迈普通信:信创之上,鸿翼助力央企数据安全管理
迈普通信技术股份有限公司成立于1993年,是国内领先的网络产品及解决方案供应商,工信部重点支持的四大国产网络设备厂商之一。公司于2015年加入中国电子信息产业集团有限公司(CEC),是CEC网络安全与信息化领域的重要核心力量。
公司总部位于成都,在成都、武汉分别设立了研发机构,在北京设立了营销中心。公司现有员工1500余人,共申请国内外专利1700多件,通过了“国家企业技术中心”认定。迈普产品及解决方案覆盖云数据中心、广域网、园区网、安全、网络可视化、融合通信、SDN及软件产品7大场景,广泛应用于金融、党政、运营商、能源、交通、教育、医疗等行业。
困扰
迈普是个研产销一体的制造型企业,岗位多业务复杂,和众多企业一样,信息安全管理面临很多困扰,总结如下:
安全管理对象不清晰
早期企业内部数据资产概念相对来说是比较模糊,业务部门对自己业务所产生、使用哪些数据资产,这些数据资产存在哪些风险,这些风险会给公司带来多大的影响,是没有掌握的。企业IT部门资源有限,也没法全面掌握这些数据资产,无法进行全面的数据资产安全管理。
办公环境相对复杂
虽然办公区域做了内外网划分,但是实际办公需求仍然复杂,网络环境管理起来很繁琐,数据安全潜在风险巨大。
管控手段弱
安全管理一刀切:把所有内外网的文件传递全部阻断,再封闭终端USB口防数据外泄。然而,这样管控方式即影响生产效率,也无法满足未来发展的需要。
14年公司确立国产化自主研发的战略目标后,对数据资产的安全管理也提出了更高的要求,建设更安全的体系迫在眉睫。
思考
命题有了,那么我们该怎么做?最开始,IT部门局限于发现一个问题解决一个问题,发现并不能从整体上改变现状。经过多方学习考察,我们意识到要全面提升安全管理,必须建立一套安全体系来管控,而ISO27001信息安全管理标准极具参考价值。
有了参考之后,我们开始准备工作。统一思想、确定主体:在公司内部明确安全职责——安全并不是IT部门的责任,而是整个公司出于自身发展的内在需求。公司成立以总经理为组长的信息安全领导小组,包括了IT、研发、档案等相关部门,以领导小组方式来推动整个公司的信息安全治理。组织也有了,该怎么干?我们总结了三个步骤:
行动
第一步:明确该管什么
各个部门逐个做信息资产的识别,梳理在业务发生的过程中会用到、产生哪些数据资产。
通过汇总整合各业务部门梳理的数据资产清单形成全公司的信息资产台账,台账中包括了对资产重要性的评级以及当前管理方式。并每年组织对资产台账和管理政策重新梳理和评审。
同时配套发布了商业秘密相关管理政策,对新同事在入职培训时进行信息安全培训,加强意识明确职责,对老员工也不定期的组织安全培训巩固意识。
第二步:资产分级,规划安全区域分级管理
组织各部门梳理数据资产的重要性:一旦出现安全事故对公司的影响有多大?出现这种事故的发生几率有多高?通过分析拉出综合的评定和评级,把资产进行重要性排序,然后再结合资产的全生命周期中所涉及的环境进行归类管理划分,规划出重要性相近、安全要求类似、业务关系密切的安全区域进行分级管理。比如:研发生产,过程中会产生设计资料、程序代码、硬件图纸等,将其划分为高安全区,需要严格防止数据外泄。非研发业务,如商务、财务等部门,他们的特点是数据敏感度较研发低,但和公司其他区域/部门文件交互频繁,需要进行精准的权限控制来保障安全,划分为中安全区。而市场、销售等部门,他们的业务与互联网交互较多,系统和终端容易受到外部的攻击,需要加强外部的防范。不同区域根据其环境特点制定不同的安全标准。
第三步:识别现状逐步改进
根据不同区域的安全要求,审视现状识别风险,评估风险造成的影响会有多大,形成风险台账。对风险评级较高的风险点,优先从技术上和管理上制定相应的整改方案。规划出信息安全的技术架构,针对薄弱点制定信息安全建设规划。
鸿翼助力
一:文档体系与资产台账
非结构化数据是企业数据资产的重要组成部分,据统计可达到企业数据总量的80%,几乎所有部门都涉及,企业数字化基础除了结构化数据和流程的打通,也需要打通非结构化数据。鸿翼以非结构化数据管理能力为核心,建立统一管理、统一搜索、统一协作、统一利用的文档管理平台,保障企业数据安全合规,为企业提供了一套全面建立非结构化数据管理体系的方案。我们借助鸿翼的实施方法论在前期组织各部门完成了资产识别分级工作,并建立整个公司统一的文档架构和分级管理体系(公司级、领域级、部门级),解决了不知道要管什么的问题。引入企业内容管理系统(ECM)产品建立文档系统将各部门文档集中管理,利用系统进行文档协同办公,解决原有工作方式改变带来的效率影响,通过系统对文档权限的精细化管理解决一直困扰我们的文档安全问题。
在实施过程中,最大的难题是不同安全控制区域和统一文档架构怎样兼顾:从效率角度出发需要实现系统在各区均可使用且文件搜索结果保持一致。从安全管控角度出发又要求在低安全区域不能打开高安全区域文件仅能从搜索结果知道该文件存在,此原则还必须高于系统角色身份授权。经双方团队反复论证,最终通过文档数据库与文档实体库分离,文档实体库分区域部署的技术架构完美解决了这一难题。
二:业务流程中的文档管理
文档系统在我司不仅是一个文档工具,还是整个企业的非结构化数据库。要求该系统以文档服务形式集成到我司企业服务总线中,提供给业务端系统集成调用。鸿翼产品经集成后在流程中的文档协同、文档自动归档、文档安全控制方面都为我们提供了技术实现。
其中一个典型案例就是规章制度系统。规章制度库是一个公司管理和知识的结晶,需要集中管理以便员工快速地获取,同时也需要安全控制防范外泄。我们制作的规则制度系统以文档产品为制度正文及附件存放数据库,以BMP产品串联各环节审批,并通过文档产品的版本控制制度发布。通过文档产品对权限的精细化控制,实现员工可在线查阅制度内容但不能下载打印,而所需要的附件文件又允许下载。即实现了制度的统一发布宣惯,也保证了数据资产的安全。
IT价值分析
回顾信息安全建设过程,作为IT部门该怎么展现价值?是简单上点安全工具把安全管控实现就大功告成吗?不是!
公司制定的安全基线,合规遵从等要求,背后都隐含着一个前提:企业利益的最大化保障,安全和利益都要保障,要双赢!这对IT部门是挑战,也是体现价值的机会。
怎么做到双赢?我们需要深入剖析公司安全管理要求,理解要求背后的需求出发点。真正走进业务,站在真实场景中去识别问题、分析问题。不强制执行,也不一味妥协,以安全要求为底线,为业务效率提升追求最大化效益。就能够得出即满足公司安全要求也能得到业务部门支持的落地方案。
最终实现IT的价值——为企业数字化转型保驾护航!