论文部分内容阅读
[摘 要]随着科技的进步和信息化手段的不断丰富,网络和信息系统给我们的企业和社会带来了巨大的便利,人力资源大幅节省,信息交互越来越发达,但是信息化水平的不断提高,也让我们的企业面临数据安全的问题,尤其是科技型和研究型企业,由于文档泄露导致的核心技术和数据的流失,给企业带来难以估量的损失。
[关键词]数据安全;文档管理;保密
[中图分类号]F270 [文献标识码]A [文章编号]1005-6432(2012)6-0065-02
1 企业的核心数据面临内外两方面的安全保密隐患
1.1 缺乏统一管理
组织里某人或某些人起草的重要文件缺乏集中统一管理:企业员工的离职,电脑的丢失,有意或无意的删除操作,或病毒的侵袭造成文件丢失。传统上,像含有机密财务数据的投融资报告,月度、季度、年度销售分析报告,财务分析报告,商业往来文件和合同,重要内部会议的会议纪要等。这些对一个组织来讲非常重要的文件大多是由组织里的某个人或某些人撰写,保留在个人的电脑里,容易由于有意或者无意的原因造成文件丢失。
1.2 缺乏有效加密
很多企业在文档和核心数据资产的加密方面意识不强,并且没有有效的加密手段:文件在员工的电脑里可以轻松地通过电子邮箱、移动存储设备、通信工具、打印设备等将文档原文直接拷贝出来,最终导致信息的泄露。
2 加强文档数据管理的手段
2.1 建立组织级文档保护机制
一个组织中最难管理的是人员,要管理好企业的核心文档首先要管理好这些文档的管理者。建立一套合理而健全的机制,是具有关键意义的做法。组织内信息安全制度的建立,往往比购买设备、提高技术还重要。国外信息安全管理的经验表明,大多数的攻击来自系统内部,并且外部可利用内部进行攻击。而对内部攻击的防范比对外部攻击的防范更困难。防范内部的安全攻击,管理措施(行政的和法律的)显得更为重要。建立并执行一整套科学、合理、严密的管理制度,从每一个环节堵塞电子文档信息安全的漏洞,这些环节包括从电子文件形成、处理、传输、收集、积累、整理、归档,到电子档案的保管、提供利用的全过程,即要进行全过程管理,任何一个环节疏于管理,都有可能导致电子文档信息的丢失或失真。加强对电子文件制作人员和管理人员的管理;电子文件制作过程要职责分明;电子文件形成后要及时积累;建立和执行科学的归档制度;制定和严格执行电子文档的鉴定、保管制度和标准;加强对电子文档利用活动的管理;建立电子文档管理的记录系统等。
2.2 利用数据安全保护软件加强文档管理
(1)加强访问控制
访问控制是网络环境下电子文档信息安全防范和保护的主要措施和手段,它的主要任务是保证包括电子文档信息在内的网络资源不被非法访问和非法使用。具体措施包括:入网访问控制,控制组织内的用户是否用户能够登录到服务器并获取网络资源,控制准许用户的访问时间和准入范围;权限控制,控制用户允许访问哪些目录、子目录、文件和其他资源;指定用户对这些文件、目录、设备能够执行哪些操作,如只读、改写、创建、删除、查找、存取控制等,而最基本的控制是防止电子文档的拷贝篡改和打印;
(2)数据加密
信息加密的目的是保护网内的数据、文件、口令和控制信息的传输,确保不宜公开的电子文档的非公开性。在多数情况下,信息加密是保证电子文档机密性的唯一方法。如果有权使用受控文件的内部人士将受控文件通过邮件,聊天工具,U盘等任何方式传递给第三者,第三者打开文件看到的是乱码,确保信息不被泄露。
(3)文檔备份
由于网络的不安全性,导致电子文档信息易丢失或失真,给信息安全带来严重威胁。尽管可以采取各种各样的技术和方法来保证网络的安全,但客观地说,任何一个网络都不能确保万无一失,信息丢失和失真的现象难免不会发生。如果建立备份与恢复系统,即使信息丢失和失真,也能够做到有备无患,只要启动该系统,丢失或失真的信息就会重新恢复原来的面貌。
(4)事后跟踪
企业在加强管控的同时还应注意文档泄露后的跟踪管理。应该准备好正常的事件报告和分类程序,这类程序用来报告可能对机构的财产安全造成影响的不同种类的事件和弱点,所有的员工、合同方和第三方用户都应该知晓这套报告程序。他们需要尽可能快地将文档泄露事件和弱点报告给指定的联系方。组织应明确信息安全事故报告的方式、报告的内容、报告的受理部门,即安全事件应在被发现之后尽快由适当的受理途径进行通报。应当尽可能快速地通过适当管理渠道来报告安全事故。组织的普通员工通常是安全事件的最早发现者,如果安全事件能及时发现并报告相应的主管部门,作出及时的处理,能使组织的经济损失及声誉损失降到最低。为及时发现安全事件,组织应建立正式的报告程序,分别对安全事故的报告作出明确规定。应当让所有员工和第三方的签约人都了解报告程序并鼓励他们在安全事件发生的第一时间就尽快报告。还应当建立起事故反应机制,以便在接到事故报告时,有关部门能及时采取措施。应当建立适当的反馈机制,确保在处理完事故之后,使员工能够知道所报告事故的处理结果。同时可以用这些事故来提高用户的安全意识,使他们了解发生了什么情况、对这种情况怎样做出反应并且将来如何避免这些事故。针对不同的类型的安全事件,作出相应的应急计划,规定事件处理步骤。
3 结 论
企业核心文档的安全保密工作关系到企业的核心竞争力和可持续发展水平,加强保密工作、建立有效的防范机制、提高员工的保密意识、利用系统手段进行文档管理是全面提高保密管理能力的有效途径。
参考文献:
[1] 陈运.信息安全概要[J].数据通信.2001(3):36-38.
[2] 同志敏.信息安全的内容和实现[J].软件世界. 2002 (1):17-19.
[3] 吴江.信息安全的三个重要领域[J].数据通信,2001(3):19-21.
[4] 吕诚昭.信息安全管理的有关问题研究[J].电信科学,2000(3):36-39.
[5] 梁佩群.试论档案计算机信息安全[J].档案学通信. 2001 (3):29.
[关键词]数据安全;文档管理;保密
[中图分类号]F270 [文献标识码]A [文章编号]1005-6432(2012)6-0065-02
1 企业的核心数据面临内外两方面的安全保密隐患
1.1 缺乏统一管理
组织里某人或某些人起草的重要文件缺乏集中统一管理:企业员工的离职,电脑的丢失,有意或无意的删除操作,或病毒的侵袭造成文件丢失。传统上,像含有机密财务数据的投融资报告,月度、季度、年度销售分析报告,财务分析报告,商业往来文件和合同,重要内部会议的会议纪要等。这些对一个组织来讲非常重要的文件大多是由组织里的某个人或某些人撰写,保留在个人的电脑里,容易由于有意或者无意的原因造成文件丢失。
1.2 缺乏有效加密
很多企业在文档和核心数据资产的加密方面意识不强,并且没有有效的加密手段:文件在员工的电脑里可以轻松地通过电子邮箱、移动存储设备、通信工具、打印设备等将文档原文直接拷贝出来,最终导致信息的泄露。
2 加强文档数据管理的手段
2.1 建立组织级文档保护机制
一个组织中最难管理的是人员,要管理好企业的核心文档首先要管理好这些文档的管理者。建立一套合理而健全的机制,是具有关键意义的做法。组织内信息安全制度的建立,往往比购买设备、提高技术还重要。国外信息安全管理的经验表明,大多数的攻击来自系统内部,并且外部可利用内部进行攻击。而对内部攻击的防范比对外部攻击的防范更困难。防范内部的安全攻击,管理措施(行政的和法律的)显得更为重要。建立并执行一整套科学、合理、严密的管理制度,从每一个环节堵塞电子文档信息安全的漏洞,这些环节包括从电子文件形成、处理、传输、收集、积累、整理、归档,到电子档案的保管、提供利用的全过程,即要进行全过程管理,任何一个环节疏于管理,都有可能导致电子文档信息的丢失或失真。加强对电子文件制作人员和管理人员的管理;电子文件制作过程要职责分明;电子文件形成后要及时积累;建立和执行科学的归档制度;制定和严格执行电子文档的鉴定、保管制度和标准;加强对电子文档利用活动的管理;建立电子文档管理的记录系统等。
2.2 利用数据安全保护软件加强文档管理
(1)加强访问控制
访问控制是网络环境下电子文档信息安全防范和保护的主要措施和手段,它的主要任务是保证包括电子文档信息在内的网络资源不被非法访问和非法使用。具体措施包括:入网访问控制,控制组织内的用户是否用户能够登录到服务器并获取网络资源,控制准许用户的访问时间和准入范围;权限控制,控制用户允许访问哪些目录、子目录、文件和其他资源;指定用户对这些文件、目录、设备能够执行哪些操作,如只读、改写、创建、删除、查找、存取控制等,而最基本的控制是防止电子文档的拷贝篡改和打印;
(2)数据加密
信息加密的目的是保护网内的数据、文件、口令和控制信息的传输,确保不宜公开的电子文档的非公开性。在多数情况下,信息加密是保证电子文档机密性的唯一方法。如果有权使用受控文件的内部人士将受控文件通过邮件,聊天工具,U盘等任何方式传递给第三者,第三者打开文件看到的是乱码,确保信息不被泄露。
(3)文檔备份
由于网络的不安全性,导致电子文档信息易丢失或失真,给信息安全带来严重威胁。尽管可以采取各种各样的技术和方法来保证网络的安全,但客观地说,任何一个网络都不能确保万无一失,信息丢失和失真的现象难免不会发生。如果建立备份与恢复系统,即使信息丢失和失真,也能够做到有备无患,只要启动该系统,丢失或失真的信息就会重新恢复原来的面貌。
(4)事后跟踪
企业在加强管控的同时还应注意文档泄露后的跟踪管理。应该准备好正常的事件报告和分类程序,这类程序用来报告可能对机构的财产安全造成影响的不同种类的事件和弱点,所有的员工、合同方和第三方用户都应该知晓这套报告程序。他们需要尽可能快地将文档泄露事件和弱点报告给指定的联系方。组织应明确信息安全事故报告的方式、报告的内容、报告的受理部门,即安全事件应在被发现之后尽快由适当的受理途径进行通报。应当尽可能快速地通过适当管理渠道来报告安全事故。组织的普通员工通常是安全事件的最早发现者,如果安全事件能及时发现并报告相应的主管部门,作出及时的处理,能使组织的经济损失及声誉损失降到最低。为及时发现安全事件,组织应建立正式的报告程序,分别对安全事故的报告作出明确规定。应当让所有员工和第三方的签约人都了解报告程序并鼓励他们在安全事件发生的第一时间就尽快报告。还应当建立起事故反应机制,以便在接到事故报告时,有关部门能及时采取措施。应当建立适当的反馈机制,确保在处理完事故之后,使员工能够知道所报告事故的处理结果。同时可以用这些事故来提高用户的安全意识,使他们了解发生了什么情况、对这种情况怎样做出反应并且将来如何避免这些事故。针对不同的类型的安全事件,作出相应的应急计划,规定事件处理步骤。
3 结 论
企业核心文档的安全保密工作关系到企业的核心竞争力和可持续发展水平,加强保密工作、建立有效的防范机制、提高员工的保密意识、利用系统手段进行文档管理是全面提高保密管理能力的有效途径。
参考文献:
[1] 陈运.信息安全概要[J].数据通信.2001(3):36-38.
[2] 同志敏.信息安全的内容和实现[J].软件世界. 2002 (1):17-19.
[3] 吴江.信息安全的三个重要领域[J].数据通信,2001(3):19-21.
[4] 吕诚昭.信息安全管理的有关问题研究[J].电信科学,2000(3):36-39.
[5] 梁佩群.试论档案计算机信息安全[J].档案学通信. 2001 (3):29.