深蓝海域KMPRO

[原创]企业电子文档安全管理

2016-12-13 15:52

在当今全球一体化的商业环境中,信息的重要性被广泛接受,信息系统在商业和政府组织中得到了真正的广泛的应用。许多组织对其信息系统不断增长的依赖性,加上在信息系统上运作业务的风险、收益和机会,使得信息安全管理成为企业管理越来越关键的一部分。管理高层需要确保信息技术适应企业战略,企业战略也恰当利用信息技术的优势。

但现实世界的任何系统都是一串复杂的环节,安全措施必须渗透到系统的所有地方,其中一些甚至连系统的设计者、实现者和使用者都不知道。因此,不安全因素总是存在。没有一个系统是完美的。

目前业界普遍认为,信息安全是政府和企业必须携手面对的问题。政府和企业管理层有责任确保为所有使用者提供一个安全的信息系统环境,而且,政府部门和企业在认识到安全的信息系统好处的同时,应该自我保护以避免使用信息系统时的固有风险。

在如今的商业环境中,我们对办公软件的期待决不仅仅是收发电子邮件的能力、排版文档、制作工作表以及创建幻灯片这么简单。我们还需要有办法保护这些文件不受非授权人的访问,感染恶意代码,以及防止我们的文件被共享的对象将其滥用。是否拥有一款好的文档管理系统无疑是企业重点考虑的问题,在决定选用哪种文档管理系统来保护文档安全时,要重点考虑加密的方式及技术,以前沿科技的文档管理系统为佳。

据2006年CSI(美国犯罪现场鉴证科“Crime Scene Investigation "的英文缩写)调查显示,在所有的安全技术应用中,以数据加密传输和加密存储为基础的技术应用所占比率分别为66%和47%。

通过这一调查,我们可以看到数据加密技术正在成为传统安全技术—防病毒、防火墙、VPN、反间谍、入侵检测后的又一具有发展趋势的应用技术。结合各项攻击所带来的经济损失的变化,我们可以看到针对于机密信息的安全保护正在成为更多企业关注的新方向。

因此,信息盗窃事件的主谋已经不再单纯是网络黑客和恶意程序,更多的数据信息是被企业和机构的内部员工所泄漏或盗窃。与传统的外部盗窃相比,这种来自内部的恶意泄露更具有针对性,隐蔽性,给企业造成的损失也更大。

在2006年,国内《信息安全等级保护管理办法》,美国《萨班斯—奥克斯利法案》的正式实施对于信息安全产业产生了标志性的影响。这两部法规都以法规的形式敦促企业加强内部控制,增强抵御风险的能力。 作为国家“十一五”计划的开局,2007年将是国家各机关部委及企事业单位规划五年发展计划的关键时间,又适逢国家“等级保护”法案实施、萨班斯(SOX)法案的推行,无论从产业发展阶段、国家政策、外部环境来看,还是借鉴国外的发展规律,都预示着我国的信息安全产业将由此迈入一个快速发展的新阶段。企业电子文档安全管理系统主要对象是公司内部网络范围内所有终端计算机上的办公系列文档,包括公文、统计数据、机要文件、会议纪要、设计图纸、价格体系、商业计划、财务预算、采购成本、合同定单、管理制度、董事会决议、上市公司年报等。加强了对文档信息的统一管理,对防火墙、入侵检测、防病毒系统管理的盲区进行了补充。

为了安全管理公司内部的机密信息,进行了安装硬件防火墙、部署入侵检测、安装防病毒软件等工作,针对来自于外部网络的攻击和入侵做到了有效的防御。但是,传统信息安全领域主要关注于外部入侵或外部对数据的破坏和泄漏,而对于企业网络内部的信息泄漏(如内部人员泄密或其他未授权人员直接接入内部网络导致的泄密等),却没有引起足够的重视。

如上述公司文档信息安全的应用现状,是涉密信息安全保密工作中突出的问题和薄弱环节所在,是公司涉密信息管理工作的安全隐患所在。不利于公司构建文档信息安全的完整性。

 

相关推荐