信息安全体系保障核心数据资产

张兰兰

舒泰神（北京）生物制药股份有限公司（以下简称“舒泰神”）是以研发、生产和销售生物制品为主的制药企业，公司现有员工700余人，其中研发人员300余人。未来三至五年内，公司将有多个具有自主知识产权的新产品陆续投入市场。

公司于2008年12月被认定为北京市高新技术企业、中关村高新技术企业；2009年12月被北京市政府、科技部和中国科学院联合命名为中关村国家自主创新示范区创新性企业，承担多项国家级、市级科技创新及产业化项目。

信息安全建设与挑战

舒泰神文档曾面临以下风险。

第一，无法防范人员主动泄密，包括将企业内部文档私自拷贝外带及复用泄密；越权访问非授权数据泄密；盗用他人账号及设备非法访问数据泄密；通过打印机、传真机等将敏感数据进行介质转换泄密；敏感数据的恶意传播及扩散泄密；人员离职时将数据资产带离公司环境造成损失；核心数据授权带离企业后面临外部扩散泄密风险。

第二，无法防范人员被动泄密，包括在无意识或不知情的情况下所发生的泄密隐患。目前存在的被动泄密隐患包括：移动笔记本、USB存储设备遗失或失窃导致数据泄密；邮件或网络误操作、误发送引起的泄密；保密意识淡薄对敏感数据保管不当引起的泄密，如随意共享等；感染病毒、木马后引发的敏感数据泄密；将存放重要数据的机器、存储介质随意交与他人使用引发的泄密。

第三，终端行为不可控。USB存储介质、外设端口使用权限开放存在重大数据泄密隐患等。

第四，管理风险。核心数据以明文方式分散储存，难于管理；核心数据传输环节有较多合法或非法的输出途径且无法有效监管；现有安全管控措施不能有效预防核心数据主动、被动泄密风险；合法授权用户对核心数据的使用无法审计；出现信息安全事件后不能快速定位责任人；缺乏有效的技术手段或平台落实核心数据资产的保护政策等。

信息化建设规范有保障

舒泰神这两年主要推进的是信息安全项目。自2015年年初，舒泰神公司通过外部调研，内部沟通，需求分析，采用科学的信息安全规划方法论，充分进行信息安全现状分析与评估，设计信息安全总体架构，建立了《舒泰神信息安全体系架构》，明确信息安全推进方案。

根据《舒泰神信息安全体系架构》计划，考虑到舒泰神是一个重研发的企业，尤其企业的配方数据及生产工艺文档是企业的命脉。公司从研发文档安全入手，着手推进舒泰神文档加密项目。作为一家高科技企业，公司内很多重要数据都是以电子化的方式散布在办公网络的终端，不利于集中管理；同时由于连接互联网，对企业内部数据的保护也存在较大的风险。因此为了保护企业内部数据安全，需要采取多种安全手段对电子文档、终端行为进行集中管控。因此，加强终端文档安全势在必行。

为保障安全可控，在系统采购和实施过程中，在需求分析阶段充分考虑需求，在设计和开发阶段施行必要的安全措施，在测试和验收阶段对安全性进行测评。

采购和实施管理是指通过建立相应安全管理机制，在信息系统涉及的产品和服务的采购与实施过程中加强其安全性。在信息化建设的采购和实施过程中，要明确信息系统的安全需求、安全指标和规范，对用于保护信息系统安全的投入予以充分考虑和合理分配并对采购对象的安全性进行严格的控制，以避免由于采购和实施的不当造成的安全隐患。

项目建设过程中，在采购和实施的软硬件产品正式上线前，对其安全性进行测试和评估，确定系统的安全性，为项目的验收提供依据。

在制度保障基础上，信息部组织26场培训会，以保证所有员工能够充分理解、掌握系统的使用。这一系列的调研工作和制度重复满足业务部门不同的管理需求，也真正满足公司的管理要求。

截至2016年12月，舒泰神共加密文档20多万份，申请加密和解密流程2万多条，外发文件每月1万份，自动备份文件每月50万份。部门内或部门间文档流转问题反馈约120人次，没有出现文档无法打开等问题。通过信息安全的建设和改造，公司生产经营安全管理手段明显提升，运行平台得到有效保障，使打造安全可控的办公环境、提高公司信息安全水平不再是一句口号。

企业信息化应用现状

舒泰神自2009年以来累计投资5000多万元用于信息化和自动化建设。在公司内部管理方面，公司采用了财务管理软件、OA协同办公软件、财务的进销模块、邮件管理系统等。2014年10月开始实施公司系统化的信息化规划管理项目。

网络平台的建立是实施公司管理软件系统以及自动化控制平台集 成项目的基础。公司巳建成了覆盖全公司的计算机局域网和WiFi覆盖，实现了网络主干道千兆光纤布线、百兆网线到用户。

加强网络安全建设，采用网络版杀毒软件、防火墙、硬件防火墙、上网行为管理器、VPN、文档加密等技术，对公司各个终端计算机进行IP与物理地址的绑定，按不同部门制定不同的上网行为管理策略。同时对所有部门所有人员实施文档加密系统，保障公司的重要文件、关键部门的计算机文档安全可控。同时对公司研发文档进行文件存储备份。

在信息化系统的安全方面建立了统一数据库存储项目，将信息系统的数据库数据实施了统一存储项目。为保障外部员工访问信息系统的安全性，实施数据安全传输通道（VPN）。

公司与致远合作，成功地开发和实施了协同办公自动化系统。自动化办公系统实现了公告通知、日程安排、通讯录、考勤管理、工资管理、办公用品管理、会议管理、车辆管理、图书管理、手机短信等功能。目前日常并发在线人数达90人，流程发起数量达10万多条。

公司与用友软件合作对多平台的管理软件进行融合、集成， 建立一個更加完整的ERP管理系统。公司的信息化建设分三个阶段：第一阶段是分析公司的生产和管理流程，根据公司的实际情况，建立项目实施规划；第二阶段对现有的管理软件、财务管理软件进行数据链接，在一个软件平台上实现生产数据、生产计划、库存管理、采购管理、销售管理、财务管理；第三阶段在新的软件平台上，增加预算管理、成本管理、绩效考核管理，解决了公司内部管理软件之间信息传输与共享问题，实现了资源共享， 杜绝数据录入操作的重复性，降低了管理成本，为公司的快速发展建立了可靠信息保证。

目前，通过实施0A系统，借助网络信息技术来整合和规范企业日常办公流程，企业的管理水平和内部协调能力得以有效提升，已初步实现了无纸化办公，降低了企业管理成本，强化了企业竞争能力。此前公司各系统彼此孤立，数据分散，各个部门各自为政的问题基本得到解决。这些软件给公司的管理带来了方便和效率，也让公司各管理系统彼此间实现了数据共享和链接，管理层能够及时准确地得到整个公司的生产经营状况、财务数据，产品成本得到有效控制。

信息化未来发展规划

舒泰神未来两化融合主要集中在系统建设和安全建设两个方面，到2017年建立信息安全运维体系，建立了满足业务需要的营销管理系统。到2018年建立完备的信息安全管理体系，推进各业务系统间数据整合，解决数据孤岛，建立满足管理需要的报表系统。到2019年建立从基础安全、系统安全、运维安全、管理安全全方位的信息安全管理体系。建立规范的业务流程体系，构建全面支持营销运营与管理决策的业务系统。

经过2014年到2018年的建设，舒泰神希望信息安全在“防御能力、感知能力、管理能力”三个层面得到有效提升，真正让企业内部的信息实现可防范、可控制、能管理。