APP下载

企业电子文档安全管理分析

2016-09-29

科技视界 2016年20期
关键词:数据安全文档加密

卢亦俊

【摘 要】随着信息技术的迅猛发展,企业核心数据以电子文档形式泄露的问题也愈来愈严重,给企业的发展带来了很大的威胁,本文针对企业电子文档的安全管理做了一些分析研究。

【关键词】电子文档安全管理;文档加密

0 引言

随着计算机技术在企业的大规模普及应用,企业的核心机密信息、代表企业知识产权和核心竞争力的研发图纸、设计资料、技术机密、客户资料,以及财务数据、报表等均以电子文档形式存在,如果管理不善,这些电子文档很容易传播和丢失。计算机泄密行为在信息技术发展的同时呈现上升趋势,企业中信息数据的泄露与丢失问题也愈来愈严重,给企业的数据安全带来了很大的威胁。据有关调查显示,企业机密泄露中30%~40%是由电子文件的泄露造成,一个恶意的核心机密泄露事件往往会给企业造成不可估量的损失,严重影响企业的发展。

1 电子文档泄漏的途径

造成企业数据泄露的原因很多,如黑客、木马、病毒等的入侵、员工无意或故意泄密、员工离职拷贝带走数据、存储设备丢失导致泄密、对外信息发布失控、外部恶意窃密等。企业内部电子文档外泄的方式主要有以下几种:

1)拷贝复制:通过软盘、U 盘、硬盘、刻录机、光驱、移动硬盘等存储设备泄密;

2)数据共享:文件设成共享,通过网络环境,直接访问和下载;

3)黑客窃密:黑客利用技术手段进入计算机直接窃取各种重要信息;

4)利用互联网,通过邮件、网络通讯工具、FTP等泄密[1];

5)通过计算机端口、红外线、调制解调器、蓝牙等通讯设备泄密。

2 电子文档安全管理措施

据调查,国内企业对电子文挡很少采取保护措施,有保护的不到3%,一些机密的电子文件资料轻易就可以通过U盘、移动硬盘、电子邮件和网络通讯工具等途径泄密。

企业保障内部电子文档安全的方法主要有:

2.1 设置防火墙、入侵检测、防病毒等防护系统

这些系统只能解决来自企业外部的安全威胁,不能解决内部人员通过网络、U盘、移动硬盘把电子文档进行传播的问题。

2.2 采用禁用USB接口,拆除光驱软驱,限制上网等方法来控制文件的外传

这些方法都严重影响工作的方便性,并容易触发员工的抵触情绪。事实证明这种方法的效果并不好,重要的文件依旧会被泄漏出去。

2.3 使用文档加密软件

目前,文档加密产品主要分两大类:一类是采用文档格式转换加密;另一类是自动透明加解密。

1)文档格式转换加密产品可以控制文档的只读、编辑、打印、阅读次数等属性,但是文档的加密与否是由用户自己决定,只能对文档的传播途径进行防范,在技术和应用方面存在一定的局限。[2]

2)自动透明加解密产品则利用动态加解密技术,采取智能化思想和灵活的安全策略对文档生成和传播的整个过程进行保护,在不改变用户使用习惯和原文件格式的前提下实现文档的安全共享,能有效防止用户通过电子邮件、移动设备、复制、 剪切、拖拽,打印、截屏等途径泄密重要数据,是市场发展的主流。采用这种产品,在正常使用时,计算机内存中的文件是以明文形式存放的,但硬盘上保存的数据却是加密状态,如果没有合法的身份、访问权限和正确的安全通道,所有重要的文件都是以密文状态保存。对于非法得到的未经解密的文档,打开后也只是乱码文件,确保了数据无论何时、何地、何种状态下都处于安全状态,做到“事前防御、事中控制、事后追溯”。这种产品能保证数据的机密性,同时又能在企业内部实现数据共享和交换。

以上各种安全措施各有利弊,相对来说,自动透明加解密产品较好。企业应根据自身的实际情况采取相应的安全措施,有条件的话,可采取多种措施相结合的办法,这样才能更好地保证企业电子文档的安全。

3 加密软件的实施

目前,越来越多的企业在了解了加密软件的应用价值后也准备在企业内部进行部署。加密软件的实施涉及面广,既要考虑安全性,又要考虑方便性,影响因素很多,下面就加密软件实施的要点做一些分析。

3.1 选择合适的加密软件厂商

目前,加密软件市场是种类繁多,给企业选择造成一定的难度。由于数据安全产品直接涉及到日常办公和核心数据的安全,在选择时需要特别谨慎,应当从数据安全厂商的研发实力,软件的功能性、安全性、稳定性、兼容性和易用性等方面综合考虑。企业应仔细甄别,千万不要选产品不可靠,没有研发实力,无售后保障的产品。

1)要有资质,“涉密信息系统产品检测证书”、“商用密码产品销售许可证”、“计算机信息系统安全专用产品销售许可证”和“软件产品登记证书”等资质证书是必须要有的。

2)要测试产品的性能。可以搭建环境测试软件的安全性和稳定性,测试加密软件与企业用到的管理软件(如OA、杀毒等软件等)和应用软件(如各种CAD软件)的兼容情况,测试软件的各种功能(如加解密功能、外发管理、U盘管理、复制、截屏等),观察有无蓝屏和死机现象,有无打不开和破坏文件的情况。

3)软件操作要简单,容易上手。软件要容易操作,人机对话环境要好。软件操作简单不等于软件简单,软件要求有比较强大的功能的。

4)要了解加密软件厂商有无本地用户,有无同行业的用户,有条件的话可以去这些案例企业了解软件的应用状况。

3.2 加密范围要适度

企业在确定加密文件类型的时候一定要注意:只有企业重要的、核心的资料及文档才需要加密。加密文件类型不宜过多,过多容易造成工作不便,影响工作效率,甚至有可能影响到计算机的正常运行。

3.3 领导重视

领导重视并支持也是加密软件成功实施的重要因素。企业领导层对加密软件要有正确的认识。需要管控的企业核心电子文档在企业内部交流不受影响,外发就需要领导层进行授权或审批,未经解密的管控文档在企业外部是无法使用的,有效地保护了企业内部核心重要文档的安全。这样就会影响到一些人的利益,从而阻挠加密软件的实施,这时就需要领导的大力支持,否则加密软件很难顺利实施。领导自身也应严格执行企业电子文档安全管理的相关规定,给员工做好表率。

3.4 员工的引导和培训

做好对员工的引导和培训,让企业员工要理解加密软件的意义。由于加密软件的管控,未经解密的文件脱离企业加密环境无法使用,正常的对外交流会增加一个审批的流程,改变了员工原有的工作方式。而要适应新的工作方式需要一个过程,因此员工很容易产生抵触情绪,影响工作。这就需要企业在内部加强信息安全管理的宣传培训,强调个人利益要服从企业整体利益。

3.5 建立健全数据安全管理制度

企业只有建立健全科学完善的数据安全管理制度以及运行操作规程,采取真正有效的数据安全防护技术,才能在激烈的信息竞争中占据一席之地。企业内部电子文档安全管理要立足于终端,从源头抓起,才能从根本上解决电子文档的安全问题,真正有效地满足企业安全管理的迫切需求。没有科学合理的管理手段,加密软件的实施很难取得成功。

4 结语

在全球信息化浪潮不断推进的今天,企业采取必要的措施对核心数据进行保护,为企业的核心竞争力保驾护航,是刻不容缓。采用加密软件就是其中一项有力的措施。实施加密软件是一项系统工程,涉及到的内容很广,影响的因素也很多,涉及到电脑、网络、文档资料、工作流程、管理制度等多个方面,需要企业从实际需求出发,以企业自身条件为基础,循序渐进,才能取得较好的效果。

【参考文献】

[1]蒋克美.企业电子文档安全解决方案[J].经济视野,2012(7).

[2]杭州恒兴洛克.文档加密类产品的选择[J].信息安全与通信保密, 2008(6):37-38.

猜你喜欢

数据安全文档加密
浅谈Matlab与Word文档的应用接口
有人一声不吭向你扔了个文档
云计算中基于用户隐私的数据安全保护方法
一种基于熵的混沌加密小波变换水印算法
建立激励相容机制保护数据安全
大数据云计算环境下的数据安全
基于RI码计算的Word复制文档鉴别
认证加密的研究进展
Persistence of the reproductive toxicity of chlorpiryphos-ethyl in male Wistar rat
大数据安全搜索与共享