全国统一热线:0510-8299-0098 186-2606-5965 |
如果安全有效的管理企业文件?
网络的普及让信息的获取、共享和传播更加方便,同时也增加了重要信息泄密的风险。调查显示:有超过85%的安全威胁来自组织内部,有16%来自内部未授权的存取,各种安全漏洞造成的损失中,30%-40%是由电子文件的泄露造成的,而在Fortune排名前1000家的公司中,每次电子文件泄露所造成的损失平均是50万美元。如何解决在网络互连互通的情况下,交换信息的同时,加强网络内部的安全,防止企业的关键数据从网络流失就成为网络安全领域内一个重要的课题。大中型企业如何在享受互联网所带来的便利以及高效率的工作的同时保护自身企业重要信息资源,防止泄密给竞争对手,保证自身在行业中的地位,文档安全管理至关重要的。文档的安全管理不仅需要提高企业自身的网络安全意识、建立一系列文档安全管理规则,更重要的是应用功能完善的文档保护系统从计算机内部彻底地对重要资料进行安全管理。
从现状分析而知,如果要改善现有的竞争性情报管理模式,首先需要树立安全保密的意识,然后制订针对电子信息保密的规范,并且在日常中贯彻执行。
在讨论如何实施才能防止出现情报泄漏之前,我们先讨论成功实施情报安全管理的关键要素,只有这样,一切的行为活动才能达到效果:
1)明确商务目标的安全方针、目标和活动:围绕着竞争性情报安全保障这个目标,通过各种行为、活动达到目标;
2)实施方式要与组织文化一致:企业的文化要融入安全管理中。从集团的CI理念、公司使命、经营理念和核心价值观的认识入手,指导我们的实施方法;
3)来自管理层的有形支持和承诺:需要一把手或指定的安全管理负责人全力负责项目实施,监督。从而让制订的政策、使用的工具能深入到集团的各个角落,使大家充分认可,充分参与;
4)对安全要求、风险评估和风险管理的良好理解:对竞争性情报资产要有明确的认识,不要盲目的扩大安全范畴,加大管理复杂性,也不要有所遗漏;
5)向所有管理者及员工推行安全意识:意识到位,才能很好的遵守各项制度、程序;
6)向所有员工和合作伙伴分发有关信息安全方针和标准的导则:让所有参与者知道工作方式;
7)提供适当的培训和教育:对领导层、对员工都要有相应的、有针对性的培训教育,使得大家接受这套管理体系;
8)用于评价信息安全管理绩效及反馈改进建议的综合平衡的测量系统;通过测量系统才能验证投资获得了应有的回报。
对策及方法
从现状分析而知,如果要改善现有的竞争性情报管理模式,首先需要树立安全保密的意识,然后制订针对电子信息保密的规范,并且在日常中贯彻执行。
我们既要有完整的、可靠的信息安全理论指导我们的方向,也要有经过验证的、实用的方案实现我们的想法,下面将分别介绍所遵循的体系及使用的方案。
体系理论
我们参考BS7799信息安全管理标准,执行PDCA的持续改进的管理模式为大中型企业提供情报安全保护。
图表 3 BS7799的PDCA模型
根据ISMS(信息安全管理体系),我们在计划(Plan)阶段通过风险评估来了解安全需求,然后根据需求设计解决方案;在实施(Do)阶段将解决方案付诸实现;解决方案是否有效?是否有新的变化?应该在检查(Check)阶段予以监视和审查;一旦发现问题,需要在措施(Act)阶段予以解决,以便改进ISMS。
此处不过多介绍理论知识,如想深入理解,请查询相关的BS7799书籍。
安全漏洞理想的解决方案
文档加密保存
“企业内部情报信息一定要加密保存”是文档安全保护的首要条件。只要是明文保存文件,无论运用任何手段进行防范,同样会泄密。泄密的方式多种多样,不法分子获取商业机密的手段更是多种多样,我们防不胜防。所以治本的方法就是对情报信息加密,使得拿到也没用。
权限实时控制
文档做成就必须要给别人看,给别人用。为了避免将资料交给对方后就再也不能控制信息资料的使用方式,可以对用户的权限加以控制。例如:设定哪些人可以浏览哪些文件、可以打印文件、保存文件,设定文件使用时效,用户可以浏览、打印的次数或时间范围,禁止用户屏幕拷贝、使用其它辅助软件录屏、拷屏,限制用户阅读条件如:指定机器,IP区域限制。这样,既保证文档在共享状态下的安全使用,又可以完全控制文档的使用权限,有效防止电子文档的非法传播,即使传播出去,也不能看。
时间期限控制
控制文档的使用时间是文档安全管理重要的一部分。通常将文档分发出去后,接受方就永远拥有此文档的所有权,随时可以使用资料。对文档使用时间加以控制,例如员工离职后,文件使用到期,即使拥有此文件也不能用。与合作伙伴协同工作完成后,合作伙伴无法将原有的资料用于其他项目。能够随时随地控制文件的使用期限,根据实际情况追加使用时间或缩短期限收回文件。
可靠的用户认证
身份认证是整个信息安全体系的基础,身份认证不仅定义用户是谁,而且把“谁”与“什么”直接联系在一起。例如用户在组织中的角色是什么?用户需要访问什么资源和信息?他/她能够对信息进行什么操作,不能进行什么操作?身份认证提供了一个整体视图,使企业的策略和流程一致地应用于整个企业当中。
l 身份认证能够密切结合企业的业务流程,阻止对重要资源的非法访问。
l 身份认证可以用于解决访问者的物理身份和数字身份的一致性问题,给其他安全技术提供权限管理的依据。
建立信息安全体系的目的就是要保证存储在计算机及网络系统中的数据只能够被有权操作的人访问,所有未被授权的人无法访问到这些数据。这里说的是对“人”的权限的控制,即对操作者物理身份的权限控制。文件加密软件不论安全性要求多高的数据,它存在就必然要有相对应的授权人可以访问它,否则,保存一个任何人都无权访问的数据有什么意义?然而,如果没有有效的身份认证手段,这个有权访问者的身份就很容易被伪造,那么,不论投入再大的资金,建立的再坚固安全防范体系都形同虚设。就好像我们建造了一座非常结实的保险库,安装了非常坚固的大门,却没有安装门锁一样。所以身份认证是整个信息安全体系的基础,是信息安全的第一道关隘。
在网络环境中,很难确定网络的另一端就是我们所期望的用户。如果我们在应用服务器之前安装认证服务器,而认证服务器主要负责身份认证。当认证服务器认证通过以后,将信息通知到后台的应用系统。后台应用系统将此用户的权限返回给客户端,用户可以按照相应权限进行操作。也就是说当用户使用文档时,在线通过身份验证获取使用权限,保证了文档的安全使用。
全维日志追踪
能够监督、跟踪、记录所有用户的全部操作,实时查看系统的使用情况,实现最高的系统安全。可以从庞大的记录数据中抽取有用的信息,对用户的某些操作进行分类整理,通过操作记录,回溯历史活动,从而发现泄密渠道。通过跟踪目前用户操作,能及时发现用户的危险操作,在泄密事件发现前就获得警报,制止泄密事件的发生。一旦泄密事件发生,通过用户操作记录, 可以第一时间拿出最有力的证据。
仅拥有以上功能的安全管理系统还不足以满足现代化企业对文档安全管理的要求。在实际工作中,各企业、一个企业中不同部门对安全管理的要求都不尽相同。这就需要一款不仅是功能强大,而且要功能全面,能够应用于不同领域中的文档安全管理系统。除了能够解决一些常见的安全漏洞问题,对于一些文档安全的基本功能同样要满足,例如:
n 能够无任何数据损失地还原为源文件;
n 对做成文件有绝对控制权,防止二次泄密;
n 支持所有通用文件格式;
n 支持所有流行的操作系统;
n 客户端适用于多种平台;
n 加密文件可通过所有文件传输方式分发;
n 系统符合信息保护与管理法规。
