全国统一热线:0510-8299-0098 186-2606-5965 |
文档安全管理现状及问题?
Internet是一个开放的网络,当用户享受其高速发展所带来的大量的信息流通和前所未有的工作效率,可曾注意过伴随网络所产生的严重的网络安全问题。目前,各企业都拥有自己的品牌或各自的业务范围,都利用信息化手段进行高效管理。随着计算机、互联网的广泛应用,信息的交流和共享已经成为各企业自身发展必要的手段。企业内部竞争性情报信息也就自然成为广受关注、为企业所青睐的重要活动,成为企业进行无形资产管理的重要部分。俗话说“知己知彼,百战不殆”,如何保护企业自身重要情报不被竞争对手窃取,使企业在使用网络来提高工作效率的同时避免企业重要的知识产权遭受侵害,将是文档安全管理的一个重要课题。
企业内部竞争性情报类型主要有:
l 企业的机密技术文件、产品研发资料
l 设计图稿
l 会计账目、财务报表资
l 战略计划书
l 外购竞标信息和供应链合作伙伴信息
l 重要研究成果
l 研究论文
l 市场营销策划资料
l 其他:如董事会、投融资等方面管理类资料,客户资料
大中型企业一般有着完善的书面文档泄密管理制度,并且由单独的文控中心负责制订、监督、审计企业内部重要情报信息使用状况,亦达到了很好的效果。但是这些电子文档存储的方式为明文方式存储在计算机硬盘中,电子格式存储的重要情报信息却由于传播的便利性和快捷性,对分发出去的文档无法控制,极大的增加了管理的负责程度,这部分的资产极易于受到损害。
安全漏洞分析
隐藏的安全漏洞主要有文档明文存放、粗放的权限控制、无限期的文件权限、不可靠的身份认证和无法追踪文件的使用情况等五类,下面一一阐述。
1.明文保存
目前,多数企业内部的文件都是以明文保存,仅限制浏览文件的用户。如果不加密,则进行再多的防范都是不可靠的,同样会泄密。文档防泄密现在有很多手段防止文档非法拷贝,如堵塞电脑的USB接口,检查电子邮件发送,但是,只要是明文的文档,泄密的途径就防不胜防,变换明文为密文后通过邮件传输、手机红外线传输、拷屏、录屏、拆开计算机直接挂上硬盘拷贝等。
泄密的方式
对明文情报的危害
黑客侵入
不法分子通过各种途径获取商业机密。如侵入内部网络,电子邮件截获等;
防不胜防,特别终端由个人掌控。
互联网泄密
通过EMail,FTP,BBS等方式传递情报;
内部局域网泄密
自带笔记本电脑接入网络,从而拷贝数据;
移动终端泄密
将工作用笔记本电脑带到外界,通过笔记本电脑的相关通讯设备(软驱、光驱、刻录机、磁带驱动器、USB存储设备)、存储设备(串口、并口、调制解调器、USB、SCSI、1394总线、红外通讯设备、以及笔记本电脑使用的PCMCIA卡接口)将信息泄漏到外界。
固定终端泄密
通过台式电脑的相关通讯设备(软驱、光驱、刻录机、磁带驱动器、USB存储设备)、存储设备(串口、并口、调制解调器、USB、SCSI、1394总线、红外通讯设备、以及笔记本电脑使用的PCMCIA卡接口)将信息泄漏到外界。
表格1 泄密方式
2.粗放的权限控制
在现在的情况下,企业内部信息的权限管理是粗放的,一旦将这些重要资料交给他人,就完全失去了对资料的控制,一般的资料(电子文档格式)权限有以下分类:
编号
权限
控制
危害
1
根据公司保密制度传递情报
有
情报交给对方就完全控制不了他如何使用,包括是否交给非设密的第三方;
2
打印,打印次数
无
接受方可不受限制的打印情报;
3
保存和另存
无
接受方可保留情报的副本;
4
复制和拷贝
无
接受方可保留情报的副本或某部分;
5
屏幕拷贝
无
接受方可通过计算机提供的屏幕拷贝按键和截屏软件获取情报内容;
6
阅览次数
无
接受方可无限次的读取情报;
7
控制阅读的条件——指定机器、指定USB锁、指定IP区域
无
对于绝密情报,不能控制接受方阅读地点——有可能他正在和竞争对手一起观看!
表格 2 权限类型及在不受控情况下产生的危害
只要交给对方后就再也不能控制信息资料的使用方式,这是非常危险的,“一传十、十传百”,只要拥有资料的人多了,泄密就不可避免。
3. 拥有时间无期限
拥有时间无期限指的是资料递交给接授方后,接授方就永远拥有此资料的所有权,随时可以使用资料。
拥有资料的时间无期限,会产生如下危害:
1) 当员工离职,就可能带走公司的很多重要资料,可以永远重复的使用;
2) 与合作伙伴协同工作完成后,合作伙伴利用原有的资料用于其他项目;
4. 不可靠的身份认证机制
身份认证是指计算机及网络系统确认操作者身份的过程。计算机和计算机网络组成了一个虚拟的数字世界。在数字世界中,一切信息包括用户的身份信息都是由一组特定的数据表示,计算机只能识别用户的数字身份,给用户的授权也是针对用户数字身份进行的。在网络环境中,辨认网络另一端的身份就是一个复杂的问题,我们从以下场景来看看身份认证的重要性。
场景一:不法分子打开我的电脑,将我的《XX产品技术方案》拿走了,而我茫然不知;
场景二:我忘了我已经将电脑里面的目录设为共享,别人很容易就拷贝走了我的资料;
场景三:我传递了一份资料给分公司的同事,而此时这位同事恰巧离开位置,其他人看得到这份资料。
身份认证有三个层次:一种为证明你知道什么——即现在广泛的用户名/密码方式;其二为证明你拥有什么——即给你一个独一无二的设备,如印章,每次需要出示才能确定你的身份;最后一种为证明你是什么——即通过生物技术,如指纹、面貌等确定。
目前,身份认证手段主要有密码认证、PKI认证、指纹认证、USB硬件认证等几种方法。
l 用户名/密码方式:简单易行,保护非关键性的系统,通常用容易被猜测的字符串作为密码,容易造成密码泄漏;由于密码是静态的数据,很容易被驻留在计算机内存中的木马程序或网络中的监听设备截获。是极不安全的身份认证方式;
l IC卡认证:简单易行,很容易被内存扫描或网络监听等黑客技术窃取;
l 动态口令:一次一密,安全性较高,但使用烦琐,有可能造成新的安全漏洞;
l 生物特征认证:安全性最高,但技术不成熟,准确性和稳定性有待提高 ;
l USB Key认证: 安全可靠,成本低廉 但依赖硬件的安全性。
5. 使用追踪
如果出现了泄密事故,那么我们关心的就是损失有多大,有哪些人参与,由于哪些操作导致泄密,需要追查事故责任人。而现在,由于没有采用有效的手段,只能通过人工方式调查取证,使得追查周期过长,损失加大,追查到真相的几率极低。
我们也不知道哪些人关注过哪些信息,某些信息被哪些人关注过,不能及时查出泄密的渠道,不能在第一时间估算出泄密所带来的损失。
目前行业通用的防泄密手段有哪些?
“防泄密”时至今日正在成为各行各业都重点关注的一个信息安全问题。传统信息安全思想一般是重点防范外部人员的攻击,衍生的产品有防火墙、漏洞扫描等。但是,随着职场道德问题频发,防范内部工作人员的泄密等问题正在成为越来越多企业关注的问题。数据加密 比如近期的:特斯拉代码泄密,大疆无人机代码泄密,B站代码被员工上传到Github上等,这样的案例多到几乎可以脱口而出。所以我们今天聊聊,目前行业内为了防范敏感资料泄密,都有哪些手段,以及各个方案的优缺点。
说到防泄密,那么大家首先想到的对策就是加密。加密软件的确是现在比较通用的防泄密手段。注意,这里的加密软件不是指对文件、文件夹进行单机加密的小工具,而是指企业级的透明加密软件。这类软件工作原理是用户保存文件时自动加密,打开文件时自动解密,也就是说加解密的过程对于用户来说是透明、无感知的,一定程度上不会影响用户习惯。但是当用户将文件拷贝到U盘带走,或者用QQ发送给别人,那么外部是打不开这个软件的。理论上看上去这个方案是比较完美的,但是缺点是会较严重的影响用户习惯,尤其对于一些需要频繁将文件和外部进行收发的场合。所以此类软件一般运用在一些有图纸的机械制造加工,设计类的行业。如果只是使用常规Office软件进行办公,那么一般不大用得到。数据防泄漏(DLP)
数据防泄漏软件其实是一个比较宽泛的概念,首先来讲无论是国内还是国外,此类软件的功能以及技术都不可一概而论。但是我们基本上还是可以归纳总结几个基本点
1.支持对敏感内容的识别
支持对Word、Excel、PDF、图片等常见文件格式的内容识别。前面的几个文本格式还好说,图片OCR就是考验真功夫的一个技术点了。一般需要对识别精确度、速度、性能等进行多维度考量。2.支持对风险行为进行拦截
支持对文件的外发行为进行拦截,比如通过QQ、电子邮件等途径外发,以及将文件上传到网盘等。这里要注意的是,很多DLP软件的拦截处理只是在Shell层面做的,而不是协议层面的识别、拦截。3.支持事后审计、告警
所有存在泄密风险的行为进行审计和告警。这个通常不是核心问题,因为前面两者如果在技术层面都实现了,那么后者只是逻辑上的处理。其他
除此之外,还有一些其他的防泄密手段供参考。这些技术、手段通常都被集成到了DLP、加密软件等产品里。比如:屏幕水印、打印水印、防截屏、文档外发管控等。来自企业内部的安全威胁和风险有哪些?
目前,基于企业内部现存网络流通的一系列文档,如果这类文档外泄、扩散、丢失,很有可能造成竞争对手先于市场得到企业的产品机密或者商业秘密,导致不可估量的损失。根据对企业现有数据业务应用模式,来自企业内部的安全威胁和风险主要有以下几类:
l 数据泄密通道风险-U盘等移动存储设备以及打印机等外部设备序号
数据风险类型
数据风险描述说明
1
U盘等移动存储设备丢失/被盗
据统计,高达80%以上的企业发生过U盘丢失。若内部人员随意拷贝文件必将导致内部机密文件泄密。
2
U盘等移动存储设备的交叉使用
“轮渡”木马病毒对于U盘等移动存储介质的交叉感染危害非常严重。
3
使用外部U盘等移动存储设备
对USB端口没有集中管理,导致外部U盘也可以在内网使用,无疑存在着较大的泄密隐患。
4
外部人员恶意拷贝敏感信息
同样是由于对USB端口没有集中管理的原因,会导致外部来访人员,在停留期间可以非常容易的用U盘等移动存储设备,拷贝敏感信息。
5
内部人员恶意拷贝内部机密资料
如离职人员等,此类案件已屡见不鲜。2005年4月,卢某擅自离职,并将某电器公司的各类硅钢片特性参数及计算参数表等三项技术资料电子文件,拷贝到南海区松岗某电器厂,并任该厂技术负责人。
6
通过U盘等移动存储介质泄密事后追溯困难
大部分企业,因缺乏必要的技术手段,使得使用者在内部或者外部操作U盘时即使进行违规操作,也无法有效审计和取证。
7
U盘等移动存储介质报废管理不善
对已损坏需要报废的涉密介质,没有实行集中销毁,随意乱扔和丢弃等,都在不同程度上存在泄密隐患。
8
文件打印管控不力
文件打印如果没有进行必要的管控,将会导致几乎每台计算机终端都具备打印的功能。
表1、U盘等移动存储设备以及打印机等外部设备风险
l 数据离线外发风险-移动办公、效果展示、协作外发等应用场景序号
典型安全风险应用场景描述
1
在制造业代工生产模式下,企业需要将设计资料发给外部代工企业进行生产制造 。被合作方有意或无意向外扩散、泄露;
2
企业把各种关键产品文档、内部资料交给业务人员出差交流以及
演示使用 。被外出人员有意或无意向外扩散、泄露;
3
产品项目投标活动中,企业往往需要将标书发给招标方开展相关活动 。被招标方有意或无意向外扩散、泄露;
4
企业将其设计成果提交给客户使用。被使用方有意或无意向外扩散、泄露;
5
企业将相关资料、课件或软件提交给用户使用。被使用方有意或无意向外扩散、泄露;
6
企业内部人员由于工作业务的需要,需要将相关设计或者制作的成果给有意向的客户进行效果的演示,容易发生成果泄露的情况;
7
企业内部人员往往需要将与工作内容有关文件带回家进行工作,需要既满足方便工作的要求,又能防止数据的泄露。
表2、数据离线外发风险-移动办公、效果展示、协作外发等应用场景
l 数据内部流转风险-部门之间、分公司之间的数据交换和流转序号
数据安全问题
数据安全问题所带来的后果
1
身份认证强度
未经授权的人员查看没有权限的文档;
2
合理访问授权
权限不合理授权控制会导致文件“扩散传播”;
3
内部主动泄密
1)、内部人员主动有意的泄密;
2)、内部人员被动无意的泄密;
4
泄密方式监测
通过拷贝、另存、打印等方式保存文件副本;
5
外部非法窃取
非法恶意人员通过网络集中批量窃取内部资料
6
存储设备丢失
1)、内部人员恶意拆卸硬盘等存储设备;
2)、移动出差办公意外将笔记本电脑遗失;
3)、笔记本维护人员故意将数据泄露出去;
7
文档过期使用
1)、离职人员将存储机密资料的笔记本带走;
2)、临时人员离开内部环境后仍能使用资料;
8
使用范围限制
1)、文件需要保证在一个部门区域内使用;
2)、文件需求保证某一台固定终端上使用;
9
文档意外损坏备份机制
1)、因意外掉电或者设备破坏导致文件损坏;
2)、因不符合正常操作流程导致的文件损坏;
3)、防止员工离职后恶意删除电脑的文件;
10
文档有序归档
受保护文档类型需要集中备份存储,而且容易进行还原操作;
11
文档安全审计
记录文件产生、使用到销毁整个过程的行为。
表3、数据内部流转风险-部门之间、分公司之间的数据交换和流转
l 应用服务接入数据安全风险-分支机构、临时人员、网络黑客、移动办公人员等不同类型人员对企业内部应用服务的安全接入,例如OA、邮件服务、文件集中存储服务器等。序号
典型应用场景
数据安全风险描述
1
分支机构
分支机构能够通过不同形式的网络快速接入到公司内部网络,从而进行数据的安全交换;
2
临时人员
在方便临时人员加入内部团队工作的同时,需要控制临时人员接入内部网络的安全时效性以及使用内部资源的访问权限;
3
网络黑客
需要防止网络黑客人员对内部计算机终端或者应用系统的攻击访问,造成数据集中泄露;
4
移动办公
移动办公人员往往携带NoteBook、IPAD、Mobile等便携式设备进行内部文件审批,邮件往来等业务;
5
离线调试/演示
制造型企业由于业务的需求,通常需要对离线的控制终端电脑进行程序或者参数的调试或者演示,因此既要满足此种情况下的离线安装部署和控制的需要,同时也要能够将数据进行有效保护;
表4、数据内部流转风险-部门之间、分公司之间的数据交换和流转
l 对重点部门核心数据进行安全加固防护-例如三维设计、图纸工艺等1、现代企业普通使用文件服务器、邮件服务器、OA应用服务器等业务应用系统,工作数据统一集中存放于这些服务器之中,其安全保护力度需要更加具有针对性并保证可用性。
2、重点部门的核心数据往往具有在固定团队和一定的范围内流通的显著特点,而且这些数据通常也涉及到企业的核心竞争力,因此需要从存储、使用、网络三个层面全方位给予进行安全分层、安全区域的保护。
上述风险分析中可以看出数据在使用、传输、存储过程中最容易出现安全隐患。数据安全要立足于用户终端,并延伸至网络,从数据安全源头抓起,才能从根本上解决安全问题,才能做到有的放矢,更具针对性和前瞻性。
我在哪里购买艾特盾加密软件,怎样进行购买?
您可致电0510-82990098/18626065965 或通过sale@xinsafe.cn与我们联系,我们将推荐合适的合作伙伴为您服务。
我可以先试用再考虑是否购买吗?怎样能获取到艾特盾的试用版?
- 一般情况下,IP-guard提供10个客户端为期15天的免费试用,如有特殊需求可以申请延长试用期等。如果您有意向试用可在http://www.xinsafe.cn/page-47047.html填写试用申请表,若您提供的信息真实有效,我们将在1个工作日内为您提供试用版本。
试用或购买了我能享受到怎样的技术支持服务?
艾特信有着完善的服务和售后支持网络,能为用户提供电话技术支持、故障排除、上门处理等各种服务。具体包括:艾特盾会无限次地提供二线支持(邮件,IM,远程,电话等非上门方式),且处理时效性最高。购买艾特盾数据安全防护系统软件可以享受无限次的邮件发送的升级版本,并辅以电话提醒;能够享受所购买模块不断增加的新功能;可以享受一年内不少于四次的电话回访,不少于五次的关怀邮件服务,时时了解使用情况,并提供解决方案。应需求协助客户,可以制定服务器迁移方案,并协助完成。可提供数据库接口,协助客户实现日常报表功能等。
加密软件 是否要在每台被管理的计算机上都安装加密软件客户端?
是的。艾特盾数据安全防护系统软件由三部分组成,分别是服务器、控制台和客户端,每个被管理的计算机都需要安装客户端,控制台安装在IT管理员以及相关管理者的电脑上。
艾特盾数据安全防护系统的加密软件,公司用的是Win10系统适用吗?
适用于包括Win2000以上各32/64位Windows版本系统,其中艾特盾加密还适用Windows、Linux、Mac三种操作系统,可实现跨平台管理。
政府机关艾特盾数据安全防护系统软件 适合我们吗?
- 完全适合。艾特盾数据安全防护系统软件是通用的企业级IT系统安全管理软件,广泛适用于各行业、各类型的企业和机构。
艾特盾数据安全防护系统软件支持是否支持Windows64位版本?
艾特盾数据安全防护系统软件目前支持Win2000以上各32/64位Windows版本。
