企业信息化中的电子文件信息安全_小企业电子信息安全

企业信息化中的电子文件信息安全由刀豆文库小编整理，希望给你工作、学习、生活带来方便，猜你可能喜欢“小企业电子信息安全”。

企业信息化中的电子文件信息安全

大二 图书情报档案系 09120968 潘晓玉婷 摘要：本文论述了在企业信息化过程中电子文件信息安全保护的重要性，分析了现代企业中对于文件管理的现状，及威胁企业信息安全的因素。从对内和对外的两个角度论述如何在技术上和制度上做到企业信息安全管理，关键字：企业信息安全 电子文件 内部安全管理 信息保护技术措施

公司电子文件信息安全的重要性

Abstract---This paper discu the importance of the information security of electronic document in the proce of enterprise informatization and makes analysis on file management status in modern enterprises as well as the factors which causes the enterprise information security threats.The author tries to conduct the method of enterprise information security management technically and systematically.Keyboard——Enterprise Information Securityelectronic document Internal Security ManagementInformation Protection TechnologyMeasuresImportance of information security about the company

数据是公司的一项重要资产，其中电子信息系统在企业政府和各组织中得到了广泛的应用，对于企业来说，电子信息的安全性机密性关系着整个企业的收益与运作。我曾经加入过书友会，每月会受到一个公司的购书目录，但是有一天我和其他几个报名此书友会的同学却受到了其他新成立的书友会的邀请，据我猜测有两种可能性：1是书友会的联盟，客户信息共享2公司客户信息暴露 客户信息暴露会让竞争对手带走大量收益，使企业造成损失，企业的信息安全关系到业务的风险、收益和机会。

所以企业中电子文件的信息安全是很重要的一个环节，企业应树立保护企业内部信息的重要意识，做好信息化安全工作

常见的企业信息安全威胁因素

病毒木马、黑客攻击、局域网内部ARP、溢出攻击、内部人员故意泄密、内部人员无意泄密、数据信息存储设备故障、自然灾害等等。因此我把它们分为两大类讨论1对内部2对外部

那么企业中的信息化安全该如何实现呢

企业内部安全管理尤为重要 electronic document

在电子文件产生、处理传递、利用与保存的整个生命周期内都离不开人的活动，人的意识具有信息安全的决定性。刻意窃取公司资料，外部人士用网络，病毒攻击等技术手段，内部管理人士只需存储设备就可以轻易完成，所以资料的管理者的安排至关重要。重要电子文件应由可信任管理者实行集中统一管理，先确立内部安全，树立安全意识和保密意识。防内相对比防外更为重要。

涉密文档直接或间接的泄漏与破坏大都是在各种各样不设防的情况下，相关人员进行涉密文档的操作过程中发生的；越是内部人员越疏于防范也就越容易发生涉密文档失泄密事件。从而导致大量的涉密、核心文档有意/无意的泄漏和流失往往是不为人知的，就像蚂蝗一样不断的侵蚀着涉密资产和核心竞争力。一旦到了事情败露，带来的巨大损失早已是无法挽救和弥补的！那么什么样的产品才能真正起到对重要资料的完全保护？怎样才能最大程度保障企业的核心电子信息资产安全

例如上海夏尔软件有限公司专注于提供信息资产安全内控解决方案。夏尔公司认为，信息资产安全内控解决方案至少需要包含下列四个方面的内容：(一)、集中统一管理

信息资产安全内控解决方案应该做到让这些以电子文件形式表现的信息资产变成“企业”信息资产，而不是“个人”信息资产;由组织里某人或某些人起草的重要文件要集中统一管理;防止由于人员的离职,电脑的丢失，有意或无意的删除操作，或病毒的侵袭造成文件丢失。

传统上，像含有机密财务数据的投融资报告，月度，季度，年度销售分析报告，财务分析报告，商业往来文件和合同，重要内部会议的会议纪要等。这些对一个组织来讲非常重要的文件大多是由组织里的某个人或某些人撰写，保留在个人的电脑里，容易由于有意或者无意的原因造成文件丢失。

(二)、即时可用

信息资产安全内控解决方案至少应该做到需要使用时，调阅出来的信息是信息生成时的状态;防止由于计算机技术的局限性，信息在储存过程中可能因为磁盘位错或磁盘故障造成数据丢失，病毒传播造成数据损坏。

(三)、利用过程有严密的受控保护机制

信息资产的安全内控解决方案应做到信息资产在内部使用过程中的安全防扩散;需要做到“看得见、拿不出去;拿出去了，也不能用”，这个方面主要包括:

1、可以对从内网拷贝到外网使用的文件根据文件内容做过滤，也就是说，组织能够控制含有哪些内容的文件可以从内网拷贝到外网使用，含有哪些文件内容的文件不能从内网拷贝到外网使用。

2、如果有权使用受控文件的内部人士将受控文件通过邮件，聊天工具，U盘等任何方式传递给第三者，第三者打开文件看到的是乱码，确保信息不被泄露。

3、今天大多数组织信息系统，系统管理员有最高权限，这是一个极大的信息安全漏洞，系统管理员可以不留痕迹地复制和删除全部文件，以及查看任何文件。夏尔的信息安全内控解决方案可以由文件的所有人来设置权限，决定谁可以查看这个文件，在该工作环境中系统管理员也同样是受限制的。

(四)、严密安全防护机制下还需要易用

信息资产安全内控解决方案还需要做到在将信息资产严密保护的同时，能够让组织内有权限的人非常便利的访问这些信息资产，我们希望提高工作效率和达到组织内的知识传递，就必须让这些以电子文件形式存在的信息资产能方便的共享和访问，不能因噎废食!

夏尔公司是以iFile软硬一体设备为中心的信息资产安全内控整体解决方案，该方案实现了组织内的电子文件集中管理、内外网基于文件内容的摆渡、文件防扩散、以文件的所有者为导向的权限控制以及基于资源管理器易用操作的模式。在完成了上述一、三、四点的要求的同时，软硬一体的底层存储通过采用 CAS 存储架构，实现对磁盘位错或者磁盘故障造成的信息资产损坏自动修复，由于底层为专用的嵌入式系统，对于计算机病毒有天然的防护。软硬一体的解决方案使组织基本可以做到“零”实施。（企业内部信息管理安全需要注意以外，对外安全更需要先进的技术手段和严密的措施，电子文件内容信息的保护是一个复杂的系统过程，技术措施主要有几个方面：

企业重要电子文件的加密

密码技术是信息安全技术中的核心技术，利用密码技术保护企业信息安全是十分有必要的，但是据资料统计，现在各行业企业密码技术的利用率在文件上不是

很普遍，企业应树立意识及时进行周密的保护才能使企业不造成损失。

据有关权威部门统计数据显示，随着各行业在生产、管理上信息化程度日益增高，计算机泄密行为也呈上升趋势。而计算机泄密最大的特点就是较之一般侵占案件，其手段更隐蔽、危害也更大。一个恶意的机密泄露事件往往会给企业造成难以估量的后果：轻则需要投入巨额资金进行补救，重则会将一个企业置之死地。权威数据显示，几乎所有的中国企业对电子文档都没有任何防护措施，企业对于信息有保护措施的不到3％。一些机密性的资料，电子文档轻易就可以的通过电子邮件和移动硬盘泄密到网络外部。

日前，SearchSecurity网站针对358名企业信息化负责人进行了一项关于企业信息安全的调查。调查的结果显示，目前企业机密泄露30％~40％是由电子文件的泄露造成的，而《财富》排名前一千家的公司，每次电子文档泄露造成的损失约为400万元美金。

我认为，加密系统应主要针对公司的存储设备，移动存储介质和便携电脑一样，丢失难以避免，因此企业也必须实施好移动存储介质的技术防范措施。移动存储介质的技术防范措施主要是加密，使盗窃者无法打开移动存储介质中的涉密文件。

目前国内部分主机监控审计产品都能实现移动存储介质的加密存储。强制要求在使用前必须进行存储介质的认证，没有通过认证的移动存储介质在涉密信息系统中只能读，不能写，只有通过认证的移动存储介质才能进行正常读写，而且自动实现移动存储介质中文件的加密。携带认证的存储介质出差时，必须输入正确的密码才能够打开加密的文件，因此能较好地保证移动存储介质中涉密文件的安全。

虽然国内在USB接口的移动存储介质强制加密上具有较好的解决方案，但对于光盘(CD/DVD)的强制加密却没有较好的解决方案。这里建议企业可以从行政上强制规定，禁止使用光盘来存储涉密信息，以防止涉密信息的丢失。

此外对于公司信息安全系统还应应用一些高端软件及应用技术如：

1、防火墙/VPN2、入侵检测防范

3、网络行为监控（内容过滤）系统

4、无线接入安全管理

5、企业内部网络安全机制

6、操作系统以及应用系统的安全设置

7、补丁更新、漏洞扫描机制

8、垃圾邮件过滤系统

9、企业防病毒系统

10、网络监控系统

11、安全审计、日志审核机制

网络安全管理制度。

除了从技术上保证企业电子信息安全以外，对于企业网络安全制度也是很重要的一点，总结书上并结合企业管理实际，对于网络安全制度提出以下几点建议：

1、建立网络安全管理制度，明确网络安全管理的职责

2、完善网络安全设置各方面的技术文档，按照技术文档进行设定安全策略以及安全方案。在涉及网络安全的变更管理、事件管理、配置管理中都必须有文档记录

3、确定网络安全管理的具体责任人。

4、提高公司各层面用户的网络安全意识。

随着企业信息化不断完善，企业的信息化中的电子文件安全管理越来越完善，应用技术越来越普及，企业在管理中对于安全机制的应用应大大增加以保护企业安全，并且应加以强有力的管理体制，如果安全管理体制不够完善，及时再先进的技术也避免不了人为的疏忽与漏洞，企业人员也应及时树立好安全保密意识，保证企业运作的有序进行。

文中议论方面尚缺少实践，可能经验不足导致角度不周全，在今后的学习中会逐渐完善。

参考文献：电子文件管理学 金波

信息资产安全内控解决方案—夏尔

企业安全机制管理论