如何在办公环境保护机密电子文档安全

2012-08-30 16:54:00 科学时代·下半月 2012年6期

陈江南

[摘 要] 在市场经济环境中,信息被视为与资金、技术、人才相提并论的四大竞争要素。一条有用的信息可以激活一个企业,一条核心信息的泄漏也足以给一个企业造成致命的打击。正因为如此,信息安全已经成为当今社会一大热门话题。

[关键词] 办公环境机密电子文档

网络经济发展对信息安全产品带来新的需求,防火墙、防病毒、信息加密、入侵检测等已经基本解决了抵御外来入侵的困扰;但是内部用户引发的信息泄密问题成为当前信息安全的新的焦点。建立起有效的事前预防,事后追究机制成了众多企业的当务之急。

知识经济时代,企业的核心竞争力将更多地来自技术发明、专利、创新等"软资产",随着信息系统应用的普及,这些“软资产”体现为大量的电子文档。在日常工作中,需要数十甚至数百位员工协同工作,不可避免地需要涉及机密电子文档,如何很好地保护这些重要资料,成为摆在企业面前的一个难题。

企业面临的两难处境虽然企业可以通过各种规章制度和一些技术手段对机密电子文档进行管理,但是传统的安全措施和技术手段无法消除企业机密电子文档泄漏的隐患。与此同时不可避免地因为安全原因,导致工作效率下降以及公司资源浪费,不利于有效利用现有文档和部门间的协同工作。企业在权衡文档保密与有效利用文档这两种相互矛盾的需求时面临两难处境。

与此同时,网络安全、信息安全也成为了困扰众多管理者的难题。现在一提到信息安全,人们首先想到的就是病毒、黑客入侵。在媒体的宣传下,病毒、黑客已经成为危害信息安全的罪魁祸首。然而,对计算机信息安全造成重大破坏的往往不是病毒、黑客,而是组织内部人员有意或无意对信息的窥探或窃取。

对于企业来说,人才流动性可能给企业所带来的一个巨大潜在风险就是重要机密电子文档的泄密问题,企业人员在被解职或辞职时,他们是有很多种渠道将企业内部的像重要文档、机密图纸、设计资料、程序源代码和企业预研方向的阶段性成果等属于企业知识产权保护及涉及企业核心竞争力范畴的机密电子文档带出企业,甚至是直接奉献给企业的某些竞争对手的。可以说,任何一个企业遇到这样的事,都会痛心疾首。

在现如今的知识经济时代,企业对知识产权的保护,就是对企业自身生死存亡的保护这样一个大背景下,企业员工一个电子邮件、一个U盘拷贝、一部口袋里的MP3播放器或一台随身携带的笔记本电脑,就可以轻松将企业的重要机密电子文档从企业里窃取出来,更何况企业员工进入企业内部网络和打开存在有机密电子文档的电脑是何等的轻而易举!面对这些触目惊心的现实存在,一套严密而完整的企业级电子文档保护解决方案就可能成为企业最后赖以生存的“救命稻草”。

一、企业电子文档安全保护现状

由于企业员工对存放在内部网络的机密电子文档有得天独厚的接触优势,所以由企业员工窃取相关机密文档和知识产权方面的机密信息已经成为企业电子文档泄密的最主要途径之一了。

事实上,由于目前高度普及的企业信息化建设与相对比较薄弱的企业网络安全管理一直存在矛盾,企业内部员工对重要机密信息的存放地和相关使用权限都非常熟悉,可只要会操作电脑就有可能会主动或非主动(如误操作)的盜取机密文档和机密信息,所以说内网安全和加强对企业内部员工的监管是有效保障企业电子文档安全和终端数据安全最重要的一道环节。

二、企业电子文档安全保护方案

一个机密电子文档的内容盗取,一般方法和途径都是有很多的,比如企业员工无意识的把含有敏感信息的机密电子文档通过网络发送出去,比如借助U盘、移动硬盘及MP3播放器等移动存储设备拷贝机密电子文档,比如通过专用的电脑屏幕截取软件截取电子文档的内容、比如向企业内部网络远程植入病毒或恶意木马,甚至由企业员工直接搬走存储有机密电子文档信息的笔记本电脑等等,所以在这种情况下,任何单一的企业电子文档安全保护方式都是有缺陷的,对企业电子文档的安全保护,必须是一套严密而完整的企业级电子文档保护解决方案。

建立企业内部信息安全工作平台。

一、 可以保证企事业单位的各种数字资产,在赋予各类文档的使用权限后,有效地做到“在确保安全性的同时保证易用性”,对保存在前沿数字资产安全管理平台内企事业的机密数据,信息进行保护。

二、 在不影响原有企业正常的信息流转流程的前提下,保护各类数据信息,同时有效防止合法使用者非法通过各种途径将企业信息传播出去,避免给企业的知识产权带来巨大损失。

然而,管理者往往无法有效地控制和监控文件使用者的操作,这使得使用者可以利用有许多漏洞截获企业内部的特殊资料。从目前来看,内部泄密主要是通过如下途径:

1、内部人员将资料通过软盘、U盘或移动硬盘从电脑中拷出带走;

2、内部人员通过互联网将资料通过电子邮件发送到自己的邮箱;

3、内部人员将资料打印后带出;

4、将办公用的便携式电脑直接带回家中或将自己的笔记本电脑带到公司,接入局域网,窃取资料;

5、电脑易手后,硬盘上的资料没有及时删除,导致泄密;

6、随意将文件设成共享,导致非相关人员获取资料;

7、乘同事不在,开启同事电脑,浏览、复制同事电脑里的资料。

那么如何才能解决内部人员泄密问题呢?一方面要求配置必要的技术装备;另一方面也要加强管理,做好内部人员的保密教育,法制教育。“技术与管理”并重,才能从根本上杜绝内部人员泄密问题。

在技术上,防范内部人员泄密要做到以下几点:一是利用加密等信息安全技术对公司内部的特殊文档进行加密和合理的授权,主动防止泄密事件的发生;二是对内部人员的使用计算机的行为进行监控和审计,若有泄密事件发生可以找到泄密渠道。

在管理上,防范内部人员泄密要做到以下几点:一是要建立一整套规范的安全保密制度并严格执行;二是要加强员工的保密教育,使他们认识到保密工作的重要意义;三是要有奖惩制度,对保密先进个人、单位予以嘉奖,对于泄密事故加大惩处力度,做到以儆效尤。