- 随着企业信息化的加速,大量电子文档作为重要信息的载体,成为企业至关重要的特殊资产。而电子文档易传播、易复制、易扩散的特性,决定了与此同在的安全风险。现在,以电子文件为主的内部泄密已经在成为企业内部数据安全的最大威胁之一。根据FBI 和CSI 调查显示,来自企业内部的安全威胁逐年增加,信息安全的主要隐患已经从外部入侵逐渐转变为内部人员使用信息的不可控性上。作为敏感信息的载体之一电子文档的安全成为信息安全领域最受关注的热点问题。
 - 易用性
-
易用性是指在应用中步骤简单、使用方便,尽量少或者完全不改动用户现有的使用习惯和业务流程。安全和易用是不可少的应用追求。因此,易用性还要求能够将深层次的安全技术体现为简单、易用的应用。例如,没有安装文档安全系统之前,用户编写一份备忘录的同时阅览一份研发文档,两者都不受控,备忘录可以直接发送给合作伙伴阅览,但同时包含敏感信息的研发文档存在通过网络、U 盘泄密的隐患;安装系统后,用户还是像系统安装前那样工作,备忘录仍然可以直接发送给合作伙伴,研发文档也可以正常阅览使用,但所有可以泄密敏感内容的途径都得到了控制,并且这些控制对用户都必须是透明的,用户如果不想故意泄密,根本就不应该感觉到系统的存在。
- 安全性
- 企业管理决策层企业管理决策层出于对内部敏感信息的保护和控制,而使用文档安全系统。因此,文档安全管理系统首先就要保证电子文档的安全性,确保电子文档在使用过程中,包含的敏感信息不会被有意或无意的二次传播出去。为了达到安全性这个首要目标, 就必须具备以下几个方面:
1.电子文档直接拷贝到其他地方无法使用。限制内部电子文档的使用环境,脱离了限定的环境就无权使用。
2.正在使用的文档,要控制其内容不会通过打印、复制粘贴、屏幕拷贝、拖拽等各种途径泄漏;
3.防范黑客通过暴力破解、网络侦听、跟踪调试等手段获取信息。
- 管理性
- 在企业中,薪酬、奖金、分红等财务数据都是要求保密的。这就需要根据岗位和人员决定信息的使用方式。将信息的透露给适合的岗位及人员;杜绝被不适当查看和泄露。另外还需要根据包含信息的敏感程度不同进行分类,不同级别的文件,其用户群不同,使用方式也不同。这就是“权限控制”。通过部署严禁的权限控制体系、设计详细的权限级别,如阅读、编辑、拷贝、打印等,来控制信息访问和处理过程中电子文档的安全性。
- 层次性
- 企业核心产品的设计资料和工艺流程,一旦泄密给竞争对手,会丧失市场的机会,造成直接的效益下滑,影响企业的发展甚至生存。因此可以将这类关键信息定义为企业“绝密”级文档,限定在一小部分核心团队掌握,并且不可以脱离工作环境使用。而对于某个普通零件的工艺流程,泄漏也许会造成一定的损失,但是影响不会很大,可以定义为“内部”级别,允许比较多的相关人员共享使用。这样既可以避免对每个文档进行单独管理带来繁重的工作任务和高额的管理成本,又可以比较规范的管理敏感信息,确保信息的安全。对于一个大型的单位,层次化管理十分必要。总公司制定安全总体框架、密级分类和评判标准,各分公司或者部门自行管理授权,一方面因为了解具体情况可以管理到位,另一方面也使管理任务均衡合理。
|
