当前,电脑文件安全已经成为企业网络管理的重要内容。这是因为,无论是员工日常工作中形成的重要数据资料,还是单位的商业机密文件,常常以电脑文件的方式存储在员工的电脑,或者公司的文件服务器上,并且还常常通过共享服务器文件的方式允许员工访问,便于实现资源共享和协同办公。
公司局域网的上述文件存储方式,虽然方便了文件存储和保存,方便了工作。但也使得员工可以轻松通过各种方式将电脑文件、服务器共享文件泄露出去,从而给单位的文件安全、信息安全和商业机密构成了巨大的威胁。
一、电脑文件泄密、公司数据泄露的主要途径。
根据第三方统计,企业泄密事件的80%都是企业内部员工主动所为。因此,防止企业数据泄密也必须将视觉定格在防范内部员工泄密层面上来。而对于企业内部员工泄密行为,总结起来不外乎以下几个途径:
图:当前电脑文件泄密的主要途径
1、 通过U盘、移动硬盘、手机等带有USB存储功能的设备拷贝和存储电脑文件。
目前,U盘、移动硬盘和手机等存储空间越来越大,动辄几个G、几十G甚至上百G的存储空间,并且现在的USB存储设备的读写速度越来越快,可以短时间内拷贝大量文件存储到这些USB存储设备。同时,由于很多单位没有专门的禁用USB存储设备的举措和意识,工作中还时不时用到U盘、移动硬盘,员工也经常利用公司的电脑为手机充电(在充电时,可以将手机当做U盘使用),从而使得通过上述这些USB存储设备泄露电脑文件的行为极为普遍。
2、 通过邮件、网盘、FTP文件外发、QQ发送文件、微信发送文件、QQ群共享文件以及论坛、博客上传附件等。
当前,由于很多单位局域网的电脑都可以访问互联网,这使得员工即便不通过U盘等USB存储设备泄密,也可以轻松通过网络途径进行泄密,尤其是通过邮件附件、向网盘上传电脑文件、通过FTP向外发送文件、通过QQ发送文件、通过微信发送文件以及QQ群文件共享、论坛博客上传附件等方式泄露电脑文件。尤其是,现在网速越来越快,使得上传大量的文件也变得极为方便。事实上,通过网络途径泄露电脑文件已经成为当前电脑文件泄密、企业数据泄露的主要方式。
二、防止公司数据泄露、电脑资料防止泄密管控的思路
鉴于企业电脑文件泄密不外乎以上几种途径,因此防止公司数据泄露也应该从这几个方面入手。总体来说,又不外乎两种管理思路,一种是堵,一种是疏。具体来说,则应该从以下几个方面入手:
1、 从企业管理制度、企业机密文件保密制度等层面入手。
虽然很多企业也都建立了相应的企业保密制度,通常也都和员工签订了保密协议,很多企业管理者也意识到信息安全、商业机密泄漏的严重性,也纷纷采取各种举措来保护信息安全,防患未然。但是,作为企业的管理者,始终无法时时刻刻监督员工的日常工作行为,而员工素来具有“上有政策、下有对策”的心理,再加上目前泄露电脑文件的手段很多,一些很隐秘的泄密行为很难通过制度加以约束或制止,使得单纯依靠企业管理制度、员工保密协议无法有效杜绝员工泄露公司机密的行为。而必须在制度之外,通过一些技术手段加以限制。
2、 通过技术手段防止电脑文件泄密、防止公司数据泄露。
很多企业管理者和网络管理员也意识到,单纯依靠企业保密制度和员工保密协议,无法完全杜绝企业员工的泄密行为。因此,很多企业纷纷采用各种安全技术手段来加强电脑文件安全保护,防止各种途径泄密。而这种管理举措,通常也分为两个层面,一种是将电脑文件泄密的通道堵住,另外一种是采用一些电脑文件加密软件来对关键数据进行加密。
毋庸置疑,这两种方式都可以实现电脑文件安全防护,但企业究竟如何选择呢?到底是选择电脑文件防泄漏产品,还是电脑文件加密软件呢?这常常让很多企业网管人员无法抉择。
笔者从事网络管理工作多年,对电脑文件加密软件和电脑文件防泄漏系统都有一定的了解,也都实际应用过,分享经验如下:
1) 对于大多数企业来说,部署电脑文件防泄密产品一般都可以满足管理需要。
电脑文件防泄漏产品相对于电脑文件加密系统来说,具有更加安全、更加快捷、更加透明等优势。通俗地说,就是不改变文件的格式、访问方式和存储方式,也就是不会对文件本身做任何改动,而只是对可能泄露文件的通道进行管控。比如禁用USB存储设备、禁止网盘上传电脑文件、禁止QQ发送文件等,使得用户最终无法通过这些途径将电脑文件泄露出去。
目前,国内有很多电脑文件防泄漏产品,例如有一款“大势至电脑文件防泄密系统”(:http://www.grablan.com/monitorusb.html),只需要在电脑安装之后,就可以完全禁止U盘使用(允许使用指定的U盘)、只让从U盘向电脑复制文件而禁止从电脑向U盘拷贝文件,或者从电脑向USB存储设备复制文件必须输入密码,禁止网盘上传文件、禁止发送邮件(允许使用公司邮箱)、禁止QQ发送文件、禁止微信发送文件以及禁止FTP文件外发等,可以有效防止通过各种手段泄漏电脑文件。如下图所示:
图:大势至企业数据防泄漏系统
此外,系统集成了全面的电脑使用管理功能,防止通过修改注册表、组策略、设备管理器等操作系统关键位置而绕过系统监控的行为。同时,系统也集成了全面的自我防护功能,可以防止被员工或第三方软件影响或破坏。
2) 对于电脑文件加密系统来说,需要有非常专业的人员进行操作。
对于一些文件保护级别较高的用户来说,也可以考虑部署电脑文件加密系统。通过对电脑文件进行格式转换、加密隐藏或访问权限控制来加强电脑文件安全防护。比如,重要加密文件只能在公司电脑打开,一旦泄露出去则无法打开;或者,打开加密文件之前,需要经过一系列密钥认证操作等。虽然这些方式听起来可以进一步保护电脑文件安全。但是,由于文件加密过程需要改变文件原有的格式,同时访问操作这些文件也需要进行一系列的操作,这使得文件存在被损害的风险,尤其是电脑文件加密系统本身还不够成熟的情况下,容易导致加密后的文件无法解密或损毁的情况发生。因此,企业在部署之前一定要慎之又慎,准确选型。
同时,对于企业员工来说,通常由于都缺乏专门的IT知识,如果文件加密或解密过程的操作过于复杂,常常会导致加密或解密失败,增加了文件被损毁的风险。此外,过于复杂的系统会让一些员工也会有强烈的抵触心理,笔者曾经接触过一家单位,花了很多钱上线的文件加密系统,由于员工不会用或者抵触严重,最后弃之不用了,造成了投资的浪费,也没有实现电脑文件安全管理的目的。
3) 加强对服务器共享文件访问权限控制,防止拷贝共享文件、共享文件另存为的行为。
现在很多单位都有自己的文件服务器,通常会共享单位重要的文件让局域网用户访问,同时用户工作中形成的重要文件(如图纸资料、源代码、设计作品等)也常常存储在文件服务器上,并且用户常常具有共享文件的全部访问权限。这虽然方便了工作,但也使得共享文件也面临着重要的安全风险。
如何设置服务共享文件访问权限,实现局域网共享文件的安全管理,就成为局域网网络管理的另一个重要方面。具体如何实现呢?
方法1、通过利用操作系统的文件访问权限设置,并配合Windows域控制器来实现。
如果可以熟练掌握操作系统共享文件访问权限设置功能,同时还精通Windows AD域控制器的使用,则可以充分发挥操作系统和域控制器在共享文件权限设置方面的功能,可以很大程度上保护共享文件的安全。但对于很多单位来说,通过操作系统设置共享文件访问权限通常还算可以,但如果部署AD域控制器,则因为域控制器设置和使用的复杂而常常比较吃力。
此外,无论是通过操作系统文件访问权限设置,还是通过Windows域控制器都无法实现只让读取共享文件而禁止拷贝共享文件、只让打开共享文件而禁止另存为本地磁盘、只让修改共享文件而禁止删除共享文件,以及禁止拖拽共享文件等,从而无法真正保护共享文件的安全。
方法2、通过部署局域网共享文件权限设置软件、文件共享管理工具来实现。
如果你觉得通过Windows域控制器设置共享文件访问权限比较复杂,则也可以通过一些局域网共享权限设置软件来实现。
例如有一款“大势至局域网共享文件管理系统”(:http://www.grablan.com/gongxiangwenjianshenji.html),只需要在共享文件服务器上安装,就可以自动扫描到所有的共享文件以及服务器上所有的用户,然后就可以为不同用户设置共享文件夹不同的访问权限,尤其是可以实现只让读取共享文件而禁止拷贝共享文件、只让修改共享文件而禁止删除共享文件以及只让打开共享文件而禁止共享文件另存为本地磁盘,从而防止用户在访问共享文件时将共享文件存储到本地磁盘或破坏共享文件的行为,尤其是如果是直接删除共享文件,则通常都是彻底删除无法恢复的。如下图所示:
图:大势至局域网共享文件管理系统
总之,保护单位电脑文件安全、防止数据泄露,是当前企事业单位网络管理的重要环节。毕竟企业的电脑文件、无形资产和商业机密,是企业未来市场竞争的优势和法宝,一旦被泄密,不仅会给企业带来直接的经济损失和经营风险,甚至还关系到企业的生死存亡。
因此,企事业单位必须综合利用各种手段,全面加强电脑文件安全管理和服务器共享文件管理,严防各种数据和信息泄密行为。同时,在实现公司数据防泄密、企业文件防泄密的过程中也要注意过犹不及、弄巧成拙,防止过度的电脑文件安全管理而产生负面的影响,背离了保护电脑文件安全、实现电脑文件防泄密的目的。