企業電子文檔安全研究調查報告企業電子文檔安全研究調查報告企業電子文檔安全研究調查報告企業電子文檔安全調查報告摘要:目前，我國的計算機安全防護能力處于發展的初級階段，許多計算機基本上處于不設防狀態。這種情形加劇了企業內部各種電子文檔面臨的危險,文檔信息泄密現如今已成為各大企業面臨的重大問題。企業文檔在日常使用過程中，容易被員工無意中泄露，或者被競爭對手獲取，特別是一些無形資產（如設計圖紙、企劃方案、客戶方案、客戶信息等)和企業的一些秘密文檔（如企業內部財務數據、工資文檔)。無紙化的辦公使文件都在內部網絡中，本文通過對當前企業電子文檔所面臨的安全隱患問題分析,列舉企業電子文檔泄密的重大案例，分析電子文檔泄密的危害,通過分析目前國內企業電子文檔安全保護的解決方案的優缺點,提出電子文檔的保護的思路及策略。關鍵詞：電子文檔，安全問題，保護；引言現代企業在發展過程中不僅積累了大量的電子文檔，并且還在加速不斷產生新的文檔。這些文檔涉及企業的核心技術資產和敏感信息，需要安全可靠的存放。隨著各行業在生產、管理上日益信息化，計算機和網絡已經成為政府、企事業單位日常辦公不可缺少的重要工具，長期以來,由于缺少有效的管理模式和技術手段，文檔被分散存放在個人ＰＣ機上，產生了各種信息安全問題和一致性問題。Internｅt和移動終端日益普及，在給人們帶來便利的同時,也帶來信息安全方面的隱患。由于電子文檔極易復制且復制后不留任何痕跡,企業的信息化安全也面臨巨大的挑戰。因此對于企業來說,了解電子文檔安全存在的安全風險，能夠更好的選擇符合自己的企業電子文檔防護系統。當前,國內的企業用重金購置防火墻，防病毒軟件來防止外界威脅的同時,往往忽視了對內部安全威脅的對策。而企業文檔的泄密主要來自于多方面,因此研究企業文檔泄密的類型能為企業文檔安全防患于未然。目前市場上存在許多的電子文檔安全防護產品，然而怎么為企業選購合適的安全產品,這也是企業面臨的一個重要問題。針對這一系列存在的問題,我們展開了對企業電子文檔安全的調查,本文將從以下方面進行研究并論述。1、調查背景1.1電子文檔的定義及特征所謂電子文檔是指人們在社會活動中形成的,以計算機盤片、磁盤和光盤等化學磁性材料為主要載體的文字材料。它主要包括電子文書、電子信件、電子報表、電子圖紙等。在企業內部,具體的企業電子文檔主要是指企業的戰略決策、營銷策劃、重大會議紀要、客戶信息、市場信息、財務預算、財務報表、工程圖紙、設計圖紙、設計方案、涉及企業秘密/企業機密的機要文件等。電子文檔主要有以下六個特點:存儲介質多樣、容易編輯修改、容易傳遞、容易復制、容易損壞丟失、容易還原再生。（1)存儲介質多樣。電子文檔存儲介質很多,目前主要有計算機硬盤、各種光盤、U盤、閃盤，甚至手機和娛樂用的數碼產品也可以用來存儲電子文檔。（2)容易編輯修改。借助于各種專業軟件,可以很容易的編輯修改電子文檔，而且修改的痕跡很難發現。這是電子文檔有別于紙質文件的優點之一，但是如果不能很好的保護,就可能受到非法的修改，會破壞文檔的完整性和可讀性，給文檔所有者帶來一定程度的損失,這時候它又變成一個缺點。（３）容易傳遞。紙質文件的傳遞必須要當面遞送，而電子文檔的傳遞則方便很多。借助于網絡,通過電子郵件、即時通訊工具、FTP服務等方式可以快捷方便的傳給有關人員。(4)容易復制。電子文檔相比紙質文檔非常方便快捷。如果不采取技術手段限制拷貝,通過點擊幾下電腦鼠標就能輕松完成復制。這樣，人們就可以非常方便地進行信息共享。(5)容易損壞丟失。一是存儲介質物理損壞或者丟失。電子文件對保存場地的面積要求不高,而對環境的溫濕度、防磁性等條件的要求很高，磁盤不能長期保存。磁盤、光盤、U盤等存儲介質如果損壞,那么相應存儲的電子文檔也就不能讀取使用。一些U盤、閃盤體積很小，容易丟失，相應會造成電子文檔丟失。二是電子文檔容易被誤操作刪除,或者被病毒破壞。如果文件被刪除不及時恢復，有可能永遠無法恢復。（6）容易還原恢復。電子文檔誤刪后,可以通過數據恢復軟件還原，這本來是電子文檔的又一個優點，但是對一些原本要刪除的機密的文件,又存在被非法還原的隱患。有研究表明,普通的刪除和格式化根本不能將數據徹底清除,硬盤被改寫12次還能將原有數據還原,只要存儲介質未被物理損壞，進行特殊處理就能將數據還原。現代企業在發展過程中不僅積累了大量的電子文檔，并且還在加速不斷產生新的文檔。這些文檔涉及企業的核心技術資產和敏感信息，需要安全可靠的存放。隨著各行業在生產、管理上日益信息化，計算機和網絡已經成為政府、企事業單位日常辦公不可缺少的重要工具，長期以來，由于缺少有效的管理模式和技術手段,文檔被分散存放在個人ＰC機上,產生了各種信息安全問題和一致性問題。Internet是一個開放的網絡,同其高速發展相關的負面結果就是嚴重的網絡安全問題。根據ＦBI和CSI對4８４家公司調查,發現:·有超過８5%的安全威脅來自企業內部。·有16％來自內部未授權的存取；·有14%專利信息被竊取;·有12%內部人員的財務欺騙;·有11％資料或網絡的破壞；·中國國內80％的網站存在安全隱患,20％的網站有嚴重安全問題。1.２2010－2０１3的十大泄密事件盤點（1）富士康“內鬼”泄密20１0年富士康公司內部員工林某將iPAD２平板電腦后殼的3D數據圖泄露，給富士康造成重大損失。(2）中國考研泄題案犯以非法獲取國家秘密罪獲刑周文勝、歐陽澤輝(中南大學湘雅三醫院技師）、段宏博(中南大學人事處聘用人員)、陳龍（貴州省遵義醫學院研究生)等人為謀取經濟利益,利用職務之便，從湘潭市教育考試院保密室竊取了考試試卷,并復印轉賣。(3）三星電子泄露機密２0１1年三星電子生活家電部的A某在面臨合同屆滿并難再續約的情況下，將公司的技術開發戰略等機密下載到自己的筆記本電腦里,企圖向中國某家電企業泄密。（4）臺企前高管被控向大陸企業“泄密”臺灣友達光電前高階主管連水池、王宜凡，涉嫌受大陸TＣL集團面板大廠華星光電年薪百萬美金利誘，相繼“帶槍”投靠,并移轉友達光電AMOLED等“敏感科技”。（5）前蘋果員工承認出賣機密信息２0１１年前蘋果員工PaulＤeｖine泄露蘋果公司的機密信息,例如新產品的預測、計劃藍圖、價格和產品特征,還有一些為蘋果公司的合作伙伴、供應商和代工廠商提供的關于蘋果公司的數據，這使得這些供應商和代工廠商更好的與蘋果進行談判。作為回報，Devine得到了經濟利益，而蘋果這些信息而虧損了２40.9萬美元。（６）東軟集團遭商業秘密外泄2012年東軟公司前副總經理李某某為謀取暴利，伙同公司ＣT機研發部負責人張某、采購負責人岳某等人,以許諾高額經濟利益為手段，相繼讓CT機研發部17名核心技術人員竊取公司核心技術資料后,相繼離職。犯罪嫌疑人竊取技術價值總計2400余萬元,造成公司研發項目延遲,損失高達147０余萬元。(7）南開經濟數據泄密國家統計局辦公室局長秘書室副主任孫振，先后多次將國家統計局尚未對外公布的涉密的統計數據共計27項，通過MSN聊天工具泄露給國金證券股份有限公司工作人員付某、中信建設證券有限公司資產管理部工作人員張某。(８)3.15晚會多家銀行被曝內部員工私售客戶個人信息２012年央視“315”晚會曝光招商銀行、工商銀行等內部員工泄露客戶信息,非法獲取利益。（9)1號店客戶信息泄露20１2年1號店內部員工與離職、外部人員內外勾結，泄露90萬用戶信息。(10）HTC被曝員工泄密2０13年HTC被曝泄密，副總兼首席設計師簡志霖、處長吳建宏、設計師黃弘毅3人,借委外設計NEWHＴCＯNE機殼為由，詐領10０0余萬元新臺幣公款。簡志霖更涉嫌竊取HTＣＳＥNSＥ6.0之UI接口程序的商業機密，計劃在離職后攜往他在臺灣所開設的手機設計公司或與其他業者研發。信息產業如電腦、手機、通訊,本身就處于電子信息的前端,泄密風險也就水漲船高。而制造業泄密案則發生是在中國制造業轉型的當下,隨著兩化融合的推進，越來越多的制造業部署信息化,但信息安全工作并沒有同步完善,造成大量泄密風險存在。泄密案給企業不僅造成經濟名譽損失,更會影響其轉型升級步伐,給企業造成不可估量的損失。1.3企業電子文檔泄密的危害隨著企業信息化程度的逐步提高,越來越多的企業信息資料、工作報表、業務文檔等都用電子文檔的形式存儲和傳輸。雖然電子文檔減少了信息資料存儲傳輸的成本，提高了企業工作和溝通的效率,但安全性問題隨之而來。比如,公司的商業計劃、業務報表等重要機密數據,不但面臨著企業外部的黑客攻擊和竊取，還面臨企業內部人員有意或無意的外泄。重要數據文檔一旦失竊,輕則給企業帶來重大損失,重則威脅到企業的生存。另外,企業發生信息泄露事件會導致企業在公眾中的威望和信任度下降,會直接使他們改變原有選擇傾向。從這里不難推斷,信息泄密事件可能會使企業失去一大批已有的或者潛在的客戶。近日，瑞星公司發布網絡漏洞預警,包括７天連鎖酒店(以下簡稱7天)在內的多家連鎖酒店存在嚴重的系統安全漏洞。此前(今年5-６月份),有黑客在互聯網網上公布了某連鎖酒店的數據庫信息，其中２00０萬用戶的身份證、手機、住址及開房時間等敏感信息遭到泄露。除此之外，在２011年12月２1日，國內最大的程序員網站CSDＮ網站被曝600萬用戶的數據庫信息被黑客公開，隨后網上出現嘟嘟牛、7K7K、多玩網、178游戲網等多家網站用戶數據庫泄露的消息。繼CSDN網站的60０多萬用戶被泄露后,5１CTO、CＮZZ、eＮet、U-UU9、YY語音、百合網、開心網、人人網、美空網、珍愛網等眾多知名網站也相繼陷入用戶數據泄露丑聞。在數據信息的作用與地位日益顯要的今天，數據信息的安全問題是關乎企業聲譽、公眾信任感、經濟利益、生死存亡的問題,如果企業機密技術資料與客戶資料等文件的泄露，則可能會導致企業投資的失敗、競爭力的下降及客戶的流失等嚴重后果。企業數據信息的安全程度也會影響企業的外部競爭力。因此,企業電子文檔的安全可以說是不得不高度重視的。2、企業電子文檔泄密的主要原因企業信息化程度的不斷提高，由于許多機密電子文檔是以電子形態存在于計算機中的,所以別人特別是那些商業間諜是有很多種途徑和方式進行電子文檔的竊取的。比如通過U盤拷貝、電子郵件發送、向目標電腦上植入木馬并借助HYPERＬINK＂http://ｗww.ｐcｏnline.ｃｏm.cｎ/ｐceｄu/soft/ｌａn/jｙwgl/"＼ｔ"_blank"網絡進行電子文檔傳輸等都是可以將機密電子文檔竊取出去的。如果是企業內部員工有意識的進行機密電子文檔竊取,那么他們將會有更多、更便利的條件和手段,這對于企業來說,可以說是防不勝防。另一方面,企業員工無意識的把含有敏感信息的機密電子文檔泄露出去也是很常見的,而且許多時候信息泄密后,企業員工及企業管理層卻毫不知情,比如企業員工對外發送郵件時，無意中將郵件地址張冠李戴,又比如企業員工在送修存放有機密電子文檔的硬盤時沒有采取信息保護措施等，都是可能造成重大信息泄密事故的。事實上從理論上說，商業間諜、員工流失、合作伙伴參與、病毒黑客攻擊、外部員工信息交換、工作流程失控和某些高管的不良工作習慣等都是可以造成機密電子文檔失竊及重大信息泄密事故的環節(如下圖)。企業電子文檔泄密的途徑２.1內部泄密內部泄密主要是指內部人員有意或者無意將重要電子文檔泄露，在電子文檔的整個生命過程中，內部泄密的威脅都存在，而且很難防范。其中內部泄密又包括無意泄密和有意泄密。無意泄密是指內部人員在不知情的情況下將涉密電子文檔泄露。無意泄密最常見的就是內部計算機非法外聯和移動存儲介質交叉使用。有的人缺乏安全知識，將處理過涉密電子文檔的計算機重新安全后接入互聯網，就有可能被情報人員將涉密文檔還原。移動存儲介質未經授權在內部計算機使用,內部移動存儲介質被帶出在外部使用，移動存儲介質發生故障維修時,里面存儲的涉密文檔被還原，等都會造成內部涉密文檔泄露。移動存儲介質帶來的隱患還包括攻擊者利用移動存儲介質對內網進行擺渡攻擊，從而竊取更多的涉密電子文檔。有意泄密是指內部人員通過各種途徑獲得涉密電子文檔，并主動傳遞出去。內部人員獲取電子文檔的途徑很多,文稿撰寫者可以直接拷貝到U盤、光盤等介質保存，其他人員可以通過網絡下載，有閱讀權限的人員甚至采用手抄、截屏等方式獲得。2.2外部泄密外部泄密主要通過攻擊實現。外部泄密的威脅主要存在于電子文檔前兩個階段，即制作保存和傳遞使用過程。具體方式可分為兩種：(１)惡意代碼。如果內網終端使用時不注意就有可能感染木馬、蠕蟲、僵尸網絡、間諜軟件等惡意代碼，這是目前造成泄密的主要原因。比如安裝未經檢測的軟件，使用來歷不明的存儲介質，防護軟件安裝不到位等,都有可能感染惡意代碼。一旦感染，惡意的代碼就會通過網絡竊取重要信息,伺機往外部發送。（2)網絡入侵。攻擊者借助各種手段，對特定目標進行滲透,最終控制目標,進而獲取所需的信息。從攻擊類型看,當前主要有物理攻擊、主動攻擊和被動攻擊三種類型。企業電子文檔的安全除了受到來自內外部的泄密，防火墻安全問題、病毒的防范問題、終端設備接入安全問題、終端設備管理問題等任何一個環節出錯都會導致企業文檔的破壞。另外大量的信息安全事件，呈現出商業利益驅動的現象。不論是木馬病毒的黑色產業鏈,還是銀行系統內部人員的儲戶信息主動泄密,都有后面的商業利益驅動。而且隨著商業環境競爭的日益激烈，這種信息安全的威脅還會持續和加劇。其次，信息泄密正在向更加專業化犯罪的趨勢發展。從木馬病毒、釣魚網站的不斷出現，再到運營商后臺密碼被攻破,這些灰色事件的背后，都有專業的人員和組織。在現階段網絡安全形式日趨復雜的情況下,企業核心信息、用戶個人數據、重要客戶需求及公司內網安全都面臨著巨大風險。2.3企業網絡安全漏洞電子文檔通過網絡在傳輸過程中隨時存在被感染的風險,文檔在計算機中生成處理，所以電子文檔受到網絡和計算機的雙重威脅。縱使電子文檔能夠做到“獨善其身”，在一方面遭受網絡黑客、木馬、惡意插件侵犯，薄弱的防火墻根本不足以抵擋這類不請自客;另一方面文檔在儲存的時候我們習慣用U盤進行拷貝，電子郵件互發,很難保證這些操作是安全的,所以文檔信息的生存環境可以說險象環生。當代企業網絡的開放性，公司利用共享服務器的方式共享企業內部文檔，人人都能看到內部資料,這無疑是很危險的。企業內網的安全，其實質就是企業信息的安全。2.3．1ＶPN網絡VPN(虛擬專用網絡ＶirtｕａlPrivaｔeNetwoｒk）是在公眾網絡上所建立的企業網絡,擁有與專用網絡相同的安全、管理及功能等特點。ＶPＮ是一個臨時的、安全的連接,是一條穿過混亂的公用網絡的安全、穩定的隧道。通常是對企業內部網的擴展。通過VＰN可以幫助遠程用戶、公司分支機構、商業伙伴及供應商同公司的內部網建立可信的安全連接,并保證數據的安全傳輸。目前針對VPＮ最為常見的攻擊行為是DoS攻擊,其根本目的是使受害主機或網絡無法及時接收并處理外界請求，或無法及時回應外界請求。其具體表現方式有以下幾種:(1）用大流量無用數據致使企業網絡堵塞，使被攻擊主機無法正常和外界\t＂＿ｂｌank"通信；（2）反復高頻的發出攻擊性的重復服務請求,使被攻擊主機無法及時處理其它請求。（3）反復發送畸形的攻擊數據引發系統錯誤的分配大量系統資源，使主機處于掛起狀態甚至死機。ＶＰN的部署策略2.3.2網絡設備（包括數據庫等）網絡設備是企業用戶信息傳輸、保存的重要介質,黑客通過入侵數據庫,也可以獲得用戶信息。由于黑客對于數據庫的侵襲時間可長可短,因此有些企業的數據庫已經被攻擊和損害了相當長的一段時間,還沒有引起企業管理者的注意。惡意的黑客會利用非常簡單的攻擊方法進入數據庫，如:不嚴謹的配置、未更新補丁的漏洞等。目前，對于數據庫的主要攻擊類型分為:（1）破解弱口令或默認的用戶名及口令;(２）非法權限的提升；（３）利用未及時更新漏洞；（４）SQL注入攻擊;(５)竊取備份(未加密)的信息等。黑客對數據庫發動襲擊2.3.3數據傳輸信道通常企業所存在的數據傳輸信道問題為:（1）網絡布線不規范企業通常在數據主干道上（如單位多棟大樓之間)使用光纖傳輸,而在相同樓層之間采用雙絞線。由于企業網絡信息化一般都是逐步實施的,在網絡綜合布線上的可能會存在嚴重滯后以及規劃不合理的現象，例如，數據線纜與電話線纜、電源線纜之間互相造成干擾;布線施工質量差;網絡硬件設備無安全防護等；而對于雙線線的連接時常會出現不規范的線序打法,造成“串繞”現象并產生干擾而造成局部網絡訪問緩慢的問題。（２)網絡設備參差不齊企業在網絡建設中未能及時淘汰一些安全性差的路由設備，造成網絡中某一節點出現安全漏洞從而置整個網絡于危險之中。（3)無線局域網絡監控不利一些企業往往只通過簡單開啟無線網絡的WEＰ、ＷＰＡ或WPA-ＰSＫ等加密方式來進行身份驗證而授權用戶進入網絡,很容易造成因密碼泄露而使非授權用戶非法訪問企業內部網絡的問題。2.3.4操作系統大多數網絡入侵是因為操作系統（如Wｉndows,Uniｘ，Linux等)的漏洞。完善安全操作系統的保護策略，以用戶控制、進程控制及對象控制為主，使其具備有效的安全體系結構、提供實時的權限訪問控制、信息加密保護及完整性鑒定等安全機制實現數據安全，并通過系統配置以確保操作系統盡量避免實現時的缺陷和具體應用環境因素而產生的不安全因素。但無一例外的是,由于漏洞修復的滯后性，使基于操作系統漏洞的入侵、通信端口的惡意掃描，以及利用通信和共享功能設置(如遠程登錄、文件及設備共享等)而進行的非法訪問等,為黑客攻擊和病毒感染留下了“可乘之機”。操作系統通常存在的安全隱患為：（1）操作系統結構體系的缺陷無論是哪種操作系統，其本身均有內存管理、CPＵ管理和外設的管理，這些管理模塊的缺陷通常會造成系統崩潰而受到攻擊。(2)文件傳輸及應用程序加載隱患操作系統所支持的網絡文件傳輸、加載或安裝程序時出現的漏洞,可能就會造成系統崩潰或被非法監控。（3)遠程進程調用操作系統支持遠程創建、激活進程,并對進程的創建進行繼承,使在遠端服務器上安裝“間諜”軟件成為可能。從而使企業網絡內數據被非法監控、盜用、以及篡改等嚴重問題。（4)操作系統的后門和漏洞后門程序是指那些繞過安全控制而獲取對程序或系統訪問權的程序方法。程序員可能會在軟件開發階段利用軟件的后門程序得以便利修改程序設計中的不足,但一旦后門被黑客利用，或在發布軟件前沒有刪除后門程序,容易被黑客當成漏洞進行攻擊，造成信息泄密和丟失。特別是操作系統的無口令的入口，也是信息安全的重大隱患,其極易被黑客利用并進行攻擊，造成信息泄密和丟失。2．3．5網絡通信協議通俗地講,網絡通信協議是計算機在網絡中實現通信時必須遵守的規則,它為連接不同操作系統和不同硬件體系結構的互聯網絡引提供通信支持，是一種網絡通用語言。目前大多數企業網絡系統所采用的網絡通信協議是TＣP/ＩP、HTＴP、HTTPS、FTP、SＭＴＰ及Tｅｌnet等，這些協議大多先天不足或帶有安全漏洞。例如,目前廣泛使用的TCP/IP協議在實現上力求簡單高效,缺乏安全因素的考慮,由于它脆弱的TCP/IＰ服務、缺乏足夠的安全策略及配置的復雜性等因素,使其數據容易被實施竊聽、劫持、電子欺騙及IＰ地址欺騙等非法行為,網絡攻擊者們也往往利用這些安全漏洞或技術來對企業網絡行地攻擊。2.３．6Web服務器WＥＢ服務器主要是面向互聯網的,是內外部網絡連接的紐帶和堡壘，它在企業眾多信息化應用中最容易受到攻擊的。而現在企業的WEＢ應用越來越多,特別是其也逐漸在成為其他信息化應用的入口,如企業的郵件系統、SCM、SRM或CＲM等系統入口通常都捆綁在WＥB服務器上,且Web后端連接著。Weｂ面臨的威脅主要有信息泄露、拒絕服務(DoS)、系統崩潰及跳板等。2.3．7計算機病毒計算機病毒是指編制者在計算機程序中插入的破壞計算機功能或者破壞數據，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼。它們通過程序、網絡、即時通訊軟件以及郵件等多種形式進行傳播。由于其繁殖性、傳染性、潛伏性、隱蔽性、破壞性及可觸發性等特點，由其造成的數據清空、網絡連接中斷及系統崩潰等,往往會企業造成巨大的損失。尤其是一些通過網絡傳播的木馬及蠕蟲類型的流行性病毒，成千上萬地肆虐在網絡環境中，這些病毒不僅危害性大,而且傳播速度非常快，傳播形式多樣,它們一旦發作便會肆意竊取企業數據并可能造成系統癱瘓,會給企業網絡造成巨大的威脅。2.3.8防火墻安全問題防火墻是企業安全防護的第一道閘門，然而,在考察我國企業網絡的安全現狀時，我們仍然發現,有相當一部分網絡,雖然安裝了硬件防火墻防護設備，但由于管理員的水平有限，在防火墻的使用和配置上存在一些問題，并沒有能最大程度的發揮防火墻的安全防護作用。

黑客技術日益公開化，職業化，各種攻擊日益頻繁，病毒日益泛濫,使得企業文檔資料安全受到嚴重威脅。防火墻作為一種邊界防護類型的網絡安全設備,必須部署在受保護網絡的邊界處，只有這樣，防火墻才能控制所有出入網絡的數據通信，達到將入侵者拒之門外的目的。如果被保護網絡的邊界不惟一,有額外的出入口，那么入侵者會通過其它途徑先入侵我們的主機，然后進一步攻擊我們整個網絡。

３、企業電子文檔安全防護解決辦法

由于傳輸方式的多樣化和企業終端設備的復雜化，企業電子文檔的安全保護是一個綜合性的系統工程,普通的防火墻、網絡控制、郵件控制等方法無法全方位地保護企業信息安全，企業用戶需要一個綜合性的、防護周到的安全解決方案，來保護企業的電子文檔安全。

文檔是各種機密信息最普遍的載體,在內網建立一套完善的文檔安全防護機制，在HYPERLＩNＫ"httｐ:/／aｒticleｓ.．cn／ｐc_servｅr/"\o"終端"\ｔ"_blａnk＂終端直接對文檔的行為進行監控和審計，是防止文檔泄露的最佳解決方案之一。對文檔的監控和審計,能杜絕很大一部分泄密事件的發生。即使泄密事件發生，也能夠很快找到泄密途徑，追究責任，挽回損失。同時,通過對大量行為數據的分析，能夠為管理者找到安全管理漏洞,不斷完善安全管理機制。然而根據權威數據顯示，幾乎所有的中國企業對電子文檔都沒有任何防護措施，企業對于信息有保護措施的不到3%。一些機密性的資料,電子文檔輕易就可以的通過電子郵件和移動硬盤泄密到網絡外部。從目前的防護手段上來看,企業抵御黑客盜竊用戶信息的防御方式主要為網關防護、終端防護和軟件防護，而在實際應用中，軟硬件相結合的防護方式,才能從根本上保護信息安全。3.１針對企業用戶信息的泄露，

企業用戶信息安全的技術防護3．1．1注意數據庫漏洞首先，企業網絡管理者要為數據庫起個無規律且不易記錄的名字,并放在幾層目錄下,這樣可以增加黑客入侵難度;某品牌的數據庫漏洞掃描部署3．1.2后臺管理程序及權限的規范對于后臺管理程序的入口鏈接一定要慎重體現,管理員的用戶名和密碼不能設置過于簡單,并應定期更換。此外,在權限上應及時予以相關工作人員的更新及收回，對于不同工作職能的瀏覽內容應予以區分。3.1.3部署加密系統加密技術長久以來都代表著技術含量及不菲的應用，但近年來眾多加密產品的問世,可以使企業網絡安全管理者以較低的成本實現電子郵件、磁盤等系統的加密。3．1.４、部署VPN由于企業員工具有流動性及變更新性，因此設置VPN系統能使企業較為安全的在互聯網擴展網絡共享或在公司外部訪問系統文件。一些基本的簡單保護,也可以選擇價格低廉甚至免費的ＶＰＮ軟件，免費的ＶPＮ產品可以作為企業部署更高級VPN的試驗，以決定是否真的有效及成本投入部署。3.1.5、采用專業的防止數據泄漏工具用戶數據信息泄露給企業所帶來的損失及震蕩在近期的索尼＂黑客門"事件已經得到深刻的詮釋,企業用戶在感嘆"民意"強大的同時也應完成企業網絡系統安全部署,選擇專業工具。在數據泄漏預防工具市場，Vontｕ、Recoｎnex與Veｒicept是較為知名的品牌,它們很容易進行部署,能對企業內部的關鍵數據文件實行監控和強制加密保護。當然,通過專業的工具部署，也不完全代表企業的信息系統可以百分百安全,可以一勞永逸的保護用戶數據信息。３.1．6、全員的創新及解決方案建立完善的獎懲制度，并公布企業信息安全防御方案，調動公司全員樹立積極的防護意識，也可以減少企業用戶信息泄露事件的發生。幫助企業提高風險管理控制、且不需要投入很高的資金及人力資源、在最短時間內實現提高安全性目的的用戶信息安全防御才是企業真正需要的。現階段知名的信息科技巨頭掌控了動輒數以百萬計的用戶個人信息，這些信息是互聯網產業增長的基礎，但也可能成為惡意侵襲者實施犯罪行為的踏板,給企業用戶甚至社會都帶來損失。3.2文件加密、磁盤加密和遠程映射。文件加密即對文件實體本身在產生、使用、存儲、使用、歸檔、銷毀整個生命周期進行全維的加密控制。文件加密技術又分為驅動層和應用層兩種:應用層加密技術是通過調用應用系統的ｗｉnｄoｗsAPＩ函數來對文件進行讀寫的加密控制；驅動層加密技術是通過攔截操作系統文件過濾驅動的讀寫動作對文件進行加解密控制。對比這兩種技術,應用層技術相對簡單，更容易控制，但由于需要調用每個應用程序的APＩ函數，擴展能力較差;驅動層技術難度高,由于和操作系統底層驅動打交道，藍屏、死機，甚至和殺毒軟件等驅動層產品兼容性差，但其集成性和擴展性更好。磁盤加密即對物理磁盤的單個扇區進行加密,任何文件寫入磁盤即受控保護，正常使用時文件被調入內存變成明文。磁盤加密主要為國外廠商所采用，例如：macfee、趨勢等,國內明朝萬達等部分廠商也是采用的這個技術。遠程映射的主要特點是終端無痕,所有涉密信息均存放在遠端服務器,本地無文件實體,更有利于解決目前最難控制的終端泄密問題；但是涉密信息過于集中帶來的安全風險以及終端合法開放時造成涉密隱患尚無好的技術手段解決,因此無法適合設計人員自身的安全文檔需要,更無法大面積在企業等行業推廣。就目前來說,較通用的技術是文件加密，即驅動層透明加解密技術是目前文檔安全防護市場的主流。巨大的市場潛力和隨之帶來高額的市場回報，促使越來越多的企業涉獵這個領域,目前國內包括時代億信、億賽通、國富安、思智泰克、巨石等均采用的驅動層技術,前沿、華途、智金等則采用的是應用層技術。面對競爭如此激烈的市場環境，眾多的安全廠商如何保持強大的競爭力，并在競爭中脫穎而出是每個文檔安全廠商的管理員都要面對的問題。３.3國內企業的文檔安全管理解決方案３.3.１企業電子文檔保護的解決方案市場現狀目前企業級電子文檔保護的整體解決方案而言,盡管可供用戶選擇的產品有很多,但大都功能比較單一，純單機的電子文檔加密系統或遠程“鎖”定電子文檔存放目錄及電子文檔單一格式類型的聯機電子文檔加密系統顯然是無法滿足企業需求；而對于那些大型的企業級電子文檔加密系統,無論是資金和人力投入還是實際運作的操作難度,也都是一般企業所望塵莫及的。3．３．2傳統電子文檔安全解決方案的不足之處在企業對信息安全的需求之下,市場上相關的安全解決方案琳瑯滿目，防火墻、防水墻、VPN、IＤS、郵件內容過濾、權限控制等各種產品應接不暇。雖然這些產品在防止企業外部的攻擊方面有著不錯的效果，但它們幾乎都有如下幾個不足之處：(１）無法防止企業內部人員的主動泄密：企業內部員工用移動設備、網絡等方式將機密資料拷貝或外發，造成重要數據和文檔泄密;(2)無法為電子文檔提供全方位的安全防護：電子文檔有創建、存儲、傳輸和使用等不同的使用階段，大多數安全產品只能在某個階段提供安全防護,在其他階段則無法提供全方位的安全防護;(3)操作復雜、使用難度高:傳統的安全產品一般來說對用戶的使用要求高，需要具備專業知識,而且往往操作復雜，用戶無法在短時間內熟悉并上手３.３.３鐵卷HYPERLIＮＫ"htｔp:／／zhidaｏ．ｂaidu.ｃｏm/search?word=%25WGC％3E4％25%25&fr=qb＿sｅarch＿eｘp&ie=utf8"電子文檔安全系統鐵卷電子文檔安系統是針對企業保密需求研發的內核級透明加解密電子文檔安全軟件。內核級加解密使受保護文檔不易被破解,使用透明加解密技術,不改變使用戶正常工作時的工作習慣，既不影響工作效率、又不影響員工工作情緒、同時又節省系統應用時的培訓過程。保密環境建立簡單、管理方便。是企業文件防泄密、圖紙安全、數據保密理想的解決方案。鐵卷(ＴoｔａｌFilｅGuａｒd）電子文檔安全系統的優點：“鐵卷（TotalＦｉleＧuａrｄ）電子文檔安全系統”融合了多項具有自主知識產權的先進電子文檔保護技術，可以在企業“不足掛齒”的綜合成本投入條件下，獲得最安全而完美的企業電子文檔保護整體解決方案,它可以從全局出發保障企業內網的信息安全和數據安全,特別是該軟件系統所獨創的電子文檔加解密過程“透明”操作的全新理念,更是將這款軟件的操作難度降低到了極限“鐵卷電子文檔安全系統”盡管功能先進且非常全面強大,但它在使用上用戶一點也不會感到復雜，總體來說，在軟件的電子文檔管理體系中,由統一的“管理中心”調度和控制所有聯入該電子文檔管理體系的客戶終端電腦，而所有的客戶終端安全程序，也都將由“管理中心”軟件來自動生成。鐵卷安全系統保護電子文檔思路：由于可能造成機密電子文檔失竊和重大信息泄密事故的環節有多種多樣，只針對某一個或某幾個環節進行機密電子文檔的保護顯然是不科學也是不規范的，機密電子文檔失竊的風險依然存在。“鐵卷電子文檔安全系統”正好抓住了電子文檔企業內網保護的這一條主線，所以它可以很好的“扯斷”可能造成機密電子文檔失竊和重大信息泄密事故的所有環節。那么“鐵卷電子文檔安全系統”究竟是怎樣為企業保護電子文檔的呢？其實這款軟件采用的是一臺“管理中心”電腦控制企業內網所有客戶終端電腦的機制，在“管理中心”電腦上安裝有軟件的控制程序，并提供有配套的操作界面，而所有客戶終端電腦上沒有該軟件的任何操作界面,即完全“透明化”的,這樣由“管理中心”對所有客戶終端電腦上的機密電子文檔進行即時控制和管理,客戶終端電腦上的機密文檔一旦脫離了企業內網的內部環境，電子文檔即馬上失效，無法正常使用,軟件這種獨特加密方式的一個最大好處就是不管電子文檔竊取者采用何種方式和環節竊取電子文檔,只要電子文檔脫離了企業內網，相關信息都不會泄露出去；而對于部分確實需要將機密電子文檔帶出企業內網并進行合理合法用途的情況,經過“管理中心”的授權，電子文檔又會被自動解密,使用上可以在兼顧安全的同時，又兼顧了靈活。鐵卷保護機密電子文檔流程病毒入侵造成機密電子文檔泄密通過盜竊電腦設備竊取電子文檔3.3.4ＤocGuardｅｒ華途文檔安全管理系統ＤocGｕaｒdeｒ華途文檔安全管理系統能夠全面解決該類信息資產安全問題。DocGuarｄｅｒ文檔安全管理系統無須另外增添硬件設備的限制，同時也不會影響用戶使用習慣，真正做到透明加密。DｏcＧuａrder華途文檔安全管理系統(以下簡稱DoｃGuardｅr）采用256位高強度加密算法實時加密文件，綜合集成了動態文檔加密技術、身份認證技術、硬件綁定技術等多種技術來對企業內部機密文檔進行全方位的保護。在安裝ＤocＧuarder的客戶終端，使用者所生成的重要文件將自動加密保存。企業管理者可控制使用者對文檔的讀取、存儲、復制、輸出的權限。從而防止使用者之間非法復制、外部發行、光盤拷貝。杜絕利用Ｕ盤、軟盤、光盤、電子郵件等輕易地帶走公司的技術文件、設計圖稿、財務賬目、戰略計劃、事業計劃、研究論文等機密文件。DｏcGuardｅr加解密操作完全是動態的,無需用戶手動操作。這樣既節省了用戶時間，同時也達到了保護文件的目的。整個加解密操作完全是后臺透明實現的，不會改變用戶原來的任何習慣。只要用戶有改寫磁盤的操作,則預先選定的文件類型就會被自動加密或是解密,用戶感覺不到加解密過程的存在。這樣不僅節省了用戶手動加解密的操作,而且這種加密方式并不影響文件的固有屬性(如只讀,創建／修改/訪問時間等）。ＤocＧｕａrdeｒ采用等級管理模式,系統管理員可以設定不同的子管理員(如：超級管理員、文件管理員、等級管理員等）。客戶端登錄時，可直接使用Windoｗs當前登錄的域用戶賬號或者本機賬號作為DocGuarder文檔安全系統的賬號進行校驗。可以針對公司內部域管理模式設置系統的權限，也可以根據公司架構設定多個子管理員進行管理。3.3.5明朝萬達Chinaｓec(安元)文檔安全管理解決方案Chinasec（安元）文檔安全解決方案從客戶端的身份認證管理、電子文檔的手動/自動加密、電子文檔的密級權限控制、日志審計等環節進行綜合安全防護，構成多層次、全方位的文檔終端安全管理體系。為提供安全的移動信息安全服務，為用戶提供了強有力的文檔信息安全支撐。??用戶身份管理,通過加強終端使用者的身份認證,包括口令認證,UＫＥＹ認證等不同的認證強度來確保終端當前使用者的身份，并且可以與AD域賬戶同步管理，按公司部門建立用戶管理樹,可設置用戶職位信息與職位關系；

?文檔密級管理,可控制文檔的各種操作權限,支持多種文件密級策略，可靈活的針對部門、操作、密級進行文檔安全設置。例如,對文檔劃分“秘密”、“機密”、“絕密”等密級，用戶只有系統賦予相應密級使用權限后,才能查看對應密級的文檔，有效保證了文檔的分級保密管理安全;

?文檔權限管理,對于各密級的文檔可賦予不同的管理權限,權限策略靈活可控，包括讀、寫、另存、復制、截屏、打印、打印水印、使用次數、使用時間等。??文檔使用權限提權管理,當使用者在文檔使用中需要提升權限時,提供簡便流暢的文件提權審批流程；??文檔加密(手動／自動),系統提供手動和自動兩種加密模式。手動加密模式如下:由文檔的作者對文檔主動進行加密,文檔作者可以根據需求選擇哪些文檔需要加密,哪些不需要加密。加密權限和密級由系統下發策略提供;

?文檔自動加密，由系統下發策略，可設置對特定存儲環境下(如整個硬盤、某個分區、某個文件夾等）的常見電子文檔進行自動加密，并可根據需要對不同文檔賦予不同密級和權限。

?文檔外帶審批，當加密電子文檔需要外發至第三方人員處進行交流時，系統提供一套簡單流暢的文檔審批外帶流程,可對文檔進行解密審批,并可控制文檔外發后的第三方人員使用該文檔的權限（包括身份認證、讀、寫、另存、復制、截屏、打印、打印水印、使用次數、使用時間等）；?審計記錄,系統可自動記錄客戶端電腦加密并使用電子文檔的記錄，管理員可以隨時查找文檔訪問信息,可用來追蹤泄密渠道,也可用作電子取證。同時,系統管理員的操作也會被完整記錄下來，監督員可以進行查詢和分析。4、企業電子文檔安全加密產品比較加密軟件，有的公司叫數據防泄漏軟件，如國際上也叫DLP，本質上是采用加密或者控制的方法,進行數據防護，文檔安全管理。在國際上,加密主要采用的是手動加密的方法,如美國的Aiｒziｐ;放到了國內，全部都變成了強制透明加密。下面就按照功能性、拓展性、安全性、兼容性、先進性、覆蓋性、規范性對國內幾家公司的產品做個簡單的比較。比較對象包括:山麗網安、明朝萬達、易賽通等。4.1產品功能性比較功能多往往意味著該廠商的用戶類型比較多，產品的適用面廣,功能多,還往往意味著產品的年代也比較久了，產品的穩定性有了一定的保證。更主要的,表象的功能往往意味著軟件的底層架構和設計，以及底層技術。所以,重視功能是選擇產品的一個基本法寶。既然是加密軟件，我們來比較一下加密方法、策略、文檔權限這三個方面。首先，加密方法都是“透明加密”，也就是“強制、實時、動態”的加密。明朝萬達使用的是磁盤加密的方法,但實際上明朝萬達的產品被加密的數據在磁盤上都是明文,只是在將數據復制到u盤等其他盤里面的時候才進行一個加密處理。明朝萬達的技術人員采用一個非常簡潔方式:引導區加密，使得產品保存在本地非系統盤上看起來是加密的，這里產生的結果就是不采用明朝萬達的產品無法讀取數據,因此引導區本身是識別的,起到了一定的防范作用。明朝萬達的單機版產品在卸載的時候,可以在瞬間將磁盤上的數據進行解密。但因此采用磁盤加密(引導區加密)的方式,可以給人保存在磁盤上全部的文件都是加密的效果，因此,明朝萬達的產品同時支持綠色軟件的加密。易賽通的加密軟件需要將所有被加密的文件轉化為．ＣDG格式。通過這種格式，來控制文件的加密。當電腦中沒有了打開這種特定的格式程序后，文件就是亂碼了。隨著市場需求的不斷發展,易賽通對產品也進行著升級，目前已經可以不需要轉換為特定的格式了。但正是因為易賽通原來是需要將文件轉化為特定的格式，因此,在文檔的權限控制上,易賽通產品還留有需要將加密后的文檔上傳到服務器上來設置其他用戶使用權限的痕跡。易賽通的產品因為是格式類加密，所以不支持綠色軟件的加密。２0０3年山麗網安公司推出山麗防水墻產品，產品支持對全磁盤文件的加密。而且這個加密是文件內容的加密，不是引導區的加密。所以，山麗防水墻也支持綠色軟件的加密，同時,加密文件的權限是和文件存在一起的,不需要上傳到服務器上，文件的讀取權限可以基于腳色設置。同樣是對文件的內容都進行了加密，山麗防水墻是將所有應用程序在磁盤上產生的數據文件都進行了加密處理，對某一種特定的文件格式并不需要進行任何的格式分析,對用戶將來安裝的新程序產生文件也是一樣可以加密，而且不需要任何的二次開發工作。易賽通需要對文件的格式一個一個分析，隨著市場的發展，山麗防水墻也支持了特定格式的加密,如支持用戶自行設置office文件、CAD文件加密，支持用戶自行設定目錄加密,支持用戶自行設定特定格式文件不加密、特定目錄解密等功能。4.2產品拓展性比較所謂產品的拓展性，意思是這種產品對可以不斷發展、變化的環境的的適應性問題。環境的變化包括了:用戶客戶端軟件的變化;客戶端軟件的變化,就是客戶端新裝了設計軟件、或者oｆfice類文檔處理軟件。用戶使用的應用系統的變化；客戶應用系統的變化,主要體現在用戶希望上傳到應用系統服務器上的文件希望是密文或者明文。這個情況的處理,明朝萬達采取了一種處理方案：在用戶的網路中安全一個硬件的“安全網關”，用戶需要上傳到應用服務器上的數據全部通過這個中轉網關進行通訊。從而實現了數據上傳解密、下載加密的效果,這充分說明,朝萬達的加密方式不是全盤的磁盤加密模式;更讓人難以決策的是,增加了一個硬件網關。將會改變用戶的網絡結構,增加單點故障。用戶下載到本地的數據，也跟據用戶的加密策略而定,如果采用的是全盤加密模式,則完全是加密的，不管這個時候從服務器下載到本地硬盤的數據是什么格式的;如果客戶端采用的加密策略是空加密,則下載下來的數據就不是加密的。4.3產品安全性比較安全性自然指的是數據加密后被破解的可能性。產品的安全性是企業在選擇文檔加密產品時需要重視關鍵。(1）在互聯網上已經出現了對一些加密軟件如易賽通的破解工具了;破解的原理很簡單,將內存中的明文轉化為客戶端不加密的格式保存即可。(2)加密算法RSA２014位我們國家在２013年之后將完全不再采用；在美國已經停用。易賽通和明朝萬達都是采用的固定密鑰加密文件。目前,采用對稱加密和非對稱加密相結合的加密產品,也就是Ａdｏbe、微軟、和山麗防水墻。4.4產品兼容性比較產品的兼容性和產品使用系統的廣泛性有關;也和采用的加密方式有關；但同時和產品的設計、代碼質量也有關系。在這一個方面，明朝萬達因為僅僅對引導區加密,因此基本的兼容性不應該有問題,如果有，那可就是產品的質量問題了。易賽通天然因為使用的方法,在兼容性方面必然會有些問題。4.５技術先進性比較技術先進性不好比較,因為所有的廠家都說自己的先進。因為先進代表者節省用戶的重復投資。目前調研知道，山麗防水墻有中國大陸的發明專利和美利堅合眾國的發明專利（已經授權），具有一定的先進性。4.6系統覆蓋性比較4.7產品穩定性比較這里的穩定性，指的是程序運行中“崩潰”的可能性。因為崩潰就意味著不加密了，還有可能產生文件破壞。目前,在南方市場，一批使用早的客戶已經在尋找新的供應商,已經不愿再使用有些公司的產品。在規避文件破壞的可能性中,山麗防水墻有明確的技術手段可以防范。4.8研發規范性比較５、結論:在信息價值日益突出的時代,電子文檔的安全面臨著嚴峻的挑戰。隨著計算機存儲技術不斷發展和計算機病毒種類的日新月異,電子文檔安全將面臨新的威脅和問題，現代化企業各種信息系統使用，特別是計算機輔助軟件的使用,給企業帶來了大量的數字技術文檔；作為企業技術直接載體的電子技術文檔，在新的市場競爭特點下比以往更為重要；新的企業生產模式要求企業跨部門、跨地區、跨企業進行多方合作設計生產，因此對企業電子文檔管理的共享與保護提出信息的囂求。本文以企業信息泄密十大事件為背景，開展了對企業電子文檔的安全保護綜述，并進行了以下主要研究工作:(１)分析了當前企業電子文檔的管理現狀,企業電子文檔的泄密危害。（2)分析了企業對電子文檔安全管理的需要，具體介紹了鐵卷HYPERＬINK"http：/／ｚhidａｏ./ｓｅａrｃh？word=%2５WGC%３E４%25%25&ｆr=ｑb_sｅarch_exp&ｉe=uｔf8"電子文檔安全系統、DocGuarｄｅｒ華途文檔安全管理系統、明朝萬達Ｃhｉnasec（安元)文檔安全管理解決方案。（3）研究了山麗網安、明朝萬達、易賽通三家文檔加密技術的區別。(4）針對企業電子文檔安全管理的需要，如防病毒技術,防火墻技術，虛擬專用網技術。但是對于企業來說，如何做好企業電子文檔安全建設ＨＹPERＬＩNK"http：/／www.chiｎabyte．coｍ／keｙword/尚存/"尚存在很多不足，安全之路長路漫漫。沒有絕對的安全,只有絕對的評估。只有不斷地進行安全檢查，及時發現問題并解決,才是長久的安全之道。5．１企業電子文檔防泄密系統選購應遵循的六原則

防泄密系統雖然對企業發展至關重要，但是只要企業用戶能夠遵循以下六方面的采購原則，就一定可以選擇并采購到最適合自己企業的企業級電子文檔防泄密系統。原則一：所有可能造成泄密途徑整體防御

在當前出現的各類企業泄密事件中，通過病毒、木馬、黑客攻擊、內部員工夾帶、企業高管販賣以及電腦存儲介質在維修、移動過程中的惡意竊取等都有可能成為企業核心機密電子信息的泄密途徑，所以企業防泄密系統如果只能對某個或某幾個泄密途徑進行防御應該是遠遠不夠的。現在許多企業都會選擇一款叫做“鐵卷”的專業級防泄密系統,它能夠針對企業整個內部網絡提供機密電子信息的實時保護，能夠讓脫離企業內網環境的所有機密電子文檔自動無法使用或在未經合法授權打開時呈現出一堆無法閱讀的亂碼。事實上對于企業中產品研發報告、設計文檔、圖紙、配方、源代碼等數字化知識產權文檔及客戶資料、項目資料、招投標方案等商業機密信息文檔一般會分散于企業內部多臺電腦終端，員工對電腦的濫用和對重要數據的泄密途徑越來越多，企業內部核心數據被泄密的風險越來越大。“鐵卷”基于企業內網的防泄密系統保護,可以說既治標又治本。原則二：防泄密系統防自身破解等級要高?一款好的企業級防泄密系統既要能夠防堵企業中所有可能造成泄密的途徑和環節,又要防范自身的加解密機制和技術被第三方破解，因為一旦防泄密系統被強行破解，企業的“防泄密”也就等于形同虛設了,所以企業在采購防泄密系統時,產品研發機構的技術實力是非常關鍵的。這里同樣可以以目前國內性價比十分出眾的“鐵卷”為例:“鐵卷”由國內終端與數據安全產品的領先企業深圳大成天下自主研發，進入行業市場六年多以來與國內上百家知名龍頭企業、眾多政府以及金融行業機構建立了長期而穩定的戰略合作，所有合作方的政企機構并沒有發生一起有惡劣影響的泄密事件，“鐵卷”自身從技術上說也沒有任何被強制破解的可能。原則三:要有自身核心加密技術彰顯實力?對于一套相對成熟的防泄密系統來說，具有完全自主知識產權的核心加密技術自然非常關鍵。“鐵卷”產品不僅集成了包括驅動級核心加密、透明加密、細分化分級審核等多項全球最先進的電子文檔加密技術,而且“鐵卷”還主動順應64位操作系統被廣泛商用的主流趨勢,率先在整個行業領域集成了國際上最先進的6４位操作系統文檔透明加密技術