防范企業電子文檔擴散安全

近年來，隨著我國信息化建設的日益發展，企業辦公已經離不開電子文檔的廣泛使用。電子文檔不僅是企業內部信息資源的主要存儲方式，也是企業內外進行商業合作時信息交流的重要載體。然而，在企業員工正常使用這些文件的過程中，往往存在著重要文檔或資料內容泄密擴散的安全隱患，這些很可能會給企業帶來巨大經濟損失和其他不良后果。因此，如何利用安全技術手段來防范企業電子文檔信息泄密，已經成為一個十分重要的信息安全問題。

所幸的是，市場上已經有一些專業的信息安全服務企業，提供了較為成熟的電子文檔防擴散產品方案。本文研究的重點是如何在這些企業電子文檔防擴散產品技術中進行合理選取并實施應用部署，從而有力保障企業數據信息安全。

根據國家相關標準和法規，及企業自身對數據信息安全的需求，企業電子文檔必須做好安全保護工作。常見的電子文檔安全問題主要有下面幾種：惡意攻擊、身份冒充、竊聽破解、權限溢出、資料泄露等。此外，很多企業相應的信息保密制度不夠完善，文檔防擴散的技術條件落后，在監管上存在著困難；或是對于員工文檔管理方法不當、責任無法落實到位、相關人員法制觀念淡薄等等，這些問題都會給文檔防擴散工作帶來極大的困難和挑戰。

企業電子文檔防擴散安全管理現狀

企業電子文檔防擴散安全管理的主要對象是企業內部員工在本單位工作場景中所使用的所有計算機和存儲設備上的各類電子文檔。企業電子文檔的安全管理，所需的工作較為復雜，單一的防護措施往往存在著較大風險，需要采用多元化的技術手段進行管理。

目前，國內外企業電子文檔防擴散及相關信息安全管理主要采用以下措施：

首先，對外部網絡入侵進行防范，使用防病毒、防火墻、反間諜和入侵檢測技術防范外部攻擊，內外網間網絡和數據端口物理隔離，訪問權限控制和移動存儲介質管理。

其次，內部文檔信息存儲和傳輸前，需要采用適當的加密算法對信息進行加密和簽名，確保信息的安全性、完整性和身份認證的不可否認性，包括服務器文件落地加密，本地文件透明加解密和手動加密等方式。公司的重要文件、重要技術成果資源等內容，都需要定制不同的讀寫權限策略和劃分密級進行保護。

然后，設置內部文件訪問權限和審批制度，進行授權訪問控制。分部門、人員和密級進行管理，對于不同職能的員工設置不同訪問權限，當員工需要訪問信息資源前對其身份進行合法驗證，文件外帶則需通過單級或多級審批流程進行授權。

此外，企業應實行日志報表審計制度，對服務器授權審批和日常管理等事件行為，以及客戶端設備電子文檔加解密，閱讀、編輯和外發的詳細內容進行記錄并形成歸檔日志，方便管理員進行查詢和分析泄密漏洞，保障企業電子文檔信息安全。

產品核心功能和技術手段分析

企業自身直接進行電子文檔防擴散安全管理困難較大，效果并不理想。通常應采用市場上相對成熟的集成方案進行部署管理。目前，許多專業的信息安全產品公司提供的企業電子文檔安全產品已經逐步成熟完善，它們可以對企業電子文檔資料進行加密密級保護，實現用戶身份和文檔權限控制、終端管控、離線外帶審批、禁止非法拷貝等功能，較為全面的涵蓋企業的文檔防擴散管理需要。

這些公司對大型企業和生產單位服務較多，功能齊全，擁有完備的國家權威機構的資質認證，且均采用了內核文件驅動層的加密技術，安全保障性高。它們的產品雖然在一些細節上各具特色，但主要功能是基本類似的，因此在企業選取防擴散產品時，這些功能具有一定的對比性。

1.角色權限和密級管理

企業電子文檔防擴散軟件主要通過對用戶按部門劃分角色和分配密級權限來進行文檔擴散管理。對不同的領導和員工按角色賦予文檔密級權限。

對不同部門可以設置默認角色的文檔訪問權限并下發策略。這樣，分別屬于不同部門的不同人員角色在本部門的權限基礎上，能夠擁有一個或多個其他部門的閱讀和編輯權限，但是無法訪問權限外指定的文檔內容，從而在內部文件交流時實現細粒度的訪問控制。在對人力資源、財務、商業機密、科學技術成果等內容進行分類保護的同時，又不影響人員正常活動。這一點通常是防泄密產品的技術難點，很多產品在權限和密級細分化的管理上不盡如人意，自身的密級管理策略存在很多沖突問題，因此往往需要嚴格測試檢驗這部分功能的正確性和穩定性。

2.定制策略模板

企業制定文檔防擴散管理方案，通常需要預先配置好安全策略模板，主要包括配置企業人員角色身份和所屬密級、部門基本文檔加密規則、文檔離線外帶審批流程、日志記錄等策略模板。

3.客戶端管理

客戶端管理主要是需要對接入內部網絡的員工客戶端機器和移動存儲設備進行防擴散權限管理。文檔管理可以使用指定磁盤加密技術，劃分加密目錄和解密目錄，加密目錄能夠對所有移入的文件和文件夾自動加密，解密目錄可以自動完成解密，便于對服務器共享目錄進行管理。需要外發給客戶的文件，可加密成可執行文件發送到客戶電腦上，并設定好讀寫的權限和次數，能夠正常的在非涉密環境運行。移動存儲管理要求注冊移動設備，限制內部和外部使用規則，對設備上文件的創建、讀取、寫入、重命名、刪除等操作權限進行限制。

4.離線外發審批流程管理

在企業電子文檔防擴散安全產品的應用場景中，除了要對內網設備進行管控外，還需要處理好脫離內網環境的設備工作問題。因此，對于員工下班后和出差時電腦可設定離線策略。

在離線過期后，設備對加密文檔不再擁有讀寫權限。但是仍可以向管理員申請續期。此外，審批可以針對企業內具體管理情況，定制多個彼此獨立的單級審批和多級審批流程，每級可設置參與審批的人數，滿足企業的實際組織架構需求。

5.日志報表管理

文檔防擴散產品在使用過程中會完整地記錄管理操作和申請事件，產生日志報表。對于產生的日志報表，企業往往需要進行歸檔和分析。管理員可以通過查詢日志來監督用戶行為，并對泄密事件進行跟蹤追溯。報表的數據統計部分可以查看注冊的所有主機狀態和各類審批事件的狀態。

企業部署實施方案

1.測試和部署

在進行測試和部署前，首先需要進行企業安裝環境調查，分別進行單點功能測試，機型適配和操作系統兼容性測試。在企業內部的某一個子部門投入試用，進行局部穩定性測試。在上述工作較為完善后，在全單位實行漸進式部署，先通過域控等方法全面安裝客戶端，再將控制規則和策略功能逐步添加，過程中需要反復溝通修改和調試方案，最后完成成熟的部署效果。

步驟一：對企業軟件部署環境進行摸底調查研究，對企業網絡拓撲結構、人員組織架構和層級關系加以了解，對內部數據交互情況、員工常用的軟件插件，殺毒軟件和設計軟件使用情況等進行統計分析，將可能存在沖突的軟件加入到兼容性測試計劃中。此步驟主要為以后公司大規模的部署做基礎準備，熟悉企業環境，以便制定具體部署實施方案。

步驟二：整理好企業的核心功能需求，根據需求逐條對各家防擴散軟件進行彼此獨立的功能測試。這一步主要在測試機上和虛擬機系統環境模擬運行，需要搭建一個簡易的模擬應用環境，在被測機器上安裝公司內部常用的功能性軟件，然后測試時對防擴散產品的使用情況進行記錄和反饋。

步驟三：選取某一個子部門對所有功能試點運行，測試部門之間文件傳遞效率是否受到影響，測試用戶人員之間交互，以及離線外發的審批過程。

步驟四：域控同步預安裝控制，在公司各部門中全部安裝文檔防擴散系統，在此安裝過程中主要需要采用域推送的方式靜默安裝，在用戶入網驗證檢測時捎帶部署。觀察服務器的運行穩定情況，客戶端是否出現異常，通訊和加解密授權等功能能否完成。

步驟五：漸進式部署。逐步下發策略，下發控制策略對公司中的電腦下發控制策略，并觀察控制策略使用情況。對公司內所有電腦逐步增加不同格式的下發加密策略，該階段為整個部署方案的核心部分，要保證客戶端加密解密策略生效后整個系統必須穩定、正常的運行。

步驟六：運維管理。這一部分需長期維護軟件系統，并對軟件效果進行評估，對相關管理人員和普通員工進行培訓。一個大中型企業通常由多個功能相互獨立的職能部門和子公司組成，部門之間存在著大量信息交互，難以確定該如何劃分密級權限進行管理。員工難以習慣和掌握加密環境的使用，必須逐步培養和改變用戶的文檔使用習慣，幫助他們樹立數據安全防護意識。

2.性能評估

企業電子文檔防擴散軟件部署完成后，需要對其性能進行評估，主要包括穩定性、安全性、擴展和兼容性，運行速度影響幾個方面。

穩定性，包括服務器和客戶端運行穩定；控制臺顯示客戶端電腦信息；加密解密是否正常；不同用戶多次下發時加解密策略是否和策略設置內容相同；系統容災設置；網絡故障異常時默認短期離線策略可以保證終端繼續查看加密文檔。

安全性，要求保證電子文檔的保密性、完整性和可用性；防止內容被破壞、更改和泄露；保證辦公和應用系統數據的存儲和使用安全，終端數據的離線策略的安全性，移動設備和存儲介質的數據安全。

響應速度，主要需要觀察控制臺下發策略和申請消息內容是否能夠及時推送，分發不同軟件的加密策略是否能即時生效等等。

總結

企業文檔防擴散產品應用部署需要全面考慮加密文檔面臨的各種主動和被動擴散風險；同時，應盡量避免對系統資源的消耗和對內部人員正常工作的影響，在安全和效率之間保持平衡。對于企業信息安全維護人員，不僅需要加強自身業務培訓學習，還應深入了解本單位的實際環境和電子文檔防護需求，合理選擇產品，并制定好安全防護策略和規章制度，在部署實施的各個階段不斷完善，以保證電子文檔防擴散工作有效落實。