《企业电子文档的安全调查报告.docx》由会员分享,可在线阅读,更多相关《企业电子文档的安全调查报告.docx(28页珍藏版)》请在三一办公上搜索。
1、企业电子文档安全调查报告摘要:目前,我国的计算机安全防护能力处于发展的初级阶段,许多计算机基本上处于不设防状态。这种情形加剧了企业内部各种电子文档面临的危险,文档信息泄密现如今已成为各大企业面临的重大问题。企业文档在日常使用过程中,容易被员工无意中泄露,或者被竞争对手获取,特别是一些无形资产(如设计图纸、企划方案、客户方案、客户信息等)和企业的一些秘密文档(如企业内部财务数据、工资文档)。无纸化的办公使文件都在内部网络中,本文通过对当前企业电子文档所面临的安全隐患问题分析,列举企业电子文档泄密的重大案例,分析电子文档泄密的危害,通过分析目前国内企业电子文档安全保护的解决方案的优缺点,提出电子文
2、档的保护的思路及策略。 关键词:电子文档,安全问题,保护;引言现代企业在发展过程中不仅积累了大量的电子文档,并且还在加速不断产生新的文档。这些文档涉及企业的核心技术资产和敏感信息,需要安全可靠的存放。随着各行业在生产、管理上日益信息化,计算机和网络已经成为政府、企事业单位日常办公不可缺少的重要工具,长期以来, 由于缺少有效的管理模式和技术手段,文档被分散存放在个人PC机上,产生了各种信息安全问题和一致性问题。Internet 和移动终端日益普及,在给人们带来便利的同时,也带来信息安全方面的隐患。由于电子文档极易复制且复制后不留任何痕迹,企业的信息化安全也面临巨大的挑战。因此对于企业来说,了解电
3、子文档安全存在的安全风险,能够更好的选择符合自己的企业电子文档防护系统。当前,国内的企业用重金购置防火墙,防病毒软件来防止外界威胁的同时,往往忽视了对内部安全威胁的对策。而企业文档的泄密主要来自于多方面,因此研究企业文档泄密的类型能为企业文档安全防患于未然。目前市场上存在许多的电子文档安全防护产品,然而怎么为企业选购合适的安全产品,这也是企业面临的一个重要问题。针对这一系列存在的问题,我们展开了对企业电子文档安全的调查,本文将从以下方面进行研究并论述。 1、调查背景1.1 电子文档的定义及特征所谓电子文档是指人们在社会活动中形成的,以计算机盘片、磁盘和光盘等化学磁性材料为主要载体的文字材料。它
4、主要包括电子文书、电子信件、电子报表、电子图纸等。在企业内部,具体的企业电子文档主要是指企业的战略决策、营销策划、重大会议纪要、客户信息、市场信息、财务预算、财务报表、工程图纸、设计图纸、设计方案、涉及企业秘密/企业机密的机要文件等。电子文档主要有以下六个特点:存储介质多样、容易编辑修改、容易传递、容易复制、容易损坏丢失、容易还原再生。(1)存储介质多样。电子文档存储介质很多,目前主要有计算机硬盘、各种光盘、U 盘、闪盘,甚至手机和娱乐用的数码产品也可以用来存储电子文档。(2)容易编辑修改。借助于各种专业软件,可以很容易的编辑修改电子文档,而且修改的痕迹很难发现。这是电子文档有别于纸质文件的优
5、点之一,但是如果不能很好的保护,就可能受到非法的修改,会破坏文档的完整性和可读性,给文档所有者带来一定程度的损失,这时候它又变成一个缺点。(3)容易传递。纸质文件的传递必须要当面递送,而电子文档的传递则方便很多。借助于网络,通过电子邮件、即时通讯工具、FTP服务等方式可以快捷方便的传给有关人员。(4)容易复制。电子文档相比纸质文档非常方便快捷。如果不采取技术手段限制拷贝,通过点击几下电脑鼠标就能轻松完成复制。这样,人们就可以非常方便地进行信息共享。(5)容易损坏丢失。一是存储介质物理损坏或者丢失。电子文件对保存场地的面积要求不高,而对环境的温湿度、防磁性等条件的要求很高,磁盘不能长期保存。磁盘
6、、光盘、U 盘等存储介质如果损坏,那么相应存储的电子文档也就不能读取使用。一些U 盘、闪盘体积很小,容易丢失,相应会造成电子文档丢失。二是电子文档容易被误操作删除,或者被病毒破坏。如果文件被删除不及时恢复,有可能永远无法恢复。(6)容易还原恢复。电子文档误删后,可以通过数据恢复软件还原,这本来是电子文档的又一个优点,但是对一些原本要删除的机密的文件,又存在被非法还原的隐患。有研究表明,普通的删除和格式化根本不能将数据彻底清除,硬盘被改写12 次还能将原有数据还原,只要存储介质未被物理损坏,进行特殊处理就能将数据还原。现代企业在发展过程中不仅积累了大量的电子文档,并且还在加速不断产生新的文档。这
7、些文档涉及企业的核心技术资产和敏感信息,需要安全可靠的存放。随着各行业在生产、管理上日益信息化,计算机和网络已经成为政府、企事业单位日常办公不可缺少的重要工具,长期以来, 由于缺少有效的管理模式和技术手段,文档被分散存放在个人PC机上,产生了各种信息安全问题和一致性问题。Internet是一个开放的网络,同其高速发展相关的负面结果就是严重的网络安全问题。根据FBI和CSI对484家公司调查,发现: 有超过85%的安全威胁来自企业内部。 有16%来自内部未授权的存取; 有14%专利信息被窃取; 有12%内部人员的财务欺骗; 有11%资料或网络的破坏; 中国国内80的网站存在安全隐患,20的网站有
8、严重安全问题。1.2 2010-2013的十大泄密事件盘点(1)富士康“内鬼”泄密2010年富士康公司内部员工林某将iPAD 2平板电脑后壳的3D数据图泄露,给富士康造成重大损失。(2)中国考研泄题案犯以非法获取国家秘密罪获刑周文胜、欧阳泽辉(中南大学湘雅三医院技师)、段宏博(中南大学人事处聘用人员)、陈龙(贵州省遵义医学院研究生)等人为谋取经济利益,利用职务之便,从湘潭市教育考试院保密室窃取了考试试卷,并复印转卖。(3)三星电子泄露机密2011年三星电子生活家电部的A某在面临合同届满并难再续约的情况下,将公司的技术开发战略等机密下载到自己的笔记本电脑里,企图向中国某家电企业泄密。(4)台企前
9、高管被控向大陆企业“泄密”台湾友达光电前高阶主管连水池、王宜凡,涉嫌受大陆TCL集团面板大厂华星光电年薪百万美金利诱,相继“带枪”投靠,并移转友达光电AMOLED等“敏感科技”。(5)前苹果员工承认出卖机密信息2011年前苹果员工Paul Devine泄露苹果公司的机密信息,例如新产品的预测、计划蓝图、价格和产品特征,还有一些为苹果公司的合作伙伴、供应商和代工厂商提供的关于苹果公司的数据,这使得这些供应商和代工厂商更好的与苹果进行谈判。作为回报,Devine得到了经济利益,而苹果这些信息而亏损了240.9万美元。(6)东软集团遭商业秘密外泄2012年东软公司前副总经理李某某为谋取暴利,伙同公司
10、CT机研发部负责人张某、采购负责人岳某等人,以许诺高额经济利益为手段,相继让CT机研发部17名核心技术人员窃取公司核心技术资料后,相继离职。犯罪嫌疑人窃取技术价值总计2400余万元,造成公司研发项目延迟,损失高达1470余万元。(7)南开经济数据泄密国家统计局办公室局长秘书室副主任孙振,先后多次将国家统计局尚未对外公布的涉密的统计数据共计27项,通过MSN聊天工具泄露给国金证券股份有限公司工作人员付某、中信建设证券有限公司资产管理部工作人员张某。(8)3.15晚会多家银行被曝内部员工私售客户个人信息2012年央视“315”晚会曝光招商银行、工商银行等内部员工泄露客户信息,非法获取利益。(9)1
11、号店客户信息泄露2012年1号店内部员工与离职、外部人员内外勾结,泄露90万用户信息。(10) HTC被曝员工泄密2013年HTC被曝泄密,副总兼首席设计师简志霖、处长吴建宏、设计师黄弘毅3人,借委外设计NEW HTC ONE机壳为由,诈领1000余万元新台币公款。简志霖更涉嫌窃取HTC SENSE 6.0之UI接口程序的商业机密,计划在离职后携往他在台湾所开设的手机设计公司或与其他业者研发。信息产业如电脑、手机、通讯,本身就处于电子信息的前端,泄密风险也就水涨船高。而制造业泄密案则发生是在中国制造业转型的当下,随着两化融合的推进,越来越多的制造业部署信息化,但信息安全工作并没有同步完善,造成
12、大量泄密风险存在。泄密案给企业不仅造成经济名誉损失,更会影响其转型升级步伐,给企业造成不可估量的损失。1.3 企业电子文档泄密的危害随着企业信息化程度的逐步提高,越来越多的企业信息资料、工作报表、业务文档等都用电子文档的形式存储和传输。虽然电子文档减少了信息资料存储传输的成本,提高了企业工作和沟通的效率,但安全性问题随之而来。比如,公司的商业计划、业务报表等重要机密数据,不但面临着企业外部的黑客攻击和窃取,还面临企业内部人员有意或无意的外泄。重要数据文档一旦失窃,轻则给企业带来重大损失,重则威胁到企业的生存。另外,企业发生信息泄露事件会导致企业在公众中的威望和信任度下降,会直接使他们改变原有选
13、择倾向。从这里不难推断,信息泄密事件可能会使企业失去一大批已有的或者潜在的客户。近日,瑞星公司发布网络漏洞预警,包括7天连锁酒店(以下简称7天)在内的多家连锁酒店存在严重的系统安全漏洞。此前(今年5-6月份),有黑客在互联网网上公布了某连锁酒店的数据库信息,其中2000万用户的身份证、手机、住址及开房时间等敏感信息遭到泄露。除此之外,在2011年12月21日,国内最大的程序员网站CSDN网站被曝600万用户的数据库信息被黑客公开,随后网上出现嘟嘟牛、7K7K、多玩网、178游戏网等多家网站用户数据库泄露的消息。继CSDN网站的600多万用户被泄露后,51CTO、CNZZ、eNet、U-UU9、
14、YY语音、百合网、开心网、人人网、美空网、珍爱网等众多知名网站也相继陷入用户数据泄露丑闻。在数据信息的作用与地位日益显要的今天,数据信息的安全问题是关乎企业声誉、公众信任感、经济利益、生死存亡的问题,如果企业机密技术资料与客户资料等文件的泄露,则可能会导致企业投资的失败、竞争力的下降及客户的流失等严重后果。企业数据信息的安全程度也会影响企业的外部竞争力。因此,企业电子文档的安全可以说是不得不高度重视的。2、企业电子文档泄密的主要原因企业信息化程度的不断提高,由于许多机密电子文档是以电子形态存在于计算机中的,所以别人特别是那些商业间谍是有很多种途径和方式进行电子文档的窃取的。比如通过U盘拷贝、电
15、子邮件发送、向目标电脑上植入木马并借助网络进行电子文档传输等都是可以将机密电子文档窃取出去的。如果是企业内部员工有意识的进行机密电子文档窃取,那么他们将会有更多、更便利的条件和手段,这对于企业来说,可以说是防不胜防。另一方面,企业员工无意识的把含有敏感信息的机密电子文档泄露出去也是很常见的,而且许多时候信息泄密后,企业员工及企业管理层却毫不知情,比如企业员工对外发送邮件时,无意中将邮件地址张冠李戴,又比如企业员工在送修存放有机密电子文档的硬盘时没有采取信息保护措施等,都是可能造成重大信息泄密事故的。事实上从理论上说,商业间谍、员工流失、合作伙伴参与、病毒黑客攻击、外部员工信息交换、工作流程失控
16、和某些高管的不良工作习惯等都是可以造成机密电子文档失窃及重大信息泄密事故的环节(如下图)。企业电子文档泄密的途径2.1 内部泄密内部泄密主要是指内部人员有意或者无意将重要电子文档泄露,在电子文档的整个生命过程中,内部泄密的威胁都存在,而且很难防范。其中内部泄密又包括无意泄密和有意泄密。无意泄密是指内部人员在不知情的情况下将涉密电子文档泄露。无意泄密最常见的就是内部计算机非法外联和移动存储介质交叉使用。有的人缺乏安全知识,将处理过涉密电子文档的计算机重新安全后接入互联网,就有可能被情报人员将涉密文档还原。移动存储介质未经授权在内部计算机使用,内部移动存储介质被带出在外部使用,移动存储介质发生故障
17、维修时,里面存储的涉密文档被还原,等都会造成内部涉密文档泄露。移动存储介质带来的隐患还包括攻击者利用移动存储介质对内网进行摆渡攻击,从而窃取更多的涉密电子文档。有意泄密是指内部人员通过各种途径获得涉密电子文档,并主动传递出去。内部人员获取电子文档的途径很多,文稿撰写者可以直接拷贝到U 盘、光盘等介质保存,其他人员可以通过网络下载,有阅读权限的人员甚至采用手抄、截屏等方式获得。 2.2 外部泄密外部泄密主要通过攻击实现。外部泄密的威胁主要存在于电子文档前两个阶段,即制作保存和传递使用过程。具体方式可分为两种:(1)恶意代码。如果内网终端使用时不注意就有可能感染木马、蠕虫、僵尸网络、间谍软件等恶意
18、代码,这是目前造成泄密的主要原因。比如安装未经检测的软件,使用来历不明的存储介质,防护软件安装不到位等,都有可能感染恶意代码。一旦感染,恶意的代码就会通过网络窃取重要信息,伺机往外部发送。(2)网络入侵。攻击者借助各种手段,对特定目标进行渗透,最终控制目标,进而获取所需的信息。从攻击类型看,当前主要有物理攻击、主动攻击和被动攻击三种类型。企业电子文档的安全除了受到来自内外部的泄密,防火墙安全问题、病毒的防范问题、终端设备接入安全问题、终端设备管理问题等任何一个环节出错都会导致企业文档的破坏。另外大量的信息安全事件,呈现出商业利益驱动的现象。不论是木马病毒的黑色产业链,还是银行系统内部人员的储户
19、信息主动泄密,都有后面的商业利益驱动。而且随着商业环境竞争的日益激烈,这种信息安全的威胁还会持续和加剧。其次,信息泄密正在向更加专业化犯罪的趋势发展。从木马病毒、钓鱼网站的不断出现,再到运营商后台密码被攻破,这些灰色事件的背后,都有专业的人员和组织。在现阶段网络安全形式日趋复杂的情况下,企业核心信息、用户个人数据、重要客户需求及公司内网安全都面临着巨大风险。2.3企业网络安全漏洞电子文档通过网络在传输过程中随时存在被感染的风险,文档在计算机中生成处理,所以电子文档受到网络和计算机的双重威胁。纵使电子文档能够做到“独善其身”,在一方面遭受网络黑客、木马、恶意插件侵犯,薄弱的防火墙根本不足以抵挡这
20、类不请自客;另一方面文档在储存的时候我们习惯用U盘进行拷贝,电子邮件互发,很难保证这些操作是安全的,所以文档信息的生存环境可以说险象环生。 当代企业网络的开放性,公司利用共享服务器的方式共享企业内部文档,人人都能看到内部资料,这无疑是很危险的。企业内网的安全,其实质就是企业信息的安全。2.3.1 VPN网络VPN(虚拟专用网络Virtual Private Network)是在公众网络上所建立的企业网络,拥有与专用网络相同的安全、管理及功能等特点。VPN是一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。通常是对企业内部网的扩展。通过VPN可以帮助远程用户、公司分支机构、商业
21、伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。目前针对VPN最为常见的攻击行为是DoS攻击,其根本目的是使受害主机或网络无法及时接收并处理外界请求,或无法及时回应外界请求。其具体表现方式有以下几种:(1)用大流量无用数据致使企业网络堵塞,使被攻击主机无法正常和外界通信; (2)反复高频的发出攻击性的重复服务请求,使被攻击主机无法及时处理其它请求。(3)反复发送畸形的攻击数据引发系统错误的分配大量系统资源,使主机处于挂起状态甚至死机。VPN的部署策略2.3.2 网络设备(包括数据库等)网络设备是企业用户信息传输、保存的重要介质,黑客通过入侵数据库,也可以获得用户信息。由于黑
22、客对于数据库的侵袭时间可长可短,因此有些企业的数据库已经被攻击和损害了相当长的一段时间,还没有引起企业管理者的注意。恶意的黑客会利用非常简单的攻击方法进入数据库,如:不严谨的配置、未更新补丁的漏洞等。 目前,对于数据库的主要攻击类型分为: (1)破解弱口令或默认的用户名及口令;(2)非法权限的提升;(3)利用未及时更新漏洞;(4)SQL注入攻击;(5)窃取备份(未加密)的信息等。黑客对数据库发动袭击2.3.3 数据传输信道通常企业所存在的数据传输信道问题为:(1)网络布线不规范企业通常在数据主干道上(如单位多栋大楼之间)使用光纤传输,而在相同楼层之间采用双绞线。由于企业网络信息化一般都是逐步实
23、施的,在网络综合布线上的可能会存在严重滞后以及规划不合理的现象,例如,数据线缆与电话线缆、电源线缆之间互相造成干扰;布线施工质量差;网络硬件设备无安全防护等;而对于双线线的连接时常会出现不规范的线序打法,造成“串绕”现象并产生干扰而造成局部网络访问缓慢的问题。(2)网络设备参差不齐企业在网络建设中未能及时淘汰一些安全性差的路由设备,造成网络中某一节点出现安全漏洞从而置整个网络于危险之中。(3)无线局域网络监控不利一些企业往往只通过简单开启无线网络的WEP、WPA或WPA-PSK等加密方式来进行身份验证而授权用户进入网络,很容易造成因密码泄露而使非授权用户非法访问企业内部网络的问题。2.3.4
24、操作系统大多数网络入侵是因为操作系统(如Windows,Unix,Linux等)的漏洞。完善安全操作系统的保护策略,以用户控制、进程控制及对象控制为主,使其具备有效的安全体系结构、提供实时的权限访问控制、信息加密保护及完整性鉴定等安全机制实现数据安全,并通过系统配置以确保操作系统尽量避免实现时的缺陷和具体应用环境因素而产生的不安全因素。但无一例外的是,由于漏洞修复的滞后性,使基于操作系统漏洞的入侵、通信端口的恶意扫描,以及利用通信和共享功能设置(如远程登录、文件及设备共享等)而进行的非法访问等,为黑客攻击和病毒感染留下了“可乘之机”。操作系统通常存在的安全隐患为:(1)操作系统结构体系的缺陷无
25、论是哪种操作系统,其本身均有内存管理、CPU管理和外设的管理,这些管理模块的缺陷通常会造成系统崩溃而受到攻击。(2)文件传输及应用程序加载隐患操作系统所支持的网络文件传输、加载或安装程序时出现的漏洞,可能就会造成系统崩溃或被非法监控。(3)远程进程调用操作系统支持远程创建、激活进程,并对进程的创建进行继承,使在远端服务器上安装“间谍”软件成为可能。从而使企业网络内数据被非法监控、盗用、以及篡改等严重问题。(4)操作系统的后门和漏洞后门程序是指那些绕过安全控制而获取对程序或系统访问权的程序方法。程序员可能会在软件开发阶段利用软件的后门程序得以便利修改程序设计中的不足,但一旦后门被黑客利用,或在发
26、布软件前没有删除后门程序,容易被黑客当成漏洞进行攻击,造成信息泄密和丢失。特别是操作系统的无口令的入口,也是信息安全的重大隐患,其极易被黑客利用并进行攻击,造成信息泄密和丢失。2.3.5 网络通信协议通俗地讲,网络通信协议是计算机在网络中实现通信时必须遵守的规则,它为连接不同操作系统和不同硬件体系结构的互联网络引提供通信支持,是一种网络通用语言。目前大多数企业网络系统所采用的网络通信协议是TCP/IP、HTTP、HTTPS、FTP、SMTP及Telnet等,这些协议大多先天不足或带有安全漏洞。例如,目前广泛使用的TCP/IP协议在实现上力求简单高效,缺乏安全因素的考虑,由于它脆弱的TCP/IP
27、服务、缺乏足够的安全策略及配置的复杂性等因素,使其数据容易被实施窃听、劫持、电子欺骗及IP地址欺骗等非法行为,网络攻击者们也往往利用这些安全漏洞或技术来对企业网络行地攻击。2.3.6 Web服务器WEB服务器主要是面向互联网的,是内外部网络连接的纽带和堡垒,它在企业众多信息化应用中最容易受到攻击的。而现在企业的WEB应用越来越多,特别是其也逐渐在成为其他信息化应用的入口,如企业的邮件系统、SCM、SRM或CRM等系统入口通常都捆绑在WEB服务器上,且Web后端连接着。Web面临的威胁主要有信息泄露、拒绝服务(DoS)、系统崩溃及跳板等。2.3.7计算机病毒计算机病毒是指编制者在计算机程序中插入
28、的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。它们通过程序、网络、即时通讯软件以及邮件等多种形式进行传播。由于其繁殖性、传染性、潜伏性、隐蔽性、破坏性及可触发性等特点,由其造成的数据清空、网络连接中断及系统崩溃等,往往会企业造成巨大的损失。尤其是一些通过网络传播的木马及蠕虫类型的流行性病毒,成千上万地肆虐在网络环境中,这些病毒不仅危害性大,而且传播速度非常快,传播形式多样,它们一旦发作便会肆意窃取企业数据并可能造成系统瘫痪,会给企业网络造成巨大的威胁。2.3.8 防火墙安全问题防火墙是企业安全防护的第一道闸门,然而,在考察我国企业网络的安全现状时,我
29、们仍然发现,有相当一部分网络,虽然安装了硬件防火墙防护设备,但由于管理员的水平有限,在防火墙的使用和配置上存在一些问题,并没有能最大程度的发挥防火墙的安全防护作用。黑客技术日益公开化,职业化,各种攻击日益频繁,病毒日益泛滥,使得企业文档资料安全受到严重威胁。防火墙作为一种边界防护类型的网络安全设备,必须部署在受保护网络的边界处,只有这样,防火墙才能控制所有出入网络的数据通信,达到将入侵者拒之门外的目的。如果被保护网络的边界不惟一,有额外的出入口,那么入侵者会通过其它途径先入侵我们的主机,然后进一步攻击我们整个网络。3、企业电子文档安全防护解决办法 由于传输方式的多样化和企业终端设备的复杂化,企
30、业电子文档的安全保护是一个综合性的系统工程,普通的防火墙、网络控制、邮件控制等方法无法全方位地保护企业信息安全,企业用户需要一个综合性的、防护周到的安全解决方案,来保护企业的电子文档安全。 文档是各种机密信息最普遍的载体,在内网建立一套完善的文档安全防护机制,在终端直接对文档的行为进行监控和审计,是防止文档泄露的最佳解决方案之一。对文档的监控和审计,能杜绝很大一部分泄密事件的发生。即使泄密事件发生,也能够很快找到泄密途径,追究责任,挽回损失。同时,通过对大量行为数据的分析,能够为管理者找到安全管理漏洞,不断完善安全管理机制。然而根据权威数据显示,几乎所有的中国企业对电子文档都没有任何防护措施,
31、企业对于信息有保护措施的不到3%。一些机密性的资料,电子文档轻易就可以的通过电子邮件和移动硬盘泄密到网络外部。从目前的防护手段上来看,企业抵御黑客盗窃用户信息的防御方式主要为网关防护、终端防护和软件防护,而在实际应用中,软硬件相结合的防护方式,才能从根本上保护信息安全。3.1针对企业用户信息的泄露,企业用户信息安全的技术防护3.1.1注意数据库漏洞首先,企业网络管理者要为数据库起个无规律且不易记录的名字,并放在几层目录下,这样可以增加黑客入侵难度;某品牌的数据库漏洞扫描部署3.1.2 后台管理程序及权限的规范对于后台管理程序的入口链接一定要慎重体现,管理员的用户名和密码不能设置过于简单,并应定
32、期更换。此外,在权限上应及时予以相关工作人员的更新及收回,对于不同工作职能的浏览内容应予以区分。3.1.3部署加密系统加密技术长久以来都代表着技术含量及不菲的应用,但近年来众多加密产品的问世,可以使企业网络安全管理者以较低的成本实现电子邮件、磁盘等系统的加密。3.1.4、部署VPN由于企业员工具有流动性及变更新性,因此设置VPN系统能使企业较为安全的在互联网扩展网络共享或在公司外部访问系统文件。一些基本的简单保护,也可以选择价格低廉甚至免费的VPN软件,免费的VPN产品可以作为企业部署更高级VPN的试验,以决定是否真的有效及成本投入部署。3.1.5、采用专业的防止数据泄漏工具用户数据信息泄露给
33、企业所带来的损失及震荡在近期的索尼黑客门事件已经得到深刻的诠释,企业用户在感叹民意强大的同时也应完成企业网络系统安全部署,选择专业工具。在数据泄漏预防工具市场,Vontu、Reconnex与Vericept是较为知名的品牌,它们很容易进行部署,能对企业内部的关键数据文件实行监控和强制加密保护。当然,通过专业的工具部署,也不完全代表企业的信息系统可以百分百安全,可以一劳永逸的保护用户数据信息。3.1.6、全员的创新及解决方案建立完善的奖惩制度,并公布企业信息安全防御方案,调动公司全员树立积极的防护意识,也可以减少企业用户信息泄露事件的发生。帮助企业提高风险管理控制、且不需要投入很高的资金及人力资
34、源、在最短时间内实现提高安全性目的的用户信息安全防御才是企业真正需要的。现阶段知名的信息科技巨头掌控了动辄数以百万计的用户个人信息,这些信息是互联网产业增长的基础,但也可能成为恶意侵袭者实施犯罪行为的踏板,给企业用户甚至社会都带来损失。3.2文件加密、磁盘加密和远程映射。文件加密即对文件实体本身在产生、使用、存储、使用、归档、销毁整个生命周期进行全维的加密控制。文件加密技术又分为驱动层和应用层两种:应用层加密技术是通过调用应用系统的windows API函数来对文件进行读写的加密控制;驱动层加密技术是通过拦截操作系统文件过滤驱动的读写动作对文件进行加解密控制。对比这两种技术,应用层技术相对简单
35、,更容易控制,但由于需要调用每个应用程序的API函数,扩展能力较差;驱动层技术难度高,由于和操作系统底层驱动打交道,蓝屏、死机,甚至和杀毒软件等驱动层产品兼容性差,但其集成性和扩展性更好。磁盘加密即对物理磁盘的单个扇区进行加密,任何文件写入磁盘即受控保护,正常使用时文件被调入内存变成明文。磁盘加密主要为国外厂商所采用,例如:macfee、趋势等,国内明朝万达等部分厂商也是采用的这个技术。远程映射的主要特点是终端无痕,所有涉密信息均存放在远端服务器,本地无文件实体,更有利于解决目前最难控制的终端泄密问题;但是涉密信息过于集中带来的安全风险以及终端合法开放时造成涉密隐患尚无好的技术手段解决,因此无
36、法适合设计人员自身的安全文档需要,更无法大面积在企业等行业推广。就目前来说,较通用的技术是文件加密,即驱动层透明加解密技术是目前文档安全防护市场的主流。巨大的市场潜力和随之带来高额的市场回报,促使越来越多的企业涉猎这个领域,目前国内包括时代亿信、亿赛通、国富安、思智泰克、巨石等均采用的驱动层技术,前沿、 华途、智金等则采用的是应用层技术。面对竞争如此激烈的市场环境,众多的安全厂商如何保持强大的竞争力,并在竞争中脱颖而出是每个文档安全厂商的管理员都要面对的问题。3.3国内企业的文档安全管理解决方案3.3.1企业电子文档保护的解决方案市场现状目前企业级电子文档保护的整体解决方案而言,尽管可供用户选
37、择的产品有很多,但大都功能比较单一,纯单机的电子文档加密系统或远程“锁”定电子文档存放目录及电子文档单一格式类型的联机电子文档加密系统显然是无法满足企业需求;而对于那些大型的企业级电子文档加密系统,无论是资金和人力投入还是实际运作的操作难度,也都是一般企业所望尘莫及的。3.3.2传统电子文档安全解决方案的不足之处在企业对信息安全的需求之下,市场上相关的安全解决方案琳琅满目,防火墙、防水墙、VPN、IDS、邮件内容过滤、权限控制等各种产品应接不暇。虽然这些产品在防止企业外部的攻击方面有着不错的效果,但它们几乎都有如下几个不足之处:(1)无法防止企业内部人员的主动泄密:企业内部员工用移动设备、网络
38、等方式将机密资料拷贝或外发,造成重要数据和文档泄密;(2)无法为电子文档提供全方位的安全防护:电子文档有创建、存储、传输和使用等不同的使用阶段,大多数安全产品只能在某个阶段提供安全防护,在其他阶段则无法提供全方位的安全防护;(3)操作复杂、使用难度高:传统的安全产品一般来说对用户的使用要求高,需要具备专业知识,而且往往操作复杂,用户无法在短时间内熟悉并上手3.3.3 铁卷电子文档安全系统铁卷电子文档安系统是针对企业保密需求研发的内核级透明加解密电子文档安全软件。内核级加解密使受保护文档不易被破解,使用透明加解密技术,不改变使用户正常工作时的工作习惯,既不影响工作效率、又不影响员工工作情绪、同时
39、又节省系统应用时的培训过程。保密环境建立简单、管理方便。是企业文件防泄密、图纸安全、数据保密理想的解决方案。铁卷(TotalFileGuard)电子文档安全系统的优点:“铁卷(TotalFileGuard)电子文档安全系统”融合了多项具有自主知识产权的先进电子文档保护技术,可以在企业“不足挂齿”的综合成本投入条件下,获得最安全而完美的企业电子文档保护整体解决方案,它可以从全局出发保障企业内网的信息安全和数据安全,特别是该软件系统所独创的电子文档加解密过程“透明”操作的全新理念,更是将这款软件的操作难度降低到了极限“铁卷电子文档安全系统”尽管功能先进且非常全面强大,但它在使用上用户一点也不会感到
40、复杂,总体来说,在软件的电子文档管理体系中,由统一的“管理中心”调度和控制所有联入该电子文档管理体系的客户终端电脑,而所有的客户终端安全程序,也都将由“管理中心”软件来自动生成。铁卷安全系统保护电子文档思路:由于可能造成机密电子文档失窃和重大信息泄密事故的环节有多种多样,只针对某一个或某几个环节进行机密电子文档的保护显然是不科学也是不规范的,机密电子文档失窃的风险依然存在。“铁卷电子文档安全系统”正好抓住了电子文档企业内网保护的这一条主线,所以它可以很好的“扯断”可能造成机密电子文档失窃和重大信息泄密事故的所有环节。那么“铁卷电子文档安全系统”究竟是怎样为企业保护电子文档的呢?其实这款软件采用
41、的是一台“管理中心”电脑控制企业内网所有客户终端电脑的机制,在“管理中心”电脑上安装有软件的控制程序,并提供有配套的操作界面,而所有客户终端电脑上没有该软件的任何操作界面,即完全“透明化”的,这样由“管理中心”对所有客户终端电脑上的机密电子文档进行即时控制和管理,客户终端电脑上的机密文档一旦脱离了企业内网的内部环境,电子文档即马上失效,无法正常使用,软件这种独特加密方式的一个最大好处就是不管电子文档窃取者采用何种方式和环节窃取电子文档,只要电子文档脱离了企业内网,相关信息都不会泄露出去;而对于部分确实需要将机密电子文档带出企业内网并进行合理合法用途的情况,经过“管理中心”的授权,电子文档又会被
42、自动解密,使用上可以在兼顾安全的同时,又兼顾了灵活。铁卷保护机密电子文档流程病毒入侵造成机密电子文档泄密通过盗窃电脑设备窃取电子文档3.3.4 DocGuarder华途文档安全管理系统DocGuarder华途文档安全管理系统能够全面解决该类信息资产安全问题。DocGuarder文档安全管理系统无须另外增添硬件设备的限制,同时也不会影响用户使用习惯,真正做到透明加密。DocGuarder华途文档安全管理系统(以下简称DocGuarder)采用256位高强度加密算法实时加密文件,综合集成了动态文档加密技术、身份认证技术、硬件绑定技术等多种技术来对企业内部机密文档进行全方位的保护。在安装DocGua
43、rder的客户终端,使用者所生成的重要文件将自动加密保存。企业管理者可控制使用者对文档的读取、存储、复制、输出的权限。从而防止使用者之间非法复制、外部发行、光盘拷贝。杜绝利用U盘、软盘、光盘、电子邮件等轻易地带走公司的技术文件、设计图稿、财务账目、战略计划、事业计划、研究论文等机密文件。DocGuarder加解密操作完全是动态的,无需用户手动操作。这样既节省了用户时间,同时也达到了保护文件的目的。整个加解密操作完全是后台透明实现的,不会改变用户原来的任何习惯。只要用户有改写磁盘的操作,则预先选定的文件类型就会被自动加密或是解密,用户感觉不到加解密过程的存在。这样不仅节省了用户手动加解密的操作,
44、而且这种加密方式并不影响文件的固有属性(如只读,创建/修改/访问时间等)。DocGuarder采用等级管理模式,系统管理员可以设定不同的子管理员(如:超级管理员、文件管理员、等级管理员等)。客户端登录时,可直接使用Windows当前登录的域用户账号或者本机账号作为DocGuarder文档安全系统的账号进行校验。可以针对公司内部域管理模式设置系统的权限,也可以根据公司架构设定多个子管理员进行管理。3.3.5 明朝万达 Chinasec(安元)文档安全管理解决方案Chinasec(安元)文档安全解决方案从客户端的身份认证管理、电子文档的手动/自动加密、电子文档的密级权限控制、日志审计等环节进行综合
45、安全防护,构成多层次、全方位的文档终端安全管理体系。为提供安全的移动信息安全服务,为用户提供了强有力的文档信息安全支撑。用户身份管理,通过加强终端使用者的身份认证,包括口令认证,UKEY认证等不同的认证强度来确保终端当前使用者的身份,并且可以与AD域账户同步管理,按公司部门建立用户管理树,可设置用户职位信息与职位关系;文档密级管理,可控制文档的各种操作权限,支持多种文件密级策略,可灵活的针对部门、操作、密级进行文档安全设置。例如,对文档划分“秘密”、“机密”、“绝密”等密级,用户只有系统赋予相应密级使用权限后,才能查看对应密级的文档,有效保证了文档的分级保密管理安全;文档权限管理,对于各密级的
46、文档可赋予不同的管理权限,权限策略灵活可控,包括读、写、另存、复制、截屏、打印、打印水印、使用次数、使用时间等。文档使用权限提权管理,当使用者在文档使用中需要提升权限时,提供简便流畅的文件提权审批流程;文档加密(手动/自动),系统提供手动和自动两种加密模式。手动加密模式如下:由文档的作者对文档主动进行加密,文档作者可以根据需求选择哪些文档需要加密,哪些不需要加密。加密权限和密级由系统下发策略提供;文档自动加密,由系统下发策略,可设置对特定存储环境下(如整个硬盘、某个分区、某个文件夹等)的常见电子文档进行自动加密,并可根据需要对不同文档赋予不同密级和权限。文档外带审批,当加密电子文档需要外发至第
47、三方人员处进行交流时,系统提供一套简单流畅的文档审批外带流程,可对文档进行解密审批,并可控制文档外发后的第三方人员使用该文档的权限(包括身份认证、读、写、另存、复制、截屏、打印、打印水印、使用次数、使用时间等);审计记录,系统可自动记录客户端电脑加密并使用电子文档的记录,管理员可以随时查找文档访问信息,可用来追踪泄密渠道,也可用作电子取证。同时,系统管理员的操作也会被完整记录下来,监督员可以进行查询和分析。4、企业电子文档安全加密产品比较加密软件,有的公司叫数据防泄漏软件,如国际上也叫 DLP,本质上是采用加密或者控制的方法,进行数据防护,文档安全管理。在国际上,加密主要采用的是手动加密的方法
48、,如美国的Airzip;放到了国内,全部都变成了强制透明加密。下面就按照功能性、拓展性、安全性、兼容性、先进性、覆盖性、规范性对国内几家公司的产品做个简单的比较。比较对象包括:山丽网安、明朝万达、易赛通等。4.1产品功能性比较功能多往往意味着该厂商的用户类型比较多,产品的适用面广,功能多,还往往意味着产品的年代也比较久了,产品的稳定性有了一定的保证。更主要的,表象的功能往往意味着软件的底层架构和设计,以及底层技术。所以,重视功能是选择产品的一个基本法宝。既然是加密软件,我们来比较一下加密方法、策略、文档权限这三个方面。首先,加密方法都是“透明加密”,也就是“强制、实时、动态”的加密。明朝万达使用的是磁盘加密的方法,但实际上明朝万达的产品被加密的数据在磁盘上都是明文,只是在将数据复制到u 盘等其他盘里面的时候才进行一个加密处理。明朝万达的技术人员采用一个非常简洁方式:引导区加密,使得产品保存在本地非系统盘上看起来是加密的,这里产生的结果就是不采用明朝万达的产品无法读取数据,因此引导区本身是识别的,起到了一定的防范作用。明朝万达的
