企业信息安全内部控制探讨——基于中国平安DLP计划的分析,本文主要内容关键词为:信息安全论文,内部控制论文,中国平安论文,计划论文,企业论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
一、我国企业信息安全内部控制现状 随着我国“互联网+”时代的到来,企业信息安全问题凸显。2012年末“三通一达”(中通、申通、圆通和韵达)等多家快递公司客户信息惨遭泄漏,造成包含客户电话、快递单号、客户地址等内容的数百万条信息在网上叫卖;2013年初,我国领先的IT服务供应商东软集团20余名核心技术员工涉嫌泄漏公司核心机密被公安机关批捕,造成东软集团价值约4000万元的经济损失;2014年末,12306网站用户信息泄漏,包括用户名、密码、身份证号码和邮箱等内容的约13万余条用户信息在网络上疯传……信息安全问题在各个领域引起了高度重视。我国企业信息安全现状堪忧,很多企业对信息的保护措施远远不够。 信息安全不但包括电子信息安全,而且包括实物性信息安全(周卫华,2014)。电子信息方面,据我国信息安全部门的调查统计,在企业网络中安装防火墙的约为68%,约59%的企业部署了互联网安全防御措施;在信息安全策略和管理方面,引入信息安全技术架构并建立相应的流程和标准的企业仅占34%,制定灾难性电子信息数据恢复计划或者持续运营方案的企业约占33%,均远远低于国际平均水平。相比电子信息,实物性信息在我国企业中往往更容易被忽视。很多关于信息安全的文献几乎千篇一律地在谈对电子信息的保护,很少涉及实物性信息保护。但是,实物性信息(如,弃置物品)也可能附带公司的重要信息,倘若不对此加以保护,同样会对企业造成难以预料的经济损失。因此,不论是电子信息安全还是实物性信息安全都应该引起企业管理者的重视。本文依据中国平安信息安全总监谭宪维先生在媒体中对其信息安全内部控制建设的介绍,就中国平安DLP计划中对信息安全防护案例加以阐述,力图为我国企业做好信息安全工作提供一个可供参考的典范,也为企业信息安全方面的研究提供一些思路。 二、中国平安DLP计划简介 DLP(Data Leakage Prevention)又称“信息丢损防护”,这一概念源于国外,是目前世界公认的信息安全防御手段。它是通过采取一系列的信息安全防护措施为防止企业特定数据或信息以“非法”形式流出企业或遭到破坏,影响原始信息完整性、真实性和保密性而制定的策略。据中国平安保险(集团)股份有限公司信息安全总监谭宪维介绍,中国平安早在五年前就已经作了大量针对信息安全问题的工作,并结合本公司实际状况专门制定了一套DLP计划。该计划从威胁企业信息安全的信息存储、信息传输和信息使用三个层面对涉及公司信息的各个方面加以严格控制,包括对人和终端的控制,着重强调对“人”的控制。该计划认为,提高员工的信息安全意识非常重要。中国平安首先制定出一系列信息安全制度,并通过平安晨会、平安报、内部信息网站和知识竞答等途径告知员工公司正在采取举措监控他们的行为以及监控他们的原因,并让员工明白自己怎么做才不违规。其次是针对服务器、职场设备、BYOD和用户端口等终端的控制。通过加强这两个方面的工作,做到安全使用的数据尽量最多,把信息安全威胁尽量降到最低。 同时,谭宪维认为,没有任何一个信息安全防护策略是百分之百有效的(翟艳、黄鲜宇,2014)。因此,信息数据防护不是一个单一的方案就可以的,它是一个涉及整体的工作。DLP计划不是一蹴而就的事情,而是一个运动的、不断优化的过程。因此,中国平安在信息安全工作中秉承“只有变才是不变的”理念,倡导准确识别公司内外部环境的变化,顺应市场发展的潮流,树立前瞻性视野,做到防患于未然的信息安全,以支撑企业的稳健发展。 三、基于中国平安DLP计划的信息安全控制 2007年,中国平安成立了独立于IT部门的信息安全部。该部门之所以开拓性地脱离IT部门独立成部,主要源于其关于企业信息安全控制的前瞻性思想:信息安全应该是兼顾人、流程和技术三个领域的保障形态。因此,该公司的信息安全控制在信息存储、信息传输和信息使用中均兼顾了这些领域(谭宪维,2014)。具体如下: (一)信息存储 1.建立备份数据中心 数据备份的意义在于当信息遭受破坏之后,通过备份的数据,完整、快速、简捷、可靠地恢复到原有的数据保存状态,使公司现有业务能够迅速恢复至正常运营。高效的数据备份要同时做到资源配置和运营管理两个方面的备份,既能保证原始信息的完整性,又能满足信息还原的及时性要求,因此,是一个公司信息安全最根本、最基础的保障措施。为了保证公司整个信息系统的稳定运行,中国平安在上海和深圳两地建立起了两大互为备份的数据中心。这两个数据中心均采用了国际先进的NCPI和模块化设计思想,不论是在资源的有效配置方面,还是数据的运营管理方面都能实现可靠性、完整性、灵活性和可扩展性等要求。除此之外,自2004年数据中心建立之后,中国平安在国内率先制定了“IT灾难恢复计划”,并做到每年进行一次实战演练,对这些管理体系不断地进行更新和完善,提高公司在一个数据中心遭到破坏之后快速恢复关键信息系统的能力,为信息服务的可靠性和连续性提供有力保障。 2.服务器保护 服务器承担着数据的存储、转发、发布等关键任务,是各类基于客户机/服务器(C/S)模式网络中不可或缺的重要组成部分,是每个公司信息系统的核心组件之一。信息泄漏事件很大程度上都是源于黑客对服务器的攻击。服务器存在的安全漏洞为黑客提供了攻击的机会,他们利用这些漏洞植入恶意软件、木马程序和病毒等,窃取或破坏公司重要信息。中国平安在应对服务器攻击方面不再按照传统的“亡羊补牢”防御模式,而是依据ISO27001信息安全管理体系中的PDCA模型(图1)进行主动、全面的未雨绸缪式的安全管理。它将整个防御过程划分为计划(Plan)、实施(Do)、检视(Check)和处理(Act)四个持续循环的阶段,从制度着手,制定出全面、严谨的服务器信息安全控制制度,依据该制度严格执行,并在此期间不断进行检视,对存在问题和隐患的地方及时进行处理。 3.对大数据的安全措施 大数据是近年来继云计算之后出现并得以迅速推广的全样本数据分析工具,通常被定义为无法用现有的软件工具提取、存储、搜索、共享、分析和处理的海量的、复杂的数据集合,具有数量巨大、类型各样、价值密度低、处理速度快等特点,数据更加集中。因此,相对于传统数据而言,大数据被泄漏的风险更大。大数据包括结构性数据和非结构性数据。由于结构性信息包括了生产、交易、客户信息等,对其保密性要求相对较高,而对于非结构性信息,由于其数据来源本来就公开,因此对其保密性要求也就相对较低。中国平安在大数据的管理方面仍然处于研究阶段,对大数据的保护主要关注结构性信息。针对这些数据,中国平安采取了名为“微度漂白”的管理策略。其思路就是把客户的敏感信息(如,客户个人信息、银行账号、交易信息等)和这些数据的关联实体相分离,即只保留了不影响数据分析的关联性信息,即便是公司内部的数据分析员也不知晓数据的关联实体,从而达到对大数据保护的目的。 (二)信息传输 信息传输方面主要分为电子信息(如,电子协议、电子印章和电子邮件等)传输和实物信息(纸质文件、行销资料等)传输。 1.电子信息传输 公司内部(包括总公司和子公司之间)电子信息的传输主要通过公司内网提供的内部邮箱在互联网中经由加密传输通道VPN实现,同时,使用微软公司的OUTLOOK软件管理个人邮件。为了防止内部员工有意或无意通过邮箱向无关的外部泄漏内部信息,公司给予每个邮箱使用者不同的权限。主要业务在公司内部的部门(如,企划部、财务部等)邮箱使用者只有内部收发和接收外部邮件的权限,而没有向公司外部发送邮件的权限。对于需要与外部沟通较多的部门(如,采购部等),则仅开通个别用户外发邮件的权限,而且外发的邮件必须抄送至相关部门长,否则将受到不同程度的惩处。此外,相对于对外网资源要求较多的QQ等即时传输工具,中国平安的邮箱文化更具有可控性和可存储性。同时,在网络通讯环境中建造一个邮件监察策略,扫描电子邮件中的敏感信息,识别可能涉密的邮件。考虑到检测工具的判别并不是百分之百准确,因此,还要辅以人工识别,以兼顾监测的效率和效果。 2.实物性信息传输 近年来,物流公司泄漏客户信息的案件层出不穷。对于实物性信息的传输控制方面,如公司重要的纸质文件、行销资料及运营设备等在公司内部或母子公司间传输过程中,若使用外部物流将会导致信息泄漏风险大大增加,尤其是对于涉及公司关键经营决策的信息泄漏可能引起难以估量的经济损失,鉴于这些考虑,中国平安建立了自己的名为“箱包”的内部物流。对于价值密度高、信息泄漏风险大的实物信息均采用内部“箱包”的形式进行传递。同时,考虑到内部物流成本较高等因素,对于价值密度较低的基础性实物,由于其信息泄漏不会对公司经营产生较大影响,则可以考虑采用外部物流进行传递。对于数量较小的纸质文件,即便采用内部物流也难免存在丢失等风险,因此,这部分文件采用传真传输的方式更能保证其安全和完整。 (三)信息使用 1.制度宣导 信息安全存在的最大问题还是“人”的问题,归根到底是每一个公司员工的责任。几乎每一个员工都或多或少地掌握公司部门信息,他们很容易有意或无意间将信息泄漏出去。因此,必须在员工心里树立一个分辨敏感信息的判断标准。中国平安独创性地把“人”当作一种资产,而不是像其他公司当作资源进行管理。这样就要对进入公司的员工的行为负责,能够更准确地衡量其操作风险。中国平安在公司内部建立了专门的信息安全内部控制部门,他们不是信息安全的实施者,而是推动实施者进行信息安全管理工作,每年都会通过信息服务网、晨会、平安报刊、知识竞赛等活动平台为本公司内部人员组织大量信息安全知识培训,让他们不断地接收新的知识和理念,并通过案例讲解其中的利害关系,以此改善信息安全状况,提高公司中每个员工的防御意识和能力,组建一个“全民皆兵”的防御战线。同时,通过建立制度并强化公司内部信息安全形态、提供咨询顾问服务、进行审计监督等一系列持续不断的工作,推动信息安全的稳健发展。 2.办公职场设备控制 办公职场设备是公司员工日常办公、维持公司业务正常运营的基础设施。公司员工对这些设备接触最多,也最为熟悉,同时也比较容易导致员工的疏忽大意,也许一个普通员工不经意间的行为就可能导致公司重要信息的泄漏或破坏。因此,这是公司信息安全方面最容易出现问题的地方之一。中国平安对办公职场设备的管理主要是针对电脑、电话、打印机和传真机等的管理。具体如下:(1)电脑,电脑是中国平安员工最重要的办公设备,它是访问公司数据库信息的入口,是存储办公资料的仓库,是员工交流的工具,几乎储存了一个员工日常工作涉及的所有信息。因此,首先就是要控制登录入口。每个员工分配一个UM账号,并由员工自行设定一个包含字母、数字和特殊符号的密码与之匹配。为了保证密码的可靠性,每个员工必须在每三个月至少更改一次密码。其次是对其访问的站点进行控制。每台电脑根据员工的岗位类别只可以访问与自己工作密切相连的站点,而不能访问工作以外的站点。如,税务会计只能访问公司财务系统、国(地)税局网站,而不能链接到新浪网、搜狐网等。此外,一般禁止自行安装非制定软件(如,QQ等)程序。若确实有需求,需在部门长审批之后由IT部门负责调试。最后,为了保证用户离开座位期间的信息安全,电脑在长时间未操作的情况下会自动锁定。(2)电话,电话通讯的控制主要体现在对通话时间、时长和通话对象的监测方面。公司会定期对员工的可疑通话进行记录和检查,确保员工电话通讯安全。(3)打印机,打印机是每一个员工都要用到的数据输出设备,直接由每个部门长对该部门的打印机负责。涉密文档的打印必须事先发送至部门长备份方可打印,并由打印者对打印文件的去向负责。此外,IT部门定期对每个部门打印机的打印数量、打印时间和打印内容进行检查。(4)传真机,由于传真机具有向公司外部发送数据的功能,因此,对其管理较为严格。一般每个部门由部门长直接负责,传输的内容需由部门长备份,并传送至上级部门,使用完毕,立即清除机内存储的数据。同时,由IT部门不定期进行抽查。 3.BYOD控制 伴随着智能终端和移动互联技术的迅速发展,便携式计算机、智能手机和平板电脑等移动设备在日常办公中得以普遍推广和应用,越来越多的员工将移动设备引入到工作环境中,自带终端上班BYOD(Bring Your Own Device)已经成为一种潮流。中国平安2011年就开始制定BYOD政策,以便更安全、可靠地利用这一不可逆转的趋势为企业创造价值。但是,近年来由于智能操作系统漏洞、刷机风险和木马程序的存在,使得移动终端设备不断面临威胁。据移动威胁检查数据显示,目前平均每秒钟就有3.5个安全威胁产生。针对移动终端设备的安全问题不容小觑。 针对这些问题,中国平安依然先从“人”的角度着手,制定出一系列BYOD管理制度。根据这些制度,员工应学习个人设备用于工作环境时应该遵守的规则,签订信息安全协议,并允许IT专员为其设备部署控制措施。此外,技术方面做到将个人使用与BYOD办公严格区分,建立一套包含以下方面的信息安全防护策略:(1)认证设备,BYOD设备要接入企业网络需要认证设备使用者的身份信息并确认授权;(2)按要求配置设备,BYOD设备经授权确认后需要按照信息安全规则实施密码标准和失败、尝试限制、安全锁定等管理配置要求;(3)企业数据保护,BYOD设备一般只能访问企业数据而不能下载储存,若必需保存企业数据时,应做到企业数据与个人数据的明确分离;(4)数据弃置,当BYOD设备脱离公司(如,员工离职或设备丢失)时,应做到可远程清除设备上的企业数据。 4.内外网端口控制 对内外网端口的控制主要针对USB接口、U盘(包括移动硬盘等存储设备)、蓝牙和WIFI等内外设备联通端口的管理。具体控制措施如下:(1)USB端口是公司内外部数据传输最为便捷的路径,也是电子信息泄漏风险最大的出口。为了加强对USB端口的控制,中国平安严格限制员工电脑端口的传输权限,即,禁用普通用户通过USB端口拷出资料的权限,而只能拷入与工作内容相关的文档和图片数据,对文档和图片以外格式的文件和程序则没有权限访问和使用。但是,日常工作中难免会遇到必须拷入和拷出的情形,为了保证日常工作的正常进行,公司在IT部门预留两个具有完全权限的USB端口,普通员工使用该端口前需提前向部门长提出申请,并向端口负责人备份存档。(2)U盘等存储设备,由部门长指定专人负责其存在性和安全性,即,防止其丢失和及时清除敏感数据,并由部门长不定时抽检。(3)蓝牙和WIFI,公司对蓝牙的应用较少,因此全部处于关闭状态。此外,由于中国平安在2015年初推出了一个全国热点区域“免费平安WIFI计划”,因此,WIFI主要是对员工休闲娱乐的福利,与办公网络(有限网络)采用完全分离的线路,保证了二者互不干涉。 5.日志审查 为了进一步监管员工在工作中对电子信息数据的处理,记录所有用户的全部操作,同时也为了在员工具有泄密嫌疑时及时拿出有力的证据,中国平安建立了一套电子信息数据日志审查制度。该制度要求IT部门对每位员工的日常操作进行实时抽检、跟踪和记录,一旦侦查到敏感信息的交换时要及时提出预警,提示信息安全管理部门及时加以关注,并回溯该用户的操作历史进行综合评估,以达到降低普通用户操作风险的目的。 6.丢弃文档和弃置物品控制 丢弃文档和弃置物品具有公司最容易忽略的信息安全风险。一张随手扔掉的废纸可能记载了重要的客户信息,一个丢弃的打印机可能储存有打印过的会议资料。因此,对丢弃文档和弃置物品的控制具有很重要的意义。中国平安对此要求也十分明确,不论是丢弃的纸质文档还是弃置物品均需事先“毁掉”其附带的信息。每个部门丢弃的文档和弃置物品必须打包并列示清单,报至部门长审批销毁,并由两人或两人以上监销人在销毁清单上签字。 四、结语 伴随着科学技术的不断进步和商务模式的日益复杂,信息安全问题开始困扰我国企业的稳健发展。本文在我国全面深化经济体制改革的背景下,通过对中国平安DLP计划进行分析,为我国企业加强信息保护方面的工作提供一个可供参考的案例,同时希望对企业信息安全工作的深入研究有所帮助。正如中国平安信息安全部总监谭宪维先生所言,企业信息安全是我国企业亟须面对而且不断发展变化的问题,需要每一个企业用发展的眼光结合自身实际情况搭建个性化的信息安全屏障。标签:信息安全论文; 大数据论文; 数据与信息论文; 信息安全管理体系论文; 端口转发论文; 信息安全标准论文; 内部控制论文; 网络端口论文; dlp论文; 信息安全管理制度论文;