企业内网信息安全的文档管理解决方案
2007-07-03   

一、企业信息安全现状
现在一提到信息安全，人们首先想到的就是病毒、黑客入侵，在媒体的宣传下，病毒、黑客已经成为危害信息安全的罪魁祸首。然而，人们却忽视了组织内部人员有意或无意对信息的窥探或窃取。从常理角度出发，内部人员更易获取信息，因为内部人员可以很容易地辨识信息存储地，另外也不需要他们拥有精深的IT知识，只要会操作计算机，就可以轻易的获取公司机密文件；相对而言，黑客从外部窃取资料就比较困难，首先他们要突破防火墙等重重关卡，然后还要辨别哪些是他们想要的信息，这就对黑客提出了比较高的技术要求。
网络经济发展给信息安全产品带来新的挑战，防火墙、防病毒、信息加密、入侵检测等已经基本解决了抵御外来入侵的困扰；但是内部用户引起的信息泄密问题成为当前信息安全的新的焦点。建立起有效的事前预防，事后追究机制成了众多企业的当务之急。

FBI和CSI在2002年对484家公司进行了网络安全专项调查，调查结果显示：超过85%的安全威胁来自公司内部、有6%来自内部未授权的存取，有4%来自专利信息被窃取，有3%来自内部人员的财务欺骗，而只有2%是来自黑客的攻击；在损失金额上，由于内部人员泄密导致了60，565，000美元的损失，是黑客所造成损失的16倍，病毒所造成损失的12倍。这组数据充分说明了内部人员泄密的严重危害，同时也提醒国内组织应加强网络内部安全建设。
因此，不管是以乐观还是悲观的心态来看待网络安全的现状以及未来的发展前景，我们都应充分意识到这样一个事实：来自内部的威胁已经成为危害网络安全的首要因素：内忧甚于外患，如何建立一个可信并可控的内部网络（Trusted & Controllable Network，TCN），其重要性是不言而喻的。
二、信息的威胁
信息关系着企业的兴衰。IT技术的发展使得人们获取信息的速度日益加快，这也提供了便利，通过一个U盘，一分钟的时间就可以拷贝走上百兆的资料，而这些资料可能价值不菲，因此说一分钟损失几千万，上亿元绝对不是危言耸听。我们在安全建设上“重防外，轻防内”无疑会给自己留下安全隐患。
由于内部网络监控的缺位，有许多漏洞可以被内部人员所利用以截获资料，目前来看，内部泄密主要是通过如下途径：1、将资料通过软盘、U盘或移动硬盘从电脑中拷出带走；2、通过互联网将资料通过电子邮件发送到自己的邮箱；3、将文件打印后带出；4、将办公用便携式电脑直接带回家中；5、电脑易手后，硬盘上的资料没有处理，导致泄密；6、随意将文件设成共享，导致非相关人员获取资料；7、移动存储设备共用，导致非相关人员获取资料；8、将自己的笔记本带到公司，连上局域网，窃取资料；9、乘同事不在，开启同事电脑，浏览，复制同事电脑里的资料等等。
那么如何才能解决内部人员泄密问题呢？这就要求组织配置必要的技术装备，如文档加密和数字资源保护；另一方面也要加强管理，做好内部人员的保密教育，法制教育。“技术与管理”并重，才能从根本上杜绝内部人员泄密。
三、秦山三核网络状况简述
秦山三核是国际合作建设的重水堆核电站，在行业内是一个辉煌的典范，因此它的技术、经验、模式等方面都得到同行的认可。而这些方面的文档资料不但对秦山三核十分重要，对中国的核工业也是举足轻重。一方面在技术上，积极地与外界行业各专家进行交流探讨，另一方面在信息安全上，也下足了功夫，比如加密技术资料，安装防火墙防止黑客侵入等。但是如果企业内部不建立完善的信息安全系统，这些机密技术文档还是可以从内部人员手中泄漏出去，所以针对防止企业核心资料、敏感信息泄漏的信息安全平台的搭建势在必行。
秦山三核是个巨大的企业，各类部门很多，因此管理秦山三核，单从工作量角度来说，已经是一项非常艰巨的任务。以现在的信息化建设水平，我们只有将所有的文档用windows自带的权限控制进行归档管理，一旦进入了一个文件夹，里面的所有文档都是未加密状态的，未授权状态的。另外，各个部门之间流通性的文件是无法得到很有效的控制管理的。我们希望能够有一套完善的文档授权系统，让我们可以轻松管理每份文件，控制外人的打开、编辑、打印，当然还可以查看这些文件的使用情况。
与此同时，我们的合作伙伴，都要做足信息安全方面的措施。有些资料发送给他们时，未受任何控制的状态，所以我们不能轻易发送资料给外界，这的确很安全，但也影响了我们与外界的交流沟通。我们希望企业可以有自己一套比较独特的信息安全系统，能够做到外发的文档也可以有权限控制，并且有权限时间的控制，这样以来，我们就可以将更多的资料在受控的情况下，发给外界，大大的提高了秦山三核与各行各业朋友的交流沟通，而前沿科技恰好做到了这一点。
四、保护措施
针对企业自身的特点，我们花了相当长的时间调研和分析了目前市场当中的保护产品和措施，大概可以分为几类：
第一类产品采用审计跟踪技术，对网络行为进行监控和审计，包括对端口、MSN、QQ、1394、打印、USB端口、光驱、软驱等外设设备进行控制，从而达到禁止使用指定程序，规范员工操作行为和日志审计的目的。
第二类产品采用身份认证技术，通过PKI、PKM等工具，对网络应用的程序进行访问控制和身份认证，以达到合法应用和访问有效资源的目的。
第三类产品采用严格的加密算法和密钥机制，通过加密、授权、认证、审计等功能结合起来，从最底层对根据不同密集评定和授权方式的核心数据进行保护，而不是限制网络的应用和控制，实现了需要保护的合理应用，没有授权的无法获取相关资源。
结果我们发现，随着目前网络技术的不断发展以及源程序的不断更新，使得通过对网络应用途径和端口的封锁变得越来越困难，而且对员工的限制过多在某种程度上也制约了一定的办公效率和带来一些不必要的误会，一些核心的数据如何保全仍然显得日益重要。
五、如何解决
我们专门在文档加密和数字资产保护的产品中更深入的进行调研、论证和试用。在众多的产品中，我们觉得上海前沿计算机科技有限公司的电子文档和数字资产管理平台产品比较符合目前企业的要求，该系统在不损害信息化带来便利的基础上，防止信息(电子文档)合法用户造成的泄密。提供内网信息安全事前预防的有效解决方案。
下面是一个简单的加密图形：

六、结论
事实证明，应用这么长的时间，无论是产品稳定性、成熟度还是易用性都有着让客户放心满意的效果。同时，前沿科技从项目的调研论证开始，组织了专门的团队根据企业的特点和产品的特性，从不同的角度为客户着想，量身定制了不同的几套方案供客户选择和组合。配合我们的相关人员制定相应的企业文档流转制度，真正做到了从咨询、方案、调研、整合、实施和定制化的全程专项服务。也从不同的角度解释了诸多安全方面的不同解决方法和措施，消除了许多一般用户对网络安全应用的误区，减轻了许多不必要的环节。综上所述，前沿科技在专业性和领先性方面是值得肯定的。