隨著信息技術(shù)的飛速發(fā)展，對一個企業(yè)而言，來自外部的病毒、木馬、網(wǎng)絡(luò)攻擊等種種網(wǎng)絡(luò)安全威脅我們可以用防火墻，準(zhǔn)入技術(shù)等來進(jìn)行篩查和控制。但來自企業(yè)內(nèi)部的數(shù)據(jù)泄露更是一個需要重視的問題。由于商業(yè)社會的競爭日趨激烈，企業(yè)研發(fā)數(shù)據(jù)、生產(chǎn)數(shù)據(jù)、財務(wù)數(shù)據(jù)、客戶數(shù)據(jù)、人力資源數(shù)據(jù)等核心信息是關(guān)系企業(yè)生存與發(fā)展的命脈。企業(yè)內(nèi)部監(jiān)管手段的薄弱以及安全管理體系的缺乏都會給信息泄露有可乘之機(jī)。一旦有機(jī)密數(shù)據(jù)或者信息資產(chǎn)泄密，帶來的損失和深遠(yuǎn)影響，將無可計量。因此一套健全的企業(yè)信息安全管理制度，一個適合企業(yè)生產(chǎn)運營的數(shù)據(jù)防泄露系統(tǒng)的建立是至關(guān)重要的。

1 信息安全管理

    1.1 建立信息安全管理制度。

    在企業(yè)的任何一個信息系統(tǒng)的落地實施過程中，技術(shù)手段再強(qiáng)大的系統(tǒng)，沒有與之相關(guān)的管理制度，系統(tǒng)是難以在企業(yè)中真正貫徹落實的。管理制度是企業(yè)中系統(tǒng)快速，順利實施的關(guān)鍵。制度的建立要以保障信息安全，預(yù)防風(fēng)險，完善控制措施以目的，范圍涉及設(shè)備的發(fā)放及管理；服務(wù)器等重大設(shè)備的管理及口令規(guī)則；移動介質(zhì)管理；數(shù)據(jù)恢復(fù)及備份管理；外來人員對本企業(yè)相關(guān)設(shè)備及數(shù)據(jù)操作的管理等。

    1.2 建立信息安全管理組織機(jī)構(gòu)。

    如果在企業(yè)內(nèi)想要全面地落實信息安全管理制度，保證企業(yè)下發(fā)的各項政策和策略實施，以及外部人員訪問企業(yè)信息和信息處理設(shè)施的安全，需要構(gòu)建有效的信息安全組織架構(gòu)。公司首先要成立信息安全領(lǐng)導(dǎo)小組，決定信息安全方面的一切事宜，領(lǐng)導(dǎo)小組至少要包含一名企業(yè)高層領(lǐng)導(dǎo)，這樣下發(fā)實施應(yīng)用可以更加有效。信息安全領(lǐng)導(dǎo)小組負(fù)責(zé)研究重大事件，落實方針政策和制定總體策略等。第二步成立信息安全工作組，設(shè)立組長及分管個塊的副組長及組員。其職責(zé)為：針對信息安全領(lǐng)導(dǎo)小組做出的決策按所屬管轄的區(qū)域范圍開展工作；根據(jù)信息安全領(lǐng)導(dǎo)小組的工作部署，對信息安全工作進(jìn)行具體安排、落實。信息安全工作組中要單獨設(shè)立信息安全審計員，對各項操作工作進(jìn)行日常及周期性審計，確保工作人員工作到位。

2 DLP 和文檔加解密

    企業(yè)信息安全制度和組織結(jié)構(gòu)建立完成后，我們就可以著手企業(yè)防泄漏系統(tǒng)的調(diào)研了。通過技術(shù)咨詢，防泄漏管理可以通過整機(jī)管控和文檔加解密兩方面入手，這里我們先了解一下DLP 和文檔加解密。

    2.1 DLP：數(shù)據(jù)泄露防護(hù)（Data leakage prevention，DLP），通過技術(shù)手段防止企業(yè)的指定數(shù)據(jù)或信息資產(chǎn)以違反安全策略規(guī)定的形式流出企業(yè)的一種策略。DLP 所具有的功能大致分為：

    （1）掃描發(fā)現(xiàn)公司服務(wù)器等任意位置上存儲的機(jī)密數(shù)據(jù)。

    （2）通過自動隔離、復(fù)制和刪除操作來自動保護(hù)存儲數(shù)據(jù)。

    （3）通過提供有關(guān)使用模式和訪問權(quán)限的詳細(xì)信息來解決非結(jié)構(gòu)化數(shù)據(jù)的數(shù)據(jù)保護(hù)問題。

    （4）定期掃描便攜式計算機(jī)和臺式機(jī)上存儲的機(jī)密數(shù)據(jù)以保護(hù)或重新放置數(shù)據(jù)。

    （5）阻止違反數(shù)據(jù)安全策略的網(wǎng)絡(luò)通信發(fā)送。

    （6）阻止違反數(shù)據(jù)安全策略發(fā)送電子郵件通信。

    （7）可通過集中平臺管理所有數(shù)據(jù)泄漏防護(hù)策略。

    2.2 文檔加解密：是指通過采用加密算法和各種加密技術(shù)對網(wǎng)絡(luò)或計算機(jī)中的文檔進(jìn)行加密防止文檔非法外泄的技術(shù)。文檔加解密技術(shù)所具有的功能有：（1）透明加解密：針對公司有關(guān)涉密的文檔進(jìn)行加密，在加密的過程中不會對公司員工的日常工作產(chǎn)生影響。（2）泄密控制：可以對涉密采取控制其拷貝，授予文檔只讀的權(quán)限，打印過程中加水印，封鎖usb 口等方式控制泄密。（3）訪問控制：公司員工如果想要查看相關(guān)涉密文檔時，可向管理員或相關(guān)人員提出申請，給與權(quán)限后方可查看。（4）認(rèn)證方式：可以使用連接服務(wù)器認(rèn)證，usb-key 認(rèn)證等認(rèn)證方式進(jìn)行文件解密查看。

3 企業(yè)數(shù)據(jù)防擴(kuò)散管理

    3.1 確定企業(yè)信息擴(kuò)散漏洞。

    通過以上兩種數(shù)據(jù)防泄漏的技術(shù)基本可以滿足企業(yè)對數(shù)據(jù)安全管理的要求，技術(shù)手段有很多種，那么企業(yè)到底有哪些地方會有信息擴(kuò)散的漏洞，在什么工作場景會出現(xiàn)哪些的泄露點并且如何管控呢？我們可以把管控場景分為公司內(nèi)部及公司外部兩個環(huán)境，具體泄露點及管控如下：（1）公司內(nèi)部：公司內(nèi)部場景也可以理解為公司局域網(wǎng)內(nèi)的所有操作場景，它所包含的可能出現(xiàn)文件泄露的方式有針對應(yīng)用程序的安全管控，對于公司范圍內(nèi)的、應(yīng)用可設(shè)置為白名單，針對公司級應(yīng)用的涉密數(shù)據(jù)操作不執(zhí)行安全審計；電子文檔傳遞管控，通過傳遞電子文檔，數(shù)據(jù)會發(fā)生極高頻率泄露的可能，我們需要監(jiān)控郵件、web 傳送、共享、即時通訊，在上述動作中進(jìn)行安全監(jiān)控并記錄日志；打印文件的管控，對涉密文件打印進(jìn)行安全監(jiān)控并記錄日志；移動設(shè)備的管控，可以通過移動設(shè)備全盤加密或注冊使用等方式進(jìn)行管控。（2）公司外部：公司外部場景是員工出差時會出現(xiàn)的數(shù)據(jù)泄露點，分為電子文檔管控和移動設(shè)備管控兩方面，建議外出人員所攜帶的重要文件進(jìn)行加密，移動設(shè)備全盤加密，這樣就算發(fā)生丟失現(xiàn)象也不會造成很大的損失。

    3.2 建立數(shù)據(jù)防擴(kuò)散平臺。

    企業(yè)的信息漏洞管控需要一個完整的防擴(kuò)散平臺的支撐，我們在尋求并且測試平臺的過程中會發(fā)現(xiàn)，如果對所有的終端機(jī)進(jìn)行控制，包括硬盤加密，usb 加密，各種通信端口的封鎖等，員工在實際工作中會出現(xiàn)很大的不方便性，有時甚至?xí)��?yán)重影響到工作。因此我們考慮大范圍的應(yīng)用是只需要監(jiān)督的，使用日志功能，存儲所有要保護(hù)點的動作及抓圖，留下操作的痕跡，這樣是不會影響員工的工作，一旦發(fā)生事件可以快速跟蹤到相關(guān)日志查找到相關(guān)責(zé)任人。但是，還是有一批重要的文件是需要重點保護(hù)的，這時就需要文件的加解密技術(shù)了，把要重點保護(hù)的文件透明加密，這樣即便有人把文件帶出去，也不能打開，從而保護(hù)了重要數(shù)據(jù)。策略建立及下發(fā)也是數(shù)據(jù)防擴(kuò)散平臺建立的重要環(huán)節(jié)。首先建立不同的用戶組，根據(jù)文檔流轉(zhuǎn)及操作情況建立不同的策略組，涉密的可能出現(xiàn)文件泄露的方式有針對應(yīng)用程序的安全管控，對于公司范圍內(nèi)的、應(yīng)用可設(shè)置為白名單，針對公司級應(yīng)用的涉密數(shù)據(jù)操作不執(zhí)行安全審計；電子文檔傳遞管控，通過傳遞電子文檔，數(shù)據(jù)會發(fā)生極高頻率泄露的可能，我們需要監(jiān)控郵件、web 傳送、共享、即時通訊，在上述動作中進(jìn)行安全監(jiān)控并記錄日志；打印文件的管控，對涉密文件打印進(jìn)行安全監(jiān)控并記錄日志；移動設(shè)備的管控，可以通過移動設(shè)備全盤加密或注冊使用等方式進(jìn)行管控。（2）公司外部：公司外部場景是員工出差時會出現(xiàn)的數(shù)據(jù)泄露點，分為電子文檔管控和移動設(shè)備管控兩方面，建議外出人員所攜帶的重要文件進(jìn)行加密，移動設(shè)備全盤加密，這樣就算發(fā)生丟失現(xiàn)象也不會造成很大的損失。

    3.2 建立數(shù)據(jù)防擴(kuò)散平臺。

    企業(yè)的信息漏洞管控需要一個完整的防擴(kuò)散平臺的支撐，我們在尋求并且測試平臺的過程中會發(fā)現(xiàn)，如果對所有的終端機(jī)進(jìn)行控制，包括硬盤加密，usb 加密，各種通信端口的封鎖等，員工在實際工作中會出現(xiàn)很大的不方便性，有時甚至?xí)��?yán)重影響到工作。因此我們考慮大范圍的應(yīng)用是只需要監(jiān)督的，使用日志功能，存儲所有要保護(hù)點的動作及抓圖，留下操作的痕跡，這樣是不會影響員工的工作，一旦發(fā)生事件可以快速跟蹤到相關(guān)日志查找到相關(guān)責(zé)任人。但是，還是有一批重要的文件是需要重點保護(hù)的，這時就需要文件的加解密技術(shù)了，把要重點保護(hù)的文件透明加密，這樣即便有人把文件帶出去，也不能打開，從而保護(hù)了重要數(shù)據(jù)。策略建立及下發(fā)也是數(shù)據(jù)防擴(kuò)散平臺建立的重要環(huán)節(jié)。首先建立不同的用戶組，根據(jù)文檔流轉(zhuǎn)及操作情況建立不同的策略組，涉密文件打上標(biāo)記，不同用戶組及用戶下發(fā)其相應(yīng)的策略。策略下發(fā)后，用戶客戶端將監(jiān)控涉密文件的使用流轉(zhuǎn)情況，及時記錄文檔狀態(tài)。

    3.3 日志審計。

    日志審計，數(shù)據(jù)防泄漏管理的重點。對于用戶的操作，數(shù)據(jù)防泄漏系統(tǒng)能夠?qū)⒉僮魅罩敬嬖跀?shù)據(jù)庫中。存儲的數(shù)據(jù)可以提供報表以及圖表等形式供審計員使用，發(fā)現(xiàn)可疑的地方及時上報。提前預(yù)防好過事后補(bǔ)救，在可能發(fā)生泄密前就切斷泄密渠道。一旦泄密情況發(fā)生，用戶操作記錄，可以第一時間作為最有力的證據(jù)拿出。有了日志審計功能，員工對文檔的操作也就不會像沒有防泄漏系統(tǒng)時的那么隨意了，也加強(qiáng)了員工對文件自我保護(hù)的意識。

4 結(jié)束語

    信息安全管理制度及數(shù)據(jù)防泄漏系統(tǒng)的構(gòu)建對企業(yè)高效運行具有重要意義，企業(yè)在提升核心競爭力的同時，必須強(qiáng)化信息安全意識，采取相應(yīng)的措施，建立一個綜合性的防御安全體系。DLP 和文檔加密兩種方式結(jié)合應(yīng)用，既加強(qiáng)了數(shù)據(jù)保護(hù)，又寬松了使用人員的環(huán)境，策略上的下發(fā)靈活多變，比較適合當(dāng)前大多數(shù)企業(yè)的應(yīng)用。并且隨著應(yīng)用的深入，策略隨時可更改以適應(yīng)當(dāng)時的工作環(huán)境需求。這種方式比較符合大多數(shù)企業(yè)對于信息安全管控的要求。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.ezxoed.cn/

本文標(biāo)題：淺談企業(yè)信息安全

本文網(wǎng)址：http://www.ezxoed.cn/html/consultation/1083959435.html