一． 前言由于網(wǎng)絡(luò)和計(jì)算機(jī)系統(tǒng)固有的特性，它在提高數(shù)據(jù)與設(shè)備共享性的同時(shí)，帶來了信息、數(shù)據(jù)被非法竊取、復(fù)制、使用等弊端，對涉及國家機(jī)密及企業(yè)內(nèi)部敏感數(shù)據(jù)的安全管理形成極大的挑戰(zhàn)。為防止數(shù)據(jù)外泄，企業(yè)往往不惜花巨資購進(jìn)防火墻、入侵檢測、防病毒、漏洞掃描等網(wǎng)絡(luò)安全產(chǎn)品，以為可以高枕無憂了。其實(shí)，這種想法是錯(cuò)誤而且極其危險(xiǎn)的。FBI和CSI對484家公司進(jìn)行了網(wǎng)絡(luò)安全專項(xiàng)調(diào)查，調(diào)查結(jié)果顯示：超過85%的安全威脅來自公司內(nèi)部。在損失金額上，由于內(nèi)部人員泄密導(dǎo)致了 6056.5 萬美元的損失，是黑客造成損失的16倍，是病毒造成損失的12倍。于是，對文件本身進(jìn)行加密的產(chǎn)品就得到越來越多的重視，但是傳統(tǒng)中的文件加密技術(shù)基本上都是以靜態(tài)加解密為理論根據(jù)的。這種加解密技術(shù)過多的依賴應(yīng)用程序和個(gè)人的操作，雖然技術(shù)本身可以比較好的實(shí)現(xiàn)對文件的加解密，但是無法化解信息安全和工作效率之間的矛盾，也不能完全的防止企業(yè)內(nèi)部人員主動泄密的隱患的發(fā)生。隨著信息的發(fā)展，協(xié)同工作的要求愈來愈強(qiáng)烈，這需要信息的完全共享，這時(shí)傳統(tǒng)意義上的加解密技術(shù)就無法滿足這一時(shí)代要求。安全系數(shù)大大降低！另外，傳統(tǒng)中的加解密技術(shù)基本上都需要人的手工操作， 非智能化的，這種手工操作費(fèi)時(shí)費(fèi)精力，員工在專心工作的同時(shí)還要考慮著文件是否被加密 的問題，降低了工作效率，有時(shí)還會因?yàn)橐粫r(shí)的疏忽大意釀成無法挽回的嚴(yán)重后果。二． 企業(yè)計(jì)算機(jī)應(yīng)用現(xiàn)狀1．部門機(jī)構(gòu)及軟件應(yīng)用：部門：研發(fā)部、工程部、營運(yùn)部、生產(chǎn)部、財(cái)務(wù)部、行政人事部應(yīng)用軟件：（1）設(shè)計(jì)軟件：VS2005、UE、ProE、UG、Solidworks、AutoCAD（2）管理軟件：OA、CVS（3）辦公軟件：Excel、Word、WPS（4）即時(shí)通訊和郵件軟件：QQ、MSN、Outlook三． 文件安全需求公司的安全需求主要體現(xiàn)在一下幾方面：1．原代碼文件的安全保護(hù)原代碼 是公司的核心數(shù)據(jù)，一旦泄漏，會導(dǎo)致無可預(yù)估的經(jīng)濟(jì)損失，因此，所有的原代碼都必須進(jìn)行保護(hù)?，F(xiàn)在公司所用到的設(shè)計(jì)軟件主要有VS2005、UE、ProE、UG、Solidworks、AutoCAD。必須要對這些軟件生成的文件進(jìn)行嚴(yán)格的控制。2．管理軟件導(dǎo)出的Excel的控制公司使用的OA系統(tǒng)中，存放著大量的重要數(shù)據(jù)，如、材料信息、財(cái)務(wù)信息等，這部分?jǐn)?shù)據(jù)可以通過Excel文件的方式導(dǎo)出管理系統(tǒng)，從而造成失密。因此，需要對導(dǎo)出的Excel文件進(jìn)行嚴(yán)格控制。3．對外交流的暢通營運(yùn)部門需要通過QQ、MSN以及郵件工具跟外界進(jìn)行頻繁的溝通，以明文的方式交換資料。如何保證這種交流的暢通，同時(shí)又能防止重要數(shù)據(jù)隨意擴(kuò)散，是亟待解決的問題。4．離線工作的管理公司經(jīng)常會有員工出差需要攜帶一些圖紙資料。另外，有些在公司中未完成的工作需要帶回家進(jìn)行工作。同時(shí)，一旦計(jì)算機(jī)丟失，又不希望公司需要對這些離線工作進(jìn)行有效地管理和控制。5．移動存儲介質(zhì)拷貝的控制由于公司的USB口沒有封閉，因此員工可以通過U盤或者移動硬盤任意拷貝公司的資料和數(shù)據(jù)。從安全性角度來說，這是文件資料泄密的重要渠道。6．權(quán)限和普通用戶權(quán)限的區(qū)分一般有更高的文件處理權(quán)限，如可以在不受加密監(jiān)控的情況下工作、可以自由的將加密文件外發(fā)等等。四． 解決方案可以通過巨石企業(yè)文件加密系統(tǒng)HS-Key和專業(yè)打印控制軟件來保護(hù)企業(yè)重要數(shù)據(jù)的安全。具體方案如下：1．加密監(jiān)控所有設(shè)計(jì)軟件（1）目標(biāo)：保證原代碼文件只能在公司內(nèi)部正常使用，離開公司后即無法打開。（2）實(shí)現(xiàn)方式：i.設(shè)定所有設(shè)計(jì)軟件為受控程序，這些軟件保存的任何格式的文件都將被自動加密；ii.設(shè)定所有的與圖片相關(guān)的文件格式為強(qiáng)制加密文件類型，當(dāng)這些文件在進(jìn)行拷貝時(shí)，會自動加密。2．加密Excel程序及文件（1）目標(biāo)：防止重要的數(shù)據(jù)表格，尤其是從OA中導(dǎo)出的重要數(shù)據(jù)泄密（2）實(shí)現(xiàn)方式：設(shè)定Excel為受控程序，任何以Excel格式保存的文件都將被自動加密。從OA管理軟件中導(dǎo)出的Excel報(bào)表也會被強(qiáng)制加密。3．解密權(quán)限的管理（1）目標(biāo)：方便和外界的交流，以及方便將工作帶回家（2）實(shí)現(xiàn)方式：n指定的專門解密員進(jìn)行手工解密操作，所有的解密操作將記錄到解密日志中；n如果需要拷貝將加密文件帶出公司，則可將文件拷貝在U盤中，并獲得審批后，由解密員進(jìn)行解密；n指定授權(quán)的、可信任的用戶，可以在通過QQ、MSN、郵件工具發(fā)送加密文件時(shí)自動解密。4．離線策略（1）目標(biāo)：方便外出工作時(shí)仍然可以正常工作；計(jì)算機(jī)丟失時(shí)，文件無法打開。（2）實(shí)現(xiàn)方式：n在外出時(shí)，為該用戶設(shè)置脫機(jī)時(shí)間，在脫機(jī)時(shí)間內(nèi)，文件可以正常被打開查看，超過脫機(jī)時(shí)間后，文件將無法被打開。n如果需要臨時(shí)延長脫機(jī)時(shí)間，則可以通過公司發(fā)送一個(gè)脫機(jī)策略文件，即可獲得更多的脫機(jī)工作時(shí)間。5．移動存儲介質(zhì)拷貝的控制（1）目標(biāo)：防止使用U盤、移動硬盤或者其他存儲介質(zhì)非法拷貝公司數(shù)據(jù)；（2）實(shí)現(xiàn)方式：n一般情況下，在加密軟件中設(shè)定要保護(hù)的文件類型，在拷貝到移動存儲介質(zhì)時(shí)，會自動進(jìn)行加密；n也可以限制任何文件在拷貝到移動存儲介質(zhì)時(shí)，都強(qiáng)制進(jìn)行加密；n也可以限制指定的計(jì)算機(jī)禁止使用移動存儲介質(zhì)，只有部分獲得授權(quán)的計(jì)算機(jī)可以使用U盤。6．策略1.目標(biāo)：讓受到信任的獲得更加寬松的加解密環(huán)境2.實(shí)現(xiàn)方式：n可以關(guān)閉加密監(jiān)控客戶端，自己創(chuàng)建的文件不受加密控制；n可以通過QQ等即時(shí)通訊工具和郵件工具發(fā)送加密文件時(shí)自動解密；n可以使用PrtSc等熱鍵進(jìn)行拷屏操作；n可以將加密文件拷貝到U盤時(shí)，自動進(jìn)行解密。五． 應(yīng)用效果實(shí)施該安全方案后，可以達(dá)到以下應(yīng)用效果：1.代碼文件和重要的文件只能在公司內(nèi)部傳閱，離開企業(yè)后無法打開；2.OA中導(dǎo)出的Excel文件也無法在公司以外的環(huán)境中使用；3.原有的QQ、MSN等即時(shí)通訊工具和郵件發(fā)送工具仍然可以正常使用，但是如果發(fā)送的文件是加密文件，將無法打開；4.文件的解密必須在一定的審批流程下才能進(jìn)行；5.U盤、移動硬盤等存儲介質(zhì)可以進(jìn)行有效的控制；6.打印機(jī)受到監(jiān)控，既能防止重要文件泄密，又能有效地控制成本?？偟膩碚f，文件加密軟件和打印控制軟件的部署，從整體上提升了企業(yè)的安全管理水平，在不改變內(nèi)部工作方式和工作流程的情況下，有效地保護(hù)了企業(yè)的知識產(chǎn)權(quán)和核心競爭力，為企業(yè)的快速發(fā)展保駕護(hù)航。