笔者所在的企业,具备本行业在某些领域国际第一阵营的产品研发能力,公司投入资源做信息安全,并不是因为有监管,也不是客户有诉求,就是因为真实的出了信息安全泄密事件。高科技公司的核心竞争力,是通过高强度的研发投入而获得的研发成果,企业自身有很强的信息安全内驱力,这篇文章聚焦谈一下信息保密。1、信息保密到底要管什么?
在各种专业群中,经常会看到这样一些问题:“员工把信息私自上传到网盘上了,怎么整?”“拍照怎么防?”“便携电脑带出去后可以有N多姿势规避监控怎么办?”然后,群里面也有很多支招的,有人推荐一些水印的开源算法,有人说自己企业的最佳实践是便携电脑都不让带出公司,后者更是让很多同行都羡慕不已并表示臣妾做不到。但是,如果再追问这些问问题的人,他到底是希望管住什么?是希望管住一个泄密行为?还是管住某个高价值的核心信息?我想,一旦看到这个问题,很多人都会选择后者这个答案,但是在实际上做工作的时候,往往陷入前者这个误区。2、信息保密工作思路
很多公司在做信息保密工作时,常常会关注对泄密行为的管控,比如邮件外发,外设拷贝,微信等第三方即时通讯工具传输,乃至拍照等等,然后会购买并上线文档加密、DLP、邮件网关、水印等技术工具,具备运营能力的团队会对监控数据进行运营,发现问题督促改进,再有权力的团队甚至会对违规事件进行调查并处罚通报。但这些工作都难以回答管理者,我们到底把哪些信息管住了。在信息保密能力建设初期的确需要做上述一些quick win的策略,上线监控工具再结合分析可以发现一些违规或者泄密行为,快速体现团队价值,构建管理层的信任,对全体员工形成威慑。但无所不备则无所不寡,公司有海量的信息,眉毛胡子一把抓根本就管不住,尤其在高科技公司,真正想窃密的人员尤其是研发人员,高智商并具备很强的技术能力乃至反侦察能力,可以利用各种薄弱环节成功窃密,所以只管住离散的点是不够的,泄密事件只会层出不穷,也没有能力事后发现或追溯。信息保密在中后期建设需要更加体系化,构建聚焦核心,分级管控的主思路,以定、管、查3大关键举措来推进。定,就是对信息进行分类分级,把最核心的信息准确识别出来,并打上数字化标签;管,围绕信息以及信息涉及的人、事、物进行立体化的防护,包括防入侵、防泄密、防特权;查,对所有行为留存日志,获取泄密线索,对违规违法行为进行追溯和问责。对信息进行分类分级,把最核心的信息识别出来,解决的是管理源头性问题。保密与共享是一对矛盾体,过度保密会影响工作效率,过度共享又会造成泄密隐患,需要平衡。所以我们的策略就是聚焦核心,分级保护。有些公司也做了信息分类分级策略,但这些分级策略是拍脑袋的还是有依据的呢?员工是否能够根据分级策略准确对一份文档准确定级呢?恐怕效果是有些折扣的。ISO 27001在资产管理章节谈了信息分类,但没有具体的操作指导,我们参照的是国家保密体系方法论,结合企业经营效率做了部分简化,但是核心理念是可以借鉴的,笔者总结主要做好3个方面。1、组建专家组
高科技公司的信息类型非常多,而且很难像金融行业一样标准化,比如客户个人信息、客户单位信息、交易信息等。每个科技公司研发的产品类型、技术路线、商业模式是千差万别的,所以一定要让业务单位懂业务的专家确定最重要的信息。我们公司是在每个事业群都组建了信息定级专家组,根据公司的顶层信息分级策略,制定各事业部的信息分级依据。2、明确密点
如果信息分级依据描述非常宽泛,是无法自上而下指导信息定级的。第一,要在公司最顶层策略上明确分级标准,从而让公司自上而下有统一的尺度。我们参照ISO27002,将信息分为4级:- 绝密:泄露对长期战略目标造成了严重的影响,或对组织的生存造成风险。
信息分级不建议分太多,因为信息级别不同就有不同级别的管理手段,否则分级意义不大,在操作执行上也增加了难度。当然,国家出台数据安全法后,分级可以参考利益主体不同,包括国家安全、个人利益、公众利益、企业利益等。由于监管要求,泄露后一样会对企业产生影响,我们暂时归一化站在企业利益统一定义。同时,各行业主管部门会陆续出台核心数据、重要数据目录,届时也可以参考。另外多谈一点,其实国家安全在定密上会更加科学,不仅仅站在保密角度,泄露产生的危害,还会考虑公开带来的收益,很有意思。有兴趣可以看《信息安全定密》这本书,细致介绍了美国国家安全怎么做数据分类分级。专家组基于公司顶层分级策略,结合业务识别该单位信息密点,描述的维度越丰富越能精准定密。比如“项目全套源代码”不是绝密,而 “**产品涉及关键竞争力性能指标的算法方案及源代码”才是绝密,这里还需要把哪些性能指标明确出来,再往下就知道涉及哪些具体的算法和对应的源代码了,在业务设计时就可以考虑把关键算法的源代码做成库被调用进行保护,其他的源代码就能加大共享。3、打上数字标签
在企业数字化浪潮下,如果信息本身没有数字化标签,后续对信息的管理很难数字化。只有通过数字化标签,结合端和应用等日志分析,就可以知道信息,是谁创建,谁给了谁,如何流转,到了哪里,才能聚焦绝密信息?从而才知道管的如何。数字化标签有一些实现方式。结构化的数据分类分级工具识别具有明确规则的信息,如个人信息的检测准确还是较高的,但是识别企业自己的经营数据较难,这里更需要数据治理团队的的配合,包括元数据治理,以及数据入湖。非结构化的数据,比如文档模式,也是一大难点。我们之前一直希望通过DLP进行自动识别,但是检测准确率较低。后续定制密标功能,在文件头插入唯一数字标签。对于80%的信息都是内部使用,另外20%涉及绝密人员一旦文档保存就自动弹框提醒标密,把之前识别出的密点推送给用户,让用户参与定级。推广之初准确率会较低,但是一旦做好运营,用户被培训以及对信息定级准确性的督促改进,准确率会大幅提升。这样,就把结构化数据的数字化密标打上了。后续也在考虑和DLP结合做辅助推荐定级功能进一步提升效率。在攻防双方,我们看到的一些实际情况:
1、计算机上管的很严格,一旦有业务需要,拷贝到U盘上或打印成纸件,信息就失控了。2、办公网和互联网边界管理的很严格,但是研发实验室里有很多测试设备,示波器,都有存储、计算和做硬件调试需要保留的外设端口,信息一旦转移到实验室后就抓瞎了。上述各种姿势的窃密方式层出不穷,如果只管住某一个点,其实是无效的。要回答核心信息管住了没有,不只要管住信息本身,还需要将信息涉及的人、事、物等均进行识别并管控,是一个点都不能漏的。而每个公司的文化不一样,业务场景不一样,数字化能力也不一样,有些举措无法被直接复制,所以这里谈的更多的是一个思路和例子。基于上述原则,我们把要管的要素划分为:信息流、人、信息基础设施、介质、密品、供应商、物理区域、会议活动等。这里有两个名词解释下,介质指的是记录信息的纸介质、磁介质、光介质等各类物质载体,比如纸张、移动硬盘、U盘、光盘等。密品是直接含有,或者通过观察、测试、分析等手段能够获取所承载绝密信息的产品和设备,比如某个核心产品的关键器件选型为绝密,那么供货前小批量生产的测试设备就是密品,手机外观设计定为绝密,那么手机样机就是密品。针对“定”阶段输出的信息分类分级,将涉及信息的所有相关管理要素也进行分类分级,并全面管控。公司在大面上做一些管控,目的是让员工有感知,提升整体的安全意识,以及对核心信息识别遗漏时有一定的兜底策略,但也要注意尺度,平衡安全和效率。分级管控的治理理念,可以让在大面上无法操作的策略,在一些垂直场景下落地,让最核心的信息得到管控。管控关键是分析业务流程,基于业务流程把上述涉及的管理要素全部识别出来,列清单,划格子,嵌流程,全面实施管控。如果说信息分类分级解决的是保密管理源头性问题,管人就是解决保密管理根本性问题。如果人有问题,信息想保也是保不住,但没有绝对的安全,本质是降低风险。我们基于信息分级,对人员做相应分级,并将安全要求嵌入人力资源任职、任职中,任职变更或终止的全生命流程中执行,这里需要和人力资源部门做好协同。一般雇员要签订保密协议、信息安全承诺书、入职信息安全培训、在职培训考试、离职资产权限回收诸多例行操作。对于涉及绝密信息岗位的人员,根据信息分类分级中信息和岗位建立的对应关系,业务单位参照岗位将人员清单识别在系统上打上数字标签,之后则任职前要做详尽的背景调查,比如是否和竞争对手有直接亲属关系等;在任职中,要定期进行安全审查,是否被竞争对手挖猎、索要信息,是否存在违规事项被公司调查;任职终止时签订竞业限制,干部谈话强调保密职责等。另外,特权管理人员,包括了领导秘书、系统运维人员、远程会议服务人员、视频监控安保、档案管理人员等可以批量获取涉密信息的岗位也需要纳入绝密人员管控。人是信息安全管控中最难也是最不稳定的因素,是需要综合并举的手段,尤其是掌握企业核心信息的人,不仅仅从实操性、见效快的安全管控去实施,更是要考虑薪酬管理、激励与权益保障的综合并举手段,乃至激发他们的责任感、使命感,作为一种特殊的人力资源进行管理和保留。一方面要保障运行逻辑层不能被外部入侵,另一方面就要保障物理的设备载体不能丢,本文此次着重讲下后者。固定承载绝密信息的设备为绝密设备。仍以某绝密业务为例,所有人员全部使用云桌面办公,信息不驻留本地,计算机设备的管理几乎就不涉及了,风险置转移到服务器侧。没有入云的,计算机的硬盘要考虑防拆,比如机箱上锁或者粘贴防拆标签。但涉及的服务器仍要考虑分配、使用、存放、调拨、维修、报废的全流程管控,把安全控制措施嵌入业务流程,这里需要和信息化管理部门做好协同。比如维修时,绝密设备存储介质损坏就直接更换,其他配件出现故障维修时机房管理员应全程陪同,如需返厂维修,该服务器的存储介质禁止带离机房;报废前都必须进行硬盘消磁。管信息,和管人、管设备最大的不同,在于信息是海量的,信息的状态变化非常快,且与业务是强关联强嵌入的。一般的信息管好边界外发即可,绝密信息关键是要“看见”流转,再聚焦管好授权、边界和流转路径。看见:首先通过信息在端、管、云的日志包括端点文档操作、网络DLP流量、堡垒机运维、应用系统操作、应用API交互、数据库操作等,记录信息全生命周期的行为,就能看见信息谁创建,谁访问,去哪儿了。看见了,就才有实质管控的可能性,同时信息在“定”环节打上了密级的数字标签,而且密级还对应着密点,就能聚焦对象进行管理。管授权:事以密成,如果核心信息授范围过大,谈管控就是一个伪命题,要严格控制知悉范围;文档加密系统可以控制授权范围,但为保障业务弹性协同有二次授权的场景,则存在信息扩散风险。通过“看见”知道信息谁访问了,再对比人员安全中梳理的绝密人员清单,一旦发现存在超范围授权情况就启动调查核实,既保障了业务信息的自主快速流动,又对授权进行复核确认避免扩散,同时还让业务一线互动到安全工作中。同时,需要关注对特权人员权限的管理,特权人员在正常业务运行时是无需接触信息的,但是在需要批量导数据、处理设备故障、远程会议服务时,有接触信息的可能性,建议尽可能事前管控,一事一批,并保留日志定期审核。管边界:这个很多公司做的比较类似,在办公设备、互联网出口部署监控能力,监测外设端口、网络外发行为。由于研发人员可以在办公设备上有各种花式姿势规避管控,所以研发人员都迁入了云桌面办公,信息不驻留本地,同时所有交互界面都有水印,这样出口就唯一化。同时,对于全公司,我们实施的事前审批策略,未来我们希望能够基于信息密级做分级管理,绝密机密的信息,批量大文件信息事前,其他事后,在安全和效率上取平衡,同时推进公司的统一外发平台,因为端上的各种路径的确是层出不穷。管流转路径:针对绝密信息管流转路径是一个非常好的方法,可以将很多原本难以控制的点通过这个方式控制起来。比如之前谈到的研发实验室几乎是黑盒,有各种Linux操作系统的测试机,带存储和外设的示波器等等,也可以把信息通过一些非法路径,逐步转移到一些不受控的服务器上,再转移。但如果把绝密信息的流转路径全面监控起来,比如有些绝密信息无需进入实验室,可以通过在实验室网络边界上部署网络DLP,一旦进入就预警或者阻拦。基于这个思路,将绝密信息应该流转的路径明确出来并进行严格的稽查,那些把信息通过多次倒腾转移到非受控计算设备上的行为,不断试探非受控协议的行为就能够大幅降低,其实行为不可能做到100%监控,但只要持续运营发现核查,窃密者就不敢随意试探,风险就能有效控制。纸件、U盘等都是非常难以管理的,原则是能不产生就不产生,全公司都这么干恐怕比较难,但目标一旦聚焦到绝密信息就有可能实现做到了,牺牲一些便利性换取安全性,比如涉及核心算法的绝密人员,可以将其打印、外设拷贝权限直接禁止。但也有一些业务比如应标标书按客户要求需要提交纸质的,则可以将涉及商务报价等最核关键几页由最信任的人员在最后时刻再打印合并装订成册,也可以制作几个不同版本来混淆视听。业界还有针对涉密纸件的管理方法是,把业务人员封闭在一个安全屋里,用专用保密打印机和带RFID芯片的纸进行打印,这种纸无法被复制,同时在安全屋门口配置一个报警器,一旦带出就会报警,大家视业务具体需求采用不同成本的方案。供应商也根据接触的信息进行分级,签订保密协议是基础。同时,比如笔者所在企业,关键器件选型业务中涉及到大量和供应商的沟通,长期合作供应商人员和研发人员都挺熟悉,偶尔自己在研发区域溜达搭讪,观察研发实验室里摆放的器件,就很容易打探到信息。所以一方面在企业楼宇配置专门的洽谈室,非业务必须禁止供应商进入关键的研发区域,实验室也全部安装门禁并严格执行关门策略,同时给研发人员培训供应商沟通问答话术,不该说的不说。区域也依据绝密信息进行分级,将集中制作、存储、保管绝密信息的固定、专用场所定义为绝密区域。也有相应的监控、门禁等一系列安保要求。对于一些重要的生产密品的厂区,还禁止携带电子设备进入,要配套安保和安检门进行检查,产线人员要配置非金属皮带,厂区里配置一些电话来保障紧急事宜沟通等。会议是很容易遗漏的管控点,但会议是信息大量交流汇集的一个活动场景。一方面是会场安全,包括绝密会议会前要做防窃听窃照扫描,明确参会人员密责任,会中人员分阶段参会,同时我们还禁止参会人员将手机等电子设备带入会议室。另一方面,远程多方会议是趋势,会议系统的防入侵和入会控制外,会议后台特权也需要重点排查。我们当时发现公司的会控系统,为了能够保障会议质量,做了一个会场实时音视频同步的功能,特权人员可以查阅,风险极大。后来就要求会议系统上的会议一旦标记为绝密会议,禁止使用该功能;同时会议室的会议终端盒子也是可以远程console端连接听取会场信息的,高管开会的会议室是固定的,这些功能也要全部禁止掉。笔者这里不再一一举例,核心思路是,信息管住了没,需要分级管控,全域治理。这个工作,其实我们也会在路上,逐步推进中。查主要分两方面,一方面是查管控措施是否能够闭环;另一方面是具备发现泄密、入侵、违规事件的能力并进行事件的响应、处置。这块的逻辑大同小异,包括事件分级、审计流程、应急响应处置流程、泄密威胁情报、数据分析、通报排名、结果应用、监管及司法沟通等等。但是这些能力,每个点上都可以展开来谈。
笔者所在的企业,在这方面还是非常强势的,前提是管理层认同和支持,企业有意愿构建并维护尊重规则,敬畏规则,风清气正的文化。但如何平衡安全和体验,“无感低感”安全管理策略,减少业务单位和安全部门的冲突,当下从业者能达成一定共同认知的就是数字赋能,笔者所在企业也非常赞同。要将信息安全部门制定的规则,一方面嵌入流程自动化去控制,一方面将复杂的制度变成简单易懂的指标,赋能到业务单位,充分发挥和利用治理协同效应。写在后续,信息安全管理,是一件碎片性极大的工作,是一个谁能都说一嘴的工作,又是一项及其专业的工作,需要从业者具备智慧、耐心以及日拱一卒的决心。iris,混迹工科男中的女汉子,科班出身,某高科技企业安全专家,13年一线信息安全工作经验,擅长规划、方案、思考。
科技强大的根本在于企业创新,创新过程中需要确保信息安全工作。专刊汇集了安全工作者的经验、教训、心得、体会、思路、方法、架构、方案,希望搭建一个创新型企业信息安全交流的平台,推动行业的信息安全工作交流、共享、提升。
安全村始终致力于为安全人服务,通过博客、文集、专刊、沙龙等形态,交流最新的技术和资讯,增强互动与合作,与行业人员共同建设协同生态。
投稿邮箱:[email protected]
还没有评论,来说两句吧...