龙云 王立星 刘超 王秋林

本文介绍了如何保证核心商业机密文件不发生失泄密事件，指出了可能存在的数据泄密安全挑战，对建设一套可行的数据防泄密安全保障技术方案进行研究，提出了做好文件保密相关工作的具体内容，为后续安全保密系统的建设提供了较为全面的技术支持和理论指导。

一、背景

随着互联网时代的快速发展，日常工作对信息系统的依赖程度越来越高，员工在生产工作中逐步累积形成了很多有价值的数据，主要包括有生产经营过程中产生的各类技术资料、招投标文件、技术文档、设计方案、管理过程文件等重要数据和信息。目前，这类数据的获取、存储、传输和处理等过程面临的安全防护风险日益凸显，需要考虑利用信息安全保密技术手段对这些涉及商业机密的重要数据进行安全保护，避免因数据泄露造成不可估量的损失。

二、面临的挑战

由于数据本身具备“数量多、形态多、可复制、流动快、跨组织”等特点，经常在数据保护目标落地方面会面临很多挑战。

（一）分类难

数量多、形式多，数据关系复杂，难以进行梳理。对于内容是否敏感由人主观意愿判定，缺乏标准性。

（二）识别难

无法明确某类敏感数据在组织的整体分布情况。数据类型多、形态多、数量多，增加了内容识别的难度。

（三）防护难

缺乏数据分类保护规范和分类分级安全策略。缺乏对不同数据在不同位置的风险评估视图，保护难以下手。

（四）评价难

缺乏数据保护评价指标、方法和数据。数据保护管控措施的有效性无法客观评价。

三、数据保密技术方案

在日常运行过程中，会产生两部分的数据，一部分为涉密数据，一部分为商业机密数据。本次研究将针对涉密数据及商密数据两部分分开进行研究。两个部分均建议采用多种安全防护技术手段组合的方式构建企业的数据防泄密技术体系。

（一）涉密项目数据保密防护方案

涉密资料目前一般都是刻录光盘后，由专人带到相关单位进行交付。因此需要单独的物理隔离网络用于承载保密项目的数据传输，主要从网络物理隔离和数据安全防护、计算机终端防护等方面进行安全保障。

1.网络物理隔离

网络物理隔离是指涉密计算机不直接或间接连接到非涉密网络中。物理隔离是信息安全管理中非常有效的保护方式，能够最大限度地保证内部信息网络不受来自外部的恶意攻击，防止信息从外部进行窃取。

2.文档数据加密

采用文档加密软件对涉密项目的电子文档进行保护，保障文档在创建、使用、传送过程中的安全，避免被非授权人员获得文档或者文档被非法传送、使用。所有需要进行文档保护的项目组成员均需在工作电脑上安装加密软件客户端，该客户端会对用户在密文模式下操作过的所有文档进行加密保护。技术细节如下：

（1） 文档加密软件可设置全盘落地加密策略或部分文件夹加密策略；

（2） 设置全盘落地加密策略时，启用业务切换模式，对涉密项目允许用户安装加密软件客户端后手动切换客户端状态。在使用涉密项目相关数据时，采用密文模式，对操作过的所有文档自动加密，并能够直接打开已加密文档；其他时候采用明文模式，不对用户操作的文档进行加密，也不能查看加密的文档；

（3） 涉密项目成员的工作电脑根据需要安装加密软件客户端，根据项目成员对项目文档的使用方式不同可授予不同权限（可删除、可读写、只读、可解密、可打印等）。

3.文档数据保密传递

隔离专网若需与外面进行数据交换，必须通过离线方式进行。在安全防护区指定一台计算机终端作为数据摆渡的“中间机”“中间机”配备刻录光驱和USB接口，将涉密计算机上的数据通过专用U盘拷贝到中间机，以刻盘的方式进行数据输出，并在输出前采取严格的审批管理制度，防止涉密信息从隔离专网非法流向外部。外部文件输入到隔离专网内，也是通过光盘拷贝到“中间机”，再用专用U盘将文件将“中间机”上的数据拷贝到隔离专网内的计算机上存储、使用。专用U盘只能在隔离专网的计算机上使用，禁止在外部网络中使用。

4.终端接入控制

网络隔离区采用计算机MAC地址与交换机端口进行绑定的管理方式，计算机网卡MAC地址与交换机的端口一一对应并进行绑定，其他未连接涉密计算机的交换机空余端口全部禁用，从而防止外部的非涉密计算机接入到隔离专网内。

5.终端防病毒

所有计算机终端全部安装防病毒软件，软件病毒库可直接通过互联网进行更新。网络隔离区内再分别部署一套防病毒软件，定期对病毒库进行手工离线升级，保证隔离区内计算机终端的安全。

（二）商业机密数据安全防护方案

商业机密数据是企业赖以生存的核心“数字资产”和核心竞争力，商业机密数据的安全防护也是企业高质量发展的必备条件。企业在日常运营过程中产生大量的商业机密数据，这些数据包括重大管理经营数据、设计文件、生产、销售、采购、财务、人力等信息，相关信息如被窃取将对企业造成巨大损失。同时，因为同业竞争、个人私利，或者合作商为了谋取自身利益的最大化，都有可能窥探企业内部核心敏感信息。这些信息关系企业生存与发展的命脉，一旦流失将会让企业面临信誉、财务、生产运营、隐私和法规遵从等多方面的威胁。

在涉密项目中可通过与互联网隔离的方式实现数据安全。在商业机密项目中，考虑到用户时常会使用互联网与外部业务对项目文件进行交互，因此安全防护方案将从网络环境防护、员工办公终端防护、数据日常监测等三方面进行考虑。

1.网络环境防护

作为企业员工日常办公的主要地点，保障企业办公区网络安全是数据防泄密的重中之重。通过部署监控审计系统及邮件审计系统实现企业敏感文件的外发监控及阻断。

（1） 监控审计系统部署

需在数据中心互联网出口部署监控审计系统，针对流量中的敏感内容检测与监控，网络DLP设备以旁路模式部署，从交换机、防火墙等设备将流量镜像或分流到DLP系统中进行协议分析并还原识别内容，从而发现其中违反安全策略的敏感内容风险事件，并根据预置响应策略进行记录、告警、响应、自动化等动作。

（2） 邮件审计系统部署

在网络出口处部署邮件DLP网关，通过私有部署识别还原网络出口流量中的邮件协议内容实现对全量外发邮件的内容监控和审计。

2.办公终端防护

终端DLP技术，对终端设备上所存储的数据进行识别与分类，实现内网中的敏感数据识别。通过关键字及语义识别技术对数据进行自動发现，可以针对数据的重要程度进行分类识别，针对识别引擎的特性，帮助根据敏感数据特征发现的工作流程，完成样本分析，样本整理、特征词选择等工作，并最终按照关键数据智能检查系统能识别的格式导出预期的结果。

3.数据日常监测

在做好企业网络安全防护及员工个人办公电脑防护工作后，可能有些企业文件或成果资料在员工居家办公期间由个人家庭电脑编辑完成并发送给用户方，用户方可能会在不经意间将资料上传至百度文库、百度网盘、道客巴巴等国内知名知识分享网站，用于赚取一些积分或个人使用方便，此类文件的上传会对企业的文件追踪溯源造成较大困难，建议通过互联网数据资产测绘软件定期对互联网上散布的企业资产进行搜索排查。

四、结束语

随着企业主营业务范围的不断扩展，对于商业数据的安全保密工作越来越重要，如何规范化、科学、专业化地做好企业安全保密工作，实现保密工作零失误的目标，为企业业务拓展提供有力支撑，是企业目前面临的一大挑战。建议通过网络环境防护、办公终端防护、数据日常监测的全生命周期数据安全防护手段。运用网络DLP、邮件DLP、办公终端DLP及网络空间资产测绘等多种手段，全方位保障企业重要文件的安全，可以实现文件数据安全的全生命周期管理，提升企业的网络安全防护能力，为企业高质量发展保驾护航。

作者单位：中铁二院工程集团有限责任公司信息技术中心