热门资讯

免费SSL
- 资源
- 教程
- 工具
- 百科
- 资讯
品牌
- DigiCert
- Symantec
- RapidSSL
- Geotrust
- TrustAsia
- ComodoSSL
- Globalsign
- ThawteSSL
- Let‘s Encrypt

CSO说安全 | 丛林：日化行业研发数据安全防护

资讯作者：安在 2022-05-27 21:24:13 阅读：221

由安在新媒体联合中国网络安全审查技术与认证中心（CCRC）共同举办的第二届“超级CSO研修班”，于2022年2月27日圆满结营。20位学员历时5个月，完成17节专业课程，经历名企参访、课堂作业、私董会和赛歌会，更交付了20篇毕业论文，最终，都以优异的成绩冲刺达标，获得由CCRC和安在新媒体联合颁发的结业证书。

第二届“超级CSO研修班的学员们分布更加广泛，不仅有银行、证券、保险、运营商、互联网，更涵盖了汽车、快递、快消、咨询、智能制造等多个领域。在导师引领和课程启发下，其所完成的毕业论文，也都极具代表性，是各自相关领域网络安全建设、实践与思考的精华之作。

本着分享交流之精神，我们特别精选几篇，以连载的方式呈现公众。希望借“CSO说安全”，让更多CSO们关注、支持并参与到CSO文化的沉淀积累和广泛传播中来。

CSO说安全：日化行业研发数据安全防护

丛林

上海家化联合股份有限公司安全负责人

前

言

随着数字化飞速发展，即时通讯、文件共享、数字协同、流程软件等工具在企业日常研发工作中的快速应用，企业在数字化的帮助下，提升了管理和工作效率，但同时也带来了新的数据安全问题。数字化的软件(设计软件、文件共享、研发系统等)存储了大量的配方、工艺流程、图纸等企业核心商业数据，为保障企业核心商业数据的安全使用，必须采用技术手段对企业核心数据进行加密、访问控制、安全管理，防止技术成果和涉密资料的泄漏。

背景

研发的材料开发、配方开发、工艺流程是公司的核心数据，也是公司的核心竞争力，如何有力地保护企业的核心数据也成为了不可回避的问题。

■数据泄密的定义

数据泄密是指企业的机密数据未经公司授权许可，从组织内部传输到组织外部，或者从有权访问的人传输到无权访问的人，并且可以查看它们包含的内容。

■数据泄密的类型

信息的泄密可分为被动泄密和主动泄密。

被动泄密是指信息资产拥有者或使用人非主观意愿下泄密的风险, 包括计算机硬件的遗失或被窃风险，感染病毒或木马等无意识的信息泄密。

主动泄密是指主观故意泄露或窃取信息,根据咨询机构统计，80 %的泄密为主动泄密, 主动泄密是信息防护的主要目标。

■信息泄密的主要途径，包括但不限于

1. 终端泄露（电脑、手机、Pad等）

2. 传输泄露（数据在传输过程中出现泄露）

3. 应用泄露（应用系统的安全防护不足，出现泄露）

4. 服务商泄露 (合作伙伴，上下游供应商，外包人员等)

二、面临的挑战

研发安全面临挑战分为六个维度：终端风险、研发管理、合作伙伴风险、信息系统风险、安全组织与建设风险、运维风险。

■终端风险

人员意识、人员技能和防护措施缺乏导致的风险。

■研发管控风险

数据分类分级不当，缺乏信息化平台，缺乏权限管控，明文传输等风险。

■研发合作伙伴风险

上下游、外包人员等合作供应商在数据外发的过程中遇到的风险。

■研发信息系统风险

信息化基础建设方面的风险。包括：主机、网络、机房管理等等。

■组织与建设风险

安全组织、体系建设不足的风险。

■运营风险

对于安全运营的响应及处理不及时风险。

安全对策

针对面临的挑战，提出针对性的安全建议：

■加强人员安全意识

保密意识是商业秘密保护的灵魂，任何一件事情都是人在起主导作用，商业秘密的安全同样是人在起主导作用。人员意识是信息安全工作中容易被忽视，但却是最重要的一部分。定期做好信息安全宣传工作，包括：信息安全周、学霸养成记、信息安全培训、防钓鱼推广等活动，对于人员意识的提升和减少信息泄露非常有帮助。

■研发数据管控

研发数据管控的基础是数据的分类分级。公司研发需要选择行业先进的研发系统，加强权限管控和监管是必要的防范措施。

涉密文件的管理方法：

（1）首先要建立涉密文件的管理制度，明确管理的职责和工作流程，这也是完善商业秘密保护制度的一项工作。

（2）按照建立的涉密文件管理制度中密级划分标准，进行商业秘密文件密级的划分及标识。通常在文件封面标记“机密”、“秘密”、“公开”字样。

（3）商业秘密文件的收发管理。对涉密文件进行登记，注明每份文件的编号、制作份数、制作日期，同时做好收文和发文签收记录，防止涉密文件在收发过程中流失。

（4）商业秘密文件的保管。对涉密文件应采取一定物理性保管措施，指定专门的存放场所。

（5）商业秘密文件的查阅复制。应当在涉密文件管理制度中对商业秘密文件的阅读权限进行规定。查阅涉密文件，应限制在最小范围内，并且是在安全区域内进行阅读。

（6）商业秘密文件的销毁。当涉密文件不再需要时，必须清退或销毁。

■研发合作伙伴管理

对企业而言，保密意识必须涵盖全体员工，甚至与之相关的供应商、合作伙伴或顾客，因为他们都可能存在泄密的渠道，要使他们成为企业保护商业秘密篱笆的一个组成部分。只要拥有了正确、全面、持续的保密意识，商业秘密保护就会成功一半。

合作伙伴的管理在信息安全日常工作中容易被忽视，需要建立完整的数据全生命周期管控，从采集、数据传输、数据存储、数据使用、数据共享和数据销毁形成完整闭环的安全管理。

■基础设施的安全保障

基础设施的安全也是研发安全的重要环节，包括但不限于: 终端安全、网络安全、主机安全、应用安全、数据中心安全、云平台安全等。

▷终端安全：防止内部设计员工通过邮件、微信、QQ、网盘下载等网络端口发送设计作品。

▷网络安全：通过网络态势感知系统，了解企业内网中的信息安全隐患，包括：信息泄露，内外部攻击等情况。

▷主机安全：对于主机安装类似青藤云主动防护软件加强研发主机的安全管理。

▷应用安全：使用WAF、漏洞扫描，完善应用安全研发体系。

▷数据中心安全：核心研发系统应采用物理隔离的方式。

▷云平台安全：在多云平台的情况下，云平台安全应整体规划，同时云平台上SaaS安全模块作为补充。

■构建完善的信息安全防护体系

参考ISO27001:2013标准建设研发安全体系，ISO27701个人隐私保护体系，国家等级保护体系等来确保研发信息的安全。

■建立研发安全运维体系

建立研发安全运营体系。包括但不限于：安全运营机制、安全运营能力、安全运维中心的打造。

结语

研发安全管理就是一个不断平衡风险和投入的过程，漏洞和缺陷永远存在,这些漏洞缺陷被利用的难度决定着残余风险的大小,而这部分风险的管理往往是非技术性的。许多企业尽管拥有了先进而昂贵的信息安全设备,但往往无法配合,产生了很大问题。IT 政策如能做到防护有度、疏堵结合, 同时能更多的以人为本，提升员工安全意识，让管理政策呼应技术手段,才能营造出人、技术与管理的和谐，安全管理本质就是寻求平衡的过程。

参考文献

[1] 曹洪雨. 企业信息化研发安全管理体系优化设计[J]. 现代信息科技, 2019, 3(11):3.

[2] 张翔鸢. 企业研发安全管理体系的探索与建构[J]. 中国集体经济, 2014(36):2.

[3] 牟健君. 谈企业敏感信息泄密的防护[J]. 软件和信息服务, 2012(9):5.

[4] 罗红梅. 舰船通信系统移动终端数据交互信息防泄密系统[J]. 舰船科学技术, 2020, v.42(08):149-151.

第二届超级CSO研修班全貌

过程回顾

开营导师团结营

导师授课