前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇企业信息安全保护范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
关键词:网络管理;安全技术;维护
中图分类号:TP393.08文献标识码:A文章编号:1007-9599 (2012) 04-0000-02
当前,各类企业在经营发展过程中,十分注意自身的网络安全建设,但是,信息化、智能化的快速发展与当前企业网络的信息安全管理却不同步,绝大多数企业网络极不安全,这是当前企业安全网络系统建设中的一个重要问题。作为企业尤其是大中型企业来讲,其网络信息安全应该成为企业自身建设当中的重中之重,随着全社会网络信息的发展,网络信息发展程度及其安全程度势必将对企业生产效率,企业商业秘密维护和长远发展起到积极作用。
一、当前我国企业信息安全状况
随着计算机网络技术的兴起和发展,近几年,各类企业频频遭遇各种各样的信息被窃、信息丢失、信息篡改等情况,特别是计算机病毒和商业竞争对手利用黑客进行破坏的损失,每年给商业用户造成的损失数以亿计。我们通过对当前网络安全出现的种种情况分析反思,出现该问题的一个重要原因是,企业内网安全产品都是针对用户数字身份的管理,都没有从真正意义上解决用户实际身份与数字身份二者相对应的问题,换句话说,缺乏有效为安全系统提供权限管理的依据。我们在传统意义上讲的企业安全保护产品,只能简单地对企业和外部非法访问的问题进行防护,但是,如果企业内部人员恶意发送邮件,使用第三方存储器等等,却不能进行有效监督,因为企业安全保护只能监督外部,来自企业内部的监守自盗成为企业网络信息安全的突破口。
当然,企业对信息安全的要求并不是这么简单,尤其是国有大中型企业。企业要实现长远发展,做大做强,就必须要在主动防御的基础上,建立一套内外联动,多层级沟通,整体有效的信息安全系统,在主动保护自身安全信息的基础上,建立好企业“防火墙”,屏蔽一切来自外界的攻击,最终实现企业信息安全的全面保护。
二、系统设计目的和层次结构分析
一般来说,一整套完整的、科学的企业网络信息安全保护系统至少包括以下几部分:网络安全信息管理-企业用户身份认证-数据信息加密三个安全保护层级。网络安全管理包括计算机网络整体运行规划和计算机IP地址管理、楼宇网络安全管理与分配、计算机远程管理防控、蠕虫病毒入侵、黑客恶意入侵与维护、计算机攻击情况监测与预警。通过上述内容实对企业机构进行VLAN规划和电脑分配,同时,使用安全绑定技术把楼宇或集团每台计算机的IP、名称和分工内容、技术参数指标等各种要素整合集中,进行收集分析和控制,以此来实现集团或企业的网络集中管理,对计算机进行有效掌控,并实现安全信息监控功能。
对企业用户身份的认证:我们把企业用户身份的确认当做是企业网络信息安全过程中的通行证或者是防火墙。在这一方面,用户身份认证的重要功能是解决好企业用户物理身份和数字身份的认定,如果这个问题解决,那就可以对企业的其他安全管理系统给出相对完善的权限管理依据。否则,企业网络外部用户和访客就可以轻易地突破身份认证,或者采取其他办法伪造、仿造企业用户管理身份进行系统,从而危害网络信息安全。如果这类事故一旦发生,企业前期投入重金建立起来的网络安全体系不但毫无作用,反而会掩饰入侵者的踪迹,延缓企业安全漏洞暴露的时间,造成巨大损失。因此,实行更加稳妥、安全、有效的身份认证机制,可以为企业用户提供更加安全的保护策略,需要指出的是,企业安全信息网络建立和维护有必要针对用户的不同特点量身打造适合企业的保护机制,采用不同的权限管理、角色配置和跟踪日志,防治企业安全网络建设的母体(网络运营公司)因为信息泄露,而使得客户的信息遭遇泄露,只有这样,才能为企业打造一个相对坚固的安全信息防护体统。
企业数据的加密保护:在企业安全方面,往往会出现很多主动或者被动泄密的情形。一些员工因为白天没有完成企业安排的任务,使用存储设备将企业文件和资料拷贝回自家或者其他计算机上进行处理,或者通过外部打印机和网络打印对本系统的资料进行打印和复印,由此带来的企业安全信息外漏数不胜数。因此,需要对其企业的相关信息和书记进行加密处理,这样的目的会有效防止运功在有意无意间使企业秘密外泄。客观地讲,现行企业运行中,绝大多数文件和资料的存在形式都是电子文档,电子文档优势明显,但是也容易被人在短时间内拷贝剪切和篡改,由于现在企业重要的资料文件大部分都以电子文档形式的存在,通过加密技术企业计算机上的文档全部进行密后,限制各类文档的大开权限,让企业文档在离开企业办公局域网内就无法使用,从而把企业核心数据限制在一个安全的环境内,客观上起到保护功能。
三、系统设计与实现
当前我国的计算机网络技术、分布式数据库技术等技术正在快速发展,所以,企业在进行网络安全维护招标时,建议采用最先进的设计理念,更加注重选择和考虑安全信息系统的可操作性和安全性,并要对安全系统的合理性科学性和安全稳定性加以选择,方便系统使用期间的正常管理和维护,也有利于安全系统的升级换代。企业安全系统由数据库服务器、管理控制台和客户端三级构成。普通的数据库采用双层结构,一般不设计中间层,好处是系统响应的速度非常快,可以保证客户端、管理控制台、数据库服务器三者之间的快速联动。数据库服务器端是安全信息系统的数据中心,采用MSSQLServer2000/2005数据库系统各类数据、信息、资料进行有效存储管理,该装置通过管理端捕获管理员的设置信息,再分配至各用户端上实现。系统管理员对安装有客户端系统的整个网络范围内的计算机和用户进行集中管理.主要包括VLAN规划、地址管理、远程监控、设置管理策略、分发管理策略等。
企业客户端安装在用户计算机上,管理员可以通过控制台对客户端进行有效管理在线监控,从而实现企业用户计算机的集中管理和保护,客户端则通过结合硬件的用户身份识别系统,对计算机进行登录保护。一般来说,企业安全系统在安装客户端到计算机市,都设置客户端程序为不可删除和移动,也就是说,这种监控是强制性的,所有用户没有经过企业系统管理员认可和授权,都无权对客户端随意进行卸载或者暂停。
按照企业安全网络信息系统的层级设计特点,首先要实现基于MAC地址的网络安全管理。网络管理模块主要功能是,按照集团和企业内部科室(机构)设置进行计算机分配,采用基于MAC地址的地址绑定技术,将每台计算机和工作站的IP地址、名称、使用权限、网络技术参数设置等进行集中管理,从而有效实现网络安全管理的自动分发和网络远程管控。
以用户身份认证为主要内容的用户桌面保护主要功能是对企业用户按所属机构、部门进行管理,采用双因子身份认证的安全登录机制,通过为用户设置属性、安全权级等安全策略,结合客户端系统实现用户安全登录,保证用户身份验证的真实性。
数据的加密存储与访问模块是相对独立约一个功能模块。重点是实现数据信息的强制过程加密,使得加密后的数据文件离开企业电脑后无法被访问和使用。由于数据加密是一个独立的技术领域,市场上已有较成熟的过程加密产品可供企业选用。
参考文献:
1.企业信息安全事件发生状况
调查显示在过去的1年内(2012年1月~2012年12月),超过93.2%的被调查企业发生过信息安全事件,其中发生信息安全事件次数超过5次的占被调查企业的13.1%。这一调查结果表明,河北中小企业信息安全形势非常严峻,如何保护信息系统安全已经成为中小企业信息化建设首要面临的问题。
2.目前中小企业信息安全面临的主要威胁
调查发现,近1年内,82.1%的被调查企业遭受过病毒、蠕虫或木马程序破坏;47.3%的企业遭受过黑客攻击或网络诈骗;33%的企业遭受过垃圾邮件和网页篡改的干扰,还有28%的企业遭受的破坏竟然来自企业内部员工的操作。这一调查结果表明,病毒泛滥、网络诈骗、黑客攻击、垃圾邮件和来自企业内部员工破坏是河北中小企业面临的最主要信息安全威胁。其中,病毒和木马程序的破坏尤为严重,直接造成企业数据丢失、信息泄漏甚至系统瘫痪等后果,严重威胁着企业的信息安全。
3.企业信息安全保护措施现状
调查发现,93.7%的被访企业采用了杀毒软件进行病毒防护和监控,25.1%的被访企业装有入侵检测系统和硬件防火墙,54.8%的被访企业采用了身份认证技术和设置访问权限进行信息保护。同时,通过调查也发现,只有不到29.5%的企业有定期的数据备份,仅有6.9%的企业为重要信息进行了数据加密。这一调查结果表明:在信息安全技术防护方面,几乎被访企业都采取了信息安全保护措施,但是大部分企业却只停留在病毒防护和身份认证的水平上,而缺少数据完整性和数据加密等保护技术。
4.信息安全管理保障措施情况
调查发现,在信息安全管理保障措施方面,25.7%的被访企业设立了专门的信息安全部门及相应的专职管理人员,44.6%的企业制定了企业信息安全管理制度,只有8.5%的企业能够对信息安全状况进行定期的风险评估,而制定信息安全事件应急处置措施的企业却只有5.3%。这一调查结果表明:河北中小企业信息安全保障组织构架设立不完善、缺乏信息安全管理制度,定期的信息安全风险评估以及信息安全应急处置预案措施严重缺失。
5.信息安全经费投入状况
调查发现,23.5%的被访企业信息安全方面的经费投入占整个企业信息化总投资的比例低于5%,39.6%被访企业同样投资比例在5%~10%之间,只有38.5%的企业信息安全方面的经费投入已经超过企业信息化总投资的10%。这一调查结果表明:河北中小企业安全意识淡薄,信息安全经费投入严重不足,低于国外20%~30%的投资比例。
二、对策与建议
通过课题组调查发现,网络环境下河北中小企业的信息安全问题突出,主要表现在认识误区、资金不足、技术薄弱和信息管理制度缺失等方面,要全面解决,必须从法律、技术和管理等几个方面全盘考虑综合治理。法律、技术和管理三者相辅相成,缺一不可,才能共同保证中小企业信息系统可靠安全运行。
1.法律法规层面加强政府支持力度和引导力度
仅仅靠中小企业自身搞信息安全防护是远远不够的,在此过程中,政府的支持、鼓励与引导是至关重要的。因此,政府应不断完善信息安全相关法律法规的建设,加快网络安全的基础设施建设,加大打击网络犯罪的力度。同时,针对河北中小企业特点,当地政府应加大企业信息安全重要性的引导和宣传,让中小企业特别是企业的领导者,充分认识到企业信息安全的重大意义与作用,从而在日常企业决策中对企业信息安全建设投资有一定的倾斜,完善企业信息安全体系建设。从长远发展角度和战略高度来重视企业信息安全。
2.技术层面
设计实施多层次、多方位的网络系统安全保护技术,以提高企业风险防范的技术水平。风险防范是一个复杂的系统工程,从技术角度,建议从以下几个方面来实现:
(1)建立网络身份认证体系。网络环境下河北中小企业的各种商务活动,都需要对参与商务活动的各方进行身份的鉴别、认证,这就需要在企业内部建立网络身份认证体系来证实各方的身份,以保证网络环境下各交易方的经济利益。
(2)配置高效的防火墙。在企业内部网与外联网之间设置防火墙,从而实现内、外网的隔离与访问控制,在他们之间形成一道有效的屏障,是保护企业内部网安全的最主要、最有效、最经济的措施之一。
(3)定期实施重要信息的备份和恢复。企业要对核心的数据和应用程序进行实时和定期的备份工作。并把备份数据的副本存储在光盘上,这样就可以避免一旦发生安全事故关键的应用程序和数据丢失给中小企业带来的巨大损失。
(4)对关键数据进行加密。企业的各类数据和应用程序,是企业多年发展中积累下来的宝贵数据资源,也是企业决策的重要依据。因此,要对这些关键数据进行加密处理,以提高数据的安全性,防止企业私密数据信息被泄露和窃取。
科技是一把双刃剑,科技发展带来的不全是益处,也会有各种各样的麻烦。大数据技术在提升对数据洞察力的同时,也同样提升了破坏信息安全的能力。
首先,数据价值提升推高了数据保有成本。随着信息化程度的不断提升,数据价值也在大幅提升,企业的经营行为被越来越多地数字化,财务信息、人事信息、知识产权等这些企业最重要的信息都在被汇聚成为企业信息大数据,若这些数据被泄漏,再基于此类数据开展大数据分析,企业信息将毫无秘密可言。因此,数据价值的提升必然要推高信息安全方面的投入,来确保企业信息的安全。
其次,黑客破坏信息安全的能力在增强。数据的大量汇集,使得黑客成功攻击的收益在增加,“激励”了黑客的网络攻击行为。大数据技术本身也在成为黑客攻击的有力武器,黑客通过大数据分析,可以得到更多的有用信息,制定更加有效的攻击策略,改进传统攻击手段,提高了信息安全防护成本。尤其是进入“云时代”后,数据在云端,云安全就更加重要,而遗憾的是,近几年,一些大型云平台数据泄漏事件更加剧了人们对于信息安全的担心。
最后,信息安全意识尚需提高。外在信息安全并不是企业面临的唯一危险,企业内部安全意识不强同样威胁巨大。员工由于安全意识单薄,或者企业内部信息安全体系不够完善导致信息泄漏的情况也在不断增加。据一项有关企业信息安全的调查结果发现,有近四成的受访者认为造成企业信息安全风险加剧的很大部分原因在于缺乏信息安全保护意识。尽管外部攻击和内部数据泄露的安全事故数量在增加,但多数企业并未给予足够重视。
因此,大数据时代信息价值在增加,企业信息安全的形势在恶化,而由此带来的损失将成倍放大。
对于我国企业信息安全体系建设而言,需要做到以下几点。做好安全评估,企业在构建信息安全体系之初,要先对企业自身信息安全体系进行梳理,摸清企业信息安全的薄弱环节,做好安全风险的评估,通过评估制定出合理完善的整体防护安全策略。建立标准体系,我国一直重视信息安全体系的标准工作,也推出了一系列相关政策和标准,企业可以参照相关标准,建立完整的信息安全管理制度,使企业有章可依。同时,在日常工作中要明确各风险点的负责人,责任划分明确。
该文对供水企业信息集成系统安全进行分析,并探讨了可以针对性改进的安全防护措施。首先对当前供水信息系统安全现状做具体分析,然后研究了在“自主定级,自主保护”的原则下改进和提高供水企业集成信息系统安全具体的执行方案,最终实现供水企业信息集成系统的信息安全防护。
关键词:
供水企业信息集成系统;等级保护;信息安全
供水行业对国计民生很重要的一个行业,供水企业的业务性质要求以信息的整体化为基本立足点,集中管理所有涉及运营的相关数据,针对供水企业运行的特殊要求,进行集中的规划和架构,将不同专业的应用系统进行整合,最终形成完整的供水企业综合信息平台。[1]而集成系统中最重要的一个要求就是信息安全。
随着大数据时代的到来,网格、分布式计算、云计算、物联网等新技术相继推出,对供水企业信息集成与应用也提出了更高的要求。而随着应用的扩展,应用中存在着大量的安全隐患,网络黑客、木马、病毒和人为的破坏等将大量的安全威胁带给信息系统。根据美国Radicati公司于2015年3月的调查报告,截至2014年12月,网络攻击已经为全球计算机网络安全造成高达上万亿美元的损失。而且随着网络应用的规模进一步上升,计算机网络信息安全威胁造成的损失正在呈几何级数增长。根据2015年的中国网络安全分析报告,2014年报告的网络安全攻击事件比2013年增加了100多倍。2014年,搜狗由于网络黑客攻击导致搜索服务在全国各地都出现了长达25分钟无法使用。2014年7月,某域名服务商的域名解析服务器发生了网络黑客的集中式攻击,造成在其公司注册的13%的网站无法访问,时间长达17个小时,经济损失不可估量。因此,从信息安全的角度,要对供水企业信息集成系统进行防护,降低信息安全事故的发生的概率,降低其危害,是本文需要研究的内容。
1当前供水企业信息集成系统安全防护的现状和存在的问题
伴随着科技的不断发展,供水企业的信息化建设也得到了很大的发展,主要是从深度和广度两个层面做进一步拓展。典型的供水企业信息集成系统涵盖了生产调度系统、销售系统、管网信息系统、财务管理系统、人事管理系统、办公自动化系统等子系统。其中多个系统数据需要接受外部访问,存在大量的安全隐患。目前,威胁到供水企业信息安全的风险因素主要分为三个大类:1)人为原因,如恶意的黑客攻击、不怀好意的内部人员造成的信息外泄、操作中出现低级错误等。2)数据存储位置位置的风险。可能由自然灾害引发的问题,缺乏数据备份和恢复能力。3)不断增长的数据交互放大了数据丢失或泄漏的风险。包括未知的安全漏洞、软件版本、安全实践和代码更改等。
2有关分级防护的要求
尤其是供水企业信息集成系统中,存在大量涉及公民个人隐私的信息,也存在像生产调度这样涉及国计民生的信息。因此,需要按照国家有关信息安全的法律法规,明确企业的信息安全责任。提升供水企业信息管理区内的业务系统信息安全防护。依据《信息安全等级保护管理办法》(公通字[2007]43号)第十四条,信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。定级标准按照国家标准《信息系统安全等级保护定级指南》(GB/T22240—2008)实施,根据等级保护相关管理文件,信息系统的安全保护等级分为以下五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种:1)造成一般损害;2)造成严重损害;3)造成特别严重损害。
3分别防护实施步骤
根据有关法律法规,建设完成并投入使用的信息系统,其有关使用此系统的单位需要对其系统的等级状况做定期的测评。供水企业要遵照要求选择具有资质的测评机构来对管理信息区的业务系统做等级保护的测评工作。其所得到的结果如下表1所示:通常情况下,供水企业信息系统中不会出现第四级和第五级的系统。根据测评结果,有必要对供水企业内部的局域网进行系统化整改。具体的整改内容包括两项主要内容:细化各业务系统服务器的物理位置;按照需求设置信息安全区域。根据供水企业信息集成系统的具体实际,主要有等级包括三个业务区域,以及一个公共业务区和测评业务区。按照上述原则对供水企业信息集成系统服务器做物理划分如图1所示。不同等级的系统服务器针对不同级别的信息安全区进行设置。等级为一、二、三的业务区分别安装着对应的服务器,而公共业务区域的服务器主要是DNS服务器或者是域服务器。公共业务区服务器主要为基础服务提供非业务系统服务,不需要进行保护分级。测评业务区提供是投入正式使用前的测试服务器。
依据表1的测评结果,将安全区域进行细化表2所示的就是企业管理信息区,其主要业务系统对安全区域存放问题的展示。根据表2得到的结果,可以将信息安全设备存放在不同信息区域边界内,以此达到服务器分级防护目的。信息安全设备设置在信息安全区域边界,也就是局域网与信息安全区域之间的连接部。信息安全设备主要是防火墙、查杀病毒、攻击防护、服务防护禁止、授权等。对于不同区域边界的信息安全的部署建议,供水企业要遵照各自的实际情况做周密的设置。供水企业管理信息安全区域边界防护表见表3。将信息安全防护设备部署在所在的区域边界内,如此可以初步实现对供水企业管理信息区的信息安全防护。
4结束语
随着大数据的发展,对供水企业信息集成系统在数据的交互和应用方面会提出更高的要求,也大大加强了安全防护措施的重要性和迫切性。在安全防护措施基本到位的前提下,还需要加强信息审计,及时发现和补救系统缺陷,加强数据库安全防护,维护管理系统的隐患。
参考文献:
[1]孙锋.基于多agent技术的供水企业信息集成系统研究[J].供水技术,2015(10).
[关键词] 办公环境 机密电子文档
网络经济发展对信息安全产品带来新的需求,防火墙、防病毒、信息加密、入侵检测等已经基本解决了抵御外来入侵的困扰;但是内部用户引发的信息泄密问题成为当前信息安全的新的焦点。建立起有效的事前预防,事后追究机制成了众多企业的当务之急。
知识经济时代,企业的核心竞争力将更多地来自技术发明、专利、创新等"软资产",随着信息系统应用的普及,这些“软资产”体现为大量的电子文档。在日常工作中,需要数十甚至数百位员工协同工作,不可避免地需要涉及机密电子文档,如何很好地保护这些重要资料,成为摆在企业面前的一个难题。
企业面临的两难处境虽然企业可以通过各种规章制度和一些技术手段对机密电子文档进行管理,但是传统的安全措施和技术手段无法消除企业机密电子文档泄漏的隐患。与此同时不可避免地因为安全原因,导致工作效率下降以及公司资源浪费,不利于有效利用现有文档和部门间的协同工作。企业在权衡文档保密与有效利用文档这两种相互矛盾的需求时面临两难处境。
与此同时,网络安全、信息安全也成为了困扰众多管理者的难题。现在一提到信息安全,人们首先想到的就是病毒、黑客入侵。在媒体的宣传下,病毒、黑客已经成为危害信息安全的罪魁祸首。然而,对计算机信息安全造成重大破坏的往往不是病毒、黑客,而是组织内部人员有意或无意对信息的窥探或窃取。
对于企业来说,人才流动性可能给企业所带来的一个巨大潜在风险就是重要机密电子文档的泄密问题,企业人员在被解职或辞职时,他们是有很多种渠道将企业内部的像重要文档、机密图纸、设计资料、程序源代码和企业预研方向的阶段性成果等属于企业知识产权保护及涉及企业核心竞争力范畴的机密电子文档带出企业,甚至是直接奉献给企业的某些竞争对手的。可以说,任何一个企业遇到这样的事,都会痛心疾首。
在现如今的知识经济时代,企业对知识产权的保护,就是对企业自身生死存亡的保护这样一个大背景下,企业员工一个电子邮件、一个U盘拷贝、一部口袋里的MP3播放器或一台随身携带的笔记本电脑,就可以轻松将企业的重要机密电子文档从企业里窃取出来,更何况企业员工进入企业内部网络和打开存在有机密电子文档的电脑是何等的轻而易举!面对这些触目惊心的现实存在,一套严密而完整的企业级电子文档保护解决方案就可能成为企业最后赖以生存的“救命稻草”。
一、企业电子文档安全保护现状
由于企业员工对存放在内部网络的机密电子文档有得天独厚的接触优势,所以由企业员工窃取相关机密文档和知识产权方面的机密信息已经成为企业电子文档泄密的最主要途径之一了。
事实上,由于目前高度普及的企业信息化建设与相对比较薄弱的企业网络安全管理一直存在矛盾,企业内部员工对重要机密信息的存放地和相关使用权限都非常熟悉,可只要会操作电脑就有可能会主动或非主动(如误操作)的盗取机密文档和机密信息,所以说内网安全和加强对企业内部员工的监管是有效保障企业电子文档安全和终端数据安全最重要的一道环节。
二、企业电子文档安全保护方案
一个机密电子文档的内容盗取,一般方法和途径都是有很多的,比如企业员工无意识的把含有敏感信息的机密电子文档通过网络发送出去,比如借助U盘、移动硬盘及MP3播放器等移动存储设备拷贝机密电子文档,比如通过专用的电脑屏幕截取软件截取电子文档的内容、比如向企业内部网络远程植入病毒或恶意木马,甚至由企业员工直接搬走存储有机密电子文档信息的笔记本电脑等等,所以在这种情况下,任何单一的企业电子文档安全保护方式都是有缺陷的,对企业电子文档的安全保护,必须是一套严密而完整的企业级电子文档保护解决方案。
建立企业内部信息安全工作平台。
一、 可以保证企事业单位的各种数字资产,在赋予各类文档的使用权限后,有效地做到“在确保安全性的同时保证易用性”,对保存在前沿数字资产安全管理平台内企事业的机密数据,信息进行保护。
二、 在不影响原有企业正常的信息流转流程的前提下,保护各类数据信息,同时有效防止合法使用者非法通过各种途径将企业信息传播出去,避免给企业的知识产权带来巨大损失。
然而,管理者往往无法有效地控制和监控文件使用者的操作,这使得使用者可以利用有许多漏洞截获企业内部的特殊资料。从目前来看,内部泄密主要是通过如下途径:
1、内部人员将资料通过软盘、U盘或移动硬盘从电脑中拷出带走;
2、内部人员通过互联网将资料通过电子邮件发送到自己的邮箱;
3、内部人员将资料打印后带出;
4、将办公用的便携式电脑直接带回家中或将自己的笔记本电脑带到公司,接入局域网,窃取资料;
5、电脑易手后,硬盘上的资料没有及时删除,导致泄密;
6、随意将文件设成共享,导致非相关人员获取资料;
7、乘同事不在,开启同事电脑,浏览、复制同事电脑里的资料。
那么如何才能解决内部人员泄密问题呢?一方面要求配置必要的技术装备;另一方面也要加强管理,做好内部人员的保密教育,法制教育。“技术与管理”并重,才能从根本上杜绝内部人员泄密问题。