商業(yè)秘密：不得不說的“秘密”

#文章僅代表作者觀點(diǎn)，未經(jīng)作者許可，禁止轉(zhuǎn)載，文章不代表IPRdaily立場#

來源：IPRdaily中文網(wǎng)（IPRdaily.cn）

作者：華泰君 深圳市華夏泰和科技有限公司

原標(biāo)題：商業(yè)秘密：不得不說的“秘密”

自20世紀(jì)90年代互聯(lián)網(wǎng)進(jìn)入中國，短短20年之間，發(fā)展到今日，已成為與水、電一樣的基礎(chǔ)設(shè)施，是當(dāng)代生活不可分割的一部分。

信息技術(shù)毫無疑問是人類社會中一次生產(chǎn)力的變革，商業(yè)秘密與信息安全可以視為其重要的生產(chǎn)力組成。

而回首商業(yè)秘密與信息安全緊密跟隨著互聯(lián)網(wǎng)發(fā)展速度的這些年，經(jīng)歷了許許多多的坎坷：從剛開始的可有可無到高度重視；從“老三樣”（防火墻、入侵檢測及防病毒）獨(dú)領(lǐng)風(fēng)騷到上網(wǎng)行為管理、文檔加密等初露鋒芒；從全面引入ISO27001管理體系、發(fā)布等級保護(hù)標(biāo)準(zhǔn)再到如今已是國家戰(zhàn)略、有法可依；從剛開始的密碼破解到網(wǎng)絡(luò)隔離，再到如今已是云端漫步、態(tài)勢感知。

信息安全：噴發(fā)期

商業(yè)秘密與信息安全發(fā)展的黃金時(shí)期除了有網(wǎng)絡(luò)通信技術(shù)大力發(fā)展的支撐作用，還有兩個(gè)明顯的高潮點(diǎn)。

第一個(gè)高潮點(diǎn)是由統(tǒng)一威脅管理（United Threat Management, 簡稱UTM）引爆的。這項(xiàng)產(chǎn)品技術(shù)最早由Fortinet公司在2002年提出，2004 年9月美國著名的IDC提出將防病毒、入侵檢測和防火墻安全設(shè)備命名為UTM，很多人稱為多功能防火墻、多功能安全網(wǎng)關(guān)。概念提出來短短幾年內(nèi)，在當(dāng)時(shí)行內(nèi)炒得非?；馃?，2009年UTM的市場確實(shí)增長迅速，但由于UTM自身在設(shè)計(jì)上由于安全功能高度集成帶來的諸如性能瓶頸、易用性與穩(wěn)定性差、各種功能不均衡、風(fēng)險(xiǎn)集中等問題，自2010年開始其市場競爭力就逐步消沉，行業(yè)權(quán)威觀點(diǎn)認(rèn)為“UTM安全設(shè)備只適合中小型企業(yè)使用”，從而催生了下一代防火墻（Next Generation Firewall，簡稱NGFW）的誕生。同時(shí)，基于互聯(lián)網(wǎng)的應(yīng)用需求，各種主機(jī)、Web應(yīng)用、數(shù)據(jù)庫防護(hù)產(chǎn)品也得到了大力的推動(dòng)。

另一個(gè)高潮點(diǎn)是由國家政策與行業(yè)標(biāo)準(zhǔn)引爆的。根據(jù)信息安全產(chǎn)業(yè)“十二五”規(guī)劃，到2015年我國信息安全產(chǎn)業(yè)規(guī)模將突破670億元，保持年均30%以上的增速。2010年前后，借助國家剛剛開始推動(dòng)等級保護(hù)、ISO 27001的東風(fēng)，安全咨詢與安全服務(wù)得到了大力發(fā)展，行業(yè)內(nèi)興起了一股ISO 27001認(rèn)證浪潮，與當(dāng)年ISO 9000的火爆如出一轍，眾多的服務(wù)機(jī)構(gòu)如雨后春筍一樣，信息安全也從單純的技術(shù)產(chǎn)品走向了技術(shù)、管理齊步走的全新局面，整個(gè)行業(yè)一片欣欣向榮的形勢，權(quán)威的市場分析也對信息安全的預(yù)期保持樂觀。

信息安全：沉淪期

在商業(yè)秘密與信息安全總體看好的時(shí)期，行業(yè)內(nèi)開始充斥著一大批“買辦”型、“炒作”型企業(yè)，行業(yè)的供方體量激增，競爭環(huán)境開始惡化，政策性、概念化的信息安全技術(shù)及管理平臺層出無窮，技術(shù)型企業(yè)生存空間被不斷壓縮，信息安全技術(shù)產(chǎn)品的更新?lián)Q代基本上處于停滯狀態(tài)。

盲目的擴(kuò)張發(fā)展完全忽略了國內(nèi)的信息化建設(shè)基礎(chǔ)薄弱與互聯(lián)網(wǎng)技術(shù)處于轉(zhuǎn)型期等實(shí)際現(xiàn)狀，而此時(shí)由于云計(jì)算前景的不確定性，以及實(shí)體產(chǎn)業(yè)隨著高房價(jià)引發(fā)金融投機(jī)等影響而逐步“空心化”，真實(shí)的信息安全需求并未刺激起來，從而帶有政策需求屬性的等級保護(hù)工程就成為了最大的宣泄口。等級保護(hù)從政府機(jī)構(gòu)單位開始，向國企推進(jìn)，而這兩個(gè)“客體”本身就帶有“權(quán)錢交易”的“天然屬性”，也就導(dǎo)致大部分的等級保護(hù)項(xiàng)目淪為“形式工程”與“政績工程”，甚至行內(nèi)人士都心照不宣的是”目前已投入使用的國產(chǎn)安全產(chǎn)品魚龍混雜，大部分為關(guān)系輸出型產(chǎn)品，很多國產(chǎn)防火墻形同虛設(shè)，缺省配置三五年不更新，甚至是使用‘bypass’的策略在運(yùn)行，安全審計(jì)類產(chǎn)品甚至出現(xiàn)不逢檢查不開機(jī)的情況，開機(jī)后也是‘貨不對板’，什么都審計(jì)不了”。

商業(yè)秘密與信息安全技術(shù)產(chǎn)品的“形式主義”也加速了咨詢服務(wù)領(lǐng)域的“墮落”，信息安全管理（治理）方面更是虛多實(shí)少，過于推崇“人治”，重口號輕行動(dòng)、重匯報(bào)輕落地、重形式輕內(nèi)容。業(yè)主方往往不看重最終效益，但需要掛上研究課題的“光鮮外衣”，整個(gè)行業(yè)充斥著數(shù)不勝數(shù)的“官方報(bào)告”、“拼湊方案”，引標(biāo)（標(biāo)準(zhǔn)）據(jù)策（政策）、理論浮夸，動(dòng)輒“奠定基礎(chǔ)”、“開創(chuàng)先河”、“填補(bǔ)空白”，缺乏實(shí)干精神及行之有效的策略措施，明顯脫離現(xiàn)代化管理之道。

信息安全：振作期

幸運(yùn)的是，國家層面在“十三五”之初就推出了《網(wǎng)絡(luò)安全法》，對網(wǎng)絡(luò)安全發(fā)展方向進(jìn)行了重新定義，并正式提出自主可控戰(zhàn)略，大力推動(dòng)國產(chǎn)化，立足關(guān)鍵基礎(chǔ)設(shè)施的保護(hù)，努力實(shí)現(xiàn)網(wǎng)絡(luò)安全核心技術(shù)的有效突破，并加大力度對早期的信息安全工程進(jìn)行檢測檢查、努力糾錯(cuò)，大大促進(jìn)了技術(shù)型企業(yè)的快速發(fā)展、糾正了行業(yè)的不正之風(fēng)。以醫(yī)療衛(wèi)生行業(yè)的“防統(tǒng)方”大檢查為例：隨著2016、2017兩年的檢查力度不斷加大，各地衛(wèi)生機(jī)構(gòu)前幾年購置的“傀儡”設(shè)備逐步被清理掉，行業(yè)內(nèi)真正能起到“防統(tǒng)方”效果的產(chǎn)品廠家也“浮出水面”、得到了快速發(fā)展，而隨著真正的“防統(tǒng)方”系統(tǒng)的部署及不斷調(diào)試完善，參與醫(yī)藥回扣灰色鏈條的醫(yī)護(hù)人員紛紛落網(wǎng)，醫(yī)療行風(fēng)建設(shè)成效得到了體現(xiàn)。

另外，中央網(wǎng)信辦“四個(gè)意識”不強(qiáng)問題得到明顯改觀，嶄新的管理班子將更堅(jiān)定地貫徹落實(shí)習(xí)近平總書記重要指示和落實(shí)中央網(wǎng)信工作重大決策部署，網(wǎng)絡(luò)安全蓬勃發(fā)展的新面貌有望得到保持及深化。

信息安全：創(chuàng)新期

到現(xiàn)在，商業(yè)秘密與信息安全不再只是為了安全而設(shè)立，更是為了企業(yè)的創(chuàng)新保護(hù)與商業(yè)競爭。一個(gè)組織的信息安全管理工作，應(yīng)以組織的核心業(yè)務(wù)戰(zhàn)略為導(dǎo)入，識別出真正的信息安全需求，再結(jié)合本組織的文化與管理思想，分階段、分重點(diǎn)逐步實(shí)施，同時(shí)嚴(yán)格選取科學(xué)有效的技術(shù)措施手段進(jìn)行部署，并在實(shí)施過程中不斷稽核、調(diào)優(yōu)，方能確保信息安全落到實(shí)處。

1、商業(yè)秘密與信息安全現(xiàn)狀前置調(diào)研：

針對組織的經(jīng)營現(xiàn)狀，開展調(diào)研診斷分析工作，一方面挖掘出組織在其經(jīng)營活動(dòng)中存在的各類商業(yè)秘密保護(hù)和信息安全問題；一方面對組織信息化依賴程度及資產(chǎn)價(jià)值進(jìn)行評估，確定信息安全保障的核心對象，以及信息安全的投入適配程度。

2、商業(yè)秘密與信息安全綜合解決方案制定：

以商業(yè)秘密與信息安全現(xiàn)狀前置調(diào)研結(jié)果為基礎(chǔ)，探討確定組織后續(xù)的商業(yè)秘密與信息安全保障重點(diǎn)工作及大體推動(dòng)周期計(jì)劃。

3、商業(yè)秘密與信息安全管控措施落實(shí)：

以商業(yè)秘密與信息安全綜合解決方案為工作指導(dǎo)及約束要求，逐步開展組織在核心秘密保護(hù)和信息安全管理、技術(shù)與人員等方面的工作。梳理及規(guī)范組織經(jīng)營活動(dòng)的各項(xiàng)業(yè)務(wù)流程與制度，及時(shí)進(jìn)行工作策劃指導(dǎo)與相關(guān)的意識和技能培訓(xùn)。

4、定期稽核審計(jì)及策略更新：

制定相應(yīng)的核心商業(yè)秘密保護(hù)和信息安全審計(jì)檢查表，定期開展稽核審計(jì)工作，進(jìn)行策略更新，實(shí)現(xiàn)有效的核心秘密和信息安全風(fēng)險(xiǎn)管理及執(zhí)行監(jiān)督，形成管理閉環(huán)。

總之，相比于國家資本資源集中區(qū)域的蠢蠢欲動(dòng)，代表我國經(jīng)濟(jì)活躍度的中小企業(yè)，其自身的商業(yè)秘密與信息安全動(dòng)機(jī)更“接地氣”，更能體現(xiàn)企業(yè)在自我保護(hù)與市場競爭中的訴求，對商業(yè)秘密與信息安全實(shí)施的“性價(jià)比”及工作效率影響也更敏感、更直接。

而中小企業(yè)實(shí)施商業(yè)秘密與信息安全管理，除了可以滿足自身信息技術(shù)發(fā)展需要和國家政策相關(guān)要求，妥善規(guī)避政府監(jiān)管處罰風(fēng)險(xiǎn)，還能有效促進(jìn)企業(yè)的品牌可信度，提高企業(yè)對商業(yè)秘密保護(hù)的統(tǒng)一組織、協(xié)調(diào)及決策能力，降低信息安全事件的發(fā)生機(jī)率，同時(shí)能不斷提升員工的信息安全意識，增強(qiáng)其責(zé)任感，減少人為原因造成的不必要的損失，最大程度保護(hù)企業(yè)的核心技術(shù)等無形資產(chǎn)的安全，為業(yè)務(wù)拓展保駕護(hù)航，提升企業(yè)的競爭能力。

來源：IPRdaily中文網(wǎng)（IPRdaily.cn）

作者：華泰君 深圳市華夏泰和科技有限公司

編輯：IPRdaily趙珍          校對：IPRdaily縱橫君

推薦閱讀

2018年“中國好專利”評選工作正式開啟（報(bào)名通道）

2018中國·海淀高價(jià)值專利培育大賽正式開啟?。▓?bào)名詳情）

“投稿”請投郵箱“iprdaily@163.com”

「關(guān)于IPRdaily」

IPRdaily成立于2014年，是全球影響力的知識產(chǎn)權(quán)媒體+產(chǎn)業(yè)服務(wù)平臺，致力于連接全球知識產(chǎn)權(quán)人，用戶匯聚了中國、美國、德國、俄羅斯、以色列、澳大利亞、新加坡、日本、韓國等15個(gè)國家和地區(qū)的高科技公司、成長型科技企業(yè)IP高管、研發(fā)人員、法務(wù)、政府機(jī)構(gòu)、律所、事務(wù)所、科研院校等全球近50多萬產(chǎn)業(yè)用戶（國內(nèi)25萬+海外30萬）；同時(shí)擁有近百萬條高質(zhì)量的技術(shù)資源+專利資源，通過媒體構(gòu)建全球知識產(chǎn)權(quán)資產(chǎn)信息第一入口。2016年獲啟賦資本領(lǐng)投和天使匯跟投的Pre-A輪融資。

（英文官網(wǎng)：iprdaily.com  中文官網(wǎng)：iprdaily.cn） 

本文來自IPRdaily.cn 中文網(wǎng)并經(jīng)IPRdaily.cn中文網(wǎng)編輯。轉(zhuǎn)載此文章須經(jīng)權(quán)利人同意，并附上出處與作者信息。文章不代表IPRdaily.cn立場，如若轉(zhuǎn)載，請注明出處：“http://www.islanderfriend.com/”