CSO说安全 | 丛林:日化行业研发数据安全防护
由安在新媒体联合中国网络安全审查技术与认证中心(CCRC)共同举办的第二届“超级CSO研修班”,于2022年2月27日圆满结营。20位学员历时5个月,完成17节专业课程,经历名企参访、课堂作业、私董会和赛歌会,更交付了20篇毕业论文,最终,都以优异的成绩冲刺达标,获得由CCRC和安在新媒体联合颁发的结业证书。
第二届“超级CSO研修班的学员们分布更加广泛,不仅有银行、证券、保险、运营商、互联网,更涵盖了汽车、快递、快消、咨询、智能制造等多个领域。在导师引领和课程启发下,其所完成的毕业论文,也都极具代表性,是各自相关领域网络安全建设、实践与思考的精华之作。
本着分享交流之精神,我们特别精选几篇,以连载的方式呈现公众。希望借“CSO说安全”,让更多CSO们关注、支持并参与到CSO文化的沉淀积累和广泛传播中来。
CSO说安全:日化行业研发数据安全防护
前
言
随着数字化飞速发展,即时通讯、文件共享、数字协同、流程软件等工具在企业日常研发工作中的快速应用,企业在数字化的帮助下,提升了管理和工作效率,但同时也带来了新的数据安全问题。数字化的软件(设计软件、文件共享、研发系统等)存储了大量的配方、工艺流程、图纸等企业核心商业数据,为保障企业核心商业数据的安全使用,必须采用技术手段对企业核心数据进行加密、访问控制、安全管理,防止技术成果和涉密资料的泄漏。
研发的材料开发、配方开发、工艺流程是公司的核心数据,也是公司的核心竞争力,如何有力地保护企业的核心数据也成为了不可回避的问题。
■数据泄密的定义
数据泄密是指企业的机密数据未经公司授权许可,从组织内部传输到组织外部,或者从有权访问的人传输到无权访问的人,并且可以查看它们包含的内容。
■数据泄密的类型
信息的泄密可分为被动泄密和主动泄密。
被动泄密是指信息资产拥有者或使用人非主观意愿下泄密的风险, 包括计算机硬件的遗失或被窃风险,感染病毒或木马等无意识的信息泄密。
主动泄密是指主观故意泄露或窃取信息,根据咨询机构统计,80 %的泄密为主动泄密, 主动泄密是信息防护的主要目标。
■信息泄密的主要途径,包括但不限于
1. 终端泄露(电脑、手机、Pad等)
2. 传输泄露(数据在传输过程中出现泄露)
3. 应用泄露(应用系统的安全防护不足,出现泄露)
4. 服务商泄露 (合作伙伴,上下游供应商,外包人员等)
研发安全面临挑战分为六个维度:终端风险、研发管理、合作伙伴风险、信息系统风险、安全组织与建设风险、运维风险。
■终端风险
人员意识、人员技能和防护措施缺乏导致的风险。
■研发管控风险
数据分类分级不当,缺乏信息化平台,缺乏权限管控,明文传输等风险。
■研发合作伙伴风险
上下游、外包人员等合作供应商在数据外发的过程中遇到的风险。
■研发信息系统风险
信息化基础建设方面的风险。包括:主机、网络、机房管理等等。
■组织与建设风险
安全组织、体系建设不足的风险。
■运营风险
对于安全运营的响应及处理不及时风险。
针对面临的挑战,提出针对性的安全建议:
■加强人员安全意识
保密意识是商业秘密保护的灵魂,任何一件事情都是人在起主导作用,商业秘密的安全同样是人在起主导作用。人员意识是信息安全工作中容易被忽视,但却是最重要的一部分。定期做好信息安全宣传工作,包括:信息安全周、学霸养成记、信息安全培训、防钓鱼推广等活动,对于人员意识的提升和减少信息泄露非常有帮助。
■研发数据管控
研发数据管控的基础是数据的分类分级。公司研发需要选择行业先进的研发系统,加强权限管控和监管是必要的防范措施。
涉密文件的管理方法:
(1)首先要建立涉密文件的管理制度,明确管理的职责和工作流程,这也是完善商业秘密保护制度的一项工作。
(2)按照建立的涉密文件管理制度中密级划分标准,进行商业秘密文件密级的划分及标识。通常在文件封面标记“机密”、“秘密”、“公开”字样。
(3)商业秘密文件的收发管理。对涉密文件进行登记,注明每份文件的编号、制作份数、制作日期,同时做好收文和发文签收记录,防止涉密文件在收发过程中流失。
(4)商业秘密文件的保管。对涉密文件应采取一定物理性保管措施,指定专门的存放场所。
(5)商业秘密文件的查阅复制。应当在涉密文件管理制度中对商业秘密文件的阅读权限进行规定。查阅涉密文件,应限制在最小范围内,并且是在安全区域内进行阅读。
(6)商业秘密文件的销毁。当涉密文件不再需要时,必须清退或销毁。
■研发合作伙伴管理
对企业而言,保密意识必须涵盖全体员工,甚至与之相关的供应商、合作伙伴或顾客,因为他们都可能存在泄密的渠道,要使他们成为企业保护商业秘密篱笆的一个组成部分。只要拥有了正确、全面、持续的保密意识,商业秘密保护就会成功一半。
合作伙伴的管理在信息安全日常工作中容易被忽视,需要建立完整的数据全生命周期管控,从采集、数据传输、数据存储、 数据使用、数据共享和数据销毁形成完整闭环的安全管理。
■基础设施的安全保障
基础设施的安全也是研发安全的重要环节,包括但不限于: 终端安全、网络安全、主机安全、应用安全、数据中心安全、云平台安全等。
▷终端安全:防止内部设计员工通过邮件、微信、QQ、网盘下载等网络端口发送设计作品。
▷网络安全:通过网络态势感知系统,了解企业内网中的信息安全隐患,包括:信息泄露,内外部攻击等情况。
▷主机安全:对于主机安装类似青藤云主动防护软件加强研发主机的安全管理。
▷应用安全:使用WAF、漏洞扫描,完善应用安全研发体系。
▷数据中心安全:核心研发系统应采用物理隔离的方式。
▷云平台安全:在多云平台的情况下,云平台安全应整体规划,同时云平台上SaaS安全模块作为补充。
■构建完善的信息安全防护体系
参考ISO27001:2013标准建设研发安全体系,ISO27701个人隐私保护体系,国家等级保护体系等来确保研发信息的安全。
■建立研发安全运维体系
建立研发安全运营体系。包括但不限于:安全运营机制、安全运营能力、安全运维中心的打造。
研发安全管理就是一个不断平衡风险和投入的过程,漏洞和缺陷永远存在,这些漏洞缺陷被利用的难度决定着残余风险的大小,而这部分风险的管理往往是非技术性的。许多企业尽管拥有了先进而昂贵的信息安全设备,但往往无法配合,产生了很大问题。IT 政策如能做到防护有度、疏堵结合, 同时能更多的以人为本,提升员工安全意识,让管理政策呼应技术手段,才能营造出人、技术与管理的和谐,安全管理本质就是寻求平衡的过程。
参考文献
[1] 曹洪雨. 企业信息化研发安全管理体系优化设计[J]. 现代信息科技, 2019, 3(11):3.
[2] 张翔鸢. 企业研发安全管理体系的探索与建构[J]. 中国集体经济, 2014(36):2.
[3] 牟健君. 谈企业敏感信息泄密的防护[J]. 软件和信息服务, 2012(9):5.
[4] 罗红梅. 舰船通信系统移动终端数据交互信息防泄密系统[J]. 舰船科学技术, 2020, v.42(08):149-151.
第二届超级CSO研修班全貌
过程回顾
导师授课
谭晓生 刘新凯 欧阳梅雯 欧和 贺嘉
吕一平 黄承 杜跃进 李吉慧 杨哲
首届超级CSO研修班全貌
过程回顾
导师授课
谭晓生 黄承 马民虎 季昕华 陈建 宋琳 杜跃进 段海新 胡洪涛
潘立亚 周斌 刘新凯 杨哲 贺嘉
学员论文
齐心抗疫 与你同在