華途軟件副總裁兼CTO譚孟恩演講
本站科技訊 11月28日消息,主題爲“新技術浪潮下的IT變革”的2012第五屆中國CIO年會今天在北京舉行,本站科技在現場直播報道。
以下爲華途軟件副總裁兼CTO譚孟恩做主題爲“信息化環境下的數據安全探討”的演講。
今天我很榮幸能夠在這裡和大家分享一下,我們華途軟件在信息化環境下數據安全保護的一些心得。我今天演講的題目是“信息化環境下數據安全防護”。演講總共分五個部分,首先我來介紹一下數據安全的需求分析。談到信息安全,總會從媒體上了解各種各樣的信息泄密的事件,這裡我們列舉了其中的一些事件,信息泄密不僅使企業的經濟蒙受損失,而且會帶來各種各樣的經營風險,嚴重的還會帶來政治風險,所以這對來說就像是一個定時炸彈,對CIO來說,尤其顯得更爲重要,因爲你不知道它什麼時候會發生,會產生什麼樣嚴重的後果?所以我們認爲,企業防止信息泄密是企業信息化建設的一個首要任務。
爲什麼會有這麼多的企業信息泄密事件呢?我們認爲其中一個關鍵原因,就是企業的信息或者數據都是有價值的,這是我們以美國爲例列舉了一些數據,這裡看到企業信息泄密不是無意事件,而是有目的的,受利益驅動,就像以前,那些黑客攻擊,他是爲了顯示他的技術能力,但是現在的黑客攻擊他的主要目的就是爲了利益。像現在熱議的APP工具,它經過長期的分析,大量數據的統計,然後纔來進行攻擊,如果沒有利益的驅動,我們認爲它是不會這麼幹的,所以說如何防止這種受利益驅動的信息泄密事件的出現,是我們企業信息化建設過程當中必須高度重視的一個問題。
這裡是常見的一些信息泄露途徑,有黑客通過互聯網獲取單位的機密信息,有計算機病毒或者木馬來或許單位的機密信息,有內部員工有意或無意拷貝和發送單位的機密信息,最後各種各樣的商業間諜,試探或者收買內部員工獲取單位信息,單位的機密信息。
接下來我從幾個方面來闡述一下信息保護的重要性。首先我們來看一下內部數據泄露的危害性,這個是權威機構調查的一些統計數據,有70%以上的企業發生過內部人員數據流失,只有23%的數據流失由於惡意程序引起的,92%的人員使用過公司的郵箱發送過核心數據,55%使用自己的設備將企業數據帶出辦公場所,調查顯示,超過80%的嚴重安全事件是由於內部數據泄露造成的,內部員工泄密使黑客造成損失的16倍,使病毒造成損失的12倍。從這裡可以看到內部泄露遠遠大於病毒引起信息的泄露。
我們來看一下信息安全發展方向變化。國外權威機構對國內信息安全市場做了一些調查,調查發現,2009年以前,企業的信息化建設以防護牆、防病毒等外網入侵保護爲重點,從這個圖上可以看到,防火牆防病毒的產品的增長率像文檔加密類產品的7倍左右,到了2010年情況發生了變化。從圖上可以看到,文檔加密類增長率和防病毒、防火牆這些產品已經差不多了。這說明信息安全發展方向發生了嚴重,從外網入侵保護轉向內網資源保護,從網絡安全防護轉向內容安全防護。近幾年來,數據內容安全防護得到了高度的重視和迅速的發展。
接下來我們看一下企業面臨的各種挑戰,前面各位專家都提到這個問題,主要是不斷演變的IT格局,這個圖上可以看到,這種變化主要有四個方面,首先是雲,雲計算、雲存儲、雲操作系統,慢慢從理論研究、媒體的宣傳進入到企業的實際應用。第二是虛擬數據中心的出現,企業的數據不再做侷限在企業的內部,企業數據可能分佈在各個地方,尤其對於大型集團公平和跨國公司來說,企業數據肯定不會在一個地方。
第三是,Biod,這是手持設備帶來的,越來越多不受企業管理設備進入到企業內部。第四是不斷延伸的供應鏈,所有這些對企業IT管理帶來了新的挑戰,我們要問一下我自己,我們是不是可以來拒絕這種變化呢?答案顯然是否定的。有些改變是爲了企業提高生產率,必須採取,有些是爲了降低成本,提高業務的靈活性必然採取的措施,所有這些改變使得企業傳統邊界遭受侵蝕,大家覺得企業學習沒有邊界,越來越沒有像以前傳統的防護的方式。對於信息安全管理來說,我們迫切需要適應這種變化,我們需要一種沒有邊界或者跨越邊界的信息保護機制,大家可以看到,企業數據正在離開,企業外部的設備,正在突破企業的邊界,企業管理信息,因爲供應鏈的延伸正在跨越企業的邊界。
下面簡單介紹企業信息保護的基本要求。
首先我們認爲,企業的數據或者企業的信息應該在原處保護數據,因爲利用程序會將數據保存在各種存儲設備上,所以我們認爲數據在離開應用程序之前必須加密,數據如果在某個範圍內,局域網不加密,離開這個範圍才加密,就像這個數據放在保險箱,保險箱突破了數據沒有安全性。
第二,需要在合適的層次保護數據,在文檔,而不是在磁盤或者其他結點保護數據,像Biad這樣的產品鎖住了前門,門一旦被打開就會進入,這種解決方案,只是鎖住了自行車的車架安全只是在特定的範圍內起作用,離開這個範圍,這都不是我們企業信息保護所需要的東西。
第三,在加密的基礎上授權,單純地加密,我們認爲只是把安全域做了簡單劃分,分爲加密數據和不加密數據,做到精細化數據控制在加密基礎上進行授權,DRM,通常意義上的DRM跟文檔和數據格式有關係,跟流媒體這種有關係的。但是我們這裡所說的DRM是通用的,適用於所有的數據類型或者文檔類型。
下面我介紹一下華途數據安全解決方案。
說話我講一下我們的設計理念,我們認爲,信息的重要性決定性的保護方式,信息資產是企業的重要資產,不同的信息資產的重要性是不一樣的。信息信息安全保護需要根據信息的重要性,採取不同的保護方式,要有差別的對待,而不是所有的數據或者所有的信息都採用同一種保護方式。
第二,做到安全和效率的平衡,不同的部門,對信息的安全要求是不同的,對信息的流通性要求也是不同的,有的部門對信息安全要求比較高,流通性相對比較低,有的部門對信息的安全性要求可能相對低一點,但流通性要求比較高,而信息的流通性成本是很高的,所以作爲一個解決方案或者作爲一個系統,需要平衡安全性和效率這兩個方面。
第三,安全策略應用性和靈活性。一個信息安全保護方案,要能夠真正的得到實施,對終端用戶來說不能非常複雜,所以我們認爲信息安全的策略要提供足夠的顆粒度,避免操作的複雜性,同時信息安全策略提供足夠的靈活性,使得安全策略能夠滿足企業不同的安全需求,這是我們的解決方案的設計理念。這是我們的總體框架,華途數據安全解決方案,以企業信息爲核心,以加密爲基礎,功能主要包括監控審計、應用程序泄露保護、權限管理、審批流程四大主要功能。
接下來我對其中一些做一些詳細的介紹。首先我們來看一下數據的內部流轉,根據上述設計理念,華途數據安全解決方案採用了強制加密和主動加密相結合的模式,我們來演示一下這個強制加密和主動加密在組織中的應用過程,服務端可以對不同的部門下發不同的安全策略,比方說對研發設計部門,採用強制加密的手段,對業務管理部門採用主動加密的方式,而對於財務情報部門採用強制加密加主動加密的方式。
強制加密它實現文檔自動的、透明的加密,它不改變用戶使用習慣,比較適合研發設計部門,但是對於銷售管理部門或者行政管理部門來說,採用強制加密會有一定的阻礙,因爲這些部門它的文檔或者數據流轉性比較高,如果都採用強制加密,它的效率受到極大的影響,因此我們在這些部門我們認爲可以採用主動加密的方式,主動加密可以自主選擇需要加密的文檔,主動加密加上權限控制,就可以解決企業內部文檔的非法訪問和越權訪問。採用這種強制加密和主動加密相結合的加密模式,文檔在各自的部門當中流轉不受影響,在跨部門進行交換時,通過授權的方式可以實現快速的共享。
第二,我們講一下權限管理。針對主動加密,系統可以採用多維度的授權方式,如控制文檔的打印、複製、解密等,但在企業實際運用過程當中,一般都是採用密集管理方式,我們講多維度的權限管理和密集管理結合起來,密集定義了文檔流轉的範圍以及相應的權限,企業可以自定義密集,把密集賦予一個文檔,就實現了這個文檔的權限的精細化管理,同時系統能夠提供自主授權方式,採用密集和自主授權的兩種方式,滿足用戶不同的權限管理的需求。
第三,應用系統的集成。絕大部分的企業現在已經部署了大量的應用系統,OA系統、PDM系統,這些系統也會來存儲或者處理文檔,但是它無法識密集,所以客戶端到了服務器端進行數據轉換,在我們解決方案中提供了文檔安全網關,實現文件上傳和下載。
這個數據的外部流轉有多種形式,首先是郵件因爲郵件是我們工作中重要溝通手段,我們提出了基於MTP協議的安全網關,郵件外發的時候自動解密成明文,提高企業整體工作效率。其次,還有密文外發和明文外發,密文外發有密碼、授權碼多種手段,控制文檔的打開時間和打開次數。這是我們的可配製的審批流程。信息需要共享,文檔需要流程,這種流轉不僅包括企業內部使用範圍的變更以及權限的變更,還涉及到信息和數據對外的流轉,比如說把文檔或者數據發送到政府部門、供應鏈,保證文檔的有序需要相應的流程來保證。同時,也需要有相應的工具來保證流程的正常執行,我們提供了靈活的可自定義、可配置的審批流程幫助企業快速實現文檔的流轉和交換。
文檔的歸檔安全管理,針對文檔的安全歸檔管理,文檔在服務器上技術統一的分類和集中存儲,集中存儲有很多好處,解決文檔的流失、統一發布,一旦集中管控以後安全性顯得尤爲重要。我們採用了文檔目錄權限管控,操作權限管控,以及客戶端上的防泄露的處理解決文檔在歸檔過程當中,以及在共享過程當中的安全性。
下面簡單介紹一下我們解決方案的特點。
首先是應用層和驅動層相結合的內核技術,內核技術的發展經歷了靜態加密技術和動態加密技術,這幾個不同的方面。我們認爲要實現文檔的全方位的防泄露,提高系統的穩定性,單一的內核技術已經無能爲力了,所以說華途軟件率先將這個應用層技術和驅動性技術結合起來,系統的穩定、高效運行提供了技術保證。文檔全生命週期管理,我們解決方案以安全內核和監控審計爲兩個不同的維度,實現從創建、存儲、訪問、傳輸、使用、銷燬到歸檔的全生命週期的安全管理。
合規性,良好的合規性是一個信息安全解決方案的重要方面,華途數據安全解決方案符合中央企業商業秘密保護,國家信息安全等級保護條例,像吉利汽車採用了我們的解決方案,通過了IOS27000。可集成性好,ERP、PDM、OA實現無縫接入。
這是我們在上海汽車的集團化分佈式部署的案例分析,這是我們在吉利汽車集團化分佈式的部署的案例分享。
下面我簡單介紹一下我們公司,華途軟件有限公司成立於2007年,公司總部在杭州,在北京、上海、蘇州、福州、廣州等地設有分支機構,數千家成功客戶,公司定位於中國領先的數據安全解決方案提供商,致力於成爲中國最專業的防泄漏專家,企業使命爲客戶提供B21的解決方案,這是我們公司的產品系列,我們公司的資質,擁有安全產品所需要的所有產品,這是公司獲得的榮譽,這是我們的典型客戶,上汽、吉利、北車、南車,綜合集團都是我們的重要客戶。謝謝大家。