當(dāng)前，在企事業(yè)單位局域網(wǎng)中，電腦文件安全極為重要，尤其是涉及單位無形資產(chǎn)和商業(yè)機密的數(shù)據(jù)文件。一旦泄密將會給企業(yè)來重大損失，嚴(yán)重影響企業(yè)的穩(wěn)健經(jīng)營。如何保護這些數(shù)據(jù)的安全，是當(dāng)前企業(yè)網(wǎng)絡(luò)管理的重要目標(biāo)。

由于企業(yè)的機密數(shù)據(jù)常常存儲在單位的電腦、服務(wù)器或?qū)ｉT的文件存儲設(shè)備上，因此保護企業(yè)數(shù)據(jù)安全的具體舉措是保護電腦文件安全、保護服務(wù)器文件安全，防止通過各種途徑泄密。

那么，如何保護公司電腦文件安全、防止公司電腦數(shù)據(jù)泄密呢？筆者以為可以通過以下兩種途徑來實現(xiàn)。

方案一、全面禁止U盤使用、禁用USB存儲設(shè)備的使用，公司電腦禁止上網(wǎng)等。

當(dāng)前，由于U盤、移動硬盤的存儲空間越來越大，讀寫速度越來越快，可以輕松通過U盤存儲大量的文件，這使得員工可以輕松通過U盤、移動硬盤復(fù)制公司電腦文件，然后攜帶出去用于某種私利目的。因此，公司局域網(wǎng)必須全面禁用USB存儲設(shè)備。

而禁用電腦USB存儲設(shè)備的方法很多，比如可以通過組策略禁用U盤、組策略禁用U口使用，通過注冊表禁止USB存儲設(shè)備的使用等，甚至還可以通過BIOS來禁用U口的使用，從而達(dá)到禁用USB存儲設(shè)備的目的。但相應(yīng)地，也會使得工作中偶爾需要USB存儲設(shè)備存儲文件時有所不便。

對于公司涉密電腦則除了禁用U口之外，還需要完全禁用互聯(lián)網(wǎng)、禁止電腦上網(wǎng)。因為一旦電腦可以訪問互聯(lián)網(wǎng)，則可以輕松通過郵件、網(wǎng)盤、FTP文件上傳和QQ發(fā)送文件等各種方式將電腦文件發(fā)送出去，從而達(dá)到竊取公司機密信息的目的。因此，公司涉密電腦必須完全禁止上網(wǎng)。這可以通過物理手段或通過路由器加以阻斷，但也會造成需要訪問互聯(lián)網(wǎng)查詢資料、網(wǎng)絡(luò)辦公等方面造成不便。

對于這種物理手段禁用USB存儲設(shè)備、禁止電腦上網(wǎng)的方法，雖然比較粗暴，但非常有效，適合于對商業(yè)機密保護比較嚴(yán)格的單位。

方案二、通過電腦文件防泄密軟件、電腦數(shù)據(jù)防泄漏系統(tǒng)防止電腦文件泄密。

如果你覺得通過物理手段禁用U口、禁止電腦上網(wǎng)的方式來阻止泄密電腦文件的方法過于極端，則也可以考慮一些電腦文件防泄密軟件來實現(xiàn)，相對于通過物理手段防止電腦文件泄密更加人性化，也可以滿足用戶一定情況下需要使用U盤、需要訪問互聯(lián)網(wǎng)的情況。

目前，國內(nèi)數(shù)據(jù)防泄漏產(chǎn)品廠家眾多，推出了很多電腦文件防泄漏產(chǎn)品，如何從中選擇適合本單位需要的數(shù)據(jù)防泄密產(chǎn)品常常讓網(wǎng)絡(luò)管理員無所適從，甚至經(jīng)常選擇了不適合本單位需要的數(shù)據(jù)防泄漏產(chǎn)品。
筆者在企業(yè)信息安全領(lǐng)域工作多年，積累了一些企業(yè)文件防泄密方面的經(jīng)驗，建議用戶可以從以下幾個方面進行選擇：

首先，必須部署方便、簡單易用，能夠適應(yīng)不同行業(yè)的數(shù)據(jù)防泄密管理需要。

因為對于國內(nèi)大多數(shù)企業(yè)來說，通常都沒有配備專門的網(wǎng)絡(luò)管理員，一旦系統(tǒng)復(fù)雜、繁瑣，將會大大提高系統(tǒng)部署成本，甚至導(dǎo)致最后無法成功上線使用的情況。

其次，功能穩(wěn)定可靠，可以真正防止電腦文件泄露、防止公司數(shù)據(jù)泄密。

由于電腦文件泄密的途徑很多，而且現(xiàn)在懂技術(shù)的員工很多，并且還可以借助百度搜索等，獲得各種破解、反向設(shè)置方法，從而達(dá)到重新使用USB存儲設(shè)備或者重新上網(wǎng)的目的。因此，部署的電腦文件防泄密系統(tǒng)也必須具有全面的電腦文件防泄密控制功能，嚴(yán)防通過各種管道泄密的行為。同時，也必須具有一定的操作系統(tǒng)安全防護功能，防止一些別有用心的員工試圖通過各種方案泄密的行為。

縱觀國內(nèi)電腦文件防泄密產(chǎn)品，有一款“大勢至電腦文件防泄密”（下載地址：http://www.grablan.com/monitorusb.html），是一款安裝快速簡單、操作方便、功能強大的電腦文件防泄密系統(tǒng)。這款軟件能夠適應(yīng)各種操作系統(tǒng)，安裝完畢后自動隱藏運行，必須輸入管理員設(shè)置的密碼才可以進入，并且軟件只有一個界面，功能模塊一目了然，勾選即可生效，操作極為簡單。

通過這款軟件可以有效禁用U盤、禁用移動硬盤等USB存儲設(shè)備的使用，而且還可以禁止電腦發(fā)送郵件、禁止網(wǎng)盤上傳電腦文件、禁止qq發(fā)送文件以及禁止FTP文件上傳等，防止通過各種途徑泄密的行為。此外，還可以只讓使用特定的U盤、只允許從U盤向電腦復(fù)制文件而禁止從電腦向U盤復(fù)制文件，從而滿足了一定情況下需要使用U盤但又不會泄密的行為。同時，本系統(tǒng)還可以只讓使用公司郵箱、只讓電腦接收郵件和讀取郵件而禁止發(fā)送文件，從而也防止了通過網(wǎng)絡(luò)途徑泄密的行為。如下圖所示：

圖：大勢至電腦文件防泄密系統(tǒng)

此外，鑒于很多公司都有文件服務(wù)器，并且文件服務(wù)器通常存儲著單位重要的機密信息。因此，也必須防止文件服務(wù)器文件泄密的行為，尤其服務(wù)器共享文件的訪問，一旦設(shè)置不當(dāng)將會造成共享文件的丟失、泄露，甚至損毀。

而服務(wù)器共享文件的保護，目前普遍采用操作系統(tǒng)的安全設(shè)置，或者通過Windows域控制器來實現(xiàn)，雖然可以起到一定的作用，但始終無法阻止用戶在讀取共享文件時復(fù)制共享文件內(nèi)容、打開共享文件后另存為本地磁盤的行為，或者在有修改共享文件的權(quán)限下刪除共享文件的行為。這就需要借助于一些共享文件權(quán)限設(shè)置軟件來實現(xiàn)。

這里筆者還是推薦大勢至公司的一款“大勢至局域網(wǎng)共享文件管理系統(tǒng)”（下載地址：http://www.grablan.com/gongxiangwenjianshenji.html），估計也是大勢至公司意識到，單純保護員工電腦文件安全，而對服務(wù)器文件缺乏保護的話，依然還是無法真正實現(xiàn)公司數(shù)據(jù)防泄密的目的。因此推出了這樣一款共享文件權(quán)限設(shè)置軟件。

大勢至局域網(wǎng)共享文件管理系統(tǒng)基于B/S架構(gòu)，在服務(wù)器上安裝之后，就可以掃描到當(dāng)前服務(wù)器所有共享文件夾和服務(wù)器上所有賬號，然后就可以為不同共享文件夾設(shè)置不同用戶的不同訪問權(quán)限，可以只讓讀取共享文件而禁止復(fù)制共享文件、只讓修改共享文件而禁止刪除共享文件、以及只讓打開共享文件而禁止另存為本地磁盤、禁止打印共享文件和禁止拖拽共享文件的行為等。如下圖所示：

圖：大勢至局域網(wǎng)共享文件管理系統(tǒng)

    總之，只有有效保護電腦文件安全和服務(wù)器共享文件的安全，才算真正實現(xiàn)保護電腦文件安全、防止數(shù)據(jù)泄密的目的。
 

最新評論