当前,企业商业机密保护的形势越发严峻,企业泄密事件屡有发生,给企业带来严重的经济损失和法律风险。这一方面是因为当前企业涉密文件常常以电子文件的形式存储在单位局域网员工的电脑上,这使得员工可以轻松将这些机密信息泄露出去;另一方面,U盘、移动硬盘等USB存储设备的广泛流行,加上网盘、邮件、FTP发送文件和QQ发送文件等网络应用数不胜数,这都进一步为企业泄密行为的发生提供了“便利”条件。
一、数据泄露的主要威胁
电子文档多以明文方式存储在计算机硬盘中,分发出去的文档无法控制,极大的增加了管理的复杂程度。影响文档安全的因素很多,既有自然因素,也有人为因素,其中人为因素危害较大,归结起来,按照对电子信息的使用密级程度和传播方式的不同,我们将信息泄密的途径简单归纳为如下几方面:
1.通过U盘、移动硬盘等USB存储设备泄密的行为。
这主要是员工利用U盘、移动硬盘等USB存储设备复制电脑文件的泄密行为;同时,现在手机存储空间很大,一些员工通过将手机连接电脑充电的同时,也可以轻松将电脑大量文件复制到手机的存储空间里面。
2.网盘、邮件、FTP文件上传和QQ发送文件等方式泄密
现在邮件可以轻松发送几个G的附件,网盘则动辄也有几十G的存储空间,再加上QQ发送文件、微信发送文件、FTP发送文件等方式,可以轻松将电脑文件通过网络发送出去,从而达到泄密的目的。
3.存储介质泄密(维修、报废、丢失等)
便携机器、存储介质的丢失、报废、维修、遭窃等常见的事件,同样会给企业带来极大的损失,在监管力量无法到达的场合,泄密无法避免。
4.内部工作人员泄密(违反规章制度泄密、无意识泄密、故意泄密等)
目前由于内部人员行为所导致的泄密事故占总泄密事故的70%以上,内部人员的主动泄密是目前各企业普遍关注的问题,通过管理制度规范、访问控制约束再加上一定的审计手段威慑等防护措施,能很大程度的降低内部泄密风险,但是,对于终端由个人灵活掌控的今天,这种防护手段依然存在很大的缺陷,终端信息一旦脱离企业内部环境,泄密依然存在。
5.外部窃密
国家机密、军事机密往往被国外间谍觊觎,商业机密具备巨大的商业价值,往往被竞争对手关注。自古以来对机密信息的保护,都不可避免以防止竞争对手窃密作为首要目标。
二、如何防止公司数据泄密、防止企业文件泄密?
对于一般企业而言,需要从以下两个维度进行管控和防御。
首先,防止员工电脑通过U盘、移动硬盘和各种网络应用泄密的行为。
这主要是对员工使用USB存储设备的行为进行管控,以及对员工网络应用进行控制,需要借助一些电脑文件防泄密软件来实现。例如有一款“大势至电脑文件防泄密系统”(下载地址:http://www.grablan.com/monitorusb.html)。通过这个软件,可以完全禁用U盘、禁用USB存储设备,或者可以只让使用特定U盘、只让使用某些U盘;或者只让从U盘向电脑复制文件而禁止从电脑向U盘复制文件,从而防止USB存储设备泄密,也可以实现在一定情况下发挥USB存储设备的便利。如下图所示:
图:大势至电脑文件防泄密软件
此外,通过本系统还可以禁止电脑发送邮件,或者只让电脑收邮件而禁止发送邮件;禁止网盘使用;禁止QQ传文件、禁止微信传文件以及禁止FTP文件上传等,从而保护了电脑文件安全。
其次,保护服务器共享文件安全,防止共享文件泄密的行为。
由于很多单位都有文件服务器,并且经常将单位的重要文件存储在文件服务器上。同时为了大家协同工作,还常常将共享文件设置较高的访问权限。这样虽然方便了员工工作,但也共享文件泄密埋下了风险。一旦员工将服务器共享文件复制到本地磁盘,或者另存为本地磁盘,或者拖拽到本地磁盘,就可以轻松通过各种方式将共享文件发送出去了。因此,必须设置共享文件访问权限,防止越权访问共享文件的行为。
但由于操作系统一旦开放了共享文件读取权限就意味着用户可以轻松复制共享文件、轻松将共享文件另存为本地磁盘,甚至直接拖动共享文件到访问者自己的电脑。并且,上述访问行为,通过WindowsAD域控制器也无法实现。这就必须借助一些专门的服务器共享文件权限设置软件来实现。
但目前国内缺乏相应的共享文件管理软件。笔者知道有一款“大势至局域网共享文件管理系统”(下载地址:http://www.grablan.com/gongxiangwenjianshenji.html),可以实现相应的共享文件权限管理功能。只需要在服务器上安装,就可以扫描到服务器所有共享文件,以及服务器上所有账号,然后就可以设置共享文件访问权限了。通过本系统不仅可以实现操作系统所有的文件权限设置功能,而且还可以实现只让读取共享文件而禁止复制共享文件、只让修改共享文件而禁止删除共享文件、只让打开共享文件而禁止另存为本地磁盘,以及禁止拖拽共享文件等,从而保护了服务器共享文件的安全。如下图所示:
图:大势至文件共享管理软件 总之,公司文件防止泄密、企业文件防止泄露的实现,一方面需要充分熟悉员工各种可能的泄密通道;另一方面也需要配合相应的软件或技术手段来实现,只有这样才能最大限度保护电脑文件安全的目的。
