随着全社会信息化的不断发展,政府和企业的业务和应用完全依赖于计算机网络和计算机终端。但是计算机病毒、黑客木马、间谍件侵入桌面计算机,在计算机上安装非法软件,私自拨号上网,外来电脑接入单位内部计算机网络,种种安全事件时有发生,这些安全事件非常容易导致桌面计算机和计算机网络系统的瘫痪。
另一方面,当前内部数据泄密的事件愈演愈烈,给企业和机构带来的损失也越来越大。来自国际领先的隐私及信息管理调查机构 Ponemon Institute 的调查结果显示:信息泄漏事件的主谋已经不再单纯是网络黑客和恶意程序,更多的数据信息是被企业和机构的内部员工所泄漏和盗窃。与传统的外部盗窃相比,这种来自内部的恶意外泄更具有针对性,隐蔽性,给企业造成的损失也更大。
如何保护用户的私密信息,应对和解决频频爆发的大规模信息泄漏事件,已经成为信息安全领域的焦点问题。
笔者在企业信息安全领域有超过10年的从业经验,曾经帮助各行业公司制定了较为有效的数据防泄密方案。以笔者经验,企事业单位要想有效防止公司数据泄密、防止员工泄露公司机密,应该从以下两个方面入手:
首先,要采取有效的举措防止黑客、木马、病毒等入侵窃密的行为,同时严防外来电脑随意接入局域网访问共享文件的行为。
这一方面需要全面安装各种杀毒软件、企业安全防护软件,电脑操作系统需要实时安装补丁,确保操作系统自身没有明显的漏洞。另一方面,可以进行IP和MAC地址绑定、防止随意修改IP地址的行为,这样也可以阻止外来电脑随意接入局域网上网。但如果想完全阻止外来电脑接入内网,则需要部署一些网络准入控制系统。
例如有一款“大势至网络准入控制系统”(下载地址:http://www.grablan.com/wailaidiannaokongzhi.html),只需要在局域网一台电脑部署,就可以实时扫描到局域网所有电脑,可以将局域网内部电脑放入白名单,其余电脑一律放入黑名单,同时新加入的电脑也一律放入黑名单并可以自动隔离,被隔离后的电脑无法访问上网,也无法和局域网其他电脑通讯,这样就无法访问局域网文件服务器上的共享文件了,从而保护公司机密数据的安全,毕竟很多单位的共享文件服务器常常设计到单位的无形资产和商业机密。
同时,通过本系统还可以实时禁止无线路由器接入局域网、禁止手机连接wifi、禁止局域网电脑修改IP地址、进行IP和MAC地址绑定等,从而有效保护了局域网网络安全。如下图所示:
图:大势至局域网网络准入控制系统
其次,需要保护员工电脑文件安全,防止别人拷贝电脑文件、防止电脑文件被拷贝等。
这主要是由于员工日常工作中形成的工作成果、商业机密等,常常直接存储在自己使用的电脑上,这样就使得员工可以轻松通过U盘、移动硬盘等USB存储设备将这些文件复制出去,特别是现在的U盘、移动硬盘的存储空间很大,读写速度很快。
同时,由于员工电脑大都联网,这使得通过邮件、网盘、FTP文件上传和QQ发送文件的方式也极为“便捷”。因此,必须控制员工通过上述途径泄密的行为。
这可以通过一些电脑文件防泄密软件来实现。例如有一款“大势至电脑文件防泄密系统”(下载地址:http://www.grablan.com/monitorusb.html),在电脑安装之后,就可以完全禁止U盘、禁用USB存储工具的使用。同时,还可以只让使用指定的U盘,只允许从U盘向电脑文件复制文件而禁止从电脑向U盘拷贝文件,或者向U盘拷贝文件必须输入密码等,从而既防止U盘泄密的发生,同时也发挥了U盘的灵活性。如下图所示:
图:大势至电脑文件防泄密系统、数据防泄漏软件
此外,通过本系统还可以禁止电脑发邮件(可以只让使用特定邮箱、只允许使用公司信箱),禁止网盘上传电脑文件、禁止QQ发送文件以及禁止FTP文件上传等,完全防止通过网络途径泄密的行为。
总之,公司电脑文件防止泄密、企业商业机密防止泄露的举措很多,但不外乎从内外两个层面入手。此外,作为企业的管理者,也必须有高度的文件安全防泄密意识、公司数据防泄漏具体举措并坚决贯彻执行,只有这样才能最大限度保护电脑文件安全、防止数据泄密的目的。
