2011年是“十二五”规划的开局之年,中国勘察设计协会的工作指导意见中,明确提出在“十二五”期间,要把勘察设计企业建立信息安全保障体系做为一项重要工作来抓。勘察设计企业作为典型的技术、知识密集型企业,由于长期受行业特性的限制,信息化水平相对较低,企业内部对数据泄露问题缺乏足够的重视,但其带来的潜在风险却影响巨大。
广西某设计公司就曾擅自复制从自治区测绘档案资料馆领用的涉密地图15幅,并且在公司一台连接着互联网的电脑里,存储了126幅涉密地图,给国家安全造成了隐患,被处以重罚。而事实上,由于多数勘察设计企业在发生数据泄露事故时,采取了沉默的态度,因此我们所见到的一些勘察设计行业的数据泄露事件,不过是数据泄露风险冰山的一角。因此,对勘察设计企业来说,客观分析数据泄露风险并在此基础上消除隐患,是必须补上的一课。
勘察设计企业数据泄露风险分析
勘察设计企业的信息化始于白图对蓝图的替代过程,确切地说,这一过程是指计算机辅助设计印制图纸替代晒制蓝图。随着各类CAD软件的普及,这一过程帮助勘察设计企业实现了图纸文件电子化,提高了工作效率和图纸质量。但同样在这一过程之中,数据的安全隐患也开始显现出来。对勘察设计企业而言,原来一拉杆箱图纸价值几十万,而现在一个小小的U盘里的资料就可能价值几十万。数字化在带来便捷的同时,也增加了安全风险。
中小型勘察设计企业的信息化依赖程度较低,但同时抵御风险的能力也低。一次数据泄露所造成的损失,对那些资质靠挂靠、项目靠分包的中小型勘察设计企业来说,足以威胁到企业的生存和发展。因此,中小型勘察设计企业虽然更看重安全成本,但因为成本原因而放弃安全机制的引入,显然不是明智的做法。
大型勘察设计企业的信息化建设水平较高,相当数量的大型(综合性)勘察设计企业的信息化水平已接近或达到同行业世界先进水平,实现了工程数据的共享和应用系统的集成。大型勘察设计企业的内部信息系统通常会涵盖综合办公管理模块、生产管理模块和图档管理等三个模块。与此相对应,数据泄露带来的危害也可能会在这三方面表现出来。
在图档管理模块,大型勘察设计企业在数据泄露方面与中小型勘察设计企业面临着同样的困惑。而在综合办公管理模块、生产管理模块,大型勘察设计企业信息管理系统的先天弱势可能会给数据安全带来更大的难题。
综合办公管理模块包括了公文管理、人力资源管理、财务管理、公共资源管理和资质管理。生产管理模块则包括了招投标管理、合同管理、外包管理、质量管理和设计项目管理。目前大型勘察设计企业信息化建设中所用的综合办公管理模块软件、生产管理模块软件,相当一部分是由单位专业人员自主开发,或是委托或和专业软件公司联合开发。这几种来源的软件,由于目前国家在设计院信息管理软件平台的开发研制方面,还没有一个统一的标准和规范出台,再加上开发人员流失等情况的大量出现,普遍存在难以集成、适应能力和通用性差的弱点。这在一定程度上助长了“信息孤岛”的出现,大量数据因此而需要借助各类介质实现手工转移和互通,这给数据泄密的发生埋下了隐患。
不难看出,勘察设计企业不论其规模大小,其财务、图档、经营、人事等敏感数据都或多或少地面临泄露风险。因此,在潜在风险面前建立防护机制,是急需进行的工作。
勘察设计企业数据泄露防护体系的建立
在建立勘察设计企业数据泄露防护体系的过程中,首先要考虑到随着应用复杂度的提高,勘察设计企业的信息管理系统必须被当做一个整体系统来考虑。与此相对应,数字的防泄密的应对措施也必须形成体系,按照风险等级引入相应的安全厂商的技术和服务。
对于中小型勘察设计企业而言,由于数据量和安全预算的限制,可以把防护对策集中在项目数据本身,形成文档加密、CAD加密,U盘加密的三级防护体系。
而对大型勘察设计企业来说,许多企业由于面临着计算机软件、硬件资源的全面整合,最终形成在行业内部实现计算资源、存储资源、软件资源、数据资源、信息资源的全面共享,因此在形成数据加密体系的基础之上,还要在包括存储和服务器安全的整体内网安全上下一番功夫。
目前可以提供防数据泄露服务的安全厂商颇多,亿赛通、深信服、趋势科技、IP-guard等公司都是不错的选择。而针对勘察设计企业的需求,亿赛通公司更有过人之处。亿赛通公司注重自主研发,其数据泄露防护体系(Data Leakage Prevention,DLP)是基于“透明加密技术”、“全磁盘加密技术”和“文档安全网关技术”三项成熟技术。在已经应用了这个体系的中国城市规划设计院、中国建筑标准设计院、上海核工程设计研究院、内蒙古电力勘测设计院、深圳市建筑科学研究院等单位,其反响非常好。
这些设计单位的IT主管普遍反应,应用了亿赛通数据泄露防护体系以后,以往让人头疼的内部人员主动带走设计图纸、通过QQ等聊天工具泄密数据、通过U盘和蓝牙外泄数据、内部人员随意打印敏感数据、外部计算机接入内网盗取机密等问题,都得到了有效解决。近期专门感染装有AutoCAD的电脑,并已成功窃取了上万份CAD设计图纸的“图纸大盗”病毒,也没能捍动亿赛通数据泄露防护体系。
从整体安全形势来看,在接下来的时间里,木马病毒还将继续保持活跃,针对移动智能平台的病毒将逐渐展露头角,这使得数据泄露的可能性大大增加了。因此,虽然当前多数国内勘察设计企业的信息系统还处在建设或完善的阶段,但在数据防护的问题上,必须做到“兵马未动,粮草先行”,在建设的过程中就建立起相应的数据防护体系。