當前，企業(yè)信息防泄漏、公司數據防泄漏已經成為信息安全的一個熱點話題。畢竟知識經濟時代，企業(yè)的商業(yè)機密、無形資產和知識產品是企業(yè)競爭的法寶，一旦泄露，輕則給企業(yè)帶來直接的經濟損失，重則導致企業(yè)未來的市場競爭力衰退，甚至影響到企業(yè)的生死存亡。因此，企業(yè)文件防泄密已經成為網絡管理的重要工作。并且，由于現在網絡應用極為普遍，各種移動設備非常普遍，這使得企業(yè)文件泄密的通道大大增加。因此，也使得企業(yè)信息防泄漏工作面臨著更多挑戰(zhàn)?？偨Y起來，當前國內企事業(yè)單位信息防泄密主要在以下幾個方面：

　　1、 文檔透明加密

　　在企業(yè)中，信息大多數是以電子文檔的形式存在。對于如何保護企業(yè)重要文檔的安全，業(yè)界有兩種思路，一種是由外及里，封堵各種可能的文檔傳播渠道，一種是由里及外，對文檔本身進行強制加密，后一種企業(yè)普遍使用便是文檔透明加密。

　　文檔透明加密對企業(yè)重要文檔本身進行強制加密，有一種以不變應萬變的味道，這也許就是眾多企業(yè)對其趨之若鶩的原因之一。文檔透明加密使企業(yè)的重要文檔隨時處于加密狀態(tài)，同時不影響用戶的使用習慣，在不知不覺中保護文檔安全。另外很重要的一點是文檔透明加密可以對外發(fā)文檔的安全進行良好的管理。企業(yè)信息防泄漏不可能僅僅局限于企業(yè)內網，隨著信息經濟的發(fā)展企業(yè)與外界的溝通將日益網絡化，企業(yè)內外間的線上交流是必不可少的。文檔透明加密通過對外發(fā)文檔的訪問權限進行嚴格的控制，以保證企業(yè)重要信息不會輕易被泄露。

　　當然世間萬事萬物有利必有弊，文檔透明加密在對企業(yè)文檔進行高強度保護的同時，也會給企業(yè)的工作效率帶來一定的影響。因此企業(yè)在部署加密前必須找出真正需要高強度保護的數據范圍，而不是一密全密，后者從需求上講沒有太大必要，從效率上講對企業(yè)的整體業(yè)務運行頗有影響，從成本上講會增加企業(yè)的安全預算?？傊痪湓?，適合的才是最好的。

　　2、 移動存儲管控

　　在各類信息化產品中，U盤、移動硬盤、數碼儲存卡等移動存儲產品被廣泛應用，而尤以U盤為甚。對于不少企業(yè)而言，移動存儲設備方面基本沒有什么管理措施，公司與個人的混用，工作與生活的不分，辦公室里面U盤隨意流傳。在這樣的溫床中，孕育出病毒泛濫的境況以及接二連三的信息泄漏事件就不足為奇了，而后者后果往往要嚴重得多。

　　由于企業(yè)的不重視，再加上移動存儲設備本身的管理難度，移動存儲往往成為企業(yè)信息安全的軟肋，比如近年各種U盤泄密事件層出不窮。如何去管理移動存儲設備?目前來說有幾下幾種方法。一是封堵，對于從企業(yè)外部帶入的移動存儲設備禁止使用，只允許使用公司規(guī)定的設備，二是設備加密，對移動設備的文檔進行權限管理，就算有人利用移動存儲將企業(yè)重要文檔帶出也無法正常打開。

　　當然在實際管理過程中，除了技術上的管控，最好配合以嚴格的移動存儲設備管理制度，對企業(yè)內部移動存儲使用進行詳細的記錄，這樣才能更好地讓移動存儲管理納入有秩序的軌道，保護企業(yè)重要文檔的安全。

         目前，“大勢至電腦文件防泄密系統”（下載地址：http://www.grablan.com/monitorusb.html）集成了全面的USB存儲設備管控功能，不僅可以完全禁止U盤使用、禁用USB存儲設備，而且還可以只讓使用指定的U盤、只讓使用特定的USB存儲設備，同時還可以只讓從U盤向電腦復制文件而禁止從電腦向U盤拷貝文件，或者向USB存儲設備復制電腦文件的時候必須輸入密碼，從而有效防止了USB存儲設備泄密的行為。如下圖所示：

　　3、 郵件管控

　　大多數企業(yè)都會使用到電子郵件，郵件類別有許多種，個人免費型，企業(yè)級付費型，普通郵件、網頁郵件••••••不一而足。但是這里面存在著巨大的安全風險，在企業(yè)發(fā)往外界的郵件中，往往附帶著很多與企業(yè)商業(yè)機密相關的信息，如果對這些郵件不進行安全控制，機密信息為競爭對手獲取，或者為其他人用于商業(yè)用途，后果不堪設想。

　　目前對于電子郵件的安全控制，一般采用的解決方法包括，規(guī)范化企業(yè)內部使用郵箱，如建立公司專用郵箱，禁止其他類型的郵箱?；蛘邔ν獍l(fā)電子郵件的進行關鍵字過濾，如郵件主題、附件名中包括指定關鍵字的郵件不能正常發(fā)送。任何一種管控方式都能起到一定的效果，但融合型的產品會更有成效。

　　對于郵件管控，雖然有些信息安全產品可以過濾郵件內容或者檢測郵件附件，但是一旦郵件發(fā)送者將電腦文件用Winrar加密并且設置密碼，則信息安全產品就無法識別和過濾了。因此，比較有效的辦法是，禁止電腦發(fā)送郵件、禁止郵件附件發(fā)送，或者只讓使用公司郵箱、只讓使用指定的郵箱發(fā)送郵件。目前，大勢至電腦文件防泄密系統，依然可以實現禁止電腦發(fā)送郵件、只讓使用特定郵箱發(fā)送郵件的功能。如下圖所示：

　　4、 即時通訊管控

　　QQ、MSN、FETION••••••即時通訊工具已經成為我們日常生活的必要組成部分，對于企業(yè)情況也差不多。高節(jié)奏的商業(yè)形態(tài)必須要求實時的通訊工具，但一方面很多人只是把即時通訊工具當作打發(fā)工作時間的渠道，另一方面企業(yè)信息泄露的風險也隨之提升。企業(yè)可以直接將即時通訊工具禁止，但是事實上無法如此徹底，企業(yè)總會因為各種原因必須開放些通道。于是很多企業(yè)選擇對即時通訊工具進行審計，主要是對通訊內容的審計，包括對傳輸文件的備份，通過這種方式可以產生一種強大的心理威懾力，讓不良人士知難而退。

　　大勢至電腦文件防泄密系統可以完全禁止聊天軟件、只讓使用特定的聊天軟件的功能，同時還可以禁止聊天軟件發(fā)送文件。例如，禁止QQ發(fā)送文件等，從而防止聊天軟件發(fā)送文件的同時，也可以滿足企業(yè)在一定情況下需要聊天軟件工作的便利。如下圖所示：

　　5、 文檔操作管控

　　企業(yè)的多數數據是以電子文檔的形式存在，因此保護企業(yè)的信息安全很大程序上可以說就是保護企業(yè)的重要文檔的安全。文檔是企業(yè)辦公的基礎，也是各種信息安全保護手段的中心。文檔在企業(yè)內部流轉的生命周期，包括創(chuàng)建、訪問、修改、刪除、重命名、移動、復制、恢復八大環(huán)節(jié)，文檔操作管控就是對文檔全生命周期進行管理，對文檔在企業(yè)中傳播的每一個站都記錄在案，從而實現對文檔安全的精細化控制。

　　對于企業(yè)文檔安全的控制，一般存在兩種典型的應用場景。一是當企業(yè)中有一些重要文檔，不允許任意用戶對其進行修改或者刪除，所以要對部分員工的權限進行控制，使其只能訪問文檔，不能修改與刪除文檔。二是企業(yè)在辦公的過程，有可能因為失誤而刪除了重要的文檔。文檔操作管控可以限制用戶使用文檔的權限，同時在文檔被復制與刪除前自動備份，防止用戶誤刪。

        尤其是對于企業(yè)的文件服務器共享文件訪問權限的管控。由于，企業(yè)文件服務器常常存儲著單位重要的無形資產和商業(yè)機密。并且經常需要將這些文件設置共享讓局域網用戶訪問。這樣，一旦員工不小心或惡意刪除共享文件、復制共享文件內容或者修改共享文件的行為，將會使得共享文件面臨著較大風險。而對服務器共享文件訪問日志也缺乏相應的記錄，從而也無法實時追蹤用戶的訪問日志，導致查無實證的情況發(fā)生。

        因此，大勢至公司推出了“大勢至局域網共享文件管理系統”（下載地址：http://www.grablan.com/gongxiangwenjianshenji.html），通過在文件服務器上安裝之后，就可以掃描到服務器所有共享文件夾，然后就可以為服務器上不同賬號設置訪問共享文件夾的不同訪問權限。這樣當局域網用戶訪問服務器共享文件時，則就會限制其訪問共享的權限，同時還可以詳細記錄共享文件訪問日志。尤其是，通過“大勢至局域網共享文件管理系統”，可以實現只讓讀取共享文件而禁止復制共享文件內容、只讓修改共享文件而禁止刪除共享文件、只讓打開共享文件而禁止另存為本地磁盤或者拖拽共享文件、打印共享文件的行為，從而保護了服務器共享文件的安全。如下圖所示：

　　為更好地利用文檔操作管控功能，最好一開始查清楚不同的文檔的安全需求，比如說哪些文檔需要備份，哪些不需要，如果不進行區(qū)分一律設置備份的策略，則可能造成大量的數據累積，一方面沒有必要，另一方面對系統增加了負擔。

　　從以上排名前五位的功能可以看出企業(yè)的安全需求主要傾向于以文檔安全為中心的信息保護，這也標示出數據安全將會成為企業(yè)內網安全核心的趨勢。現在多數企業(yè)已經意識整體信息防泄漏的重要性，值得注意的是企業(yè)在部署信息防泄漏方案時應該根據本身的實際需求進行輕重有別、具有針對性的防護控制?！?/p>

6.資產管理

　　資產管理包括企業(yè)軟硬件資產掃描與統計、軟件版權管理、軟件分發(fā)、補丁管理等，屬于信息防泄漏外圍功能，但是是基礎性計算機安全管理，所以重要性不可小視。在內網安全發(fā)展的前期，對這些基礎性功能進行加強加固是一個熱門的選擇，時至今日，資產管理依然是眾多企業(yè)熱衷的功能，這說明基礎性設施管理是企業(yè)信息安全管理不可或缺的組成部分。

　　對于資產管理在企業(yè)的具體應用，首先是企業(yè)計算機資產的管理，比如硬件的類別、型號、變更等，軟件的類別、版本等等，尤其是對于大企業(yè)，計算機規(guī)模大，網絡結構復雜，管理難度高，資產管理顯得特別重要。其次是漏洞檢查、補丁管理，其實很多時候企業(yè)內部計算機出現安全問題，往往是因為用戶沒能及時更新系統補丁，結果留下為人利用把柄。軟件分發(fā)亦是很重要的部分，企業(yè)在部署安全管理軟件客戶端時，如果僅依靠人力，工作量必然會十分巨大，軟件分發(fā)則可以將安裝包自動分發(fā)至各計算機進行集中安裝。

　　值得一說的，溢信科技IP-guard除了以上功能外，對于非IT資產也能進行管理，如辦公室桌椅、路由器等，防止發(fā)生資產盜竊行為。

　　7.設備管控

　　企業(yè)的許多IT設備，尤其是存儲設備如移動硬盤、光驅、刻錄機等，都屬于可能的信息泄漏渠道，而且現在新設備每隔一段時間就會更新，這對企業(yè)的信息安全帶來很大的風險，因此對這些通道必須進行嚴格控制。

　　對于這些外設，有很多是企業(yè)正常工作非常用性設備，有一些甚至極少用到，因此可以對這部分設備的使用進行禁止，如有需要可臨時開放權限。在對這一功能進行選型時有兩點需要注意，一是管控設備的種類宜多多益善，并具備靈活的擴展性;二是管控的粒度宜精細，不僅僅采取一刀切的方式，對所有設備統一允許或者禁止。

　　虛擬化、云計算……隨著未來新技術的普及，企業(yè)在設備管理方面也將面對更大挑戰(zhàn)，如何應對這些風險，安全廠商應先行一步，為企業(yè)的信息化升級提供安全保障。

　　8.打印管控

　　打印機是現代企業(yè)辦公必不可少的設備之一，但是很多時候它的安全管理為人所忽視。有人認為打印機不比普通計算機終端，不會中毒不會被黑，因此不會泄密，事實表明這是錯誤的。據鳳凰網報道，濟南某裝甲團用新建的打印設備專門承擔全團的涉密文件打印任務，然而在一次機關干部考試中，在電腦不上網，試卷柜上鎖的前提下，試卷還是泄露了。經過調查，原來負責打印的人員將試卷文本列入打印任務后，打印機因缺紙沒有打印，后來又沒有在電腦中取消打印，最終造成考題泄露。

　　患生于所忽，禍起于細微，打印安全管理不可忽視。在內網安全行業(yè)發(fā)展已超十年的溢信科技認為應該對各類打印機進行嚴格的控制，而且還要對每次打印進行審計，如打印時間、用戶、文件名等，在如此嚴格的管理下，一方面保障企業(yè)信息的安全，另一方面也可以防止隨意打印造成不必要的浪費。

　　需要注意的是，有一些打印行為是沒有對應的原始文檔的，比如ERP等應用程序中的直接打印，這時就需要一些不依賴于打印文檔格式的產品的支持，而無論是大勢至電腦文件防泄密系統還是大勢至局域網共享文件管理系統，都可以阻止用戶打印電腦文件、打印共享文件的行為，防止“打印機泄密事件”的發(fā)生。

　　9.應用程序管理

　　許多企業(yè)都存在工作時間炒股、玩游戲、聊天、BT下載等現象，從辦公效果上說，這種狀況會降低企業(yè)的工作效率，因為工作時間分配與企業(yè)網絡流量分配不合理。而更可怕是，濫用網絡與系統資源還可能將暗藏于互聯網的安全隱患帶入企業(yè)網絡內，威脅系統安全。

　　對于這種情況，企業(yè)可以直接將不符合規(guī)定的應用程序禁止。當然有些程序如QQ，可能是公司與外部即時溝通的必要工具，因此不得不開放權限，但是又擔心有人利用這些通道做一些與工作無關甚至危害企業(yè)信息安全的事情。這種情況下首先可以嚴格管理使用這些程序的終端，其次對進行詳細的操作審計，記錄通信內容，通信時間等信息，一方面從心理上產生一定的威懾力，一方面當出現問題時可以隨時進行查詢。

　　10.網頁瀏覽管理

　　目前利用瀏覽器進行計算機攻擊的行為大大增加，人們在享受豐富的網絡大餐時，也面臨著大量的安全風險。病毒、木馬、蠕蟲、釣魚網站……不經意間計算機就可能成為病毒的宿主，雖然有防火墻、防病毒軟件，但還是無法遏制病毒的叫囂與入侵。

　　對于企業(yè)而言，其往往只是在局域網邊界部署防火墻等安全設備，但是內部的安全部署卻空空然，病毒一旦進入企業(yè)內部，則可以肆無忌憚。事實上企業(yè)可能對來自外部的襲擊進行很好地防備，然而對內部人員主動外聯的行為缺乏管控。為了對企業(yè)內部人員的上網行為進行規(guī)范，應該對訪問的網站進行分類與限制，最大程度過濾掉不健康的網站，凈化企業(yè)的上網環(huán)境。

　　另外對不同的用戶可以設置不同的管控策略，比如企業(yè)為防止員工上班時間訪問股票類網站而設置禁止策略，但是對于因工作原因需要臨時查看與股票相關信息的同事，則可靈活授予其訪問權限。

　　由以上分析可以看出，基礎性的系統安全管理，桌面及上網行為管理依舊是眾多企業(yè)的選擇。結合最受客戶歡迎的十大信息防泄漏功能上篇所談到的內容，可以說明，由操作審計、權限管控及文檔加密組成的整體信息防泄漏方案已經得到了多數企業(yè)的認可。可以想象，未來隨著新技術的發(fā)展，企業(yè)將要面臨的網絡環(huán)境會越來越復雜，信息防泄漏只有整合各種防御技術，才能全面保護自己的信息資產安全，為企業(yè)的發(fā)展保駕護航。

  總之，電腦文件防泄密系統、公司信息防泄漏的實現，一方面需要單位建立嚴格的企業(yè)管理制度、商業(yè)機密保護制度，與員工簽訂嚴格的保密協議；另一方面，也需要配合相應的數據防泄漏產品、電腦文件防泄密軟件，從技術上防止公司數據泄露，只有這樣才能最大限度實現商業(yè)機密保護、信息安全防護的目的。

最新評論