企業(yè)電子文檔安全管理分析

盧亦俊

【摘 要】隨著信息技術(shù)的迅猛發(fā)展，企業(yè)核心數(shù)據(jù)以電子文檔形式泄露的問題也愈來愈嚴重，給企業(yè)的發(fā)展帶來了很大的威脅，本文針對企業(yè)電子文檔的安全管理做了一些分析研究。

【關(guān)鍵詞】電子文檔安全管理；文檔加密

0 引言

隨著計算機技術(shù)在企業(yè)的大規(guī)模普及應(yīng)用，企業(yè)的核心機密信息、代表企業(yè)知識產(chǎn)權(quán)和核心競爭力的研發(fā)圖紙、設(shè)計資料、技術(shù)機密、客戶資料，以及財務(wù)數(shù)據(jù)、報表等均以電子文檔形式存在，如果管理不善，這些電子文檔很容易傳播和丟失。計算機泄密行為在信息技術(shù)發(fā)展的同時呈現(xiàn)上升趨勢，企業(yè)中信息數(shù)據(jù)的泄露與丟失問題也愈來愈嚴重，給企業(yè)的數(shù)據(jù)安全帶來了很大的威脅。據(jù)有關(guān)調(diào)查顯示，企業(yè)機密泄露中30%～40%是由電子文件的泄露造成，一個惡意的核心機密泄露事件往往會給企業(yè)造成不可估量的損失，嚴重影響企業(yè)的發(fā)展。

1 電子文檔泄漏的途徑

造成企業(yè)數(shù)據(jù)泄露的原因很多，如黑客、木馬、病毒等的入侵、員工無意或故意泄密、員工離職拷貝帶走數(shù)據(jù)、存儲設(shè)備丟失導(dǎo)致泄密、對外信息發(fā)布失控、外部惡意竊密等。企業(yè)內(nèi)部電子文檔外泄的方式主要有以下幾種：

1）拷貝復(fù)制：通過軟盤、U 盤、硬盤、刻錄機、光驅(qū)、移動硬盤等存儲設(shè)備泄密；

2）數(shù)據(jù)共享：文件設(shè)成共享，通過網(wǎng)絡(luò)環(huán)境，直接訪問和下載；

3）黑客竊密：黑客利用技術(shù)手段進入計算機直接竊取各種重要信息；

4）利用互聯(lián)網(wǎng)，通過郵件、網(wǎng)絡(luò)通訊工具、FTP等泄密[1]；

5）通過計算機端口、紅外線、調(diào)制解調(diào)器、藍牙等通訊設(shè)備泄密。

2 電子文檔安全管理措施

據(jù)調(diào)查，國內(nèi)企業(yè)對電子文擋很少采取保護措施，有保護的不到3%，一些機密的電子文件資料輕易就可以通過U盤、移動硬盤、電子郵件和網(wǎng)絡(luò)通訊工具等途徑泄密。

企業(yè)保障內(nèi)部電子文檔安全的方法主要有：

2.1 設(shè)置防火墻、入侵檢測、防病毒等防護系統(tǒng)

這些系統(tǒng)只能解決來自企業(yè)外部的安全威脅，不能解決內(nèi)部人員通過網(wǎng)絡(luò)、U盤、移動硬盤把電子文檔進行傳播的問題。

2.2 采用禁用USB接口，拆除光驅(qū)軟驅(qū)，限制上網(wǎng)等方法來控制文件的外傳

這些方法都嚴重影響工作的方便性，并容易觸發(fā)員工的抵觸情緒。事實證明這種方法的效果并不好，重要的文件依舊會被泄漏出去。

2.3 使用文檔加密軟件

目前，文檔加密產(chǎn)品主要分兩大類：一類是采用文檔格式轉(zhuǎn)換加密；另一類是自動透明加解密。

1）文檔格式轉(zhuǎn)換加密產(chǎn)品可以控制文檔的只讀、編輯、打印、閱讀次數(shù)等屬性，但是文檔的加密與否是由用戶自己決定，只能對文檔的傳播途徑進行防范，在技術(shù)和應(yīng)用方面存在一定的局限。[2]

2）自動透明加解密產(chǎn)品則利用動態(tài)加解密技術(shù)，采取智能化思想和靈活的安全策略對文檔生成和傳播的整個過程進行保護，在不改變用戶使用習(xí)慣和原文件格式的前提下實現(xiàn)文檔的安全共享，能有效防止用戶通過電子郵件、移動設(shè)備、復(fù)制、 剪切、拖拽，打印、截屏等途徑泄密重要數(shù)據(jù)，是市場發(fā)展的主流。采用這種產(chǎn)品，在正常使用時，計算機內(nèi)存中的文件是以明文形式存放的，但硬盤上保存的數(shù)據(jù)卻是加密狀態(tài)，如果沒有合法的身份、訪問權(quán)限和正確的安全通道，所有重要的文件都是以密文狀態(tài)保存。對于非法得到的未經(jīng)解密的文檔，打開后也只是亂碼文件，確保了數(shù)據(jù)無論何時、何地、何種狀態(tài)下都處于安全狀態(tài)，做到“事前防御、事中控制、事后追溯”。這種產(chǎn)品能保證數(shù)據(jù)的機密性，同時又能在企業(yè)內(nèi)部實現(xiàn)數(shù)據(jù)共享和交換。

以上各種安全措施各有利弊，相對來說，自動透明加解密產(chǎn)品較好。企業(yè)應(yīng)根據(jù)自身的實際情況采取相應(yīng)的安全措施，有條件的話，可采取多種措施相結(jié)合的辦法，這樣才能更好地保證企業(yè)電子文檔的安全。

3 加密軟件的實施

目前，越來越多的企業(yè)在了解了加密軟件的應(yīng)用價值后也準備在企業(yè)內(nèi)部進行部署。加密軟件的實施涉及面廣，既要考慮安全性，又要考慮方便性，影響因素很多，下面就加密軟件實施的要點做一些分析。

3.1 選擇合適的加密軟件廠商

目前，加密軟件市場是種類繁多，給企業(yè)選擇造成一定的難度。由于數(shù)據(jù)安全產(chǎn)品直接涉及到日常辦公和核心數(shù)據(jù)的安全，在選擇時需要特別謹慎，應(yīng)當從數(shù)據(jù)安全廠商的研發(fā)實力，軟件的功能性、安全性、穩(wěn)定性、兼容性和易用性等方面綜合考慮。企業(yè)應(yīng)仔細甄別，千萬不要選產(chǎn)品不可靠，沒有研發(fā)實力，無售后保障的產(chǎn)品。

1）要有資質(zhì)，“涉密信息系統(tǒng)產(chǎn)品檢測證書”、“商用密碼產(chǎn)品銷售許可證”、“計算機信息系統(tǒng)安全專用產(chǎn)品銷售許可證”和“軟件產(chǎn)品登記證書”等資質(zhì)證書是必須要有的。

2）要測試產(chǎn)品的性能。可以搭建環(huán)境測試軟件的安全性和穩(wěn)定性，測試加密軟件與企業(yè)用到的管理軟件（如OA、殺毒等軟件等）和應(yīng)用軟件（如各種CAD軟件）的兼容情況，測試軟件的各種功能（如加解密功能、外發(fā)管理、U盤管理、復(fù)制、截屏等），觀察有無藍屏和死機現(xiàn)象，有無打不開和破壞文件的情況。

3）軟件操作要簡單，容易上手。軟件要容易操作，人機對話環(huán)境要好。軟件操作簡單不等于軟件簡單，軟件要求有比較強大的功能的。

4）要了解加密軟件廠商有無本地用戶，有無同行業(yè)的用戶，有條件的話可以去這些案例企業(yè)了解軟件的應(yīng)用狀況。

3.2 加密范圍要適度

企業(yè)在確定加密文件類型的時候一定要注意：只有企業(yè)重要的、核心的資料及文檔才需要加密。加密文件類型不宜過多，過多容易造成工作不便，影響工作效率，甚至有可能影響到計算機的正常運行。

3.3 領(lǐng)導(dǎo)重視

領(lǐng)導(dǎo)重視并支持也是加密軟件成功實施的重要因素。企業(yè)領(lǐng)導(dǎo)層對加密軟件要有正確的認識。需要管控的企業(yè)核心電子文檔在企業(yè)內(nèi)部交流不受影響，外發(fā)就需要領(lǐng)導(dǎo)層進行授權(quán)或?qū)徟?，未?jīng)解密的管控文檔在企業(yè)外部是無法使用的，有效地保護了企業(yè)內(nèi)部核心重要文檔的安全。這樣就會影響到一些人的利益，從而阻撓加密軟件的實施，這時就需要領(lǐng)導(dǎo)的大力支持，否則加密軟件很難順利實施。領(lǐng)導(dǎo)自身也應(yīng)嚴格執(zhí)行企業(yè)電子文檔安全管理的相關(guān)規(guī)定，給員工做好表率。

3.4 員工的引導(dǎo)和培訓(xùn)

做好對員工的引導(dǎo)和培訓(xùn)，讓企業(yè)員工要理解加密軟件的意義。由于加密軟件的管控，未經(jīng)解密的文件脫離企業(yè)加密環(huán)境無法使用，正常的對外交流會增加一個審批的流程，改變了員工原有的工作方式。而要適應(yīng)新的工作方式需要一個過程，因此員工很容易產(chǎn)生抵觸情緒，影響工作。這就需要企業(yè)在內(nèi)部加強信息安全管理的宣傳培訓(xùn)，強調(diào)個人利益要服從企業(yè)整體利益。

3.5 建立健全數(shù)據(jù)安全管理制度

企業(yè)只有建立健全科學(xué)完善的數(shù)據(jù)安全管理制度以及運行操作規(guī)程，采取真正有效的數(shù)據(jù)安全防護技術(shù)，才能在激烈的信息競爭中占據(jù)一席之地。企業(yè)內(nèi)部電子文檔安全管理要立足于終端，從源頭抓起，才能從根本上解決電子文檔的安全問題，真正有效地滿足企業(yè)安全管理的迫切需求。沒有科學(xué)合理的管理手段，加密軟件的實施很難取得成功。

4 結(jié)語

在全球信息化浪潮不斷推進的今天，企業(yè)采取必要的措施對核心數(shù)據(jù)進行保護，為企業(yè)的核心競爭力保駕護航，是刻不容緩。采用加密軟件就是其中一項有力的措施。實施加密軟件是一項系統(tǒng)工程，涉及到的內(nèi)容很廣，影響的因素也很多，涉及到電腦、網(wǎng)絡(luò)、文檔資料、工作流程、管理制度等多個方面，需要企業(yè)從實際需求出發(fā)，以企業(yè)自身條件為基礎(chǔ)，循序漸進，才能取得較好的效果。

【參考文獻】

[1]蔣克美.企業(yè)電子文檔安全解決方案[J].經(jīng)濟視野，2012（7）.

[2]杭州恒興洛克.文檔加密類產(chǎn)品的選擇[J].信息安全與通信保密， 2008（6）：37-38.