3sNews訊 2012年11月28日上午，由中國計算機(jī)用戶協(xié)會、中國互聯(lián)網(wǎng)協(xié)會、比特網(wǎng)、IT專家網(wǎng)主辦，比特CIO俱樂部承辦的“2012第五屆中國CIO年會”在北京國家會議中心隆重舉行。本屆年會以“新技術(shù)浪潮下的IT變革”為主題，共同探討中國信息化的發(fā)展與CIO未來的職責(zé)轉(zhuǎn)換。

譚孟恩

　　華途軟件副總裁兼CTO譚孟恩在大會作了《信息化環(huán)境下的數(shù)據(jù)安全探討》的演講。

　　譚孟恩：今天我很榮幸能夠在這里和大家分享一下，我們?nèi)A途軟件在信息化環(huán)境下數(shù)據(jù)安全保護(hù)的一些心得。我今天演講的題目是“信息化環(huán)境下數(shù)據(jù)安全防護(hù)”。演講總共分五個部分，首先我來介紹一下數(shù)據(jù)安全的需求分析。談到信息安全，總會從媒體上了解各種各樣的信息泄密的事件，這里我們列舉了其中的一些事件，信息泄密不僅使企業(yè)的經(jīng)濟(jì)蒙受損失，而且會帶來各種各樣的經(jīng)營風(fēng)險，嚴(yán)重的還會帶來政治風(fēng)險，所以這對來說就像是一個定時炸彈，對CIO來說，尤其顯得更為重要，因為你不知道它什么時候會發(fā)生，會產(chǎn)生什么樣嚴(yán)重的后果?所以我們認(rèn)為，企業(yè)防止信息泄密是企業(yè)信息化建設(shè)的一個首要任務(wù)。

　　為什么會有這么多的企業(yè)信息泄密事件呢?我們認(rèn)為其中一個關(guān)鍵原因，就是企業(yè)的信息或者數(shù)據(jù)都是有價值的，這是我們以美國為例列舉了一些數(shù)據(jù)，這里看到企業(yè)信息泄密不是無意事件，而是有目的的，受利益驅(qū)動，就像以前，那些黑客攻擊，他是為了顯示他的技術(shù)能力，但是現(xiàn)在的黑客攻擊他的主要目的就是為了利益。像現(xiàn)在熱議的APP工具，它經(jīng)過長期的分析，大量數(shù)據(jù)的統(tǒng)計，然后才來進(jìn)行攻擊，如果沒有利益的驅(qū)動，我們認(rèn)為它是不會這么干的，所以說如何防止這種受利益驅(qū)動的信息泄密事件的出現(xiàn)，是我們企業(yè)信息化建設(shè)過程當(dāng)中必須高度重視的一個問題。

　　這里是常見的一些信息泄露途徑，有黑客通過互聯(lián)網(wǎng)獲取單位的機(jī)密信息，有計算機(jī)病毒或者木馬來或許單位的機(jī)密信息，有內(nèi)部員工有意或無意拷貝和發(fā)送單位的機(jī)密信息，最后各種各樣的商業(yè)間諜，試探或者收買內(nèi)部員工獲取單位信息，單位的機(jī)密信息。

　　接下來我從幾個方面來闡述一下信息保護(hù)的重要性。首先我們來看一下內(nèi)部數(shù)據(jù)泄露的危害性，這個是權(quán)威機(jī)構(gòu)調(diào)查的一些統(tǒng)計數(shù)據(jù)，有70%以上的企業(yè)發(fā)生過內(nèi)部人員數(shù)據(jù)流失，只有23%的數(shù)據(jù)流失由于惡意程序引起的，92%的人員使用過公司的郵箱發(fā)送過核心數(shù)據(jù)，55%使用自己的設(shè)備將企業(yè)數(shù)據(jù)帶出辦公場所，調(diào)查顯示，超過80%的嚴(yán)重安全事件是由于內(nèi)部數(shù)據(jù)泄露造成的，內(nèi)部員工泄密使黑客造成損失的16倍，使病毒造成損失的12倍。從這里可以看到內(nèi)部泄露遠(yuǎn)遠(yuǎn)大于病毒引起信息的泄露。

　　我們來看一下信息安全發(fā)展方向變化。國外權(quán)威機(jī)構(gòu)對國內(nèi)信息安全市場做了一些調(diào)查，調(diào)查發(fā)現(xiàn)，2009年以前，企業(yè)的信息化建設(shè)以防護(hù)墻、防病毒等外網(wǎng)入侵保護(hù)為重點，從這個圖上可以看到，防火墻防病毒的產(chǎn)品的增長率像文檔加密類產(chǎn)品的7倍左右，到了2010年情況發(fā)生了變化。從圖上可以看到，文檔加密類增長率和防病毒、防火墻這些產(chǎn)品已經(jīng)差不多了。這說明信息安全發(fā)展方向發(fā)生了嚴(yán)重，從外網(wǎng)入侵保護(hù)轉(zhuǎn)向內(nèi)網(wǎng)資源保護(hù)，從網(wǎng)絡(luò)安全防護(hù)轉(zhuǎn)向內(nèi)容安全防護(hù)。近幾年來，數(shù)據(jù)內(nèi)容安全防護(hù)得到了高度的重視和迅速的發(fā)展。

　　接下來我們看一下企業(yè)面臨的各種挑戰(zhàn)，前面各位專家都提到這個問題，主要是不斷演變的IT格局，這個圖上可以看到，這種變化主要有四個方面，首先是云，云計算、云存儲、云操作系統(tǒng)，慢慢從理論研究、媒體的宣傳進(jìn)入到企業(yè)的實際應(yīng)用。第二是虛擬數(shù)據(jù)中心的出現(xiàn)，企業(yè)的數(shù)據(jù)不再做局限在企業(yè)的內(nèi)部，企業(yè)數(shù)據(jù)可能分布在各個地方，尤其對于大型集團(tuán)公平和跨國公司來說，企業(yè)數(shù)據(jù)肯定不會在一個地方。第三是，Biod，這是手持設(shè)備帶來的，越來越多不受企業(yè)管理設(shè)備進(jìn)入到企業(yè)內(nèi)部。第四是不斷延伸的供應(yīng)鏈，所有這些對企業(yè)IT管理帶來了新的挑戰(zhàn)，我們要問一下我自己，我們是不是可以來拒絕這種變化呢?答案顯然是否定的。有些改變是為了企業(yè)提高生產(chǎn)率，必須采取，有些是為了降低成本，提高業(yè)務(wù)的靈活性必然采取的措施，所有這些改變使得企業(yè)傳統(tǒng)邊界遭受侵蝕，大家覺得企業(yè)學(xué)習(xí)沒有邊界，越來越?jīng)]有像以前傳統(tǒng)的防護(hù)的方式。

　　對于信息安全管理來說，我們迫切需要適應(yīng)這種變化，我們需要一種沒有邊界或者跨越邊界的信息保護(hù)機(jī)制，大家可以看到，企業(yè)數(shù)據(jù)正在離開，企業(yè)外部的設(shè)備，正在突破企業(yè)的邊界，企業(yè)管理信息，因為供應(yīng)鏈的延伸正在跨越企業(yè)的邊界。下面簡單介紹企業(yè)信息保護(hù)的基本要求。

　　首先我們認(rèn)為，企業(yè)的數(shù)據(jù)或者企業(yè)的信息應(yīng)該在原處保護(hù)數(shù)據(jù)，因為利用程序會將數(shù)據(jù)保存在各種存儲設(shè)備上，所以我們認(rèn)為數(shù)據(jù)在離開應(yīng)用程序之前必須加密，數(shù)據(jù)如果在某個范圍內(nèi)，局域網(wǎng)不加密，離開這個范圍才加密，就像這個數(shù)據(jù)放在保險箱，保險箱突破了數(shù)據(jù)沒有安全性。

　　第二，需要在合適的層次保護(hù)數(shù)據(jù)，在文檔，而不是在磁盤或者其他結(jié)點保護(hù)數(shù)據(jù)，像Biad這樣的產(chǎn)品鎖住了前門，門一旦被打開就會進(jìn)入，這種解決方案，只是鎖住了自行車的車架安全只是在特定的范圍內(nèi)起作用，離開這個范圍，這都不是我們企業(yè)信息保護(hù)所需要的東西。

　　第三，在加密的基礎(chǔ)上授權(quán)，單純地加密，我們認(rèn)為只是把安全域做了簡單劃分，分為加密數(shù)據(jù)和不加密數(shù)據(jù)，做到精細(xì)化數(shù)據(jù)控制在加密基礎(chǔ)上進(jìn)行授權(quán)，DRM，通常意義上的DRM跟文檔和數(shù)據(jù)格式有關(guān)系，跟流媒體這種有關(guān)系的。但是我們這里所說的DRM是通用的，適用于所有的數(shù)據(jù)類型或者文檔類型。

　　下面我介紹一下華途數(shù)據(jù)安全解決方案。

　　說話我講一下我們的設(shè)計理念，我們認(rèn)為，信息的重要性決定性的保護(hù)方式，信息資產(chǎn)是企業(yè)的重要資產(chǎn)，不同的信息資產(chǎn)的重要性是不一樣的。信息信息安全保護(hù)需要根據(jù)信息的重要性，采取不同的保護(hù)方式，要有差別的對待，而不是所有的數(shù)據(jù)或者所有的信息都采用同一種保護(hù)方式。

　　第二，做到安全和效率的平衡，不同的部門，對信息的安全要求是不同的，對信息的流通性要求也是不同的，有的部門對信息安全要求比較高，流通性相對比較低，有的部門對信息的安全性要求可能相對低一點，但流通性要求比較高，而信息的流通性成本是很高的，所以作為一個解決方案或者作為一個系統(tǒng)，需要平衡安全性和效率這兩個方面。

　　第三，安全策略應(yīng)用性和靈活性。一個信息安全保護(hù)方案，要能夠真正的得到實施，對終端用戶來說不能非常復(fù)雜，所以我們認(rèn)為信息安全的策略要提供足夠的顆粒度，避免操作的復(fù)雜性，同時信息安全策略提供足夠的靈活性，使得安全策略能夠滿足企業(yè)不同的安全需求，這是我們的解決方案的設(shè)計理念。這是我們的總體框架，華途數(shù)據(jù)安全解決方案，以企業(yè)信息為核心，以加密為基礎(chǔ)，功能主要包括監(jiān)控審計、應(yīng)用程序泄露保護(hù)、權(quán)限管理、審批流程四大主要功能。

　　接下來我對其中一些做一些詳細(xì)的介紹。首先我們來看一下數(shù)據(jù)的內(nèi)部流轉(zhuǎn)，根據(jù)上述設(shè)計理念，華途數(shù)據(jù)安全解決方案采用了強(qiáng)制加密和主動加密相結(jié)合的模式，我們來演示一下這個強(qiáng)制加密和主動加密在組織中的應(yīng)用過程，服務(wù)端可以對不同的部門下發(fā)不同的安全策略，比方說對研發(fā)設(shè)計部門，采用強(qiáng)制加密的手段，對業(yè)務(wù)管理部門采用主動加密的方式，而對于財務(wù)情報部門采用強(qiáng)制加密加主動加密的方式。

　　強(qiáng)制加密它實現(xiàn)文檔自動的、透明的加密，它不改變用戶使用習(xí)慣，比較適合研發(fā)設(shè)計部門，但是對于銷售管理部門或者行政管理部門來說，采用強(qiáng)制加密會有一定的阻礙，因為這些部門它的文檔或者數(shù)據(jù)流轉(zhuǎn)性比較高，如果都采用強(qiáng)制加密，它的效率受到極大的影響，因此我們在這些部門我們認(rèn)為可以采用主動加密的方式，主動加密可以自主選擇需要加密的文檔，主動加密加上權(quán)限控制，就可以解決企業(yè)內(nèi)部文檔的非法訪問和越權(quán)訪問。采用這種強(qiáng)制加密和主動加密相結(jié)合的加密模式，文檔在各自的部門當(dāng)中流轉(zhuǎn)不受影響，在跨部門進(jìn)行交換時，通過授權(quán)的方式可以實現(xiàn)快速的共享。

　　第二，我們講一下權(quán)限管理。針對主動加密，系統(tǒng)可以采用多維度的授權(quán)方式，如控制文檔的打印、復(fù)制、解密等，但在企業(yè)實際運用過程當(dāng)中，一般都是采用密集管理方式，我們講多維度的權(quán)限管理和密集管理結(jié)合起來，密集定義了文檔流轉(zhuǎn)的范圍以及相應(yīng)的權(quán)限，企業(yè)可以自定義密集，把密集賦予一個文檔，就實現(xiàn)了這個文檔的權(quán)限的精細(xì)化管理，同時系統(tǒng)能夠提供自主授權(quán)方式，采用密集和自主授權(quán)的兩種方式，滿足用戶不同的權(quán)限管理的需求。

　　第三，應(yīng)用系統(tǒng)的集成。絕大部分的企業(yè)現(xiàn)在已經(jīng)部署了大量的應(yīng)用系統(tǒng)，OA系統(tǒng)、PDM系統(tǒng)，這些系統(tǒng)也會來存儲或者處理文檔，但是它無法識密集，所以客戶端到了服務(wù)器端進(jìn)行數(shù)據(jù)轉(zhuǎn)換，在我們解決方案中提供了文檔安全網(wǎng)關(guān)，實現(xiàn)文件上傳和下載。

　　這個數(shù)據(jù)的外部流轉(zhuǎn)有多種形式，首先是郵件因為郵件是我們工作中重要溝通手段，我們提出了基于MTP協(xié)議的安全網(wǎng)關(guān)，郵件外發(fā)的時候自動解密成明文，提高企業(yè)整體工作效率。其次，還有密文外發(fā)和明文外發(fā)，密文外發(fā)有密碼、授權(quán)碼多種手段，控制文檔的打開時間和打開次數(shù)。這是我們的可配制的審批流程。信息需要共享，文檔需要流程，這種流轉(zhuǎn)不僅包括企業(yè)內(nèi)部使用范圍的變更以及權(quán)限的變更，還涉及到信息和數(shù)據(jù)對外的流轉(zhuǎn)，比如說把文檔或者數(shù)據(jù)發(fā)送到政府部門、供應(yīng)鏈，保證文檔的有序需要相應(yīng)的流程來保證。同時，也需要有相應(yīng)的工具來保證流程的正常執(zhí)行，我們提供了靈活的可自定義、可配置的審批流程幫助企業(yè)快速實現(xiàn)文檔的流轉(zhuǎn)和交換。

　　文檔的歸檔安全管理，針對文檔的安全歸檔管理，文檔在服務(wù)器上技術(shù)統(tǒng)一的分類和集中存儲，集中存儲有很多好處，解決文檔的流失、統(tǒng)一發(fā)布，一旦集中管控以后安全性顯得尤為重要。我們采用了文檔目錄權(quán)限管控，操作權(quán)限管控，以及客戶端上的防泄露的處理解決文檔在歸檔過程當(dāng)中，以及在共享過程當(dāng)中的安全性。

　　下面簡單介紹一下我們解決方案的特點。

　　首先是應(yīng)用層和驅(qū)動層相結(jié)合的內(nèi)核技術(shù)，內(nèi)核技術(shù)的發(fā)展經(jīng)歷了靜態(tài)加密技術(shù)和動態(tài)加密技術(shù)，這幾個不同的方面。我們認(rèn)為要實現(xiàn)文檔的全方位的防泄露，提高系統(tǒng)的穩(wěn)定性，單一的內(nèi)核技術(shù)已經(jīng)無能為力了，所以說華途軟件率先將這個應(yīng)用層技術(shù)和驅(qū)動性技術(shù)結(jié)合起來，系統(tǒng)的穩(wěn)定、高效運行提供了技術(shù)保證。文檔全生命周期管理，我們解決方案以安全內(nèi)核和監(jiān)控審計為兩個不同的維度，實現(xiàn)從創(chuàng)建、存儲、訪問、傳輸、使用、銷毀到歸檔的全生命周期的安全管理。

　　合規(guī)性，良好的合規(guī)性是一個信息安全解決方案的重要方面，華途數(shù)據(jù)安全解決方案符合中央企業(yè)商業(yè)秘密保護(hù)，國家信息安全等級保護(hù)條例，像吉利汽車采用了我們的解決方案，通過了IOS27000?？杉尚院茫珽RP、PDM、OA實現(xiàn)無縫接入。

　　這是我們在上海汽車的集團(tuán)化分布式部署的案例分析，這是我們在吉利汽車集團(tuán)化分布式的部署的案例分享。

　　下面我簡單介紹一下我們公司，華途軟件有限公司成立于2007年，公司總部在杭州，在北京、上海、蘇州、福州、廣州等地設(shè)有分支機(jī)構(gòu)，數(shù)千家成功客戶，公司定位于中國領(lǐng)先的數(shù)據(jù)安全解決方案提供商，致力于成為中國最專業(yè)的防泄漏專家，企業(yè)使命為客戶提供B21的解決方案，這是我們公司的產(chǎn)品系列，我們公司的資質(zhì)，擁有安全產(chǎn)品所需要的所有產(chǎn)品，這是公司獲得的榮譽，這是我們的典型客戶，上汽、吉利、北車、南車，綜合集團(tuán)都是我們的重要客戶。謝謝大家。

　　(以上報告內(nèi)容為現(xiàn)場速記，未經(jīng)本人審核)