解决企业数据安全管理内忧外患之道

2013-10-16 17:48:13 EP电力信息化网　点击量：评论 (0)

在现代企业中，大量的数据被数字化。企业最重要的财务数据使用财务软件进行管理，这些数据以数字信息的形式保存在数据库系统中。市场分析、销售情况、客户关系信息等都使用电子表格软件形式进行修改和存档。而设

在现代企业中，大量的数据被数字化。企业最重要的财务数据使用财务软件进行管理，这些数据以数字信息的形式保存在数据库系统中。市场分析、销售情况、客户关系信息等都使用电子表格软件形式进行修改和存档。而设计图纸、试验数据、重要人员安排等信息则被制作成电子文档。这些信息被数字化后，却产生了与传统文档不一样的问题－数字文档容易复制，且不容易发现复制痕迹。于是数据安全管理成为了企业迫切的需求。企业数据信息的任何失误，不但将给企业带来巨大的经济损失，而且还会影响企业的声誉，降低企业的竞争力，导致企业的市场份额，收入和市值迅速流失。企业机密数据信息一旦泄露，轻则使该机构的竞争能力下降，重则事关一个机构的生死存亡。

数字资产安全管理现状

数字信息的载体电子文档的安全直接影响着数字信息的安全。电子文档的特点导致了它的安全风险大大超过传统纸质文档。在它的方便携带性的背后是容易被非法复制。为了解决它的安全问题，业界进行了很多尝试，例如：

1．电子水印

很多机构的机密电子文档中都增加了电子水印标记。当这些电子文档被非法复制出去后，如果有机会在对手处取证到这些文档，可以根据电子文档中水印标记判定这些文档的原始属主，从而依靠法律手段进行维权。但这些都是事后的，信息泄露的严重后查已经产生，你已经为这次泄露付出了沉重代价。亡羊补牢之举于事无补。

2．简单的口令保护

好多机构意识到了这些问题，他们使用了文档处理软件提供的简单保护功能。传统的办公软件提供了打开口令，修改口令等手段进行文档的简单保护。但是大家忽略的一点是：这些软件的口令保护都是基于弱加密的，网络上有很多软件可以轻易地破解它们的密码。这些口令形同虚设。

3．基于权限的OA系统

为了提供数字文档和安全性和办公方便性，好多机构使用了OA系统。OA系统具有一定的权限保护功能，只能在进行合法身法验证后你才可以的登录进去拿到文档。这在一定程度上提高了安全性。但是，这样的权限系统是很脆弱的。后面的文档没有经过处理，只要能突破OA的权限系统就可以轻易访问这些文件。这就好像档案室，只把门窗锁住，但却忘了锁住保险柜，这样的防护只能起到防君子不防小人的作用。

4．内部主动泄密

外部的安全威胁还处于可预见的位置。内部的安全威胁则防不胜防。任何一个可以接触机密信息的人都是不可信任的。移动存贮设备无处不在，MP3、U盘、笔记本的红外传输设备，蓝牙传输设备都为文档的外泄提供了可能的途径。用一个小小的U盘就可以把企业的机密传输到竞争对手手里。

5．木马/后门盗窃文档

在互联网高度发达的现在，木马/后门程序无处不在。大量为了经济目的的木马程序正在你的机器中监视着你的一举一动，而且可以轻易地将你的重要文档传输到竞争对手手里。最有名的事件是著名的游戏《地狱之门－伦敦》的源码被一个中国黑客偷盗出来，这可是足足有几个G容量的代码和游戏素材。

6．外部协作

当你和合作伙伴协作时，为了便于他们对文档的访问，你只能给它不加任何口令的明文。此时，文档在合作伙伴手中，限于安全管理水平，你的文档可能处于完全无保护状态。此时我们还会安心吗？

企业目前解决方案

1．杀毒软件

用杀毒软件解决木马/后门程序等造成的信息泄露。杀毒软件的工作原因是先截获到木马样本，然后分析提取特征码，再分发到用户机器上。由于杀毒软件这种工作原理的滞后性，很有可能在你的信息被盗后，才查找到这个木马程序的存在。

2．防火墙

防火墙可以解决一部分知名木马/后门程序的问题。你可以在防火墙上挡住木马的通讯端口来解决这类问题。但是，由于木马层出不穷，不可能完全阻挡住木马的攻击。而且有一部分木马使用现有的端口，例如：访问网站的80端口，甚至使用无端口的其它通讯方式，使你防不胜防。

3．文档口令

文档口令在一定方式上解决了木马问题。但是，这样使用起来极不安全。而且由于前面的描述，文档口令可以被很轻易地破解，使这样的手段的效果大打折扣。

4．内网管理（防水墙）软件

好多公司部署了此类软件。此类软件可以解决网络传输，U盘拷贝等问题。但是极大地影响了办公环境的舒适性。还会导致上网不方便。传输非限制文档时极为不方便，大大影响办公效率和使用习惯。这样也解决不了未授权的内部用户访问机密电子文档而产生的泄密的可能。

5．加密软件

好多机构为了解决这些问题，使用了加密软件。加密软件确实在一定程序了解决了这些问题。未授权用户或通过木马/后门程序拿到了这些文档后，因为没有加密密钥，无法打开文档。用户使用时，先对文档进行解密(此时为明文，产生安全风险)，然后使用。使用完成后再加密该文档。这种方法看似安全，但由于中间有解密环节，而且使用前需要解密，使用后需要加密，这就导致了使用不便和安全风险的问题。试想一下，如果在使用完成后忘记了加密回去，会有什么后果？[JF:Page]

数据安全管理新方向

针对以上分析，我们希望能够找到一种更为适合企业机密信息安全管理的解决方案。文档的整个生命周期，从产生、修改、到最后销毁都处于加密状态。绝不给对手留下任何可获取你机密信息的机会。就算对手拿到你的文档，也是完全加密状态的。

1．方便易用

要方便易用，主要的就是要不影响用户现在的使用习惯。让用户按照平常的使用习惯使用计算机，在使用的过程中无缝地进行加密处理。让用户感觉不到加密过程的存在。

2．方便外部协作

当文档要发送给外部合作伙伴时，依然处于只读或受控形式的加密状态。文档不能被轻易的复制和分发。即使第三方拿到你的文档，依然无法打开使用。

3．内部权限管理

文档可以精确控制可访问用户。当没有权限访问的用户拿到文档时，却不能打开。而且在授权过程中，只需要作尽量少的附加操作，不改变用户的使用习惯。

4．完整的操作日志

在加密文档，文档授权，外部协作时，要有完整的操作日志，便于事后审计。

5．文档可靠性

保证在无论何种情况下，只要是授权用户就可以打开文档，保证文档的完整性和可靠性。不会因为意外的事件而导致你的文档损毁。