全策略。

通过系统将终端安全、数据安全与云存储安全进行有效联动，首次提出商密准入，商密合规访问的创新商密保护思路，确保只有合法的人通过合规的终端才能创建安全磁盘，并通过安全磁盘与云端存储进行实时同步，为用户提供了全周期、全流程、全层次的数据保护解决方案。

全周期：实现商业秘密数据从制作、存储、使用、传递到销毁等全生命周期的闭环管理，以帮助企业建立全生命周期的数据安全防护体系。

全流程：从商业秘密保护的业务角度出发，实现了商业秘密定密、密级变更、审批、外发、离线外带、内外部流转等各个流程的集中管控。

全层次：提供了从前台传统终端、移动终端到后端数据存储的多重保护措施。在用户终端层面，提供安全准入、健康体检、虚拟磁盘、驱动层的透明加密、离线访问、外发控制等功能，有效防范客户端面临的安全威胁；在后端存储层面，采用了云存储技术，实现了数据的集中存储，通过高强度的加密、多重冗余、碎片化存储等多种技术，确保服务端的数据安全。

通过以上技术手段，保证企业的商密数据资产被有效识别并有效管控，同时，由于可以在云端服务器上设置管理统一、分级授权的安全防护机制，使得集团总部及各分、子公司的数据，在集中化的前提下得到了统一的保护。

3.2 介质管理与信息交换

在传统的数据安全解决方案中，对于介质管理采用的是简单的禁用策略，对企业用户的正常工作带来很多困扰，宝信在实施介质管理的过程中，限定了介质管控的外延，只有在涉及到商密数据访问的时候才对介质进行管控，不影响用户的非涉密正常使用。在eCop-TSP系统中，当终端用户建立安全磁盘视图访问商密数据时，如果用户使用不受管控的移动介质，安全磁盘会自动识别并关闭，防止数据外泄；只有当用户使用登记审核过的受控移动介质，才可以访问安全磁盘中的商密数据。

受控移动介质内置受控的数据运行环境，有权限的用户即使将数据拷贝到受控移动介质中也只能在受控环境下访问，无法二次拷出或者传输，通过该手段可以有效确保数据不会通过移动介质泄密。

另外一方面，企业内部的数据协同需求非常旺盛，现代企业更多的是采用邮件或者U盘的方式解决数据共享的问题，但这恰恰是数据泄密的最重要渠道，在eCop-TSP系统中，采用了云存储技术对涉密数据进行集中管理，并植入高效的协同机制，可以让用户快速地将安全数据磁盘的文件共享给他人，共享文件直接从云端服务器进行下载，降低使用U盘等移动介质共享文件时带来的安全风险。

在数据共享过程中，采用群组对数据信息进行权限管理，所谓群组是利用云存储实现多人数据共享和协作的一种新的应用模式。用户可根据组织或者项目的范围创建群组工作区，群组内不同用户之间可快速的实现协作与共享，群组有如下特性：

——群组创建。授权用户可创建群组，并在企业组织树形结构列表中选择用户，邀请加入群组。

——群组同步。群组中的数据，群组中一旦有用户上传或修改文件，变化的内容即时推送至群组内所有用户的客户端。

——群组归档。当群组的生命周期结束后（如项目完工），管理员可对群组进行归档。归档后所有文件自动从所有成员的客户端上清除。

——群组授权。群组管理员可对群组的所有文件统一授权，授权类型包括文件创建、读取、修改、删除。

——目录分级授权。群组管理员可为每个目录设定1名或多名目录管理员，目录管理员可对其他用户进行二次授权，授权类型包括文件创建、读取、修改、删除。

通过以上技术手段，在企业数据共享过程中，可以尽量降低高风险的移动介质使用频度，另外在数据的安全性方面，用户在上传文件时同样采用独立的密钥对每个数据块进行加密。数据块密钥保存在群组工作区数据库内，所有群组用户均可以获取密钥对数据进行解密访问，实现企业新型的协同办公，从而确保企业具备高效安全的信息交换手段。

3.3 数据备份

企业商密数据管控过程中，数据安全无疑是最重要的，在eCop-TSP中，存放在云端的文件在上传前已经被分割成数据块，每个数据块使用独立的密钥进行加密，加密算法采用AES算法，密钥长度为256位。即使通过某种途径获取到某个数据块密钥，也无法解密其他数据块，不会危及其他用户的数据安全。另外当数据存储在云端时，系统根据预设值的策略，自动进行多重镜像备份。在硬件方面，可采用多台物理服务器，从硬件层把数据的存放位置分开，消除单点故障。在单台服务器出现异常的情况下，依然能保障系统正常运行，保障数据不丢失。

3.4 商密访问控制

ISO27001中关于访问控制有明确的要求，在条款A10.10.1要求组织必须记录用户访问、意外和信息安全事件的日志，并保留一定期限，以便安全事件的调查和取证；

条款A10.10.4要求组织必须记录系统管理和维护人员的操作行为；

条款A15.1.3明确要求必须保护组织的运行记录；

条款A15.2.1则要求信息系统经理必须确保所有负责的安全过程都在正确执行，符合安全策略和标准的要求。

在宝信实施ISO27001的过程中，针对商密数据保护，经过详尽的分析，发现企业的应用本身都采用了完整的访问控制，而对于特权账号的管控则存在很大的泄密风险，因此在实施上采用的宝信自主研发的特权账号管控与审计平台（eCop-ASP）进行商密访问管控，宝信eCop-ASP特权账号管控与审计平台支持多种身份认证方式，包括静态密码、Windows AD域、Radius认证、LDAP认证、数字证书等，此外还可以通过认证接口扩展与第三方认证系统的集成。通过“操作审计账号”与“服务器账号”关联的方式，为每次访问过程建立账号关联信息，从而实现将用户身份的通过操作账号落实到唯一的操作“自然人”。

除了按照主机对象进行授权外，特权账号管控与审计平台也能够提供指令级细粒度的访问控制，最大限度保护用户资源的安全。管理员可以设定每个用户能够使用的黑、白指令集，一旦操作人员执行黑名单指令，操作系统会自动阻断其操作，从而最大限度保护云存储服务器的安全，确保操作用户访问商密数据过程的合规性。

4 总结

宝信在实施ISO27001过程中，所形成的这些最佳实践，可以作为有益的知识进行传承，为其他企业提供帮助，在实施过程中所采用的技术手段具有很强的创新性与先进性，也值得其他企业参考。与传统的数据防泄密产品相比，宝信所采用的基于云存储的商密保护产品，改变了以往企业商密数据分散在员工个人手中难以管控的局面；以数据集中存储，分级管理为核心理念，改变商业秘密分散管理、各自为政的局面；通过数据的自动汇聚、灵活的分级管理策略和全面的业务管理流程，更加贴近企业保密业务的需求特点，具有管控全面、流程完备、使用简便、扩展灵活、成本低廉的优势。而且，在充分保证数据安全的同时，该产品还提供了数据共享、传递等协同办公功能，实现了安全与效率的有效平衡，可为企业带来最佳的可控性和可用性。

（略）