敖瑾

10月份在深圳舉行的首屆商業(yè)秘密保護(hù)灣區(qū)峰會(huì)上，《企業(yè)商業(yè)秘密管理規(guī)范》發(fā)布。在這份共有十三章節(jié)，涉及人員、區(qū)域、物品、信息軟件等各個(gè)維度的商業(yè)秘密管理規(guī)范中，可以看到，技術(shù)手段在商業(yè)秘密保護(hù)中發(fā)揮著重要作用。

技術(shù)手段門(mén)檻高，且費(fèi)用不低，對(duì)于技術(shù)手段到底可以做到哪些，以及應(yīng)該采用哪些手段，很多企業(yè)仍存在疑惑。

參與制定《企業(yè)商業(yè)秘密管理規(guī)范》的深信服科技股份有限公司，是一家專(zhuān)注于企業(yè)級(jí)網(wǎng)絡(luò)安全、云計(jì)算、IT基礎(chǔ)設(shè)施與物聯(lián)網(wǎng)的產(chǎn)品和服務(wù)供應(yīng)商，是提供商業(yè)秘密保護(hù)整體解決方案的頭部企業(yè)。而這樣一家企業(yè)，自身也存在著商業(yè)秘密保護(hù)的需求，這或許更能為企業(yè)提供技術(shù)手段保護(hù)商業(yè)秘密的借鑒。

深信服最早對(duì)商業(yè)秘密保護(hù)開(kāi)始重視，也是由于事件驅(qū)動(dòng)。

2018年，深信服的一位老員工離職后，帶走了公司的客戶名單和商業(yè)機(jī)會(huì)，還憑借著對(duì)業(yè)務(wù)的熟悉，將原公司的客戶和項(xiàng)目“一挖一個(gè)準(zhǔn)”。項(xiàng)目機(jī)會(huì)和客戶關(guān)系遭到惡意挖角和搭便車(chē)的行為，是深信服絕對(duì)不能容忍的。雖然公司針對(duì)這些不正當(dāng)競(jìng)爭(zhēng)行為及時(shí)采取了法律措施，對(duì)相關(guān)人員也采取了法律行動(dòng)，但還是給公司利益造成了一定的損害。

深信服法務(wù)總監(jiān)胡海斌告訴南都周刊記者，在正式開(kāi)始搭建商業(yè)秘密保護(hù)體系之前，深信服先全盤(pán)梳理了公司稅務(wù)、法務(wù)、財(cái)務(wù)、技術(shù)等經(jīng)營(yíng)信息和技術(shù)信息。

其次，深信服確立了商業(yè)秘密保護(hù)的工作方向，即實(shí)行商業(yè)秘密的分類(lèi)分級(jí)保護(hù)：

杜絕任何泄露的風(fēng)險(xiǎn)，比如源代碼，側(cè)重“0發(fā)生”，以隔離為主;

杜絕全量數(shù)據(jù)泄露的風(fēng)險(xiǎn)，比如，非全量的銷(xiāo)售信息，側(cè)重預(yù)警和法律反制，以審計(jì)和訪問(wèn)控制為主;

側(cè)重預(yù)防和事后追責(zé)，以宣貫、訪問(wèn)控制、審計(jì)及法律反制為主。

接下來(lái)就是結(jié)合技術(shù)手段，對(duì)不同等級(jí)的商業(yè)秘密進(jìn)行管理。

深信服有一套專(zhuān)門(mén)用于監(jiān)控?cái)?shù)據(jù)安全的系統(tǒng)，企業(yè)數(shù)據(jù)當(dāng)前的安全態(tài)勢(shì)、安全事件、網(wǎng)絡(luò)攻擊態(tài)勢(shì)、外連數(shù)據(jù)和流向等都將以圖表或模型的形式清晰地記錄、保存。深信服每月都會(huì)進(jìn)行內(nèi)部信息的安全稽查，滾動(dòng)監(jiān)控信息的運(yùn)輸情況，一旦出現(xiàn)異動(dòng)，相關(guān)人員就可以迅速做出反應(yīng)。

“有一次，一個(gè)員工的電腦壞了，公司配發(fā)了新電腦后，他就把舊電腦的數(shù)據(jù)拷貝到新電腦，信息安全部馬上就給他發(fā)消息，詢問(wèn)突然大量拷貝數(shù)據(jù)的原因，最后需要經(jīng)過(guò)信息安全部同意后，數(shù)據(jù)拷貝才能繼續(xù)進(jìn)行?！焙１笈e例說(shuō)。

隨著云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)等新興技術(shù)的興起，企業(yè)傳統(tǒng)的安全邊界逐漸被打破，特別是新冠疫情以來(lái)移動(dòng)辦公的流行，給企業(yè)的商業(yè)秘密保護(hù)帶來(lái)了更大的挑戰(zhàn)。

“零信任”是一種解決的辦法，具體到實(shí)際操作而言，就是網(wǎng)絡(luò)隔離，數(shù)據(jù)不落地以及嚴(yán)格且靈活的訪問(wèn)控制。

網(wǎng)絡(luò)隔離，指的是企業(yè)研發(fā)部門(mén)擁有自己獨(dú)立的研發(fā)網(wǎng)絡(luò)，配備獨(dú)立的服務(wù)器和網(wǎng)絡(luò)，避免與其他部門(mén)的網(wǎng)絡(luò)交互。

而數(shù)據(jù)不落地則依靠云桌面來(lái)實(shí)現(xiàn)。在深信服展廳，記者看到了云桌面的運(yùn)行原理。云桌面將所有的數(shù)據(jù)都保存在云端，通過(guò)沙箱實(shí)現(xiàn)輕量級(jí)數(shù)據(jù)的本地隔離。也就是說(shuō)，員工看到的數(shù)據(jù)都以圖片形式出現(xiàn)，圖片定期被覆蓋，上面還有加密的代碼水印，以此保證全量數(shù)據(jù)在服務(wù)器上無(wú)法轉(zhuǎn)移。

另外，通過(guò)這種云端存儲(chǔ)的方式，接觸保密信息的員工用的電腦里沒(méi)有存留任何數(shù)據(jù)，他們只能看到數(shù)據(jù)遠(yuǎn)程輸出后的結(jié)果，也就無(wú)法對(duì)數(shù)據(jù)進(jìn)行任何拷貝或竊取。云桌面可以在公有云、私有云部署，也可以在本地?cái)?shù)據(jù)中心分布式部署，通過(guò)云桌面實(shí)現(xiàn)對(duì)數(shù)據(jù)安全可控的管理。

嚴(yán)格且靈活的訪問(wèn)控制，指的是對(duì)人、物（終端）默認(rèn)不信任，通過(guò)運(yùn)用統(tǒng)一身份管理、動(dòng)態(tài)訪問(wèn)控制、業(yè)務(wù)及數(shù)據(jù)訪問(wèn)以及數(shù)據(jù)隔離等多種手段實(shí)現(xiàn)有效且靈活的數(shù)據(jù)訪問(wèn)控制?？梢詫?shí)現(xiàn)不區(qū)分內(nèi)網(wǎng)外網(wǎng)，不區(qū)分終端類(lèi)型，不區(qū)分網(wǎng)絡(luò)環(huán)境下的數(shù)據(jù)訪問(wèn)控制，實(shí)現(xiàn)了不同的辦公方式和數(shù)據(jù)保護(hù)之間的平衡。

基于零信任概念的解決方案就相當(dāng)于網(wǎng)絡(luò)世界的門(mén)禁卡，可以應(yīng)用到所有的產(chǎn)品中去，這本質(zhì)上是員工進(jìn)入系統(tǒng)訪問(wèn)數(shù)據(jù)前的權(quán)限控制?！昂锰幘褪莻€(gè)人辦公不用分內(nèi)網(wǎng)外網(wǎng)了，在家里、在機(jī)場(chǎng)、在車(chē)上都可以辦公?！焙１蠼榻B，零信任概念的出現(xiàn)就是因?yàn)橐咔樵诩肄k公需求的催化。

他介紹，深信服還由此升級(jí)了移動(dòng)辦公軟件。“所有人在登錄公司網(wǎng)絡(luò)之前，都需進(jìn)行一次身份驗(yàn)證，驗(yàn)證內(nèi)容除了常規(guī)的賬號(hào)密碼，還會(huì)關(guān)注賬號(hào)登錄的地點(diǎn)和場(chǎng)景，有時(shí)需要用手機(jī)號(hào)進(jìn)行再次驗(yàn)證。多重維度驗(yàn)證后，證明確實(shí)是員工本人在合適的地方、合適的場(chǎng)景，才能允許用戶進(jìn)入公司網(wǎng)絡(luò)?！?/p>

胡海斌在2016年入職深信服，他記得，在2018年正式開(kāi)啟商業(yè)秘密保護(hù)體系建設(shè)前，深信服每年都會(huì)處理十幾起泄密事件，但近兩年相關(guān)事件的數(shù)量越來(lái)越少，他認(rèn)為這是公司員工逐漸接受并遵守商業(yè)秘密保護(hù)規(guī)則帶來(lái)的結(jié)果。

但他仍然保持著警惕，“在技術(shù)和制度都逐漸完善后，商業(yè)秘密保護(hù)是否還存在著無(wú)法被監(jiān)管到的角落？新的商業(yè)模式、新的產(chǎn)品形態(tài)、新的研發(fā)模式或新的移動(dòng)終端的出現(xiàn)，原有的保護(hù)體系是否同樣能夠?qū)崿F(xiàn)商業(yè)秘密保護(hù)的理解和平衡？比如，華為的研發(fā)部門(mén)和安全部門(mén)都有門(mén)禁，不能攜帶任何帶有攝像頭的設(shè)備，但未來(lái)智能眼鏡出現(xiàn)后該怎么辦？”

胡海斌始終認(rèn)為，“商業(yè)秘密的保護(hù)存在一個(gè)度，不可能做到百分之百的安全”。而如何正確地把握這個(gè)度，是企業(yè)從最開(kāi)始建立商業(yè)秘密保護(hù)工作目標(biāo)和工作機(jī)制時(shí)，就要考慮的一個(gè)問(wèn)題?！斑_(dá)到業(yè)務(wù)效率和保密合規(guī)之間的平衡，這才是最核心的點(diǎn)。”

“商業(yè)秘密的保護(hù)存在一個(gè)度，不可能做到百分之百的安全”。達(dá)到業(yè)務(wù)效率和保密合規(guī)之間的平衡，才是最核心的點(diǎn)。