军事理论上有这样的一句话:只有准备打仗,才能不打仗。这一思想说出了一个道理:种种麻烦事,皆可通过事前防御、未雨绸缪的手段,从而达到我们最初的目的。除此以外,它还隐隐暗示了某种力量的强大,那就是,提前武装能够散布一种威慑力,无需动武便可使敌对势力望风而逃。
企业的信息安全管理运用的正是这一理论。但多数企业都是在遭遇惨痛的数据泄密之后,才开始走上信息安全主动防御的道路。只有少数的企业能够在未遭泄密的情况下,通过审时度势,预见风险,自觉寻求防御武器,始终以备战心态应对内部与外围风险的挑战,以达到无仗可打的理想境界。居于广东江门的大冶摩托,便是一个典型的例子。
大冶摩托,始创于2003年,现有员工近1500人,是一家专业生产摩托车的大型合资企业,也是目前国内最大的摩托车生产基地之一。
战事未起,先发制人
大冶摩托的强大竞争力不仅是以先进的技术开发能力、高明的商业战略为保证,而且是以坚固的信息安全保护体系为后盾的,统管企业信息安全建设的信息科梁经理早在2007年就已作出了具有前瞻性意义的决策——在全司范围内安装国泰数据加密系统。更为难得是,公司此前并无任何泄密事件的发生,这一决策是梁经理在评估外围环境泄密案例层出不穷,数据安全的整体形势下,反观自身行业特点和需求而做出的决定。
她说:“当时觉得公司是搞这方面(发动机)的研发,加密应该是很有必要的。也有以防万一的意思,对将来总会有用的。”相比众多的“亡羊补牢”式的防御模式,大冶摩托的信息安全保护意识可谓高瞻远瞩,先人一步。
弃旧用新,升级武器
袭用国泰加密五六年之后,旧有品牌逐渐暴露了它的弊端。比如功能太少,加密无法支持64位系统,升级还得重新缴费等等。在综合考虑企业的多样需求以及国泰的功能缺憾后,认为国泰已经不能适应公司目前的发展要求,去年起梁经理遂决定更换加密产品,再次为全新的大冶摩托配备合身的防御武器。
最初参加本场武器角逐的有华途、中软与IP-guard,但是很快,在一番功能比试、实地测试之后,IP-guard表现出众,梁经理最后选定了文档加密、网页浏览、设备管控等多个模块。
真枪实弹,威力可见
选了适合自己的武器装备,只是“准备打仗”的第一步,而真要到达到“不打仗”的终极目标,还得将这一武器的威慑力充分地发挥出来。怎么做呢?大冶摩托主要从以下几个方面入手:
加密模块 “隔离”核心部门与普通部门,外发空前严格
大冶摩托在全司都启用了IP-guard加密,并在此基础上,将核心部门——技术部(创意部、研发部、冲焊部)通过安全区域划分,进一步与普通部门“隔离” 开来。即,技术部默认使用安全区域为:技术部+普通,其他部门使用默认安全区域为:公共安全区域+普通。这样,技术部可查看公司所有加密文件,而其他部门无法查看技术部的加密文件;当技术部的文件需要发送给其他部门查看时,要向主管申请降低安全属性,主管审批后,加密文件属性变成公共安全区域属性,其他部门方可查看,大大提高了文档的安全性。
而当加密文件需要外发时,大冶摩托则限定所有加密文件只能申请生成外发文件才能发出,并限制有效时间、打开次数等。普通员工只有申请外发权限,部门主管有审批外发权限。部门主管有申请解密权限,只有总经理有审批解密权限。
如此严格的管控手段,不仅将加密发挥到几近极致,也使得数据安全保护的意识深入人心,从主观上慑于加密的严格管控力度。
网络控制模块 严格控制上网浏览,限访非法网站
大冶摩托的网络控制包括两部分:
第一是针对核心部门员工。技术部全部禁止上网,如工作需要也只能连接到虚拟机进行互联网访问,但是进行白名单设置,即禁止所有网址,开放部分工作需要的网站,如百度文库等。
第二是针对普通部门员工,管理相对放宽,只进行黑名单设置,即允许所有网站,禁止与工作无关的网站,例如视频网站、游戏网站等。
经过对上网行为进行如此明细的管理,工作效率自认也是大大提高。
设备管控模块 限制外设的使用,减少泄密风险
大冶摩托还设置了设备管理策略,禁止员工使用U盘、光盘、手机等外设。唯一允许使用设备的一台电脑则由IT主管专人管理。员工需要从外部拷贝东西进来,必须到这一台电脑上进行拷贝,同时严禁从公司拷出资料。毫无疑问,这样密不透风的管理方式有效降低了资料泄密的风险,严格控制外来文档的进入。
看得出,大冶摩托面对来势汹汹的数据泄密风潮,早已胸有成竹。不仅多年以前就有所境界,如今配备“重型武器”之后,又施之以如此严苛的管控手段,其用意不言自明:既然部署防泄密是防患于未然,何不来个彻底的管控,何必畏手畏脚,不敢施展?
可以说,在信息安全管理的这一层面上,大冶摩托确实将“只有准备打仗,才能不打仗”这一思想贯彻到底了。