勘察设计企业的数据防泄露对策.docxVIP

PAGE 1 PAGE 1 勘察设计企业的数据防泄露对策  广西某设计公司就曾擅自复制从自治区测绘档案资料馆领用的涉密地图15幅，并且在公司一台连接着互联网的电脑里，存储了126幅涉密地图，给国家安全造成了隐患，被处以重罚。而事实上，由于多数勘察设计企业在发生数据泄露事故时，采取了沉思的态度，因此我们所见到的一些勘察设计行业的数据泄露事件，不过是数据泄露风险冰山的一角。因此，对勘察设计企业来说，客观分析数据泄露风险并在此基础上消退隐患，是必需补上的一课。  2011年是“十二五”规划的开局之年，中国勘察设计协会的工作指导意见中，明确提出在“十二五”期间，要把勘察设计企业建立信息安全保障体系做为一项重要工作来抓。勘察设计企业作为典型的技术、学问密集型企业，由于长期受行业特性的限制，信息化水平相对较低，企业内部对数据泄露问题缺乏足够的重视，但其带来的潜在风险却影响巨大。  广西某设计公司就曾擅自复制从自治区测绘档案资料馆领用的涉密地图15幅，并且在公司一台连接着互联网的电脑里，存储了126幅涉密地图，给国家安全造成了隐患，被处以重罚。而事实上，由于多数勘察设计企业在发生数据泄露事故时，采取了沉思的态度，因此我们所见到的一些勘察设计行业的数据泄露事件，不过是数据泄露风险冰山的一角。因此，对勘察设计企业来说，客观分析数据泄露风险并在此基础上消退隐患，是必需补上的一课。  勘察设计企业数据泄露风险分析  勘察设计企业的信息化始于白图对蓝图的替代过程，准确地说，这一过程是指计算机辅助设计印制图纸替代晒制蓝图。随着各类CAD软件的普及，这一过程帮助勘察设计企业实现了图纸文件电子化，提高了工作效率和图纸质量。但同样在这一过程之中，数据的安全隐患也开始显现出来。对勘察设计企业而言，原来一拉杆箱图纸价值几十万，而现在一个小小的U盘里的资料就可能价值几十万。数字化在带来便捷的同时，也增加了安全风险。  中小型勘察设计企业的信息化依靠程度较低，但同时抵挡风险的能力也低。一次数据泄露所造成的损失，对那些资质靠挂靠、项目靠分包的中小型勘察设计企业来说，足以威逼到企业的生存和发展。因此，中小型勘察设计企业虽然更看重安全成本，但因为成本原因而放弃安全机制的引入，明显不是明智的做法。  大型勘察设计企业的信息化建设水平较高，相当数量的大型（综合性）勘察设计企业的信息化水平已接近或达到同行业世界先进水平，实现了工程数据的共享和应用系统的集成。大型勘察设计企业的内部信息系统通常会涵盖综合办公管理模块、生产管理模块和图档管理等三个模块。与此相对应，数据泄露带来的危害也可能会在这三方面表现出来。  在图档管理模块，大型勘察设计企业在数据泄露方面与中小型勘察设计企业面临着同样的困惑。而在综合办公管理模块、生产管理模块，大型勘察设计企业信息管理系统的先天弱势可能会给数据安全带来更大的难题。  综合办公管理模块包括了公文管理、人力资源管理、财务管理、公共资源管理和资质管理。生产管理模块则包括了招投标管理、合同管理、外包管理、质量管理和设计项目管理。目前大型勘察设计企业信息化建设中所用的综合办公管理模块软件、生产管理模块软件，相当一部分是由单位专业人员自主开发，或是委托或和专业软件公司联合开发。这几种来源的软件，由于目前国家在设计院信息管理软件平台的开发研制方面，还没有一个统一的标准和规范出台，再加上开发人员流失等状况的大量出现，普遍存在难以集成、适应能力和通用性差的弱点。这在一定程度上助长了“信息孤岛”的出现，大量数据因此而需要借助各类介质实现手工转移和互通，这给数据泄密的发生埋下了隐患。  不难看出，勘察设计企业不论其规模大小，其财务、图档、经营、人事等敏感数据都或多或少地面临泄露风险。因此，在潜在风险面前建立防护机制，是急需进行的工作。  勘察设计企业数据泄露防护体系的建立  在建立勘察设计企业数据泄露防护体系的过程中，首先要考虑到随着应用复杂度的提高，勘察设计企业的信息管理系统必需被当做一个整体系统来考虑。与此相对应，数字的防泄密的应对措施也必需形成体系，根据风险等级引入相应的安全厂商的技术和服务。  对于中小型勘察设计企业而言，由于数据量和安全预算的限制，可以把防护对策集中在项目数据本身，形成文档加密、CAD加密，U盘加密的三级防护体系。  而对大型勘察设计企业来说，很多企业由于面临着计算机软件、硬件资源的全面整合，最终形成在行业内部实现计算资源、存储资源、软件资源、数据资源、信息资源的全面共享，因此在形成数据加密体系的基础之上，还要在包括存储和服务器安全的整体内网安全上下一番功夫。  目前可以供应防数据泄露服务的安全厂商颇多，亿赛通