企业商业秘密安全防护总体架构

企业商业秘密安全防护架构以数据安全、网络安全、服务器与应用安全、终端安全、移动介质安全等技术措施为支撑，以完善的管理机构和制度体系为依托，构建商业秘密安全防护系统，实现对企业重要经营信息和技术信息等商业秘密的有效保护。构建企业内部网络时，既要实现终端用户使用网络的便利性和实时性，又要贯彻“以人为本”的管理思想，提高企业的经济效益，达到以数据安全作为重点防护的目标。企业商业秘密安全防护架构如图1所示。

图1 企业商业秘密安全防护架构图

企业商业秘密信息包括数据创建、标识、知悉范围、数据存储、数据使用、数据共享、数据归档以及数据销毁等全生命周期的访问控制和安全管理过程。在安全防护过程中，应重点突出对商业秘密信息的安全保护，即数据安全，以数据安全作为商业秘密安全管控的核心目标，对商业秘密信息有重点、有针对地进行保护，确保企业内部网络的安全。

数据流向控制

数据流向是企业内部网络安全防护的主要考虑因素，企业内部终端通过网络准入系统安全接入网络，允许对内部网络、公用网络和互联网的应用资源进行访问，输出数据时需经审计系统确认后方可输出，而对于来宾/临时客户或公众用户将通过安全控制平台有限制地访问相关资源。具体数据流向如图2所示。

图2 数据流向示意图

其中“公用网络区”作为企业内部网络区与互联网区域之间数据交换的缓冲区域，该区域中的安全控制平台应包含网络安全、应用安全、介质安全、数据安全等多方面安全防护功能，起到数据防护和安全控制的作用。

受益于电商的不只周兴祥，还有枞阳县的几百户贫困户。今年，枞阳县动员每个帮扶责任人帮助每户贫困户家庭销售农产品1000元，预计到12月底，全年可实现建档立卡贫困户网络销售农产品1000万元。

商业秘密网络建设

1. 企业商业秘密网络总体安全策略为外部数据经安全设备（防火墙/入侵防御等）检测后可进入内部网络，内部数据必须经统一出口和审计系统后方可流出外部（如企业内部邮件系统等），内部终端禁止使用外部网盘、文库等网络存储系统。

在我国，随着不断深入的教育和经济体制改革，高校学生的贫困问题也愈加显露出来，这类问题在山区地区表现的更为突出[4]。各高校不仅在主管部门指导下，还在社会各界关心监督下，努力做好贫困生的资助工作。在高校学生工作中不可缺少的一环就是贫困生的认定工作。本文基于我校全体在校学生，通过对学生消费行为的调查统计发现大多学生的用餐地点选择的是食堂，而在食堂中采用的消费形式为刷卡，所以通过校园一卡通系统我们可以对学生的经济水平作客观的评定，更好的辅助贫困生判定工作的开展。

基于以上分析，结合当前主流安全产品功能特点，建设以数据安全为主的多层次、可信可控的商业秘密网络安全体系。具体企业内部网络可参考如图3所示的拓扑结构。

以上终端审计结合网络准入系统和身份认证（如Radius）等可对内部、来宾和移动终端接入企业内部网络的身份进行认证、安全状态检查、防病毒软件检查、补丁安装检查等监控和管理。

科恩于1922年出生在纽约市。他的父母均为法律专业人士，然而科恩在纽约市立学院求学时却选择了物理，并于1940年毕业。他在哥伦比亚大学获得了硕士学位，之后在1943年应召入伍，在医疗部队做研究工作。1945年，他被派往广岛，研究这座城市被投放原子弹后遭受的影响。

3. 终端安全建设可采用终端监控与审计、打印审计、刻录审计等安全防护措施，终端监控与审计可通过“在线/离线”不同状态实现内部终端计算机在企业不同网络环境下的不同控制策略，如USB等接口的控制、打印控制、刻录控制、打印刻录审批、用户网络访问控制、软件使用控制、进程服务控制、用户行为审计等。还能对终端计算机的系统帐户密码、注册表、系统组策略、防病毒软件、常用软件使用情况、文件共享目录、系统资源、补丁分发等方面做统一管理。

2. 网络安全建设可采用防火墙/UTM、上网行为管理和网络准入系统等安全防护措施，确保内部终端或来宾/临时终端安全接入网络并依据安全策略访问网络资源，而上网行为管理将实现内部数据有限制地流向外部网络（如不允许内部终端访问外部存储等）。

基于互联网技术的缺陷，大数据技术应运而生，其信息获取能力、储存能力、管理能力和数据智能分析能力远远超出传统数据库，具有数据规模大、运算速度快、数据类型丰富、数据价值高等四大优势[2]。

4. 移动存储安全建设实现对移动存储介质的注册管理、授权管理、使用权限、数据加密、使用监控、审计、回收、销毁等全程审计和防护，确保只有注册认证的移动存储介质才能够在内部终端上使用。通过对移动介质的数据进行加密保护，未经授权无法在外部使用。

图3 企业内部网络拓扑结构图

5. 应用安全建设可采取的防护措施有身份认证、补丁分发、日志审计、防病毒等安全防护措施，实现系统安全加固、漏洞扫描、入侵防护等内容防护。在发现有隐患和漏洞时将按照风险等级进行分类，向管理人员发出不同的警告提示，按时提交企业内部网络风险评估报告，给出详细的解决方法。

6. 数据安全建设作为企业商业秘密网络建设重点，包括文档的安全、权限、外发、隔离和数据消除等应用需求，有文档安全管理系统、数据泄露防护系统等安全措施，文档安全管理系统能实现文件集中存储、分类、查询、数据销毁等。而快捷、高效地实现文档外发和隔离是困扰企业的难点，建议企业网络中采用数据泄露防护系统，首先根据设定的组织管理目标和各部门工作内容制定出完善、全面的数据分类分级管理关键词（此过程可自动发现或人工干预），再通过镜像网络主干流量来分析数据并将结果反馈/联动相关安全设备（如防火墙或上网行为管理等）做出相应动作，也可配合客户端（如终端监控与审计等）在终端上进行数据保护。

数据泄露防护系统有多种自动发现技术，企业可选取合适的发现方式，可基于文档内容的全部或局部进行二进制对比，可基于自然语言进行发现，能支持流行格式如Word、Excel、PPT、PDF，支持对图片类数据载体进行内容OCR识别，支持压缩数据包钻取，支持多通讯协议如http、smtp、ftp等，并根据发现结果制定对应的检测规则，用标签进行标记。当前一些国内数据泄露防护系统的自然语言处理技术对中文支持较好，运用自然语言处理中的切词技术和数据挖掘来关联算法，分析数据，自动提取可以代表内容特征的重要关键词并生成策略，将生成的策略提供给统一出口（如企业内部邮件系统），并最终实现数据全面防护。