當前，電腦文件安全已經成為企業(yè)網絡管理的重要內容。這是因為，無論是員工日常工作中形成的重要數(shù)據(jù)資料，還是單位的商業(yè)機密文件，常常以電腦文件的方式存儲在員工的電腦，或者公司的文件服務器上，并且還常常通過共享服務器文件的方式允許員工訪問，便于實現(xiàn)資源共享和協(xié)同辦公。

公司局域網的上述文件存儲方式，雖然方便了文件存儲和保存，方便了工作。但也使得員工可以輕松通過各種方式將電腦文件、服務器共享文件泄露出去，從而給單位的文件安全、信息安全和商業(yè)機密構成了巨大的威脅。

一、電腦文件泄密、公司數(shù)據(jù)泄露的主要途徑。

根據(jù)第三方統(tǒng)計，企業(yè)泄密事件的80%都是企業(yè)內部員工主動所為。因此，防止企業(yè)數(shù)據(jù)泄密也必須將視覺定格在防范內部員工泄密層面上來。而對于企業(yè)內部員工泄密行為，總結起來不外乎以下幾個途徑：

圖：當前電腦文件泄密的主要途徑

1、 通過U盤、移動硬盤、手機等帶有USB存儲功能的設備拷貝和存儲電腦文件。

目前，U盤、移動硬盤和手機等存儲空間越來越大，動輒幾個G、幾十G甚至上百G的存儲空間，并且現(xiàn)在的USB存儲設備的讀寫速度越來越快，可以短時間內拷貝大量文件存儲到這些USB存儲設備。同時，由于很多單位沒有專門的禁用USB存儲設備的舉措和意識，工作中還時不時用到U盤、移動硬盤，員工也經常利用公司的電腦為手機充電（在充電時，可以將手機當做U盤使用），從而使得通過上述這些USB存儲設備泄露電腦文件的行為極為普遍。

2、 通過郵件、網盤、FTP文件外發(fā)、QQ發(fā)送文件、微信發(fā)送文件、QQ群共享文件以及論壇、博客上傳附件等。

當前，由于很多單位局域網的電腦都可以訪問互聯(lián)網，這使得員工即便不通過U盤等USB存儲設備泄密，也可以輕松通過網絡途徑進行泄密，尤其是通過郵件附件、向網盤上傳電腦文件、通過FTP向外發(fā)送文件、通過QQ發(fā)送文件、通過微信發(fā)送文件以及QQ群文件共享、論壇博客上傳附件等方式泄露電腦文件。尤其是，現(xiàn)在網速越來越快，使得上傳大量的文件也變得極為方便。事實上，通過網絡途徑泄露電腦文件已經成為當前電腦文件泄密、企業(yè)數(shù)據(jù)泄露的主要方式。

二、防止公司數(shù)據(jù)泄露、電腦資料防止泄密管控的思路

鑒于企業(yè)電腦文件泄密不外乎以上幾種途徑，因此防止公司數(shù)據(jù)泄露也應該從這幾個方面入手?？傮w來說，又不外乎兩種管理思路，一種是堵，一種是疏。具體來說，則應該從以下幾個方面入手：

1、 從企業(yè)管理制度、企業(yè)機密文件保密制度等層面入手。

雖然很多企業(yè)也都建立了相應的企業(yè)保密制度，通常也都和員工簽訂了保密協(xié)議，很多企業(yè)管理者也意識到信息安全、商業(yè)機密泄漏的嚴重性，也紛紛采取各種舉措來保護信息安全，防患未然。但是，作為企業(yè)的管理者，始終無法時時刻刻監(jiān)督員工的日常工作行為，而員工素來具有“上有政策、下有對策”的心理，再加上目前泄露電腦文件的手段很多，一些很隱秘的泄密行為很難通過制度加以約束或制止，使得單純依靠企業(yè)管理制度、員工保密協(xié)議無法有效杜絕員工泄露公司機密的行為。而必須在制度之外，通過一些技術手段加以限制。

2、 通過技術手段防止電腦文件泄密、防止公司數(shù)據(jù)泄露。

很多企業(yè)管理者和網絡管理員也意識到，單純依靠企業(yè)保密制度和員工保密協(xié)議，無法完全杜絕企業(yè)員工的泄密行為。因此，很多企業(yè)紛紛采用各種安全技術手段來加強電腦文件安全保護，防止各種途徑泄密。而這種管理舉措，通常也分為兩個層面，一種是將電腦文件泄密的通道堵住，另外一種是采用一些電腦文件加密軟件來對關鍵數(shù)據(jù)進行加密。

毋庸置疑，這兩種方式都可以實現(xiàn)電腦文件安全防護，但企業(yè)究竟如何選擇呢？到底是選擇電腦文件防泄漏產品，還是電腦文件加密軟件呢？這常常讓很多企業(yè)網管人員無法抉擇。

筆者從事網絡管理工作多年，對電腦文件加密軟件和電腦文件防泄漏系統(tǒng)都有一定的了解，也都實際應用過，分享經驗如下：

1） 對于大多數(shù)企業(yè)來說，部署電腦文件防泄密產品一般都可以滿足管理需要。

電腦文件防泄漏產品相對于電腦文件加密系統(tǒng)來說，具有更加安全、更加快捷、更加透明等優(yōu)勢。通俗地說，就是不改變文件的格式、訪問方式和存儲方式，也就是不會對文件本身做任何改動，而只是對可能泄露文件的通道進行管控。比如禁用USB存儲設備、禁止網盤上傳電腦文件、禁止QQ發(fā)送文件等，使得用戶最終無法通過這些途徑將電腦文件泄露出去。

目前，國內有很多電腦文件防泄漏產品，例如有一款“大勢至電腦文件防泄密系統(tǒng)”（下載地址：http://www.grablan.com/monitorusb.html），只需要在電腦安裝之后，就可以完全禁止U盤使用（允許使用指定的U盤）、只讓從U盤向電腦復制文件而禁止從電腦向U盤拷貝文件，或者從電腦向USB存儲設備復制文件必須輸入密碼，禁止網盤上傳文件、禁止發(fā)送郵件（允許使用公司郵箱）、禁止QQ發(fā)送文件、禁止微信發(fā)送文件以及禁止FTP文件外發(fā)等，可以有效防止通過各種手段泄漏電腦文件。如下圖所示：

圖：大勢至企業(yè)數(shù)據(jù)防泄漏系統(tǒng)

此外，系統(tǒng)集成了全面的電腦使用管理功能，防止通過修改注冊表、組策略、設備管理器等操作系統(tǒng)關鍵位置而繞過系統(tǒng)監(jiān)控的行為。同時，系統(tǒng)也集成了全面的自我防護功能，可以防止被員工或第三方軟件影響或破壞。

2） 對于電腦文件加密系統(tǒng)來說，需要有非常專業(yè)的人員進行操作。

對于一些文件保護級別較高的用戶來說，也可以考慮部署電腦文件加密系統(tǒng)。通過對電腦文件進行格式轉換、加密隱藏或訪問權限控制來加強電腦文件安全防護。比如，重要加密文件只能在公司電腦打開，一旦泄露出去則無法打開；或者，打開加密文件之前，需要經過一系列密鑰認證操作等。雖然這些方式聽起來可以進一步保護電腦文件安全。但是，由于文件加密過程需要改變文件原有的格式，同時訪問操作這些文件也需要進行一系列的操作，這使得文件存在被損害的風險，尤其是電腦文件加密系統(tǒng)本身還不夠成熟的情況下，容易導致加密后的文件無法解密或損毀的情況發(fā)生。因此，企業(yè)在部署之前一定要慎之又慎，準確選型。

同時，對于企業(yè)員工來說，通常由于都缺乏專門的IT知識，如果文件加密或解密過程的操作過于復雜，常常會導致加密或解密失敗，增加了文件被損毀的風險。此外，過于復雜的系統(tǒng)會讓一些員工也會有強烈的抵觸心理，筆者曾經接觸過一家單位，花了很多錢上線的文件加密系統(tǒng)，由于員工不會用或者抵觸嚴重，最后棄之不用了，造成了投資的浪費，也沒有實現(xiàn)電腦文件安全管理的目的。

3） 加強對服務器共享文件訪問權限控制，防止拷貝共享文件、共享文件另存為的行為。

現(xiàn)在很多單位都有自己的文件服務器，通常會共享單位重要的文件讓局域網用戶訪問，同時用戶工作中形成的重要文件（如圖紙資料、源代碼、設計作品等）也常常存儲在文件服務器上，并且用戶常常具有共享文件的全部訪問權限。這雖然方便了工作，但也使得共享文件也面臨著重要的安全風險。

如何設置服務共享文件訪問權限，實現(xiàn)局域網共享文件的安全管理，就成為局域網網絡管理的另一個重要方面。具體如何實現(xiàn)呢？

方法1、通過利用操作系統(tǒng)的文件訪問權限設置，并配合Windows域控制器來實現(xiàn)。

如果可以熟練掌握操作系統(tǒng)共享文件訪問權限設置功能，同時還精通Windows AD域控制器的使用，則可以充分發(fā)揮操作系統(tǒng)和域控制器在共享文件權限設置方面的功能，可以很大程度上保護共享文件的安全。但對于很多單位來說，通過操作系統(tǒng)設置共享文件訪問權限通常還算可以，但如果部署AD域控制器，則因為域控制器設置和使用的復雜而常常比較吃力。

此外，無論是通過操作系統(tǒng)文件訪問權限設置，還是通過Windows域控制器都無法實現(xiàn)只讓讀取共享文件而禁止拷貝共享文件、只讓打開共享文件而禁止另存為本地磁盤、只讓修改共享文件而禁止刪除共享文件，以及禁止拖拽共享文件等，從而無法真正保護共享文件的安全。
 

方法2、通過部署局域網共享文件權限設置軟件、文件共享管理工具來實現(xiàn)。

如果你覺得通過Windows域控制器設置共享文件訪問權限比較復雜，則也可以通過一些局域網共享權限設置軟件來實現(xiàn)。

例如有一款“大勢至局域網共享文件管理系統(tǒng)”（下載地址：http://www.grablan.com/gongxiangwenjianshenji.html），只需要在共享文件服務器上安裝，就可以自動掃描到所有的共享文件以及服務器上所有的用戶，然后就可以為不同用戶設置共享文件夾不同的訪問權限，尤其是可以實現(xiàn)只讓讀取共享文件而禁止拷貝共享文件、只讓修改共享文件而禁止刪除共享文件以及只讓打開共享文件而禁止共享文件另存為本地磁盤，從而防止用戶在訪問共享文件時將共享文件存儲到本地磁盤或破壞共享文件的行為，尤其是如果是直接刪除共享文件，則通常都是徹底刪除無法恢復的。如下圖所示：

圖：大勢至局域網共享文件管理系統(tǒng)

總之，保護單位電腦文件安全、防止數(shù)據(jù)泄露，是當前企事業(yè)單位網絡管理的重要環(huán)節(jié)。畢竟企業(yè)的電腦文件、無形資產和商業(yè)機密，是企業(yè)未來市場競爭的優(yōu)勢和法寶，一旦被泄密，不僅會給企業(yè)帶來直接的經濟損失和經營風險，甚至還關系到企業(yè)的生死存亡。

因此，企事業(yè)單位必須綜合利用各種手段，全面加強電腦文件安全管理和服務器共享文件管理，嚴防各種數(shù)據(jù)和信息泄密行為。同時，在實現(xiàn)公司數(shù)據(jù)防泄密、企業(yè)文件防泄密的過程中也要注意過猶不及、弄巧成拙，防止過度的電腦文件安全管理而產生負面的影響，背離了保護電腦文件安全、實現(xiàn)電腦文件防泄密的目的。
 

最新評論