一、当前国内企业数据防泄密的背景
随着计算机、互联网以及企业信息化建设的深入,企业的绝大多数信息是以电子文件的形式被管理和存储,信息化使企业信息的生产、存储、获取、共享和传播更加便利。然而,与此同时,非常需要重点保护的内部研发技术文件、自主知识产权文件等,伴随网络和办公设备的自由使用却因为缺乏有效的信息安全管理机制导致泄漏,给企业信息安全带来更多的威胁,随着企业内部信息安全问题日益严重,信息系统的数据安全成为信息科技建设的重中之重。
但是,对于国内绝大多数企业而言,企业数据安全管理方面依然存在着很多问题,在信息安全认知程度、管理制度、人员配备和相关投入等方面还有很多不足,由此导致了国内企业在数据防泄密、网络安全防护和商业机密保护方面存在着很多危机和风险,一不小心可能会成为黑客、木马病毒的攻击目标,也极容易导致企业内部重要数据文件的泄密,从而企业稳健经营带来重大隐患。
而随着云计算、人工智能、大数据、物联网等新技术、新应用带领我们步入新的信息化时代时,数据安全威胁更加凸显,数据安全保护形势也越发严峻,由此带来的危害也更为巨大。因此,全力加强企业信息安全防护,防止企业核心技术文件的泄密已经刻不容缓、迫在眉睫。
二、当前国内企业数据泄密分析
对于企业内部员工来说,由于日常工作都是通过计算机、网络进行,工作中产生的重要数据文件通常也直接存储在单位内部的电脑或内部文件服务器上,虽然便利了工作。但由于大部分企业都缺乏对员工使用电脑的行为进行全面的控制,从而使得员工可以轻松通过各种途径将电脑文件泄密出去。
总体而言,企业员工泄密数据的通道有以下几种:
通过U盘、移动硬盘、手机等外接USB存储设备将公司电脑文件复制带出;
通过邮件、网盘、论坛文件上传、FTP文件上传、聊天软件发送文件等方式泄密;
通过蓝牙、无线网卡、随身wifi等外接网络设备将电脑文件发送出去;
通过自带电脑与公司内部电脑依靠网线直连、访问共享文件的方式泄密;
内部员工不小心或故意破坏公司重要机密数据的行为
外部黑客攻击、木马病毒、勒索软件等破坏公司机密数据的行为
由此可见,企业数据泄密的通道很多,内部员工可以轻松通过各种方式泄露公司重要数据文件,加上当前国内企业网络带宽速度已经大幅提升,通过网络途径可以在短时间内将大量文件发送出去。而根据第三方的实际统计,当前国内企业数据泄密事件的80%都是由企业内部员工引发的。因此,企业防止机密数据泄露、保护公司商业机密安全应该首先从内部入手。
三、防止企业数据泄露、保护公司商业机密的举措
针对上述企业数据泄密的诸多途径,防止公司商业机密泄露也应该采取针对性的举措。这就需要企业从信息安全意识、网络安全管理制度、数据防泄密技术应用等各个层面入手,构建立体式、系统化、多维度、细粒度、多举措联合并用的方式来严防公司数据文件的泄密。
首先,建立规范明细的企业数据安全管理制度和员工电脑使用行为规范。
这就需要企业管理人员必须有强烈的信息安全意识,充分认识到信息安全管理工作的重要行为,进而从企业网络管理制度、员工信息安全保密协议、员工使用电脑行为规范等层面入手。
虽然单纯的网络管理制度无法彻底杜绝企业数据泄密事件,但制度和协议的存在可以起到事前的威慑,可以在很大程度上遏制不法员工试图泄密公司商业机密的行为;同时一旦发生员工违法泄密事件也可以做到“有法可依”,帮助企业追讨相关损失。此外,由于事先明确了相关规定,使得管理员工上网行为时也不会让员工心存不满、进而伤害工作积极性的负面影响发生。
其次,从技术层面进行多维度、细粒度、全过程、多举措的商业机密保护举措。
通过技术层面约束员工上网行为,防止公司商业机密泄露是一项简单明了、行之有效的管理举措,也是企业网络管理人员的共识。而从最近几年企业数据泄密事件和企业内部员工泄密通道来看,企业需要从以下几个技术层面来防止商业机密泄露:
1、对员工电脑的重要文件进行全面的管控,防止员工随意泄密数据。
结合上述员工泄密通道的分析,企业有两种技术举措可以进行有效的应对:
1)对员工电脑文件进行加密,防止外发文件泄密
目前,国内有很多单位采取了加密电脑文件的方式来保护公司商业机密的安全。这种方式的前提是在员工电脑安装加密客户端软件,在管理员的电脑安装管理端软件,然后管理员就可以远程将员工电脑文件进行实时、自动加密,员工在此过程并无感知。而一旦员工将加密文件发送出去,由于缺乏和管理端的联动,而导致加密文件无法打开,防止了商业机密泄露。
虽然通过对公司电脑文件加密可以有效防止随意泄密电脑文件的行为,但是为了实现最严密的防护而需要实时加密、实时解密文件,需要电脑进行频繁的加解密操作,加大了电脑资源的消耗。同时,由于加密产品良莠不齐,一些加密产品还出现了加密文件无法解密的情况,威胁了文件安全。此外,大部分加密产品的实际使用过程中的操作比较复杂,当使用者缺乏相关技术时使用较为费劲,甚至很多单位虽然购买部署了加密系统,但使用一段时间后往往就停止使用了,造成了投资的浪费。
2)部署电脑文件防泄密系统,防止电脑文件泄露出去
与电脑文件加密加密不同,通过一些电脑文件防泄密系统不是加密电脑文件,不会对文件格式做任何转化,而是把员工电脑泄密的通道“堵死”,使得员工电脑文件无法发送出去,从而也就无法泄密了。
采取这种防止电脑文件泄密的好处是,不会改变文件格式,因此不会导致文件丢失或被破坏的情况发生,相对而言更为安全;同时,采取这种防止电脑文件泄密的方式也不会对员工使用电脑文件有任何加解密的操作,因此不会干扰员工的日常工作,不会消耗系统资源,操作使用也更为简单。
例如有一款“大势至电脑文件防泄密系统”(下载地址:http://www.grabsun.com/monitorusb.html)在电脑安装完毕之后,可以对电脑所有可能泄密数据的通道进行全面的管控,防止各种途径泄密电脑文件的行为。如下图:
图:大势至电脑文件防泄密系统
具体功能如下:
1、可以完全禁用U盘,也可以只让使用特定U盘;
2、可以只让U盘文件复制到电脑而禁止电脑文件拷贝到U盘;
3、可以完全禁止发送邮件、只让使用特定邮箱、禁止上传邮箱附件等;
4、禁止网盘上传文件、禁止聊天软件发送文件、禁止论坛上传附件、禁止FTP文件上传;
5、禁用随身wifi、禁用无线网卡、禁止蓝牙等外接设备的使用;
总之,通过大势至电脑文件防泄密系统可以实现全面的电脑文件防泄漏管控,有效防止员工通过各种方式泄露公司商业机密的行为,为公司稳健经营保驾护航。
3)对服务器文件访问权限进行精细控制,防止共享文件泄密。
现在很多单位都有自己的文件服务器,一方面用于存储单位重要的文件;另一方面也常常通过服务器的文件共享功能实现资源共享、协同办公。
虽然通过服务器备份、保存公司文件,可以很大程度上防止电脑磁盘损坏而导致文件丢失、损毁的情况;但为了方便大家办公而设置共享文件又会使得服务器文件存储泄密的风险。尤其是,文件服务器上共享文件只要允许读取就可以复制到本地磁盘、打印、保存到本地磁盘等,从而使得服务器共享文件存在泄密的风险。
而目前,针对服务器共享文件的管理,虽然可以通过服务器操作系统、域控制器等设置共享文件访问权限,但无法做到精细的共享文件访问权限控制。比如只让读取而禁止拷贝共享文件、只让打开而禁止保存共享文件、只让访问而禁止打印共享文件以及禁止拖动共享文件等,从而使得共享文件极容易被泄露。
而目前国内对服务器共享文件管理存在着很大空白,服务器共享文件访问、存储的管理比较复杂,也很难通过电脑文件加密的方式进行管理。这种情况下,就需要借助于专门的共享文件管理工具来实现管理了。
大势至服务器共享文件管理系统(下载地址:http://www.grabsun.com/gongxiangwenjianshenji.html)是一款专门设置服务器共享文件访问权限、防止共享文件泄密的软件。通过本系统可以有效防止共享文件被越权访问,防止共享文件泄密行为的发生。如下图:
图:大势至服务器共享文件管理系统
系统主要功能如下:
可以在操作系统之外,进一步细粒度地设置共享文件访问权限;
可以只让读取共享文件而禁止复制共享文件、禁止拷贝共享文件内容;
只让打开共享文件而禁止保存共享文件、禁止共享文件另存为本地磁盘;
只让修改共享文件而禁止删除共享文件、禁止拖动共享文件、禁止打印共享文件;
全面记录共享文件访问日志,便于事后备查和审计。
通过“大势至服务器共享文件管理系统”可以很大程度上防止服务器共享文件越权访问的情况发生,可以有效发挥文件服务器文件保存功能而防止共享文件服务器成为泄密的通道。
同时,通过本系统还可以保护服务器共享文件的安全,防止员工不小心或恶意删除共享文件的行为,但同时也不会影响员工修改共享文件的权限,毕竟日常工作中经常需要赋予用户修改共享文件的权限。
综上所述,企业重要数据防止泄密、公司商业机密防止泄露的实现,一方面企业建立完善的信息安全管理制度,从制度、人性、心理层面强化企业信息安全管理;另一方面也需要采取针对性的、细粒度的、全方位的技术手段,对用户电脑文件、局域网共享文件等进行全程的、实时的、精细的控制,只有这样才能真正达到防止公司商业机密泄露,保护公司无形资产和机密数据的目的。