一、企业简介
公司拥有国内领先的无线通信核心技术——射频技术及系列自主知识产权,拥有国内规模最大的射频研发团队,在深圳和泉州设有研发中心和生产基地,在国内31个省、直辖市、自治区、特别行政区设有分公司、办事处,在海外7个国家设有办事处。
二、项目背景
国人通信公司经历多年高速发展,在全球范围内与世界强手过招,其数据安全一直受到公司高层的重视。公司构建数据泄露防护(DLP)体系的主要原因有:
1. 日益迫切的内部信息安全要求对信息资产保护。国人通信作为行业知名企业及纳斯达克上市公司,深刻认识到信息安全对公司至关重要。公司的重要经营信息、业务数据、自主知识产权、研发成果、产品信息等重要信息资产一旦外泄,将对公司造成直接或间接的巨大损失。而且公司也经历过类似安全事件,所以对信息资产的保护势在必行。
2. 美国对上市公司的萨班斯法案(SOX法案)合规性,要求公司投入资源做信息资产保护工作。
3. 来自合作伙伴对信息安全的需求也促使国人通信加强数据安全建设。国人通迅与电信、移动等运营商及中兴、华为、诺基亚西门子等知名通信公司合作,这些企业无一例外对合作伙伴的信息安全有较高要求,以及对业务往来信息数据的保护。
4. 国家法律法规的要求。
三、项目的目标与方针
国人通信在对国内外数据泄露防护(DLP)体系的选型中,主要考虑以下几个方面:
1. 在深刻认识到信息安全重要性的同时,也认识到信息安全负面作用,即高度的安全会严重影响工作效率,也会导致竞争力的下降。国人的业务模式要求系统不能对工作效率产生较大影响。所以保证信息安全体系严谨、高度安全的同时如何尽量减少对员工工作效率影响,是重点关注的问题;
2. 对公司所有重要的信息资产进行保护,做到“让正确的人,在正确的时间、正确的地点,以正确的权限,访问正确的文件”,所有记录可追溯,可审计;
3. 系统要能做到保护各种类型的文件,并根据不同部门、职位的工作性质设置不同灵活策略;
4. 系统必须要与系统Clear Case、VSS、OA等兼容,不改变现有业务操作模式,不影响现有系统应用;
5. 弱化传统的边界管理思路。符合ISO27001思想;
6. 系统运行维护的资源要小,最好融和到目前例行工作中,不对公司产生较大负担;
7. 要求系统必须成熟稳定,有较多的典型成功案例,厂商必须能提供强有力的专业支持。
四、选择亿赛通数据泄漏防护(DLP)体系
经过深入的技术探讨和产品选型,鉴于亿赛通在数据安全领域的领先技术和成熟产品,国人通信采用了北京亿赛通DLP体系作为数据安全保护系统。亿赛通是中国最早的文档安全管理系统厂商,立足于中国数据安全市场六年,与华为、IBM、中软等深度合作,在中国文档加密市场上是第一品牌。而且亿赛通曾有外交部、中国人民解放军二炮、酒泉卫星发射中心等政府、军队和军工单位的数据加密项目案例,在大型企业集团方面有中国移动、京东方集团、正泰集团、比亚迪等大型企业集团实施经验。
国人通信DLP工程实施过程中,需要克服几个重大难点,防范相关的风险。具体如下:
1. 与传统安全产品(防火墙、邮件过滤)及其它终端类产品相比,具有部署、维护工作量大,要考虑对硬件及系统兼容性问题;
2. 如何处理信息安全与工作效率平衡问题;
3. 如何处理系统与现有业务流程的影响,保证信息正常交互;
4. 如何降低员工的抵触情绪,得到高层及中层的理解与支持。
国人通信与亿赛通坦诚互信、亲密合作,项目历时五个月,经过需求分析、方案设计、技术测试、集成测试、试点部署、全面部署六个阶段,目前已完成系统在公司总部的应用与实施,实现对全公司所有关注的信息资产的保护,对各种重要文档进行分策略保护,以满足不同岗位的不同需求。也实现员工异地远程应用系统。
五、效益分析
数据泄露防护(DLP)工程的实施,为国人通信公司带来极高的价值回报。据国人通信高层介绍,该项目为国人公司带来以下效益:
1. 在亿赛通DLP系统实施的带动下,对整个信息安全体系做了一次全面盘点,增加了信息安全管理基础管理,配合DLP系统,实现信息安全管理水平的一个飞跃;
2. 以DLP系统为技术平台,制定了文档安全管理策略、操作指引等文件体系,建立了文档管理组织及维护体系、事件处理及紧急响应流程、审计考核体系;
3. 项目实现了对公司重要信息的保护,对企业外部做到不能轻易拿出,拿出打不开,打开了看不懂;对企业内部做到员工依权限合理使用;
4. 在保护重要信息资产安全的前提下,对员工工作效率的影响较小,在信息安全和工作效率之间找好一个很好的平衡点;
5. 提高了公司对核心数据保护方面的安全感,提升了公司竞争力。
