国人通信数据泄露防护工程

发布时间:2009-02-06 09:06 作者: 来源:比特网点击:加载中...次

一、企业简介

　　深圳国人通信有限公司主要从事以射频技术为基础的无线通信产品的开发、生产与销售，是中国领先的射频技术及产品开发商、中国领先的无线网络覆盖产品与解决方案提供商。公司于2006年3月在美国纳斯达克上市，在“中国通信设备制造企业50强”中名列第15位。年销售额近10亿，员工人数为2000多人。

　　公司拥有国内领先的无线通信核心技术——射频技术及系列自主知识产权，拥有国内规模最大的射频研发团队，在深圳和泉州设有研发中心和生产基地，在国内31个省、直辖市、自治区、特别行政区设有分公司、办事处，在海外7个国家设有办事处。

　　二、项目背景

　　国人通信公司经历多年高速发展，在全球范围内与世界强手过招，其数据安全一直受到公司高层的重视。公司构建数据泄露防护(DLP)体系的主要原因有：

　　1. 日益迫切的内部信息安全要求对信息资产保护。国人通信作为行业知名企业及纳斯达克上市公司，深刻认识到信息安全对公司至关重要。公司的重要经营信息、业务数据、自主知识产权、研发成果、产品信息等重要信息资产一旦外泄，将对公司造成直接或间接的巨大损失。而且公司也经历过类似安全事件，所以对信息资产的保护势在必行。

　　2. 美国对上市公司的萨班斯法案(SOX法案)合规性，要求公司投入资源做信息资产保护工作。

　　3. 来自合作伙伴对信息安全的需求也促使国人通信加强数据安全建设。国人通迅与电信、移动等运营商及中兴、华为、诺基亚西门子等知名通信公司合作，这些企业无一例外对合作伙伴的信息安全有较高要求，以及对业务往来信息数据的保护。

　　4. 国家法律法规的要求。

　　三、项目的目标与方针

　　国人通信在对国内外数据泄露防护(DLP)体系的选型中，主要考虑以下几个方面：

　　1. 在深刻认识到信息安全重要性的同时，也认识到信息安全负面作用，即高度的安全会严重影响工作效率，也会导致竞争力的下降。国人的业务模式要求系统不能对工作效率产生较大影响。所以保证信息安全体系严谨、高度安全的同时如何尽量减少对员工工作效率影响，是重点关注的问题;

　　2. 对公司所有重要的信息资产进行保护，做到“让正确的人，在正确的时间、正确的地点，以正确的权限，访问正确的文件”，所有记录可追溯，可审计;

　　3. 系统要能做到保护各种类型的文件，并根据不同部门、职位的工作性质设置不同灵活策略;

　　4. 系统必须要与系统Clear Case、VSS、OA等兼容，不改变现有业务操作模式，不影响现有系统应用;

　　5. 弱化传统的边界管理思路。符合ISO27001思想;

　　6. 系统运行维护的资源要小，最好融和到目前例行工作中，不对公司产生较大负担;

　　7. 要求系统必须成熟稳定，有较多的典型成功案例，厂商必须能提供强有力的专业支持。

　　四、选择亿赛通数据泄漏防护(DLP)体系

　　经过深入的技术探讨和产品选型，鉴于亿赛通在数据安全领域的领先技术和成熟产品，国人通信采用了北京亿赛通DLP体系作为数据安全保护系统。亿赛通是中国最早的文档安全管理系统厂商，立足于中国数据安全市场六年，与华为、IBM、中软等深度合作，在中国文档加密市场上是第一品牌。而且亿赛通曾有外交部、中国人民解放军二炮、酒泉卫星发射中心等政府、军队和军工单位的数据加密项目案例，在大型企业集团方面有中国移动、京东方集团、正泰集团、比亚迪等大型企业集团实施经验。

　　国人通信DLP工程实施过程中，需要克服几个重大难点，防范相关的风险。具体如下：

　　1. 与传统安全产品(防火墙、邮件过滤)及其它终端类产品相比，具有部署、维护工作量大，要考虑对硬件及系统兼容性问题;

　　2. 如何处理信息安全与工作效率平衡问题;

　　3. 如何处理系统与现有业务流程的影响，保证信息正常交互;

　　4. 如何降低员工的抵触情绪，得到高层及中层的理解与支持。

　　国人通信与亿赛通坦诚互信、亲密合作，项目历时五个月，经过需求分析、方案设计、技术测试、集成测试、试点部署、全面部署六个阶段，目前已完成系统在公司总部的应用与实施，实现对全公司所有关注的信息资产的保护，对各种重要文档进行分策略保护，以满足不同岗位的不同需求。也实现员工异地远程应用系统。

　　五、效益分析

　　数据泄露防护(DLP)工程的实施，为国人通信公司带来极高的价值回报。据国人通信高层介绍，该项目为国人公司带来以下效益：

　　1. 在亿赛通DLP系统实施的带动下，对整个信息安全体系做了一次全面盘点，增加了信息安全管理基础管理，配合DLP系统，实现信息安全管理水平的一个飞跃;

　　2. 以DLP系统为技术平台，制定了文档安全管理策略、操作指引等文件体系，建立了文档管理组织及维护体系、事件处理及紧急响应流程、审计考核体系;

　　3. 项目实现了对公司重要信息的保护，对企业外部做到不能轻易拿出，拿出打不开，打开了看不懂;对企业内部做到员工依权限合理使用;

　　4. 在保护重要信息资产安全的前提下，对员工工作效率的影响较小，在信息安全和工作效率之间找好一个很好的平衡点;