當(dāng)前，企業(yè)商業(yè)機密保護(hù)的形勢越發(fā)嚴(yán)峻，企業(yè)泄密事件屢有發(fā)生，給企業(yè)帶來嚴(yán)重的經(jīng)濟(jì)損失和法律風(fēng)險。這一方面是因為當(dāng)前企業(yè)涉密文件常常以電子文件的形式存儲在單位局域網(wǎng)員工的電腦上，這使得員工可以輕松將這些機密信息泄露出去；另一方面，U盤、移動硬盤等USB存儲設(shè)備的廣泛流行，加上網(wǎng)盤、郵件、FTP發(fā)送文件和QQ發(fā)送文件等網(wǎng)絡(luò)應(yīng)用數(shù)不勝數(shù)，這都進(jìn)一步為企業(yè)泄密行為的發(fā)生提供了“便利”條件。

一、數(shù)據(jù)泄露的主要威脅

電子文檔多以明文方式存儲在計算機硬盤中，分發(fā)出去的文檔無法控制，極大的增加了管理的復(fù)雜程度。影響文檔安全的因素很多，既有自然因素，也有人為因素，其中人為因素危害較大，歸結(jié)起來，按照對電子信息的使用密級程度和傳播方式的不同，我們將信息泄密的途徑簡單歸納為如下幾方面：

1.通過U盤、移動硬盤等USB存儲設(shè)備泄密的行為。

這主要是員工利用U盤、移動硬盤等USB存儲設(shè)備復(fù)制電腦文件的泄密行為；同時，現(xiàn)在手機存儲空間很大，一些員工通過將手機連接電腦充電的同時，也可以輕松將電腦大量文件復(fù)制到手機的存儲空間里面。

2.網(wǎng)盤、郵件、FTP文件上傳和QQ發(fā)送文件等方式泄密

現(xiàn)在郵件可以輕松發(fā)送幾個G的附件，網(wǎng)盤則動輒也有幾十G的存儲空間，再加上QQ發(fā)送文件、微信發(fā)送文件、FTP發(fā)送文件等方式，可以輕松將電腦文件通過網(wǎng)絡(luò)發(fā)送出去，從而達(dá)到泄密的目的。

3.存儲介質(zhì)泄密(維修、報廢、丟失等)

便攜機器、存儲介質(zhì)的丟失、報廢、維修、遭竊等常見的事件，同樣會給企業(yè)帶來極大的損失，在監(jiān)管力量無法到達(dá)的場合，泄密無法避免。

4.內(nèi)部工作人員泄密(違反規(guī)章制度泄密、無意識泄密、故意泄密等)

目前由于內(nèi)部人員行為所導(dǎo)致的泄密事故占總泄密事故的70%以上，內(nèi)部人員的主動泄密是目前各企業(yè)普遍關(guān)注的問題，通過管理制度規(guī)范、訪問控制約束再加上一定的審計手段威懾等防護(hù)措施，能很大程度的降低內(nèi)部泄密風(fēng)險，但是，對于終端由個人靈活掌控的今天，這種防護(hù)手段依然存在很大的缺陷，終端信息一旦脫離企業(yè)內(nèi)部環(huán)境，泄密依然存在。

5.外部竊密

國家機密、軍事機密往往被國外間諜覬覦，商業(yè)機密具備巨大的商業(yè)價值，往往被競爭對手關(guān)注。自古以來對機密信息的保護(hù)，都不可避免以防止競爭對手竊密作為首要目標(biāo)。

二、如何防止公司數(shù)據(jù)泄密、防止企業(yè)文件泄密？

對于一般企業(yè)而言，需要從以下兩個維度進(jìn)行管控和防御。

首先，防止員工電腦通過U盤、移動硬盤和各種網(wǎng)絡(luò)應(yīng)用泄密的行為。

這主要是對員工使用USB存儲設(shè)備的行為進(jìn)行管控，以及對員工網(wǎng)絡(luò)應(yīng)用進(jìn)行控制，需要借助一些電腦文件防泄密軟件來實現(xiàn)。例如有一款“大勢至電腦文件防泄密系統(tǒng)”（下載地址：http://www.grablan.com/monitorusb.html）。通過這個軟件，可以完全禁用U盤、禁用USB存儲設(shè)備，或者可以只讓使用特定U盤、只讓使用某些U盤；或者只讓從U盤向電腦復(fù)制文件而禁止從電腦向U盤復(fù)制文件，從而防止USB存儲設(shè)備泄密，也可以實現(xiàn)在一定情況下發(fā)揮USB存儲設(shè)備的便利。如下圖所示：

圖：大勢至電腦文件防泄密軟件

此外，通過本系統(tǒng)還可以禁止電腦發(fā)送郵件，或者只讓電腦收郵件而禁止發(fā)送郵件；禁止網(wǎng)盤使用；禁止QQ傳文件、禁止微信傳文件以及禁止FTP文件上傳等，從而保護(hù)了電腦文件安全。

其次，保護(hù)服務(wù)器共享文件安全，防止共享文件泄密的行為。

由于很多單位都有文件服務(wù)器，并且經(jīng)常將單位的重要文件存儲在文件服務(wù)器上。同時為了大家協(xié)同工作，還常常將共享文件設(shè)置較高的訪問權(quán)限。這樣雖然方便了員工工作，但也共享文件泄密埋下了風(fēng)險。一旦員工將服務(wù)器共享文件復(fù)制到本地磁盤，或者另存為本地磁盤，或者拖拽到本地磁盤，就可以輕松通過各種方式將共享文件發(fā)送出去了。因此，必須設(shè)置共享文件訪問權(quán)限，防止越權(quán)訪問共享文件的行為。

但由于操作系統(tǒng)一旦開放了共享文件讀取權(quán)限就意味著用戶可以輕松復(fù)制共享文件、輕松將共享文件另存為本地磁盤，甚至直接拖動共享文件到訪問者自己的電腦。并且，上述訪問行為，通過WindowsAD域控制器也無法實現(xiàn)。這就必須借助一些專門的服務(wù)器共享文件權(quán)限設(shè)置軟件來實現(xiàn)。

但目前國內(nèi)缺乏相應(yīng)的共享文件管理軟件。筆者知道有一款“大勢至局域網(wǎng)共享文件管理系統(tǒng)”（下載地址：http://www.grablan.com/gongxiangwenjianshenji.html），可以實現(xiàn)相應(yīng)的共享文件權(quán)限管理功能。只需要在服務(wù)器上安裝，就可以掃描到服務(wù)器所有共享文件，以及服務(wù)器上所有賬號，然后就可以設(shè)置共享文件訪問權(quán)限了。通過本系統(tǒng)不僅可以實現(xiàn)操作系統(tǒng)所有的文件權(quán)限設(shè)置功能，而且還可以實現(xiàn)只讓讀取共享文件而禁止復(fù)制共享文件、只讓修改共享文件而禁止刪除共享文件、只讓打開共享文件而禁止另存為本地磁盤，以及禁止拖拽共享文件等，從而保護(hù)了服務(wù)器共享文件的安全。如下圖所示： 

 圖：大勢至文件共享管理軟件 總之，公司文件防止泄密、企業(yè)文件防止泄露的實現(xiàn)，一方面需要充分熟悉員工各種可能的泄密通道；另一方面也需要配合相應(yīng)的軟件或技術(shù)手段來實現(xiàn)，只有這樣才能最大限度保護(hù)電腦文件安全的目的。

最新評論