信息化觀察網(wǎng)

當前，企業(yè)數(shù)據(jù)泄密事件屢有發(fā)生，前一段事件“老干媽泄密事件”給很多企業(yè)敲響了警鐘。在知識經(jīng)濟時代，企業(yè)商業(yè)機密是市場競爭的制勝法寶，是企業(yè)發(fā)展的根本。因此，企業(yè)商業(yè)機密、關鍵數(shù)據(jù)安全就顯得尤為重要。并且，企業(yè)數(shù)據(jù)泄密不存在“亡羊補牢”，一旦泄密將會給企業(yè)帶來的重大損失是無法彌補的。因此，企業(yè)信息安全、企業(yè)數(shù)據(jù)防泄密必須要有防患未然的意識，從企業(yè)管理和技術控制等各個方面入手，才可以真正實現(xiàn)保護單位商業(yè)機密安全的目的。

但目前國內(nèi)企事業(yè)單位在信息安全管理方面普遍存在以下不足和缺陷:

1、無企業(yè)數(shù)據(jù)防泄密的安全意識

大多數(shù)中小企業(yè)認為自己的數(shù)據(jù)無關緊要，加上對自己的員工信心滿滿，對廠商提出的數(shù)據(jù)防泄密措施置若罔聞，直到數(shù)據(jù)泄密給企業(yè)帶來嚴重損失后才采取亡羊補牢的措施。

一些企業(yè)雖然也有新消息安全意識，并且也安裝部署了一些電腦文件加密軟件，但往往因為不習慣或員工抵觸，又把加密軟件卸載了。這樣一旦員工離職將會輕易將單位的商業(yè)機密文件泄露出去，從而對企業(yè)信息安全造成嚴重的風險。而究其原因，很大程度上是因為加密軟件設計不夠人性化，干擾了員工的工作，這使得員工更加反感。因此，單位在選擇企業(yè)防泄密軟件時，一定要選擇人性化程度較高的電腦文件防泄密系統(tǒng)。

例如有一款“大勢至電腦文件防泄密系統(tǒng)”，不僅可以有效禁止U盤等禁用USB存儲設備，而且還可以只讓從U盤向電腦復制文件而禁止從電腦向U盤復制文件，或者向U盤復制文件必須輸入密碼，從而有效地保護了電腦文件安全;同時，系統(tǒng)還可以禁止電腦發(fā)送郵件、只讓使用公司信箱收發(fā)郵件、只讓電腦接收郵件而禁止發(fā)送郵件;禁止網(wǎng)盤上傳電腦文件、禁止FTP文件上傳以及禁止QQ發(fā)送文件等，防止通過網(wǎng)絡途徑泄密電腦文件的行為。同時，大勢至公司數(shù)據(jù)防泄密系統(tǒng)的操作使用極為簡單，所有功能模塊集中在一個軟件界面上，點點鼠標就可以啟用，適合所有網(wǎng)管人員。如下圖所示:

企業(yè)生產(chǎn)經(jīng)營過程產(chǎn)生的任何數(shù)據(jù)，都是企業(yè)在日積月累中反復摸索出來的，無論是某個人的勞動成果，還是集體的勞動成果，都是企業(yè)的財富。一些貌似不緊要的數(shù)據(jù)和文件，其實在產(chǎn)生過程中都是付出了大量心血。因此，企業(yè)經(jīng)營者一定要采取有效措施保護好這些數(shù)據(jù)財富。

2、有防止商業(yè)機密泄露的意識但嫌麻煩

有些企業(yè)在選型加密軟件時，經(jīng)常會問到一些，比如員工回家加班怎么辦?員工的電腦是個人的，不能影響他們自己使用之類的問題。這些需求都很容易理解的，在上一軟件，特別是上加密軟件時把各種情況考慮到，對上軟件之后實施工作是有很大幫助的。問題是，有些企業(yè)過份擔憂加密軟件給現(xiàn)狀帶來的沖擊，最后項目就不了了之了。

因此，企業(yè)如果要部署電腦文件加密軟件，則同樣需要考慮軟件的靈活性、透明性和操作簡單程度。筆者目前用過一款“大勢至電腦文件加密軟件”，不僅可以加密電腦文件，而且還可以加密U盤文件，同時還可以限制加密文件的訪問權限:只讓讀取加密文件而禁止復制加密文件、只讓打開加密文件而禁止另存為本地磁盤、只讓修改加密文件而禁止刪除加密文件等，以及禁止拖動加密文件、禁止打印加密文件等，全面保護加密文件的安全。此外，系統(tǒng)還可以隱藏磁盤文件，防止隨意訪問磁盤文件的行為。如下圖所示:

企業(yè)數(shù)據(jù)防泄密措施與企業(yè)管理一樣，也是要根據(jù)企業(yè)不同的發(fā)展階段采用不同的手段的。如果只有幾個創(chuàng)業(yè)者，完全可以靠自律保證數(shù)據(jù)的安全;而企業(yè)在快速發(fā)展過程中，數(shù)據(jù)的安全性和應用的靈活性必須同時兼顧。我們在軟件實施過程中，會充分考慮軟件實施給工作帶來的影響，在不同實施階段采用不同的加密策略。實施后緊密跟蹤應用情況，對深化應用提出實施建議。

3、有公司數(shù)據(jù)防泄漏的舉措但無管理

有些企業(yè)雖然上了加密軟件，但仍然出現(xiàn)一些泄密事件，有人便開始懷疑加密軟件是否有用了。加密軟件不是地牢，為方便企業(yè)交流也會有審批及解密的功能，這些關口都是由人去掌握的，如果沒有相應的管理措施，出現(xiàn)數(shù)據(jù)泄密甚至形同虛設也不足為怪。這就跟一個企業(yè)有大門，有保安，但大門總是開著，保安對進出人員不聞不問一個道理。

加密軟件的實施失敗無外乎軟件本身缺陷及管理不當兩方面原因。軟件缺陷另當別論，但管理不當引起的失敗尤其應引起企業(yè)的重視。筆者認為，管理方面主要有以下兩個原因:

1.主管領導不重視。軟件買來了，裝上了，就不過問了，只有管理員在維護。有些中高領導還要求管理員開后門，甚至以各種借口卸載軟件。慢慢地，數(shù)據(jù)的重要性就變得不重要了，加密軟件也就可有可無了。

2.系統(tǒng)管理員經(jīng)常換。加密軟件的管理員掌握著企業(yè)數(shù)據(jù)倉庫的鑰匙，如果對其沒有有效的監(jiān)督，企業(yè)數(shù)據(jù)安全便沒有保障。保持系統(tǒng)管理員的相對穩(wěn)定，對其權限進行約束尤為重要。

4、高度重視企業(yè)文檔安全管理

一家成熟的企業(yè)總是把數(shù)據(jù)安全放在十分重要的地位。對他們而言，為數(shù)據(jù)安全增加管理成本是必須的。我們有家這樣的客戶，從員工一入廠便開始進行數(shù)據(jù)保密教育，人手一本保密手冊，定期進行保密制度考核，直接與績效掛鉤。在上了我們的加密軟件后，不但對管理員有明確的職責要求，而且定期匯總數(shù)據(jù)，開專題會議分析數(shù)據(jù)流向，防范可能出現(xiàn)的執(zhí)行偏差。

保證企業(yè)數(shù)據(jù)財富的安全，一定是人防與技防并舉，指望靠一個加密軟件解決所有問題，是企業(yè)信息化過程中很容易犯的低級錯誤。結合多年的實踐經(jīng)驗，總結用好加密軟件的主要要素，最少應該包括如下三點:

1.領導重視。要把企業(yè)數(shù)據(jù)看成財富和資產(chǎn)，有強烈的數(shù)據(jù)安全意識，建立制度并監(jiān)督執(zhí)行。

2.建立制度。用制度規(guī)范不同崗位職責和數(shù)據(jù)流向，時刻提醒員工扣緊數(shù)據(jù)安全這根弦。

3.做好服務。出現(xiàn)使用問題及時處理，出現(xiàn)業(yè)務沖突及時解決，但必須保證數(shù)據(jù)是安全的。

小結

數(shù)據(jù)財富安全問題，是每個企業(yè)在發(fā)展過程中必須面對的問題。同時，每個企業(yè)所面對的問題會有一定的個性，隨著企業(yè)的發(fā)展，數(shù)據(jù)安全的需求也是不斷變化的。選擇適合自己的方法和手段，是件“鞋是否合腳，只有腳知道”的事情。