當(dāng)前，企業(yè)數(shù)據(jù)泄密事件屢有發(fā)生，前一段事件“老干媽泄密事件”給很多企業(yè)敲響了警鐘。在知識(shí)經(jīng)濟(jì)時(shí)代，企業(yè)商業(yè)機(jī)密是市場(chǎng)競(jìng)爭(zhēng)的制勝法寶，是企業(yè)發(fā)展的根本。因此，企業(yè)商業(yè)機(jī)密、關(guān)鍵數(shù)據(jù)安全就顯得尤為重要。并且，企業(yè)數(shù)據(jù)泄密不存在“亡羊補(bǔ)牢”，一旦泄密將會(huì)給企業(yè)帶來(lái)的重大損失是無(wú)法彌補(bǔ)的。因此，企業(yè)信息安全、企業(yè)數(shù)據(jù)防泄密必須要有防患未然的意識(shí)，從企業(yè)管理和技術(shù)控制等各個(gè)方面入手，才可以真正實(shí)現(xiàn)保護(hù)單位商業(yè)機(jī)密安全的目的。

但目前國(guó)內(nèi)企事業(yè)單位在信息安全管理方面普遍存在以下不足和缺陷：

1、無(wú)企業(yè)數(shù)據(jù)防泄密的安全意識(shí)

大多數(shù)中小企業(yè)認(rèn)為自己的數(shù)據(jù)無(wú)關(guān)緊要，加上對(duì)自己的員工信心滿滿，對(duì)廠商提出的數(shù)據(jù)防泄密措施置若罔聞，直到數(shù)據(jù)泄密給企業(yè)帶來(lái)嚴(yán)重?fù)p失后才采取亡羊補(bǔ)牢的措施。

一些企業(yè)雖然也有新消息安全意識(shí)，并且也安裝部署了一些電腦文件加密軟件，但往往因?yàn)椴涣?xí)慣或員工抵觸，又把加密軟件卸載了。這樣一旦員工離職將會(huì)輕易將單位的商業(yè)機(jī)密文件泄露出去，從而對(duì)企業(yè)信息安全造成嚴(yán)重的風(fēng)險(xiǎn)。而究其原因，很大程度上是因?yàn)榧用苘浖O(shè)計(jì)不夠人性化，干擾了員工的工作，這使得員工更加反感。因此，單位在選擇企業(yè)防泄密軟件時(shí)，一定要選擇人性化程度較高的電腦文件防泄密系統(tǒng)。

例如有一款“大勢(shì)至電腦文件防泄密系統(tǒng)”（下載地址：http://www.grablan.com/monitorusb.html），不僅可以有效禁止U盤(pán)等禁用USB存儲(chǔ)設(shè)備，而且還可以只讓從U盤(pán)向電腦復(fù)制文件而禁止從電腦向U盤(pán)復(fù)制文件，或者向U盤(pán)復(fù)制文件必須輸入密碼，從而有效地保護(hù)了電腦文件安全；同時(shí)，系統(tǒng)還可以禁止電腦發(fā)送郵件、只讓使用公司信箱收發(fā)郵件、只讓電腦接收郵件而禁止發(fā)送郵件；禁止網(wǎng)盤(pán)上傳電腦文件、禁止FTP文件上傳以及禁止QQ發(fā)送文件等，防止通過(guò)網(wǎng)絡(luò)途徑泄密電腦文件的行為。同時(shí)，大勢(shì)至公司數(shù)據(jù)防泄密系統(tǒng)的操作使用極為簡(jiǎn)單，所有功能模塊集中在一個(gè)軟件界面上，點(diǎn)點(diǎn)鼠標(biāo)就可以啟用，適合所有網(wǎng)管人員。如下圖所示：

圖：電腦文件防泄密系統(tǒng)

企業(yè)生產(chǎn)經(jīng)營(yíng)過(guò)程產(chǎn)生的任何數(shù)據(jù)，都是企業(yè)在日積月累中反復(fù)摸索出來(lái)的，無(wú)論是某個(gè)人的勞動(dòng)成果，還是集體的勞動(dòng)成果，都是企業(yè)的財(cái)富。一些貌似不緊要的數(shù)據(jù)和文件，其實(shí)在產(chǎn)生過(guò)程中都是付出了大量心血。因此，企業(yè)經(jīng)營(yíng)者一定要采取有效措施保護(hù)好這些數(shù)據(jù)財(cái)富。

2、有防止商業(yè)機(jī)密泄露的意識(shí)但嫌麻煩

有些企業(yè)在選型加密軟件時(shí)，經(jīng)常會(huì)問(wèn)到一些，比如員工回家加班怎么辦？員工的電腦是個(gè)人的，不能影響他們自己使用之類(lèi)的問(wèn)題。這些需求都很容易理解的，在上一軟件，特別是上加密軟件時(shí)把各種情況考慮到，對(duì)上軟件之后實(shí)施工作是有很大幫助的。問(wèn)題是，有些企業(yè)過(guò)份擔(dān)憂加密軟件給現(xiàn)狀帶來(lái)的沖擊，最后項(xiàng)目就不了了之了。

因此，企業(yè)如果要部署電腦文件加密軟件，則同樣需要考慮軟件的靈活性、透明性和操作簡(jiǎn)單程度。筆者目前用過(guò)一款“大勢(shì)至電腦文件加密軟件”（下載地址：http://www.grablan.com/dnwjjm.html），不僅可以加密電腦文件，而且還可以加密U盤(pán)文件，同時(shí)還可以限制加密文件的訪問(wèn)權(quán)限：只讓讀取加密文件而禁止復(fù)制加密文件、只讓打開(kāi)加密文件而禁止另存為本地磁盤(pán)、只讓修改加密文件而禁止刪除加密文件等，以及禁止拖動(dòng)加密文件、禁止打印加密文件等，全面保護(hù)加密文件的安全。此外，系統(tǒng)還可以隱藏磁盤(pán)文件，防止隨意訪問(wèn)磁盤(pán)文件的行為。如下圖所示：

圖：大勢(shì)至電腦文件加密軟件

圖：設(shè)置加密文件訪問(wèn)權(quán)限

圖：隱藏磁盤(pán)文件

企業(yè)數(shù)據(jù)防泄密措施與企業(yè)管理一樣，也是要根據(jù)企業(yè)不同的發(fā)展階段采用不同的手段的。如果只有幾個(gè)創(chuàng)業(yè)者，完全可以靠自律保證數(shù)據(jù)的安全;而企業(yè)在快速發(fā)展過(guò)程中，數(shù)據(jù)的安全性和應(yīng)用的靈活性必須同時(shí)兼顧。我們?cè)谲浖?shí)施過(guò)程中，會(huì)充分考慮軟件實(shí)施給工作帶來(lái)的影響，在不同實(shí)施階段采用不同的加密策略。實(shí)施后緊密跟蹤應(yīng)用情況，對(duì)深化應(yīng)用提出實(shí)施建議。

3、有公司數(shù)據(jù)防泄漏的舉措但無(wú)管理

有些企業(yè)雖然上了加密軟件，但仍然出現(xiàn)一些泄密事件，有人便開(kāi)始懷疑加密軟件是否有用了。加密軟件不是地牢，為方便企業(yè)交流也會(huì)有審批及解密的功能，這些關(guān)口都是由人去掌握的，如果沒(méi)有相應(yīng)的管理措施，出現(xiàn)數(shù)據(jù)泄密甚至形同虛設(shè)也不足為怪。這就跟一個(gè)企業(yè)有大門(mén)，有保安，但大門(mén)總是開(kāi)著，保安對(duì)進(jìn)出人員不聞不問(wèn)一個(gè)道理。

加密軟件的實(shí)施失敗無(wú)外乎軟件本身缺陷及管理不當(dāng)兩方面原因。軟件缺陷另當(dāng)別論，但管理不當(dāng)引起的失敗尤其應(yīng)引起企業(yè)的重視。筆者認(rèn)為，管理方面主要有以下兩個(gè)原因：

1.主管領(lǐng)導(dǎo)不重視。軟件買(mǎi)來(lái)了，裝上了，就不過(guò)問(wèn)了，只有管理員在維護(hù)。有些中高領(lǐng)導(dǎo)還要求管理員開(kāi)后門(mén)，甚至以各種借口卸載軟件。慢慢地，數(shù)據(jù)的重要性就變得不重要了，加密軟件也就可有可無(wú)了。

2.系統(tǒng)管理員經(jīng)常換。加密軟件的管理員掌握著企業(yè)數(shù)據(jù)倉(cāng)庫(kù)的鑰匙，如果對(duì)其沒(méi)有有效的監(jiān)督，企業(yè)數(shù)據(jù)安全便沒(méi)有保障。保持系統(tǒng)管理員的相對(duì)穩(wěn)定，對(duì)其權(quán)限進(jìn)行約束尤為重要。

4、高度重視企業(yè)文檔安全管理

一家成熟的企業(yè)總是把數(shù)據(jù)安全放在十分重要的地位。對(duì)他們而言，為數(shù)據(jù)安全增加管理成本是必須的。我們有家這樣的客戶，從員工一入廠便開(kāi)始進(jìn)行數(shù)據(jù)保密教育，人手一本保密手冊(cè)，定期進(jìn)行保密制度考核，直接與績(jī)效掛鉤。在上了我們的加密軟件后，不但對(duì)管理員有明確的職責(zé)要求，而且定期匯總數(shù)據(jù)，開(kāi)專(zhuān)題會(huì)議分析數(shù)據(jù)流向，防范可能出現(xiàn)的執(zhí)行偏差。

保證企業(yè)數(shù)據(jù)財(cái)富的安全，一定是人防與技防并舉，指望靠一個(gè)加密軟件解決所有問(wèn)題，是企業(yè)信息化過(guò)程中很容易犯的低級(jí)錯(cuò)誤。結(jié)合多年的實(shí)踐經(jīng)驗(yàn)，總結(jié)用好加密軟件的主要要素，最少應(yīng)該包括如下三點(diǎn)：

1.領(lǐng)導(dǎo)重視。要把企業(yè)數(shù)據(jù)看成財(cái)富和資產(chǎn)，有強(qiáng)烈的數(shù)據(jù)安全意識(shí)，建立制度并監(jiān)督執(zhí)行。

2.建立制度。用制度規(guī)范不同崗位職責(zé)和數(shù)據(jù)流向，時(shí)刻提醒員工扣緊數(shù)據(jù)安全這根弦。

3.做好服務(wù)。出現(xiàn)使用問(wèn)題及時(shí)處理，出現(xiàn)業(yè)務(wù)沖突及時(shí)解決，但必須保證數(shù)據(jù)是安全的。

小結(jié)

數(shù)據(jù)財(cái)富安全問(wèn)題，是每個(gè)企業(yè)在發(fā)展過(guò)程中必須面對(duì)的問(wèn)題。同時(shí)，每個(gè)企業(yè)所面對(duì)的問(wèn)題會(huì)有一定的個(gè)性，隨著企業(yè)的發(fā)展，數(shù)據(jù)安全的需求也是不斷變化的。選擇適合自己的方法和手段，是件“鞋是否合腳，只有腳知道”的事情。

最新評(píng)論