當(dāng)前，電腦文件安全已經(jīng)成為企業(yè)網(wǎng)絡(luò)管理的重要內(nèi)容。這是因為，無論是員工日常工作中形成的重要數(shù)據(jù)資料，還是單位的商業(yè)機(jī)密文件，常常以電腦文件的方式存儲在員工的電腦，或者公司的文件服務(wù)器上，并且還常常通過共享服務(wù)器文件的方式允許員工訪問，便于實現(xiàn)資源共享和協(xié)同辦公。

公司局域網(wǎng)的上述文件存儲方式，雖然方便了文件存儲和保存，方便了工作。但也使得員工可以輕松通過各種方式將電腦文件、服務(wù)器共享文件泄露出去，從而給單位的文件安全、信息安全和商業(yè)機(jī)密構(gòu)成了巨大的威脅。

一、電腦文件泄密、公司數(shù)據(jù)泄露的主要途徑。

根據(jù)第三方統(tǒng)計，企業(yè)泄密事件的80%都是企業(yè)內(nèi)部員工主動所為。因此，防止企業(yè)數(shù)據(jù)泄密也必須將視覺定格在防范內(nèi)部員工泄密層面上來。而對于企業(yè)內(nèi)部員工泄密行為，總結(jié)起來不外乎以下幾個途徑：

圖：當(dāng)前電腦文件泄密的主要途徑

1、 通過U盤、移動硬盤、手機(jī)等帶有USB存儲功能的設(shè)備拷貝和存儲電腦文件。

目前，U盤、移動硬盤和手機(jī)等存儲空間越來越大，動輒幾個G、幾十G甚至上百G的存儲空間，并且現(xiàn)在的USB存儲設(shè)備的讀寫速度越來越快，可以短時間內(nèi)拷貝大量文件存儲到這些USB存儲設(shè)備。同時，由于很多單位沒有專門的禁用USB存儲設(shè)備的舉措和意識，工作中還時不時用到U盤、移動硬盤，員工也經(jīng)常利用公司的電腦為手機(jī)充電（在充電時，可以將手機(jī)當(dāng)做U盤使用），從而使得通過上述這些USB存儲設(shè)備泄露電腦文件的行為極為普遍。

2、 通過郵件、網(wǎng)盤、FTP文件外發(fā)、QQ發(fā)送文件、微信發(fā)送文件、QQ群共享文件以及論壇、博客上傳附件等。

當(dāng)前，由于很多單位局域網(wǎng)的電腦都可以訪問互聯(lián)網(wǎng)，這使得員工即便不通過U盤等USB存儲設(shè)備泄密，也可以輕松通過網(wǎng)絡(luò)途徑進(jìn)行泄密，尤其是通過郵件附件、向網(wǎng)盤上傳電腦文件、通過FTP向外發(fā)送文件、通過QQ發(fā)送文件、通過微信發(fā)送文件以及QQ群文件共享、論壇博客上傳附件等方式泄露電腦文件。尤其是，現(xiàn)在網(wǎng)速越來越快，使得上傳大量的文件也變得極為方便。事實上，通過網(wǎng)絡(luò)途徑泄露電腦文件已經(jīng)成為當(dāng)前電腦文件泄密、企業(yè)數(shù)據(jù)泄露的主要方式。

二、防止公司數(shù)據(jù)泄露、電腦資料防止泄密管控的思路

鑒于企業(yè)電腦文件泄密不外乎以上幾種途徑，因此防止公司數(shù)據(jù)泄露也應(yīng)該從這幾個方面入手。總體來說，又不外乎兩種管理思路，一種是堵，一種是疏。具體來說，則應(yīng)該從以下幾個方面入手：

1、 從企業(yè)管理制度、企業(yè)機(jī)密文件保密制度等層面入手。

雖然很多企業(yè)也都建立了相應(yīng)的企業(yè)保密制度，通常也都和員工簽訂了保密協(xié)議，很多企業(yè)管理者也意識到信息安全、商業(yè)機(jī)密泄漏的嚴(yán)重性，也紛紛采取各種舉措來保護(hù)信息安全，防患未然。但是，作為企業(yè)的管理者，始終無法時時刻刻監(jiān)督員工的日常工作行為，而員工素來具有“上有政策、下有對策”的心理，再加上目前泄露電腦文件的手段很多，一些很隱秘的泄密行為很難通過制度加以約束或制止，使得單純依靠企業(yè)管理制度、員工保密協(xié)議無法有效杜絕員工泄露公司機(jī)密的行為。而必須在制度之外，通過一些技術(shù)手段加以限制。

2、 通過技術(shù)手段防止電腦文件泄密、防止公司數(shù)據(jù)泄露。

很多企業(yè)管理者和網(wǎng)絡(luò)管理員也意識到，單純依靠企業(yè)保密制度和員工保密協(xié)議，無法完全杜絕企業(yè)員工的泄密行為。因此，很多企業(yè)紛紛采用各種安全技術(shù)手段來加強(qiáng)電腦文件安全保護(hù)，防止各種途徑泄密。而這種管理舉措，通常也分為兩個層面，一種是將電腦文件泄密的通道堵住，另外一種是采用一些電腦文件加密軟件來對關(guān)鍵數(shù)據(jù)進(jìn)行加密。

毋庸置疑，這兩種方式都可以實現(xiàn)電腦文件安全防護(hù)，但企業(yè)究竟如何選擇呢？到底是選擇電腦文件防泄漏產(chǎn)品，還是電腦文件加密軟件呢？這常常讓很多企業(yè)網(wǎng)管人員無法抉擇。

筆者從事網(wǎng)絡(luò)管理工作多年，對電腦文件加密軟件和電腦文件防泄漏系統(tǒng)都有一定的了解，也都實際應(yīng)用過，分享經(jīng)驗如下：

1） 對于大多數(shù)企業(yè)來說，部署電腦文件防泄密產(chǎn)品一般都可以滿足管理需要。

電腦文件防泄漏產(chǎn)品相對于電腦文件加密系統(tǒng)來說，具有更加安全、更加快捷、更加透明等優(yōu)勢。通俗地說，就是不改變文件的格式、訪問方式和存儲方式，也就是不會對文件本身做任何改動，而只是對可能泄露文件的通道進(jìn)行管控。比如禁用USB存儲設(shè)備、禁止網(wǎng)盤上傳電腦文件、禁止QQ發(fā)送文件等，使得用戶最終無法通過這些途徑將電腦文件泄露出去。

目前，國內(nèi)有很多電腦文件防泄漏產(chǎn)品，例如有一款“大勢至電腦文件防泄密系統(tǒng)”（下載地址：http://www.grablan.com/monitorusb.html），只需要在電腦安裝之后，就可以完全禁止U盤使用（允許使用指定的U盤）、只讓從U盤向電腦復(fù)制文件而禁止從電腦向U盤拷貝文件，或者從電腦向USB存儲設(shè)備復(fù)制文件必須輸入密碼，禁止網(wǎng)盤上傳文件、禁止發(fā)送郵件（允許使用公司郵箱）、禁止QQ發(fā)送文件、禁止微信發(fā)送文件以及禁止FTP文件外發(fā)等，可以有效防止通過各種手段泄漏電腦文件。如下圖所示：

圖：大勢至企業(yè)數(shù)據(jù)防泄漏系統(tǒng)

此外，系統(tǒng)集成了全面的電腦使用管理功能，防止通過修改注冊表、組策略、設(shè)備管理器等操作系統(tǒng)關(guān)鍵位置而繞過系統(tǒng)監(jiān)控的行為。同時，系統(tǒng)也集成了全面的自我防護(hù)功能，可以防止被員工或第三方軟件影響或破壞。

2） 對于電腦文件加密系統(tǒng)來說，需要有非常專業(yè)的人員進(jìn)行操作。

對于一些文件保護(hù)級別較高的用戶來說，也可以考慮部署電腦文件加密系統(tǒng)。通過對電腦文件進(jìn)行格式轉(zhuǎn)換、加密隱藏或訪問權(quán)限控制來加強(qiáng)電腦文件安全防護(hù)。比如，重要加密文件只能在公司電腦打開，一旦泄露出去則無法打開；或者，打開加密文件之前，需要經(jīng)過一系列密鑰認(rèn)證操作等。雖然這些方式聽起來可以進(jìn)一步保護(hù)電腦文件安全。但是，由于文件加密過程需要改變文件原有的格式，同時訪問操作這些文件也需要進(jìn)行一系列的操作，這使得文件存在被損害的風(fēng)險，尤其是電腦文件加密系統(tǒng)本身還不夠成熟的情況下，容易導(dǎo)致加密后的文件無法解密或損毀的情況發(fā)生。因此，企業(yè)在部署之前一定要慎之又慎，準(zhǔn)確選型。

同時，對于企業(yè)員工來說，通常由于都缺乏專門的IT知識，如果文件加密或解密過程的操作過于復(fù)雜，常常會導(dǎo)致加密或解密失敗，增加了文件被損毀的風(fēng)險。此外，過于復(fù)雜的系統(tǒng)會讓一些員工也會有強(qiáng)烈的抵觸心理，筆者曾經(jīng)接觸過一家單位，花了很多錢上線的文件加密系統(tǒng)，由于員工不會用或者抵觸嚴(yán)重，最后棄之不用了，造成了投資的浪費，也沒有實現(xiàn)電腦文件安全管理的目的。

3） 加強(qiáng)對服務(wù)器共享文件訪問權(quán)限控制，防止拷貝共享文件、共享文件另存為的行為。

現(xiàn)在很多單位都有自己的文件服務(wù)器，通常會共享單位重要的文件讓局域網(wǎng)用戶訪問，同時用戶工作中形成的重要文件（如圖紙資料、源代碼、設(shè)計作品等）也常常存儲在文件服務(wù)器上，并且用戶常常具有共享文件的全部訪問權(quán)限。這雖然方便了工作，但也使得共享文件也面臨著重要的安全風(fēng)險。

如何設(shè)置服務(wù)共享文件訪問權(quán)限，實現(xiàn)局域網(wǎng)共享文件的安全管理，就成為局域網(wǎng)網(wǎng)絡(luò)管理的另一個重要方面。具體如何實現(xiàn)呢？

方法1、通過利用操作系統(tǒng)的文件訪問權(quán)限設(shè)置，并配合Windows域控制器來實現(xiàn)。

如果可以熟練掌握操作系統(tǒng)共享文件訪問權(quán)限設(shè)置功能，同時還精通Windows AD域控制器的使用，則可以充分發(fā)揮操作系統(tǒng)和域控制器在共享文件權(quán)限設(shè)置方面的功能，可以很大程度上保護(hù)共享文件的安全。但對于很多單位來說，通過操作系統(tǒng)設(shè)置共享文件訪問權(quán)限通常還算可以，但如果部署AD域控制器，則因為域控制器設(shè)置和使用的復(fù)雜而常常比較吃力。

此外，無論是通過操作系統(tǒng)文件訪問權(quán)限設(shè)置，還是通過Windows域控制器都無法實現(xiàn)只讓讀取共享文件而禁止拷貝共享文件、只讓打開共享文件而禁止另存為本地磁盤、只讓修改共享文件而禁止刪除共享文件，以及禁止拖拽共享文件等，從而無法真正保護(hù)共享文件的安全。
 

方法2、通過部署局域網(wǎng)共享文件權(quán)限設(shè)置軟件、文件共享管理工具來實現(xiàn)。

如果你覺得通過Windows域控制器設(shè)置共享文件訪問權(quán)限比較復(fù)雜，則也可以通過一些局域網(wǎng)共享權(quán)限設(shè)置軟件來實現(xiàn)。

例如有一款“大勢至局域網(wǎng)共享文件管理系統(tǒng)”（下載地址：http://www.grablan.com/gongxiangwenjianshenji.html），只需要在共享文件服務(wù)器上安裝，就可以自動掃描到所有的共享文件以及服務(wù)器上所有的用戶，然后就可以為不同用戶設(shè)置共享文件夾不同的訪問權(quán)限，尤其是可以實現(xiàn)只讓讀取共享文件而禁止拷貝共享文件、只讓修改共享文件而禁止刪除共享文件以及只讓打開共享文件而禁止共享文件另存為本地磁盤，從而防止用戶在訪問共享文件時將共享文件存儲到本地磁盤或破壞共享文件的行為，尤其是如果是直接刪除共享文件，則通常都是徹底刪除無法恢復(fù)的。如下圖所示：

圖：大勢至局域網(wǎng)共享文件管理系統(tǒng)

總之，保護(hù)單位電腦文件安全、防止數(shù)據(jù)泄露，是當(dāng)前企事業(yè)單位網(wǎng)絡(luò)管理的重要環(huán)節(jié)。畢竟企業(yè)的電腦文件、無形資產(chǎn)和商業(yè)機(jī)密，是企業(yè)未來市場競爭的優(yōu)勢和法寶，一旦被泄密，不僅會給企業(yè)帶來直接的經(jīng)濟(jì)損失和經(jīng)營風(fēng)險，甚至還關(guān)系到企業(yè)的生死存亡。

因此，企事業(yè)單位必須綜合利用各種手段，全面加強(qiáng)電腦文件安全管理和服務(wù)器共享文件管理，嚴(yán)防各種數(shù)據(jù)和信息泄密行為。同時，在實現(xiàn)公司數(shù)據(jù)防泄密、企業(yè)文件防泄密的過程中也要注意過猶不及、弄巧成拙，防止過度的電腦文件安全管理而產(chǎn)生負(fù)面的影響，背離了保護(hù)電腦文件安全、實現(xiàn)電腦文件防泄密的目的。
 

最新評論