【IT168 专稿】在企业信息化发展的进程中，企业领导及信息主管们一直都非常关注企业的信息安全，他们花费大量资金购置防火墙、防病毒软件等产品来最大限度地杜绝信息安全的威胁，这在企业信息化初期基本保证了企业的信息安全。

    在企业高速发展过程中，许多企业的信息化建设达到了较高水平，随着信息化程度的不断提高，企业的重要电子化文档越来越多，企业的一些重要资料流失到了外界，给客户和企业造成了非常不好的影响。同时，随着竞争日益加剧，流失到竞争对手的重要资料也为企业造成了非常大的损失和影响。企业领导和主管发现，企业的信息安全面临了新的问题，企业的信息安全隐患的重心，由防止外界攻击转向了企业内网防范。

    因此，如何保证企业的经营策略和核心技术等重要信息不被竞争对手利用，如何保护客户的相关资料信息不被泄密，成为了企业目前信息管理上的难点和关键点。

    企业信息安全隐患重重

    通过大量案例发现，企业内部员工往往是企业电子文档泄漏的操作者，同时也是企业最难防范的信息泄漏渠道，下面是美国FBI和CSI针对日益严重的内部信息泄漏问题，对484家公司的调查结果：

    内部安全威胁：85％；
    外部入侵：15％；
    专利信息被窃取：14％；
    内部人员的财务欺骗：12％；
    资料或网络数据的破坏：1l％。

    由此可见，内网安全已成为信息安全的主要威胁，这主要在于员工操作权限内的电子文档在现有IT技术下无法控制，拷贝不留痕迹为他们任意处置电子文档提供了环境，再者，员工处于企业的内网，这让他们比外网的黑客更有机会侵入我们的电子文档服务器。

    企业泄密的渠道多种多样，企业信息泄密示意图见图1。通过分析我们可以发现主要有如下几种途径：

    1) 互联网泄密

    员工将企业的机要文件通过互联网，采用mail、ftp、bbs等方式将信息传递到外界。

    2) 局域网络泄密

    本企业员工带笔记本电脑进入企业局域网络中，通过企业网进入自己的电脑、同事电脑、企业的文件服务器拷贝数据；外来人员（合作单位员工、信息盗窃者）带笔记本电脑进入企业局域网络，接入企业网络盗取想要的信息。   

    3) 移动终端设备泄密

    员工通过工作用的笔记本电脑，将电脑带到外界，通过笔记本电脑的相关通讯设备（软驱、光驱、刻录机、磁带驱动器、USB存储设备）、存储设备（串口、并口、调制解调器、USB、SCSI、1394总线、红外通讯设备以及笔记本电脑使用的PCMCIA卡接口）将信息泄漏到外界。

    4) 固定终端设备泄密

    通过台式电脑的相关通讯设备（软驱、光驱、刻录机、磁带驱动器、USB存储设备）、存储设备（串口、并口、调制解调器、USB、SCSI、1394总线、红外通讯设备以及笔记本电脑使用的PCMCIA卡接口）将信息泄漏到外界。

    急需建立完善的信息安全监管系统

    信息安全法规政策的建立    信息安全管理的一个重要方面是运用管理的法律方法。目前，我国的信息化立法，尤其是信息安全立法，尚处于起步阶段。形成一个与此有关的具备完整性，适用性和针对性的法律体系，一方面依赖与我国信息过程的深化，另一方面依赖与人们对信息化和信息安全的认识情况和相关技术及法律学意义上的超前研究。

    从我国宪法和其它部门法的高度对个人、法人和其它组织的涉及国家安全的信息活动的权利和义务进行规范。

    其次，直接约束计算机安全和Internet安全。

    最后，对信息内容、信息安全技术和信息安全产品的授权审批进行规定。其中，第一个层次上的法律主要有宪法、刑法、国家安全法和国家保密法。第二层次主要包括《中华人民共和国计算机信息系统安全保护条例》（简称《安保条例》）、《中华人民共和国计算机信息网络国际互联网管理暂行规定》（简称《联网规定》）和《中华人民共和国计算机信息网络国际联网安全保护管理办法》等法规。第三个层次则主要包括《电子出版物管理暂行规定》、《中国互联网络域名注册暂行管理办法》和《计算机系统安全专用产品检测和销售许可证管理办法》等规定。目前，《安保条例》和《联网规定》是指导国务院各相关主管部门展开维护信息安全工作的重要依据。

    机构部门的安全管理原则制定    维护信息安全，仅仅有关专门的组织机构和法规政策不够。各个机构和部门都应在具备专门的安全管理机构，专门的安全管理人员，逐步完善的安全管理制度和逐步提高的安全技术设施的前提下，依据有效的管理原则进行保障信息安全的活动。其信息安全管理活动应涉及人事管理、设备管理、场地管理、存储媒体管理、软件管理、网络管理和密码密钥管理等方面内容。其管理活动应遵循以下基本原则：

    规范原则 在信息系统的规划、设计、实现和运行过程中，根据本机构（部门）的安全要求制定相应的安全政策，使该系统满足必要的安全规范要求。安全政策应规定根据需要选用必要的安全功能和安全设备，避免盲目开发、自由设计、违章操作和无人管理的情况发生。

    预防原则 依据以预防为主的思想考虑信息安全问题，在信息系统的规划、设计、采购、集成和安全过程中同步考虑安全政策和安全功能所具备的程度。

    立足国内原则 未经许可和消化改造不直接使用国外的安全保密技术和设备、安全技术和设备的选用首先立足国内。

    选用成熟技术原则 在采用新技术时重视其成熟程度。

    注重实效原则 在信息系统的规划、设计、实现和运行过程中，使资金、设备和人力投入尽可能地与该系统所需要的安全功能相适应，不盲目追求与现实条件不符、难于实现或投资过大的目标。

    系统化原则 依据系统工程思想，使信息系统的前期投入与后期要求相匹配，以便不断扩展系统安全功能，最大限度地利用和保护以有投资。

    均衡防护原则 注意安全防护的均衡性，注意安全防护中是否存在薄弱环节。

    分权制衡原则 对安全管理的重要环节采取分权制衡原则，在相互制约的同时提高系统安全性。

    应急原则 有安全管理的应急响应方案，在出现问题时能够立即采取应急措施。

    灾难恢复原则 在不同时受可能的灾难影响的地区建立系统备份中心（对实时运行系统，备份中心应与主系统保持数据一致），保证在灾难发生的情况下，通过立即启用备份而使系统连续工作。

    信息安全的漏洞如此之多，如何才能做到电子文件的安全呢?

    首先需要提高企业信息安全管理水平，同时还要采用强而有力的技术手段进行管理支持，重要的对策和手段就是要建立一套企业信息安全监管系统，进行全面的信息监管。因此，建立企业信息安全监管系统是非常重要和必要，缘由显而易见：

    第一、防范企业机密资料被窃取

    企业信息的数字化科技给企业带来了很大的便利，企业的信息资产、产品设计资料、价格、成本、交易秘密以及其它各种企业机密信息都能很方便地被雇员使用，但同时也带来了企业机密外泄的危险。

    目前，企业防范机密外泄的主要办法通过应用防火墙、加密、密码保护、保密协议以及员工行为规范来实现，但调查资料表明超过70％的企业机密外泄是由内部员工造成的，而以上这些方法都无法真正地保证企业信息的安全。

    监管系统可以快速有效地保护企业信息资产的安全。监管系统是一个简单易用、功能完善的电脑使用监视和控制工具，便于企业控制信息资料流向，及时发现可疑行为，将机密外泄的风险降到最低，保留操作记录，便于举证。

监管系统通过限制移动存储设备和应用程序的使用防止内部文档被拷贝出去，可以有效地防范企业信息资产被盗用，系统同时会详细记录文档的操作、打印以及相应的屏幕录像，帮助企业及时发现违规行为，减少损失，保留证据。

    第二、追查可疑行为，保留电脑操作证据

    公司可能已经怀疑员工有窃取公司机密的行为，却苦于没有证据，窃取公司机密行为持续得越长，公司的损失就越大，因此迅速而准确地发现泄密者对公司来说是非常重要的。

    监管系统正是这样一个能帮助企业调查电脑使用情况的工具。通过监管系统可以详细地了解每个员工在电脑上的行为，包括应用程序的使用、浏览的网页、文档的操作和打印、甚至包括每台电脑的屏幕记录，通过查看这些记录，可以迅速发现泄密的员工，及时制止这种行为继续危害公司利益，将损失控制在最小；同时可以保留证据，依靠法律手段解决问题。

    第三、规范员工使用电脑行为

    现代企业基本普及了电脑化办公，大部分企业还给公司电脑提供了接人互联网的功能，现代化的办公方式虽然提高了工作效率，但也带来了一些负面的难以控制的行为，员工可能会花很多时间在电脑上玩游戏、浏览与工作无关的网站（色情、购物、股票、新闻等等）、收发个人信件、同朋友在网上聊天……，如果不能有效地监管员工使用电脑和互联网，员工的工作效率会大大下降，由此提高了公司的生产成本和管理成本。

    监管系统能有效地监管员工使用电脑和互联网，通过提供详细的电脑使用记录、分析和完善的报表输出功能，能全面地了解员工使用电脑和互联网的情况，及时客观地了解员工的工作效率，防止人为好恶，及时发现并纠正违反公司规定的行为，降低管理成本，促进员工生产效率的提高。

    第四、方便电脑资产管理

    现代企业随着信息化的普及，电脑在企业内部的应用也越来越普及，购买和维护电脑软、硬件的支出也越来越大，如果不能有效管理好电脑的使用，会给企业带来很大的生产成本支出。

    监管系统可以帮助IT管理员方便地管理和全面了解企业电脑软硬件资产的使用情况，合理分配资源，及时发现和制止违规行为。系统自动记录企业内部每台电脑的软硬件的配置和变化情况，帮助IT管理员全面真实地掌握企业电脑资产，及时发现违规改变企业软、硬件配置的情况。

    企业建立信息安全监管系统需遵守四大原则

    建立企业信息安全监管系统，应根据企业信息安全整体规划，以及建立有效的企业文档安全监管的设想和要求，从以下几个方面确定系统建设的总体原则：

   1) 实用性和经济性

    监管系统建设应始终贯彻面向应用，注重实效的方针，坚持实用、经济的原则。

    2) 开放性和标准性

    为了满足系统所选用的技术和设备的协同运行能力、系统投资的长期效应以及系统功能不断扩展的需求，必须追求系统的开放性。

    3) 可靠性和稳定性

    在考虑技术先进性和开放性的同时，还应从系统结构、技术措施、系统管理、厂商技术支持及维修能力等方面着手，确保系统运行的可靠性和稳定性，达到最大的平均无故障时间。

    4) 安全性和保密性

    在系统设计中，既要考虑信息资源的充分共享，更要注意信息的保护和隔离，因此系统应分别针对不同的应用和不同的网络通信环境，采取不同的措施，包括系统安全机制、数据存取的权限控制等。

    建立企业信息安全监管系统以实现四大功能目标

    1、实现全程跟踪记录。信息泄密有据可查

    系统应做到在严格监控和记录企业内部各台计算机的使用情况下，具有强大的屏幕快照、网络管理、实时跟踪、运行统计、历史归档、设备管理等功能。

    系统根据需要自动截取工作站的屏幕快照、应用程序运行和浏览互联网的情况，并可以根据用户需要回播这些记录来报告工作站的工作状况。这样，可以随时了解企业的计算机用户的资源利用情况。

    可以通过设定组、计算机、登录的用户、文件的名称、操作类型、类别以及操作的时问来查询特定的文档操作。类别是显示该操作是在硬盘、软盘、光盘、可移动磁盘(目前通常是USB盘)还是网络上进行的。

    2、避免员工利用工作的机会将文件拷贝泄漏

    可以通过监管系统设置某台或某组计算机的禁止设备属性，防止用户使用某种设备非法地复制数据或与外界通讯。

    禁止的设备类型包括：软驱、光驱、刻录机、磁带驱动器、串口、并口、调制解调器、USB、USB存储设备、SC，SI、1394总线、红外通讯设备以及笔记本电脑使用的PCMCIA卡接口（当用户的笔记本是使PCMCIA接口的网卡时）。

    3、避免员工利用互联网进行企业文件信息的泄漏

    系统应能监视局域网上所有机器使用互联网资源的情况。它自动地收集、保存、管理局域网上所有机器所浏览的网站、下载的文件（通过H，几P协议）和发出与收到的所有邮件，并能解析出机器的名称，按机器名分类归档。

    系统可以用做记录互联网使用情况的工具，便于存盘和查阅。也可以作为监视企业所有员工是否正当使用企业互联网资源以及是否通过互联网将企业敏感资料传播出去的工具。

    4、局域网接入保护

    系统应具有局域网保护功能，使企业的文件共享服务器非常安全，非企业电脑无法接入局域网络，这样企业以外的员工所带来的笔记本电脑无法进入到文件服务器拷贝数据，只有企业员工可以访问服务器，同时，外带电脑也无法任意访问企业员工建立的共享文件夹，让员工的电脑也得到了保护。

    如果由于工作需要进行网络拷贝或进入文件服务器，我们的管理者只需要进行简单的操作，在控制台将该电脑的局域网保护功能开关打开，那么就可以进行网络数据拷贝，这种方式，既保证了安全，又让管理非常简单、方便。

    对于现代企业来说，信息安全正在成为企业必须面对的一件刻不容缓的大事。建立信息安全监管系统，成为保护企业信息安全的一种有效的技术手段。

    许多IT厂商也看到了巨大的市场前景，新的信息安全监管系统产品不断涌现，企业必须结合本企业网络系统和信息业务系统的特点，确定本企业信息安全监管的原则和目标，选择适宜的产品建立企业信息安全监管系统，同时，必须做到管理与技术并重，预防与监管并重，加强信息安全教育与管理，保证信息安全监管系统的有效运行，保护好企业的信息安全。