盧亦俊

【摘 要】隨著信息技術(shù)的迅猛發(fā)展，企業(yè)核心數(shù)據(jù)以電子文檔形式泄露的問(wèn)題也愈來(lái)愈嚴(yán)重，給企業(yè)的發(fā)展帶來(lái)了很大的威脅，本文針對(duì)企業(yè)電子文檔的安全管理做了一些分析研究。

【關(guān)鍵詞】電子文檔安全管理；文檔加密

0 引言

隨著計(jì)算機(jī)技術(shù)在企業(yè)的大規(guī)模普及應(yīng)用，企業(yè)的核心機(jī)密信息、代表企業(yè)知識(shí)產(chǎn)權(quán)和核心競(jìng)爭(zhēng)力的研發(fā)圖紙、設(shè)計(jì)資料、技術(shù)機(jī)密、客戶資料，以及財(cái)務(wù)數(shù)據(jù)、報(bào)表等均以電子文檔形式存在，如果管理不善，這些電子文檔很容易傳播和丟失。計(jì)算機(jī)泄密行為在信息技術(shù)發(fā)展的同時(shí)呈現(xiàn)上升趨勢(shì)，企業(yè)中信息數(shù)據(jù)的泄露與丟失問(wèn)題也愈來(lái)愈嚴(yán)重，給企業(yè)的數(shù)據(jù)安全帶來(lái)了很大的威脅。據(jù)有關(guān)調(diào)查顯示，企業(yè)機(jī)密泄露中30%～40%是由電子文件的泄露造成，一個(gè)惡意的核心機(jī)密泄露事件往往會(huì)給企業(yè)造成不可估量的損失，嚴(yán)重影響企業(yè)的發(fā)展。

1 電子文檔泄漏的途徑

造成企業(yè)數(shù)據(jù)泄露的原因很多，如黑客、木馬、病毒等的入侵、員工無(wú)意或故意泄密、員工離職拷貝帶走數(shù)據(jù)、存儲(chǔ)設(shè)備丟失導(dǎo)致泄密、對(duì)外信息發(fā)布失控、外部惡意竊密等。企業(yè)內(nèi)部電子文檔外泄的方式主要有以下幾種：

1）拷貝復(fù)制：通過(guò)軟盤(pán)、U 盤(pán)、硬盤(pán)、刻錄機(jī)、光驅(qū)、移動(dòng)硬盤(pán)等存儲(chǔ)設(shè)備泄密；

2）數(shù)據(jù)共享：文件設(shè)成共享，通過(guò)網(wǎng)絡(luò)環(huán)境，直接訪問(wèn)和下載；

3）黑客竊密：黑客利用技術(shù)手段進(jìn)入計(jì)算機(jī)直接竊取各種重要信息；

4）利用互聯(lián)網(wǎng)，通過(guò)郵件、網(wǎng)絡(luò)通訊工具、FTP等泄密[1]；

5）通過(guò)計(jì)算機(jī)端口、紅外線、調(diào)制解調(diào)器、藍(lán)牙等通訊設(shè)備泄密。

2 電子文檔安全管理措施

據(jù)調(diào)查，國(guó)內(nèi)企業(yè)對(duì)電子文擋很少采取保護(hù)措施，有保護(hù)的不到3%，一些機(jī)密的電子文件資料輕易就可以通過(guò)U盤(pán)、移動(dòng)硬盤(pán)、電子郵件和網(wǎng)絡(luò)通訊工具等途徑泄密。

企業(yè)保障內(nèi)部電子文檔安全的方法主要有：

2.1 設(shè)置防火墻、入侵檢測(cè)、防病毒等防護(hù)系統(tǒng)

這些系統(tǒng)只能解決來(lái)自企業(yè)外部的安全威脅，不能解決內(nèi)部人員通過(guò)網(wǎng)絡(luò)、U盤(pán)、移動(dòng)硬盤(pán)把電子文檔進(jìn)行傳播的問(wèn)題。

2.2 采用禁用USB接口，拆除光驅(qū)軟驅(qū)，限制上網(wǎng)等方法來(lái)控制文件的外傳

這些方法都嚴(yán)重影響工作的方便性，并容易觸發(fā)員工的抵觸情緒。事實(shí)證明這種方法的效果并不好，重要的文件依舊會(huì)被泄漏出去。

2.3 使用文檔加密軟件

目前，文檔加密產(chǎn)品主要分兩大類：一類是采用文檔格式轉(zhuǎn)換加密；另一類是自動(dòng)透明加解密。

1）文檔格式轉(zhuǎn)換加密產(chǎn)品可以控制文檔的只讀、編輯、打印、閱讀次數(shù)等屬性，但是文檔的加密與否是由用戶自己決定，只能對(duì)文檔的傳播途徑進(jìn)行防范，在技術(shù)和應(yīng)用方面存在一定的局限。[2]

2）自動(dòng)透明加解密產(chǎn)品則利用動(dòng)態(tài)加解密技術(shù)，采取智能化思想和靈活的安全策略對(duì)文檔生成和傳播的整個(gè)過(guò)程進(jìn)行保護(hù)，在不改變用戶使用習(xí)慣和原文件格式的前提下實(shí)現(xiàn)文檔的安全共享，能有效防止用戶通過(guò)電子郵件、移動(dòng)設(shè)備、復(fù)制、 剪切、拖拽，打印、截屏等途徑泄密重要數(shù)據(jù)，是市場(chǎng)發(fā)展的主流。采用這種產(chǎn)品，在正常使用時(shí)，計(jì)算機(jī)內(nèi)存中的文件是以明文形式存放的，但硬盤(pán)上保存的數(shù)據(jù)卻是加密狀態(tài)，如果沒(méi)有合法的身份、訪問(wèn)權(quán)限和正確的安全通道，所有重要的文件都是以密文狀態(tài)保存。對(duì)于非法得到的未經(jīng)解密的文檔，打開(kāi)后也只是亂碼文件，確保了數(shù)據(jù)無(wú)論何時(shí)、何地、何種狀態(tài)下都處于安全狀態(tài)，做到“事前防御、事中控制、事后追溯”。這種產(chǎn)品能保證數(shù)據(jù)的機(jī)密性，同時(shí)又能在企業(yè)內(nèi)部實(shí)現(xiàn)數(shù)據(jù)共享和交換。

以上各種安全措施各有利弊，相對(duì)來(lái)說(shuō)，自動(dòng)透明加解密產(chǎn)品較好。企業(yè)應(yīng)根據(jù)自身的實(shí)際情況采取相應(yīng)的安全措施，有條件的話，可采取多種措施相結(jié)合的辦法，這樣才能更好地保證企業(yè)電子文檔的安全。

3 加密軟件的實(shí)施

目前，越來(lái)越多的企業(yè)在了解了加密軟件的應(yīng)用價(jià)值后也準(zhǔn)備在企業(yè)內(nèi)部進(jìn)行部署。加密軟件的實(shí)施涉及面廣，既要考慮安全性，又要考慮方便性，影響因素很多，下面就加密軟件實(shí)施的要點(diǎn)做一些分析。

3.1 選擇合適的加密軟件廠商

目前，加密軟件市場(chǎng)是種類繁多，給企業(yè)選擇造成一定的難度。由于數(shù)據(jù)安全產(chǎn)品直接涉及到日常辦公和核心數(shù)據(jù)的安全，在選擇時(shí)需要特別謹(jǐn)慎，應(yīng)當(dāng)從數(shù)據(jù)安全廠商的研發(fā)實(shí)力，軟件的功能性、安全性、穩(wěn)定性、兼容性和易用性等方面綜合考慮。企業(yè)應(yīng)仔細(xì)甄別，千萬(wàn)不要選產(chǎn)品不可靠，沒(méi)有研發(fā)實(shí)力，無(wú)售后保障的產(chǎn)品。

1）要有資質(zhì)，“涉密信息系統(tǒng)產(chǎn)品檢測(cè)證書(shū)”、“商用密碼產(chǎn)品銷(xiāo)售許可證”、“計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品銷(xiāo)售許可證”和“軟件產(chǎn)品登記證書(shū)”等資質(zhì)證書(shū)是必須要有的。

2）要測(cè)試產(chǎn)品的性能?？梢源罱ōh(huán)境測(cè)試軟件的安全性和穩(wěn)定性，測(cè)試加密軟件與企業(yè)用到的管理軟件（如OA、殺毒等軟件等）和應(yīng)用軟件（如各種CAD軟件）的兼容情況，測(cè)試軟件的各種功能（如加解密功能、外發(fā)管理、U盤(pán)管理、復(fù)制、截屏等），觀察有無(wú)藍(lán)屏和死機(jī)現(xiàn)象，有無(wú)打不開(kāi)和破壞文件的情況。

3）軟件操作要簡(jiǎn)單，容易上手。軟件要容易操作，人機(jī)對(duì)話環(huán)境要好。軟件操作簡(jiǎn)單不等于軟件簡(jiǎn)單，軟件要求有比較強(qiáng)大的功能的。

4）要了解加密軟件廠商有無(wú)本地用戶，有無(wú)同行業(yè)的用戶，有條件的話可以去這些案例企業(yè)了解軟件的應(yīng)用狀況。

3.2 加密范圍要適度

企業(yè)在確定加密文件類型的時(shí)候一定要注意：只有企業(yè)重要的、核心的資料及文檔才需要加密。加密文件類型不宜過(guò)多，過(guò)多容易造成工作不便，影響工作效率，甚至有可能影響到計(jì)算機(jī)的正常運(yùn)行。

3.3 領(lǐng)導(dǎo)重視

領(lǐng)導(dǎo)重視并支持也是加密軟件成功實(shí)施的重要因素。企業(yè)領(lǐng)導(dǎo)層對(duì)加密軟件要有正確的認(rèn)識(shí)。需要管控的企業(yè)核心電子文檔在企業(yè)內(nèi)部交流不受影響，外發(fā)就需要領(lǐng)導(dǎo)層進(jìn)行授權(quán)或?qū)徟?，未?jīng)解密的管控文檔在企業(yè)外部是無(wú)法使用的，有效地保護(hù)了企業(yè)內(nèi)部核心重要文檔的安全。這樣就會(huì)影響到一些人的利益，從而阻撓加密軟件的實(shí)施，這時(shí)就需要領(lǐng)導(dǎo)的大力支持，否則加密軟件很難順利實(shí)施。領(lǐng)導(dǎo)自身也應(yīng)嚴(yán)格執(zhí)行企業(yè)電子文檔安全管理的相關(guān)規(guī)定，給員工做好表率。

3.4 員工的引導(dǎo)和培訓(xùn)

做好對(duì)員工的引導(dǎo)和培訓(xùn)，讓企業(yè)員工要理解加密軟件的意義。由于加密軟件的管控，未經(jīng)解密的文件脫離企業(yè)加密環(huán)境無(wú)法使用，正常的對(duì)外交流會(huì)增加一個(gè)審批的流程，改變了員工原有的工作方式。而要適應(yīng)新的工作方式需要一個(gè)過(guò)程，因此員工很容易產(chǎn)生抵觸情緒，影響工作。這就需要企業(yè)在內(nèi)部加強(qiáng)信息安全管理的宣傳培訓(xùn)，強(qiáng)調(diào)個(gè)人利益要服從企業(yè)整體利益。

3.5 建立健全數(shù)據(jù)安全管理制度

企業(yè)只有建立健全科學(xué)完善的數(shù)據(jù)安全管理制度以及運(yùn)行操作規(guī)程，采取真正有效的數(shù)據(jù)安全防護(hù)技術(shù)，才能在激烈的信息競(jìng)爭(zhēng)中占據(jù)一席之地。企業(yè)內(nèi)部電子文檔安全管理要立足于終端，從源頭抓起，才能從根本上解決電子文檔的安全問(wèn)題，真正有效地滿足企業(yè)安全管理的迫切需求。沒(méi)有科學(xué)合理的管理手段，加密軟件的實(shí)施很難取得成功。

4 結(jié)語(yǔ)

在全球信息化浪潮不斷推進(jìn)的今天，企業(yè)采取必要的措施對(duì)核心數(shù)據(jù)進(jìn)行保護(hù)，為企業(yè)的核心競(jìng)爭(zhēng)力保駕護(hù)航，是刻不容緩。采用加密軟件就是其中一項(xiàng)有力的措施。實(shí)施加密軟件是一項(xiàng)系統(tǒng)工程，涉及到的內(nèi)容很廣，影響的因素也很多，涉及到電腦、網(wǎng)絡(luò)、文檔資料、工作流程、管理制度等多個(gè)方面，需要企業(yè)從實(shí)際需求出發(fā)，以企業(yè)自身?xiàng)l件為基礎(chǔ)，循序漸進(jìn)，才能取得較好的效果。

【參考文獻(xiàn)】

[1]蔣克美.企業(yè)電子文檔安全解決方案[J].經(jīng)濟(jì)視野，2012（7）.

[2]杭州恒興洛克.文檔加密類產(chǎn)品的選擇[J].信息安全與通信保密， 2008（6）：37-38.