电脑资料防止泄密管控和防止数据泄密的方法

当前，电脑文件安全已经成为企业网络管理的重要内容。这是因为，无论是员工日常工作中形成的重要数据资料，还是单位的商业机密文件，常常以电脑文件的方式存储在员工的电脑，或者公司的文件服务器上，并且还常常通过共享服务器文件的方式允许员工访问，便于实现资源共享和协同办公。公司局域网的上述文件存储方式，虽然方便了文件存储和保存，方便了工作。但也使得员工可以轻松通过各种方式将电脑文件、服务器共享文件泄露出去，从而给单位的文件安全、信息安全和商业机密构成了巨大的威胁。一、电脑文件泄密、公司数据泄露的主要途径。根据第三方统计，企业泄密事件的80%都是企业内部员工主动所为。因此，防止企业数据泄密也必须将视觉定格在防范内部员工泄密层面上来。而对于企业内部员工泄密行为，总结起来不外乎以下几个途径：图：当前电脑文件泄密的主要途径1、通过U盘、移动硬盘、手机等带有USB存储功能的设备拷贝和存储电脑文件。目前，U盘、移动硬盘和手机等存储空间越来越大，动辄几个G、几十G甚至上百G的存储空间，并且现在的USB存储设备的读写速度越来越快，可以短时间内拷贝大量文件存储到这些USB存储设备。同时，由于很多单位没有专门的禁用USB存储设备的举措和意识，工作中还时不时用到U盘、移动硬盘，员工也经常利用公司的电脑为手机充电（在充电时，可以将手机当做U盘使用），从而使得通过上述这些USB存储设备泄露电脑文件的行为极为普遍。2、通过邮件、网盘、FTP文件外发、QQ发送文件、微信发送文件、QQ群共享文件以及论坛、博客上传附件等。当前，由于很多单位局域网的电脑都可以访问互联网，这使得员工即便不通过U盘等USB存储设备泄密，也可以轻松通过网络途径进行泄密，尤其是通过邮件附件、向网盘上传电脑文件、通过FTP向外发送文件、通过QQ发送文件、通过微信发送文件以及QQ群文件共享、论坛博客上传附件等方式泄露电脑文件。尤其是，现在网速越来越快，使得上传大量的文件也变得极为方便。事实上，通过网络途径泄露电脑文件已经成为当前电脑文件泄密、企业数据泄露的主要方式。二、防止公司数据泄露、电脑资料防止泄密管控的思路鉴于企业电脑文件泄密不外乎以上几种途径，因此防止公司数据泄露也应该从这几个方面入手。总体来说，又不外乎两种管理思路，一种是堵，一种是疏。具体来说，则应该从以下几个方面入手：1、从企业管理制度、企业机密文件保密制度等层面入手。虽然很多企业也都建立了相应的企业保密制度，通常也都和员工签订了保密协议，很多企业管理者也意识到信息安全、商业机密泄漏的严重性，也纷纷采取各种举措来保护信息安全，防患未然。但是，作为企业的管理者，始终无法时时刻刻监督员工的日常工作行为，而员工素来具有“上有政策、下有对策”的心理，再加上目前泄露电脑文件的手段很多，一些很隐秘的泄密行为很难通过制度加以约束或制止，使得单纯依靠企业管理制度、员工保密协议无法有效杜绝员工泄露公司机密的行为。而必须在制度之外，通过一些技术手段加以限制。2、通过技术手段防止电脑文件泄密、防止公司数据泄露。很多企业管理者和网络管理员也意识到，单纯依靠企业保密制度和员工保密协议，无法完全杜绝企业员工的泄密行为。因此，很多企业纷纷采用各种安全技术手段来加强电脑文件安全保护，防止各种途径泄密。而这种管理举措，通常也分为两个层面，一种是将电脑文件泄密的通道堵住，另外一种是采用一些电脑文件加密软件来对关键数据进行加密。毋庸置疑，这两种方式都可以实现电脑文件安全防护，但企业究竟如何选择呢？到底是选择电脑文件防泄漏产品，还是电脑文件加密软件呢？这常常让很多企业网管人员无法抉择。笔者从事网络管理工作多年，对电脑文件加密软件和电脑文件防泄漏系统都有一定的了解，也都实际应用过，分享经验如下：1）对于大多数企业来说，部署电脑文件防泄密产品一般都可以满足管理需要。电脑文件防泄漏产品相对于电脑文件加密系统来说，具有更加安全、更加快捷、更加透明等优势。通俗地说，就是不改变文件的格式、访问方式和存储方式，也就是不会对文件本身做任何改动，而只是对可能泄露文件的通道进行管控。比如禁用USB存储设备、禁止网盘上传电脑文件、禁止QQ发送文件等，使得用户最终无法通过这些途径将电脑文件泄露出去。目前，国内有很多电脑文件防泄漏产品，例如有一款“大势至电脑文件防泄密系统”（下载地址：http://www.grablan.com/monitorusb.html），只需要在电脑安装之后，就可以完全禁止U盘使用（允许使用指定的U盘）、只让从U盘向电脑复制文件而禁止从电脑向U盘拷贝文件，或者从电脑向USB存储设备复制文件必须输入密码，禁止网盘上传文件、禁止发送邮件（允许使用公司邮箱）、禁止QQ发送文件、禁止微信发送文件以及禁止FTP文件外发等，可以有效防止通过各种手段泄漏电脑文件。如下图所示：图：大势至企业数据防泄漏系统此外，系统集成了全面的电脑使用管理功能，防止通过修改注册表、组策略、设备管理器等操作系统关键位置而绕过系统监控的行为。同时，系统也集成了全面的自我防护功能，可以防止被员工或第三方软件影响或破坏。2）对于电脑文件加密系统来说，需要有非常专业的人员进行操作。对于一些文件保护级别较高的用户来说，也可以考虑部署电脑文件加密系统。通过对电脑文件进行格式转换、加密隐藏或访问权限控制来加强电脑文件安全防护。比如，重要加密文件只能在公司电脑打开，一旦泄露出去则无法打开；或者，打开加密文件之前，需要经过一系列密钥认证操作等。虽然这些方式听起来可以进一步保护电脑文件安全。但是，由于文件加密过程需要改变文件原有的格式，同时访问操作这些文件也需要进行一系列的操作，这使得文件存在被损害的风险，尤其是电脑文件加密系统本身还不够成熟的情况下，容易导致加密后的文件无法解密或损毁的情况发生。因此，企业在部署之前一定要慎之又慎，准确选型。同时，对于企业员工来说，通常由于都缺乏专门的IT知识，如果文件加密或解密过程的操作过于复杂，常常会导致加密或解密失败，增加了文件被损毁的风险。此外，过于复杂的系统会让一些员工也会有强烈的抵触心理，笔者曾经接触过一家单位，花了很多钱上线的文件加密系统，由于员