企業電子文檔安全管理分析

盧亦俊

【摘 要】隨著信息技術的迅猛發展，企業核心數據以電子文檔形式泄露的問題也愈來愈嚴重，給企業的發展帶來了很大的威脅，本文針對企業電子文檔的安全管理做了一些分析研究。

【關鍵詞】電子文檔安全管理；文檔加密

0 引言

隨著計算機技術在企業的大規模普及應用，企業的核心機密信息、代表企業知識產權和核心競爭力的研發圖紙、設計資料、技術機密、客戶資料，以及財務數據、報表等均以電子文檔形式存在，如果管理不善，這些電子文檔很容易傳播和丟失。計算機泄密行為在信息技術發展的同時呈現上升趨勢，企業中信息數據的泄露與丟失問題也愈來愈嚴重，給企業的數據安全帶來了很大的威脅。據有關調查顯示，企業機密泄露中30%～40%是由電子文件的泄露造成，一個惡意的核心機密泄露事件往往會給企業造成不可估量的損失，嚴重影響企業的發展。

1 電子文檔泄漏的途徑

造成企業數據泄露的原因很多，如黑客、木馬、病毒等的入侵、員工無意或故意泄密、員工離職拷貝帶走數據、存儲設備丟失導致泄密、對外信息發布失控、外部惡意竊密等。企業內部電子文檔外泄的方式主要有以下幾種：

1）拷貝復制：通過軟盤、U 盤、硬盤、刻錄機、光驅、移動硬盤等存儲設備泄密；

2）數據共享：文件設成共享，通過網絡環境，直接訪問和下載；

3）黑客竊密：黑客利用技術手段進入計算機直接竊取各種重要信息；

4）利用互聯網，通過郵件、網絡通訊工具、FTP等泄密[1]；

5）通過計算機端口、紅外線、調制解調器、藍牙等通訊設備泄密。

2 電子文檔安全管理措施

據調查，國內企業對電子文擋很少采取保護措施，有保護的不到3%，一些機密的電子文件資料輕易就可以通過U盤、移動硬盤、電子郵件和網絡通訊工具等途徑泄密。

企業保障內部電子文檔安全的方法主要有：

2.1 設置防火墻、入侵檢測、防病毒等防護系統

這些系統只能解決來自企業外部的安全威脅，不能解決內部人員通過網絡、U盤、移動硬盤把電子文檔進行傳播的問題。

2.2 采用禁用USB接口，拆除光驅軟驅，限制上網等方法來控制文件的外傳

這些方法都嚴重影響工作的方便性，并容易觸發員工的抵觸情緒。事實證明這種方法的效果并不好，重要的文件依舊會被泄漏出去。

2.3 使用文檔加密軟件

目前，文檔加密產品主要分兩大類：一類是采用文檔格式轉換加密；另一類是自動透明加解密。

1）文檔格式轉換加密產品可以控制文檔的只讀、編輯、打印、閱讀次數等屬性，但是文檔的加密與否是由用戶自己決定，只能對文檔的傳播途徑進行防范，在技術和應用方面存在一定的局限。[2]

2）自動透明加解密產品則利用動態加解密技術，采取智能化思想和靈活的安全策略對文檔生成和傳播的整個過程進行保護，在不改變用戶使用習慣和原文件格式的前提下實現文檔的安全共享，能有效防止用戶通過電子郵件、移動設備、復制、 剪切、拖拽，打印、截屏等途徑泄密重要數據，是市場發展的主流。采用這種產品，在正常使用時，計算機內存中的文件是以明文形式存放的，但硬盤上保存的數據卻是加密狀態，如果沒有合法的身份、訪問權限和正確的安全通道，所有重要的文件都是以密文狀態保存。對于非法得到的未經解密的文檔，打開后也只是亂碼文件，確保了數據無論何時、何地、何種狀態下都處于安全狀態，做到“事前防御、事中控制、事后追溯”。這種產品能保證數據的機密性，同時又能在企業內部實現數據共享和交換。

以上各種安全措施各有利弊，相對來說，自動透明加解密產品較好。企業應根據自身的實際情況采取相應的安全措施，有條件的話，可采取多種措施相結合的辦法，這樣才能更好地保證企業電子文檔的安全。

3 加密軟件的實施

目前，越來越多的企業在了解了加密軟件的應用價值后也準備在企業內部進行部署。加密軟件的實施涉及面廣，既要考慮安全性，又要考慮方便性，影響因素很多，下面就加密軟件實施的要點做一些分析。

3.1 選擇合適的加密軟件廠商

目前，加密軟件市場是種類繁多，給企業選擇造成一定的難度。由于數據安全產品直接涉及到日常辦公和核心數據的安全，在選擇時需要特別謹慎，應當從數據安全廠商的研發實力，軟件的功能性、安全性、穩定性、兼容性和易用性等方面綜合考慮。企業應仔細甄別，千萬不要選產品不可靠，沒有研發實力，無售后保障的產品。

1）要有資質，“涉密信息系統產品檢測證書”、“商用密碼產品銷售許可證”、“計算機信息系統安全專用產品銷售許可證”和“軟件產品登記證書”等資質證書是必須要有的。

2）要測試產品的性能?？梢源罱ōh境測試軟件的安全性和穩定性，測試加密軟件與企業用到的管理軟件（如OA、殺毒等軟件等）和應用軟件（如各種CAD軟件）的兼容情況，測試軟件的各種功能（如加解密功能、外發管理、U盤管理、復制、截屏等），觀察有無藍屏和死機現象，有無打不開和破壞文件的情況。

3）軟件操作要簡單，容易上手。軟件要容易操作，人機對話環境要好。軟件操作簡單不等于軟件簡單，軟件要求有比較強大的功能的。

4）要了解加密軟件廠商有無本地用戶，有無同行業的用戶，有條件的話可以去這些案例企業了解軟件的應用狀況。

3.2 加密范圍要適度

企業在確定加密文件類型的時候一定要注意：只有企業重要的、核心的資料及文檔才需要加密。加密文件類型不宜過多，過多容易造成工作不便，影響工作效率，甚至有可能影響到計算機的正常運行。

3.3 領導重視

領導重視并支持也是加密軟件成功實施的重要因素。企業領導層對加密軟件要有正確的認識。需要管控的企業核心電子文檔在企業內部交流不受影響，外發就需要領導層進行授權或審批，未經解密的管控文檔在企業外部是無法使用的，有效地保護了企業內部核心重要文檔的安全。這樣就會影響到一些人的利益，從而阻撓加密軟件的實施，這時就需要領導的大力支持，否則加密軟件很難順利實施。領導自身也應嚴格執行企業電子文檔安全管理的相關規定，給員工做好表率。

3.4 員工的引導和培訓

做好對員工的引導和培訓，讓企業員工要理解加密軟件的意義。由于加密軟件的管控，未經解密的文件脫離企業加密環境無法使用，正常的對外交流會增加一個審批的流程，改變了員工原有的工作方式。而要適應新的工作方式需要一個過程，因此員工很容易產生抵觸情緒，影響工作。這就需要企業在內部加強信息安全管理的宣傳培訓，強調個人利益要服從企業整體利益。

3.5 建立健全數據安全管理制度

企業只有建立健全科學完善的數據安全管理制度以及運行操作規程，采取真正有效的數據安全防護技術，才能在激烈的信息競爭中占據一席之地。企業內部電子文檔安全管理要立足于終端，從源頭抓起，才能從根本上解決電子文檔的安全問題，真正有效地滿足企業安全管理的迫切需求。沒有科學合理的管理手段，加密軟件的實施很難取得成功。

4 結語

在全球信息化浪潮不斷推進的今天，企業采取必要的措施對核心數據進行保護，為企業的核心競爭力保駕護航，是刻不容緩。采用加密軟件就是其中一項有力的措施。實施加密軟件是一項系統工程，涉及到的內容很廣，影響的因素也很多，涉及到電腦、網絡、文檔資料、工作流程、管理制度等多個方面，需要企業從實際需求出發，以企業自身條件為基礎，循序漸進，才能取得較好的效果。

【參考文獻】

[1]蔣克美.企業電子文檔安全解決方案[J].經濟視野，2012（7）.

[2]杭州恒興洛克.文檔加密類產品的選擇[J].信息安全與通信保密， 2008（6）：37-38.