华途软件副总裁兼CTO谭孟恩演讲
本站科技讯 11月28日消息,主题为“新技术浪潮下的IT变革”的2012第五届中国CIO年会今天在北京举行,本站科技在现场直播报道。
以下为华途软件副总裁兼CTO谭孟恩做主题为“信息化环境下的数据安全探讨”的演讲。
今天我很荣幸能够在这里和大家分享一下,我们华途软件在信息化环境下数据安全保护的一些心得。我今天演讲的题目是“信息化环境下数据安全防护”。演讲总共分五个部分,首先我来介绍一下数据安全的需求分析。谈到信息安全,总会从媒体上了解各种各样的信息泄密的事件,这里我们列举了其中的一些事件,信息泄密不仅使企业的经济蒙受损失,而且会带来各种各样的经营风险,严重的还会带来政治风险,所以这对来说就像是一个定时炸弹,对CIO来说,尤其显得更为重要,因为你不知道它什么时候会发生,会产生什么样严重的后果?所以我们认为,企业防止信息泄密是企业信息化建设的一个首要任务。
为什么会有这么多的企业信息泄密事件呢?我们认为其中一个关键原因,就是企业的信息或者数据都是有价值的,这是我们以美国为例列举了一些数据,这里看到企业信息泄密不是无意事件,而是有目的的,受利益驱动,就像以前,那些黑客攻击,他是为了显示他的技术能力,但是现在的黑客攻击他的主要目的就是为了利益。像现在热议的APP工具,它经过长期的分析,大量数据的统计,然后才来进行攻击,如果没有利益的驱动,我们认为它是不会这么干的,所以说如何防止这种受利益驱动的信息泄密事件的出现,是我们企业信息化建设过程当中必须高度重视的一个问题。
这里是常见的一些信息泄露途径,有黑客通过互联网获取单位的机密信息,有计算机病毒或者木马来或许单位的机密信息,有内部员工有意或无意拷贝和发送单位的机密信息,最后各种各样的商业间谍,试探或者收买内部员工获取单位信息,单位的机密信息。
接下来我从几个方面来阐述一下信息保护的重要性。首先我们来看一下内部数据泄露的危害性,这个是权威机构调查的一些统计数据,有70%以上的企业发生过内部人员数据流失,只有23%的数据流失由于恶意程序引起的,92%的人员使用过公司的邮箱发送过核心数据,55%使用自己的设备将企业数据带出办公场所,调查显示,超过80%的严重安全事件是由于内部数据泄露造成的,内部员工泄密使黑客造成损失的16倍,使病毒造成损失的12倍。从这里可以看到内部泄露远远大于病毒引起信息的泄露。
我们来看一下信息安全发展方向变化。国外权威机构对国内信息安全市场做了一些调查,调查发现,2009年以前,企业的信息化建设以防护墙、防病毒等外网入侵保护为重点,从这个图上可以看到,防火墙防病毒的产品的增长率像文档加密类产品的7倍左右,到了2010年情况发生了变化。从图上可以看到,文档加密类增长率和防病毒、防火墙这些产品已经差不多了。这说明信息安全发展方向发生了严重,从外网入侵保护转向内网资源保护,从网络安全防护转向内容安全防护。近几年来,数据内容安全防护得到了高度的重视和迅速的发展。
接下来我们看一下企业面临的各种挑战,前面各位专家都提到这个问题,主要是不断演变的IT格局,这个图上可以看到,这种变化主要有四个方面,首先是云,云计算、云存储、云操作系统,慢慢从理论研究、媒体的宣传进入到企业的实际应用。第二是虚拟数据中心的出现,企业的数据不再做局限在企业的内部,企业数据可能分布在各个地方,尤其对于大型集团公平和跨国公司来说,企业数据肯定不会在一个地方。
第三是,Biod,这是手持设备带来的,越来越多不受企业管理设备进入到企业内部。第四是不断延伸的供应链,所有这些对企业IT管理带来了新的挑战,我们要问一下我自己,我们是不是可以来拒绝这种变化呢?答案显然是否定的。有些改变是为了企业提高生产率,必须采取,有些是为了降低成本,提高业务的灵活性必然采取的措施,所有这些改变使得企业传统边界遭受侵蚀,大家觉得企业学习没有边界,越来越没有像以前传统的防护的方式。对于信息安全管理来说,我们迫切需要适应这种变化,我们需要一种没有边界或者跨越边界的信息保护机制,大家可以看到,企业数据正在离开,企业外部的设备,正在突破企业的边界,企业管理信息,因为供应链的延伸正在跨越企业的边界。
下面简单介绍企业信息保护的基本要求。
首先我们认为,企业的数据或者企业的信息应该在原处保护数据,因为利用程序会将数据保存在各种存储设备上,所以我们认为数据在离开应用程序之前必须加密,数据如果在某个范围内,局域网不加密,离开这个范围才加密,就像这个数据放在保险箱,保险箱突破了数据没有安全性。
第二,需要在合适的层次保护数据,在文档,而不是在磁盘或者其他结点保护数据,像Biad这样的产品锁住了前门,门一旦被打开就会进入,这种解决方案,只是锁住了自行车的车架安全只是在特定的范围内起作用,离开这个范围,这都不是我们企业信息保护所需要的东西。
第三,在加密的基础上授权,单纯地加密,我们认为只是把安全域做了简单划分,分为加密数据和不加密数据,做到精细化数据控制在加密基础上进行授权,DRM,通常意义上的DRM跟文档和数据格式有关系,跟流媒体这种有关系的。但是我们这里所说的DRM是通用的,适用于所有的数据类型或者文档类型。
下面我介绍一下华途数据安全解决方案。
说话我讲一下我们的设计理念,我们认为,信息的重要性决定性的保护方式,信息资产是企业的重要资产,不同的信息资产的重要性是不一样的。信息信息安全保护需要根据信息的重要性,采取不同的保护方式,要有差别的对待,而不是所有的数据或者所有的信息都采用同一种保护方式。
第二,做到安全和效率的平衡,不同的部门,对信息的安全要求是不同的,对信息的流通性要求也是不同的,有的部门对信息安全要求比较高,流通性相对比较低,有的部门对信息的安全性要求可能相对低一点,但流通性要求比较高,而信息的流通性成本是很高的,所以作为一个解决方案或者作为一个系统,需要平衡安全性和效率这两个方面。
第三,安全策略应用性和灵活性。一个信息安全保护方案,要能够真正的得到实施,对终端用户来说不能非常复杂,所以我们认为信息安全的策略要提供足够的颗粒度,避免操作的复杂性,同时信息安全策略提供足够的灵活性,使得安全策略能够满足企业不同的安全需求,这是我们的解决方案的设计理念。这是我们的总体框架,华途数据安全解决方案,以企业信息为核心,以加密为基础,功能主要包括监控审计、应用程序泄露保护、权限管理、审批流程四大主要功能。
接下来我对其中一些做一些详细的介绍。首先我们来看一下数据的内部流转,根据上述设计理念,华途数据安全解决方案采用了强制加密和主动加密相结合的模式,我们来演示一下这个强制加密和主动加密在组织中的应用过程,服务端可以对不同的部门下发不同的安全策略,比方说对研发设计部门,采用强制加密的手段,对业务管理部门采用主动加密的方式,而对于财务情报部门采用强制加密加主动加密的方式。
强制加密它实现文档自动的、透明的加密,它不改变用户使用习惯,比较适合研发设计部门,但是对于销售管理部门或者行政管理部门来说,采用强制加密会有一定的阻碍,因为这些部门它的文档或者数据流转性比较高,如果都采用强制加密,它的效率受到极大的影响,因此我们在这些部门我们认为可以采用主动加密的方式,主动加密可以自主选择需要加密的文档,主动加密加上权限控制,就可以解决企业内部文档的非法访问和越权访问。采用这种强制加密和主动加密相结合的加密模式,文档在各自的部门当中流转不受影响,在跨部门进行交换时,通过授权的方式可以实现快速的共享。
第二,我们讲一下权限管理。针对主动加密,系统可以采用多维度的授权方式,如控制文档的打印、复制、解密等,但在企业实际运用过程当中,一般都是采用密集管理方式,我们讲多维度的权限管理和密集管理结合起来,密集定义了文档流转的范围以及相应的权限,企业可以自定义密集,把密集赋予一个文档,就实现了这个文档的权限的精细化管理,同时系统能够提供自主授权方式,采用密集和自主授权的两种方式,满足用户不同的权限管理的需求。
第三,应用系统的集成。绝大部分的企业现在已经部署了大量的应用系统,OA系统、PDM系统,这些系统也会来存储或者处理文档,但是它无法识密集,所以客户端到了服务器端进行数据转换,在我们解决方案中提供了文档安全网关,实现文件上传和下载。
这个数据的外部流转有多种形式,首先是邮件因为邮件是我们工作中重要沟通手段,我们提出了基于MTP协议的安全网关,邮件外发的时候自动解密成明文,提高企业整体工作效率。其次,还有密文外发和明文外发,密文外发有密码、授权码多种手段,控制文档的打开时间和打开次数。这是我们的可配制的审批流程。信息需要共享,文档需要流程,这种流转不仅包括企业内部使用范围的变更以及权限的变更,还涉及到信息和数据对外的流转,比如说把文档或者数据发送到政府部门、供应链,保证文档的有序需要相应的流程来保证。同时,也需要有相应的工具来保证流程的正常执行,我们提供了灵活的可自定义、可配置的审批流程帮助企业快速实现文档的流转和交换。
文档的归档安全管理,针对文档的安全归档管理,文档在服务器上技术统一的分类和集中存储,集中存储有很多好处,解决文档的流失、统一发布,一旦集中管控以后安全性显得尤为重要。我们采用了文档目录权限管控,操作权限管控,以及客户端上的防泄露的处理解决文档在归档过程当中,以及在共享过程当中的安全性。
下面简单介绍一下我们解决方案的特点。
首先是应用层和驱动层相结合的内核技术,内核技术的发展经历了静态加密技术和动态加密技术,这几个不同的方面。我们认为要实现文档的全方位的防泄露,提高系统的稳定性,单一的内核技术已经无能为力了,所以说华途软件率先将这个应用层技术和驱动性技术结合起来,系统的稳定、高效运行提供了技术保证。文档全生命周期管理,我们解决方案以安全内核和监控审计为两个不同的维度,实现从创建、存储、访问、传输、使用、销毁到归档的全生命周期的安全管理。
合规性,良好的合规性是一个信息安全解决方案的重要方面,华途数据安全解决方案符合中央企业商业秘密保护,国家信息安全等级保护条例,像吉利汽车采用了我们的解决方案,通过了IOS27000。可集成性好,ERP、PDM、OA实现无缝接入。
这是我们在上海汽车的集团化分布式部署的案例分析,这是我们在吉利汽车集团化分布式的部署的案例分享。
下面我简单介绍一下我们公司,华途软件有限公司成立于2007年,公司总部在杭州,在北京、上海、苏州、福州、广州等地设有分支机构,数千家成功客户,公司定位于中国领先的数据安全解决方案提供商,致力于成为中国最专业的防泄漏专家,企业使命为客户提供B21的解决方案,这是我们公司的产品系列,我们公司的资质,拥有安全产品所需要的所有产品,这是公司获得的荣誉,这是我们的典型客户,上汽、吉利、北车、南车,综合集团都是我们的重要客户。谢谢大家。