守住商业秘密 护航海运发展.docVIP

守住商业秘密 护航海运发展近年来，各行各业在日常运营中产生的数据量呈几何级数增长，这些数据中的很大一部分构成了企业中的商业秘密。商业秘密是企业的宝贵财富，蕴含企业积累数年甚至数十年的生产知识，一旦外泄，将会对企业造成难以弥补的损失。随着中国海运信息化程度的不断提高，给商业秘密的保护也带来了前所未有的风险和挑战，因此，中国海运集团对保护商业秘密尤为重视，旗下中海信息系统有限公司通过建立商业秘密保护平台，达到企业保护商业秘密的目的。商业秘密面临风险中国海运集团是以航运为主业的跨国经营、跨行业、跨地区、跨所有制的特大型综合性企业集团，集团及下属子公司逐步建设了自己的信息系统，这些系统每天会输出大量新的业务数据和企业内部文件。各子公司系统之间数据交互，复杂的地域联系，使得中国海运集团的企业数据在通过公网在各子公司之间传输时，很容易遭到黑客的攻击和嗅探，安全威胁频发。企业现有的安全机制已经难以满足目前的信息安全需求，过去针对来自企业外部网络威胁的防范已显得力不从心，加之企业内部人员对商业秘密不正当的操作和使用，手机、平板电脑等移动终端的普及，使得传统的管理和技术手段很难确保数据在流通中的保密性。目前，中国海运集团的商业秘密首先面临丢失的风险。比如硬盘损坏造成的数据丢失，员工离职或调岗时工作交接不完整可能造成的数据丢失等。数据丢失对企业信息资产是一种慢性侵害，将导致企业的信息资产无法形成长期而有效的积累。商业秘密外泄也是一大风险，这将会对企业造成极大的损失。以文件形式存在的企业商业秘密数据缺乏必要的标识和保护，导致员工在未意识到的情况下，通过邮件或聊天工具向外传递文件造成数据泄密，或是由于笔记本、U盘、移动硬盘、智能手机等便携设备丢失导致数据泄密。这些数据没有明确的商密标记，缺乏必要的加密保护，安全防护较为薄弱，当被用户下载到个人终端后，企业无法对这些数据实行有效的监管，即使发生泄密事件也难以追责。另外，虚拟化技术的引入使得传统的基于物理服务器为单元划分网络安全域的方法发生了改变，与传统的基于安全域隔离的模型不同，云计算模型不再有物理机的隔离，相应的网络隔离也不再存在。系统遭到黑客入侵，也会带来机密文件的篡改、泄密或者丢失。最后，数据在用户多个终端设备之间的共享，可能导致用户的数据泄密和病毒木马传播更加容易，如何帮助用户解决此类问题，维护企业业务发展，是中国海运一直在探索的课题。在传统的防御中，企业一般通过基础网络建设对企业的内网安全进行加固，规范内网用户的行为并预防来自外网用户的恶意攻击。目前，中国海运已经建立了信息安全技术体系：通过在网络边界部署上网行为管理设备，进行流量控制、流量负载均衡、是否允许用户上网等管控：通过专业硬件的防火墙，利用应用感知检测引擎，提供强大的应用层安全，防御网络层和应用层攻击、拒绝服务（Dos）攻击以及各种病毒和恶意软件；通过漏洞管理产品和入侵检测系统，高效、全方位地检测网络中的各类脆弱性风险，提供专业、有效的安全分析和修补建议，并贴合安全管理流程对修补效果进行审计，最大程度减小受攻击面；通过部署防病毒网关，阻挡病毒进入网络；通过在内网设备上部署防病毒软件，消除网络病毒对内网设备的影响。中国海运商业秘密保护平台设计不过，信息安全技术体系并不能让企业真正做到高枕无忧。商业秘密的保护应以数据安全为核心、物理介质安全为基础、网络安全为保障，并需对终端和移动介质进行必要的管控。结合中国海运信息化建设现状和未来发展趋势，利用成熟的信息技术手段，中国海运建立了商业秘密保护平台，保护机密数据不被流失泄露，确保企业核心经营信息和技术信息安全，为国有资产保值增值发挥重要保障作用。商业秘密保护系统综合分析企业的整体安全需求，能够从上级企业逐步推行至下级各子公司，安全技术的使用不能以影响业务系统正常运行、降低员工的工作效率为代价，安全技术规划需考虑安全要求与业务要求的平衡性。因此，中国海运商业秘密保护平台应当融合管理与技术手段，平台模型如图1所示：商业秘密保护平台划分为基础平台层、数据管理层和用户使用层三层架构。在基础平台层，逻辑上采用云存储基础架构，配合云平台强大的备份容灾能力，提供商业秘密保护的底层基础平台；在数据管理层，通过商业秘密保护系统对数据的加密和权限管理保证商业秘密在传输、使用过程中不发生泄露；在用户使用层，通过统一身份认证系统对用户接入的认证和系统中对用户行为的管控，达到保护商业秘密的目的。建立统一的身份认证系统。传统的身份认证技术在云计算环境中仍然适用，特别是基于“用户名+口令”的身份认证，目前仍然是使用最广泛的认证方式。但是，在企业信息化发展过程中，逐步积累了诸多的企业信息化管理系统，对每一个信息系统，都会独立设置自己的身份认证方式，这不仅增加了系统维护的困难，也造成了后续系统建设的资源浪费。对此，中国海运认为