用技术保护技术

2021-01-10 00:09敖瑾
南都周刊 2021年12期
关键词:信服访问控制技术手段

敖瑾

10月份在深圳举行的首届商业秘密保护湾区峰会上,《企业商业秘密管理规范》发布。在这份共有十三章节,涉及人员、区域、物品、信息软件等各个维度的商业秘密管理规范中,可以看到,技术手段在商业秘密保护中发挥着重要作用。

技术手段门槛高,且费用不低,对于技术手段到底可以做到哪些,以及应该采用哪些手段,很多企业仍存在疑惑。

参与制定《企业商业秘密管理规范》的深信服科技股份有限公司,是一家专注于企业级网络安全、云计算、IT基础设施与物联网的产品和服务供应商,是提供商业秘密保护整体解决方案的头部企业。而这样一家企业,自身也存在着商业秘密保护的需求,这或许更能为企业提供技术手段保护商业秘密的借鉴。

深信服最早对商业秘密保护开始重视,也是由于事件驱动。

2018年,深信服的一位老员工离职后,带走了公司的客户名单和商业机会,还凭借着对业务的熟悉,将原公司的客户和项目“一挖一个准”。项目机会和客户关系遭到恶意挖角和搭便车的行為,是深信服绝对不能容忍的。虽然公司针对这些不正当竞争行为及时采取了法律措施,对相关人员也采取了法律行动,但还是给公司利益造成了一定的损害。

深信服法务总监胡海斌告诉南都周刊记者,在正式开始搭建商业秘密保护体系之前,深信服先全盘梳理了公司税务、法务、财务、技术等经营信息和技术信息。

其次,深信服确立了商业秘密保护的工作方向,即实行商业秘密的分类分级保护:

杜绝任何泄露的风险,比如源代码,侧重“0发生”,以隔离为主;

杜绝全量数据泄露的风险,比如,非全量的销售信息,侧重预警和法律反制,以审计和访问控制为主;

侧重预防和事后追责,以宣贯、访问控制、审计及法律反制为主。

接下来就是结合技术手段,对不同等级的商业秘密进行管理。

深信服有一套专门用于监控数据安全的系统,企业数据当前的安全态势、安全事件、网络攻击态势、外连数据和流向等都将以图表或模型的形式清晰地记录、保存。深信服每月都会进行内部信息的安全稽查,滚动监控信息的运输情况,一旦出现异动,相关人员就可以迅速做出反应。

“有一次,一个员工的电脑坏了,公司配发了新电脑后,他就把旧电脑的数据拷贝到新电脑,信息安全部马上就给他发消息,询问突然大量拷贝数据的原因,最后需要经过信息安全部同意后,数据拷贝才能继续进行。”胡海斌举例说。

随着云计算、大数据、物联网等新兴技术的兴起,企业传统的安全边界逐渐被打破,特别是新冠疫情以来移动办公的流行,给企业的商业秘密保护带来了更大的挑战。

“零信任”是一种解决的办法,具体到实际操作而言,就是网络隔离,数据不落地以及严格且灵活的访问控制。

网络隔离,指的是企业研发部门拥有自己独立的研发网络,配备独立的服务器和网络,避免与其他部门的网络交互。

而数据不落地则依靠云桌面来实现。在深信服展厅,记者看到了云桌面的运行原理。云桌面将所有的数据都保存在云端,通过沙箱实现轻量级数据的本地隔离。也就是说,员工看到的数据都以图片形式出现,图片定期被覆盖,上面还有加密的代码水印,以此保证全量数据在服务器上无法转移。

另外,通过这种云端存储的方式,接触保密信息的员工用的电脑里没有存留任何数据,他们只能看到数据远程输出后的结果,也就无法对数据进行任何拷贝或窃取。云桌面可以在公有云、私有云部署,也可以在本地数据中心分布式部署,通过云桌面实现对数据安全可控的管理。

严格且灵活的访问控制,指的是对人、物(终端)默认不信任,通过运用统一身份管理、动态访问控制、业务及数据访问以及数据隔离等多种手段实现有效且灵活的数据访问控制。可以实现不区分内网外网,不区分终端类型,不区分网络环境下的数据访问控制,实现了不同的办公方式和数据保护之间的平衡。

基于零信任概念的解决方案就相当于网络世界的门禁卡,可以应用到所有的产品中去,这本质上是员工进入系统访问数据前的权限控制。“好处就是个人办公不用分内网外网了,在家里、在机场、在车上都可以办公。”胡海斌介绍,零信任概念的出现就是因为疫情在家办公需求的催化。

他介绍,深信服还由此升级了移动办公软件。“所有人在登录公司网络之前,都需进行一次身份验证,验证内容除了常规的账号密码,还会关注账号登录的地点和场景,有时需要用手机号进行再次验证。多重维度验证后,证明确实是员工本人在合适的地方、合适的场景,才能允许用户进入公司网络。”

胡海斌在2016年入职深信服,他记得,在2018年正式开启商业秘密保护体系建设前,深信服每年都会处理十几起泄密事件,但近两年相关事件的数量越来越少,他认为这是公司员工逐渐接受并遵守商业秘密保护规则带来的结果。

但他仍然保持着警惕,“在技术和制度都逐渐完善后,商业秘密保护是否还存在着无法被监管到的角落?新的商业模式、新的产品形态、新的研发模式或新的移动终端的出现,原有的保护体系是否同样能够实现商业秘密保护的理解和平衡?比如,华为的研发部门和安全部门都有门禁,不能携带任何带有摄像头的设备,但未来智能眼镜出现后该怎么办?”

胡海斌始终认为,“商业秘密的保护存在一个度,不可能做到百分之百的安全”。而如何正确地把握这个度,是企业从最开始建立商业秘密保护工作目标和工作机制时,就要考虑的一个问题。“达到业务效率和保密合规之间的平衡,这才是最核心的点。”

“商业秘密的保护存在一个度,不可能做到百分之百的安全”。达到业务效率和保密合规之间的平衡,才是最核心的点。

猜你喜欢
信服访问控制技术手段
广播电视无线数字化覆盖工程信号源传输方案
跟踪导练(三)6
云的访问控制研究
浅谈让学生信服的有效途径
云计算访问控制技术研究综述
创造性技术启示中的技术动因论
论现代信息技术在学科服务中的应用
有效管理班级方法探微
校园骨干层网络交换机的访问控制技术