企業信息化:電子文檔安全管理勢在必行

　　但現實世界的任何系統都是一串複雜的環節，安全措施必須滲透到系統的所有地方，其中一些甚至連繫統的設計者、實現者和使用者都不知道。因此，不安全因素總是存在。

　　據CSI(美國犯罪現場鑑證科的英文縮寫)調查顯示，在所有的安全技術應用中，以數據加密傳輸和加密存儲為基礎的技術應用所佔比率分別為66%和47%。通過這一調查，我們可以看到數據加密技術正在成為傳統安全技術：防病毒、防火牆、VPN、反間諜、入侵檢測後的又一具有發展趨勢的應用技術。結合各項攻擊所帶來的經濟損失的變化，我們可以看到針對於機密信息的安全保護正在成為更多企業關注的新方向。因此，信息盜竊事件的主謀已經不再單純是網絡黑客和惡意程序，更多的數據信息是被企業和機構的內部員工所洩漏或盜竊。與傳統的外部盜竊相比，這種來自內部的惡意洩露更具有針對性，隱蔽性，給企業造成的損失也更大。

　　在2006年，國內《信息安全等級保護管理辦法》，美國《薩班斯——奧克斯利法案》的正式實施對於信息安全產業產生了標誌性的影響。這兩部法規都以法規的形式敦促企業加強內部控制，增強抵禦風險的能力。企業電子文檔安全管理系統主要對象是公司內部網絡範圍內所有終端計算機上的辦公系列文檔，包括公文、統計數據、機要文件、會議紀要、設計圖紙、價格體系、商業計劃、財務預算、採購成本、合同定單、管理制度、董事會決議、上市公司年報等。加強了對文檔信息的統一管理，對防火牆、入侵檢測、防病毒系統管理的盲區進行了補充。

　　為了安全管理公司內部的機密信息，進行了安裝硬體防火牆、部署入侵檢測、安裝防病毒軟體等工作，針對來自於外部網絡的攻擊和入侵做到了有效的防禦。但是，傳統信息安全領域主要關注於外部入侵或外部對數據的破壞和洩漏，而對於企業網絡內部的信息洩漏(如內部人員洩密或其他未授權人員直接接入內部網絡導致的洩密等)，卻沒有引起足夠的重視。

　　如上述公司文檔信息安全的應用現狀，是涉密信息安全保密工作中突出的問題和薄弱環節所在，是公司涉密信息管理工作的安全隱患所在。不利於公司構建文檔信息安全的完整性。

　　二.信息資產安全內控解決方案

　　因此我們認為，防內相對比防外更為重要。堡壘最容易從內部被攻破。從力拓案我們可以清晰地看到,境外公司獲取我們鐵礦石談判的數據資料，不是靠從外網侵入內網來偷盜的，而是境外公司買通了我們的談判代表，從而使得我們的談判資料洩露給境外公司。下一階段，信息安全的重點將從防外轉到防內。

　　上海夏爾軟體有限公司專注於提供信息資產安全內控解決方案。

　　夏爾公司認為，信息資產安全內控解決方案至少需要包含下列四個方面的內容：

　　(一) 、集中統一管理

　　信息資產安全內控解決方案應該做到讓這些以電子文件形式表現的信息資產變成"企業"信息資產，而不是"個人"信息資產;由組織裡某人或某些人起草的重要文件要集中統一管理;防止由於人員的離職,電腦的丟失，有意或無意的刪除操作，或病毒的侵襲造成文件丟失。

　　傳統上，像含有機密財務數據的投融資報告，月度，季度，年度銷售分析報告，財務分析報告， 商業往來文件和合同，重要內部會議的會議紀要等。這些對一個組織來講非常重要的文件大多是由組織裡的某個人或某些人撰寫， 保留在個人的電腦裡， 容易由於有意或者無意的原因造成文件丟失。

　　(二) 、即時可用

　　信息資產安全內控解決方案至少應該做到需要使用時，調閱出來的信息是信息生成時的狀態;防止由於計算機技術的局限性，信息在儲存過程中可能因為磁碟位錯或磁碟故障造成數據丟失，病毒傳播造成數據損壞。

　　(三) 、利用過程有嚴密的受控保護機制

　　信息資產的安全內控解決方案應做到信息資產在內部使用過程中的安全防擴散;需要做到"看得見、拿不出去;拿出去了，也不能用"，這個方面主要包括:

　　1、可以對從內網拷貝到外網使用的文件根據文件內容做過濾，也就是說，組織能夠控制含有哪些內容的文件可以從內網拷貝到外網使用，含有哪些文件內容的文件不能從內網拷貝到外網使用。

　　2、如果有權使用受控文件的內部人士將受控文件通過郵件，聊天工具，U盤等任何方式傳遞給第三者，第三者打開文件看到的是亂碼，確保信息不被洩露。

　　3、今天大多數組織信息系統，系統管理員有最高權限，這是一個極大的信息安全漏洞，系統管理員可以不留痕跡地複製和刪除全部文件，以及查看任何文件。 夏爾的信息安全內控解決方案可以由文件的所有人來設置權限，決定誰可以查看這個文件，在該工作環境中系統管理員也同樣是受限制的。

　　(四) 、嚴密安全防護機制下還需要易用

　　信息資產安全內控解決方案還需要做到在將信息資產嚴密保護的同時，能夠讓組織內有權限的人非常便利的訪問這些信息資產，我們希望提高工作效率和達到組織內的知識傳遞，就必須讓這些以電子文件形式存在的信息資產能方便的共享和訪問，不能因噎廢食!

　　夏爾公司是以iFile軟硬一體設備為中心的信息資產安全內控整體解決方案，該方案實現了組織內的電子文件集中管理、內外網基於文件內容的擺渡、文件防擴散、以文件的所有者為導向的權限控制以及基於資源管理器易用操作的模式。在完成了上述一、三、四點的要求的同時，軟硬一體的底層存儲通過採用 CAS 存儲架構，實現對磁碟位錯或者磁碟故障造成的信息資產損壞自動修復，由於底層為專用的嵌入式系統，對於計算機病毒有天然的防護。軟硬一體的解決方案使組織基本可以做到"零"實施。