文檔加密的重要性

20世紀(jì)90年代以來(lái)，以網(wǎng)絡(luò)技術(shù)及服務(wù)為代表的第二次"信息革命"浪潮席卷全球，迅速滲透到政府、企業(yè)、經(jīng)濟(jì)等各個(gè)領(lǐng)域。企事業(yè)單位可以充分利用網(wǎng)絡(luò)化的信息新技術(shù)，提高各方面的辦事效率，為客戶提供更好的更快的服務(wù)，、提高自身形象。所以企事業(yè)信息化則被公認(rèn)為帶動(dòng)整個(gè)社會(huì)信息化的基礎(chǔ)，企事業(yè)信息化是以"效率，安全，穩(wěn)定"的為目標(biāo)的。

互聯(lián)網(wǎng)恰如一柄"雙刃劍"，為人們工作帶來(lái)便利的同時(shí)，伴隨著的是日趨嚴(yán)重的網(wǎng)絡(luò)入侵安全問(wèn)題。作為各類站點(diǎn)，既要訪問(wèn)Internet 的共享信息資源，又要把Intranet的一部分信息對(duì)外提供服務(wù)，資源的共享的同時(shí)也帶來(lái)了安全問(wèn)題;而作為企事業(yè)部門(mén)內(nèi)部網(wǎng)，事關(guān)很多關(guān)系設(shè)計(jì)機(jī)密、企事業(yè)市場(chǎng)策略等敏感信息，網(wǎng)絡(luò)的安全性更為重要。從某種意義上說(shuō)，企事業(yè)內(nèi)部網(wǎng)絡(luò)的信息安全涉及到企事業(yè)單位的整體利益，形象，安全等重要問(wèn)題。如何保護(hù)內(nèi)部網(wǎng)絡(luò)的信息安全,防范來(lái)自外部網(wǎng)絡(luò)的黑客和非法入侵者的攻擊,或有效防止企業(yè)內(nèi)部信息泄漏， 建立起強(qiáng)健的網(wǎng)絡(luò)信息安全防范系統(tǒng)，在某種程度上決定著各企事業(yè)單位，包括政府部門(mén)信息化建設(shè)的成敗。

在當(dāng)前復(fù)雜的網(wǎng)絡(luò)應(yīng)用環(huán)境下，很難有效的保障用戶網(wǎng)絡(luò)系統(tǒng)、信息資源的安全。據(jù)美國(guó)《金融時(shí)報(bào)》報(bào)道，現(xiàn)在平均每10秒就發(fā)生一次入侵計(jì)算機(jī)網(wǎng)絡(luò)的事件，超過(guò)1/3的互聯(lián)網(wǎng)防火墻被攻破。另?yè)?jù)美國(guó)聯(lián)邦調(diào)查局(FBI)和計(jì)算機(jī)安全機(jī)構(gòu)(CSI)的計(jì)算機(jī)犯罪和安全的4月7日公布的統(tǒng)計(jì)結(jié)果，美國(guó)企業(yè)和政府機(jī)構(gòu)因重要信息被竊所造成的損失超過(guò)其它對(duì)計(jì)算機(jī)系統(tǒng)攻擊所造成的損失。由此可見(jiàn)，對(duì)于高速發(fā)展的電子政務(wù)系統(tǒng)來(lái)說(shuō)，目前迫切要解決的安全問(wèn)題應(yīng)該是內(nèi)部機(jī)密信息的數(shù)據(jù)安全。

2004年5月，某大型企業(yè)研發(fā)中心發(fā)現(xiàn)某國(guó)外競(jìng)爭(zhēng)對(duì)手領(lǐng)先一步完成了A產(chǎn)品的設(shè)計(jì)開(kāi)發(fā)，該研發(fā)中心領(lǐng)導(dǎo)一下就懵了。A產(chǎn)品的設(shè)計(jì)開(kāi)發(fā)可是該企業(yè)重大研發(fā)項(xiàng)目，該企業(yè)也想依托A產(chǎn)品完成產(chǎn)品線的轉(zhuǎn)換，企業(yè)為該項(xiàng)目投入了大筆資金，眾多研發(fā)人員也付出了艱辛的勞動(dòng)。企業(yè)在項(xiàng)目立項(xiàng)及開(kāi)發(fā)過(guò)程中，還從未聽(tīng)說(shuō)有哪家單位也在進(jìn)行A產(chǎn)品的開(kāi)發(fā)，為什么競(jìng)爭(zhēng)對(duì)手開(kāi)發(fā)速度如此之快?

情況匯報(bào)給企業(yè)老總后，老總第一反應(yīng)就是內(nèi)部人員泄密，隨即下令該項(xiàng)目所有人員停止開(kāi)發(fā)，迅速離開(kāi)工作崗位，并向公安部門(mén)報(bào)案。公安部門(mén)技術(shù)人員到達(dá)現(xiàn)場(chǎng)后發(fā)現(xiàn)該研發(fā)中心保密工作存在重大疏漏：設(shè)計(jì)人員電腦與普通工作人員電腦連在同一個(gè)局域網(wǎng)內(nèi)、計(jì)算機(jī)端口允許人員將資料隨意拷出、設(shè)計(jì)人員將某些機(jī)密文件設(shè)成共享、打印資料隨意帶出、所有電腦都可以上互聯(lián)網(wǎng)……經(jīng)過(guò)檢查，公安部門(mén)初步判定為內(nèi)部人員泄密，但是要查出誰(shuí)將資料泄密，難度太大。后來(lái)該案不了了之，企業(yè)也只能對(duì)研發(fā)中心領(lǐng)導(dǎo)進(jìn)行降職處罰，該企業(yè)付出的1000余萬(wàn)元研發(fā)費(fèi)用，眾多研發(fā)人員的辛勤勞動(dòng)全部付諸東流。

反思該企業(yè)的慘痛教訓(xùn)，國(guó)內(nèi)組織機(jī)構(gòu)必須以此為鑒，做好安全保密工作，防范機(jī)密資料外泄，同時(shí)也應(yīng)當(dāng)認(rèn)識(shí)到保密工作也是增加組織價(jià)值的重要工作內(nèi)容。

在知識(shí)型經(jīng)濟(jì)之下，企業(yè)信息資產(chǎn)顯得特別重要，能否有效保護(hù)專有技術(shù)等內(nèi)部信息，更是求存成功的關(guān)鍵，業(yè)務(wù)保障的基礎(chǔ)。進(jìn)入信息年代，互聯(lián)網(wǎng)成為企業(yè)與本土外地公司溝通、交換業(yè)務(wù)數(shù)據(jù)及信息的主要渠道。利用互聯(lián)網(wǎng)溝通固然方便，但卻使機(jī)密的商業(yè)資料很容易透過(guò)開(kāi)放的互聯(lián)網(wǎng)泄露給競(jìng)爭(zhēng)對(duì)手。機(jī)密商業(yè)資料一經(jīng)泄漏，不論是有意還是無(wú)意，始終會(huì)對(duì)企業(yè)的資產(chǎn)構(gòu)成損失。因此企業(yè)需要嚴(yán)格監(jiān)管員工使用電腦，防范因知識(shí)產(chǎn)權(quán)和機(jī)密商業(yè)資料通過(guò)電腦被泄漏而造成的重大損失。

在我們的調(diào)查中發(fā)現(xiàn)，很多企事業(yè)單位，例如會(huì)計(jì)事務(wù)所、學(xué)校、政府、金融機(jī)構(gòu)、高科技研究所等企事業(yè)單位，經(jīng)常利用網(wǎng)絡(luò)來(lái)提高業(yè)務(wù)效率，使用者在這樣的環(huán)境下，可以隨便上傳下載和發(fā)行網(wǎng)絡(luò)中的文件，而且可以很輕松地把企業(yè)的許多重要信息流通到網(wǎng)絡(luò)外部。但是另一方面，作為公司或部門(mén)的管理者和使用者，他們都希望這些重要的信息資料，比如說(shuō)財(cái)務(wù)數(shù)據(jù)、技術(shù)文檔等特殊資料，不能夠輕易地離開(kāi)公司的網(wǎng)絡(luò)環(huán)境，甚至不能在公司網(wǎng)絡(luò)內(nèi)部傳遞與交流，那么我們?cè)摬扇∈裁搭A(yù)防措施?當(dāng)然，我們決不能拒絕網(wǎng)絡(luò)的呼喚，不能將公司封閉在一個(gè)信息孤島上。

內(nèi)網(wǎng)信息安全現(xiàn)狀

隨著因特網(wǎng)的成熟和廣泛應(yīng)用，引發(fā)了一場(chǎng)全球范圍內(nèi)的信息革命，全球信息化的步伐不斷加快，信息型社會(huì)正在形成并走向成熟。信息，逐漸被作為一種重要的社會(huì)戰(zhàn)略資源而與物質(zhì)、能源、人才一起被列為現(xiàn)代社會(huì)生產(chǎn)力要素中的重要因素。

信息化社會(huì)中，信息安全必然很重要。然而信息安全所面臨的威脅也由來(lái)已久。自世界上出現(xiàn)計(jì)算機(jī)病毒理論后，對(duì)計(jì)算機(jī)系統(tǒng)的攻擊就引起了一些人的興趣。至今，這種攻擊已由學(xué)術(shù)上的探討，計(jì)算機(jī)操作系統(tǒng)的漏洞發(fā)現(xiàn)與彌補(bǔ)演變成了對(duì)信息系統(tǒng)的破壞和對(duì)涉及國(guó)家利益信息、商業(yè)信息及個(gè)人隱私信息的竊取和破壞。隨因特網(wǎng)的迅猛發(fā)展，更進(jìn)一步暴露出了這種自由網(wǎng)絡(luò)空間具有的無(wú)中心、無(wú)管理、不可控、不可信等不安全的特征，且形成了對(duì)一切現(xiàn)存社會(huì)秩序的威脅。

在信息產(chǎn)業(yè)高速發(fā)展的今天，內(nèi)網(wǎng)安全已經(jīng)成為信息安全管理行業(yè)的發(fā)展方向之一。而造成這種現(xiàn)狀的根本原因，還是企業(yè)的實(shí)際需求。IDC 報(bào)告表明，70% 的安全損失是由企業(yè)內(nèi)部原因造成的，另一個(gè)為眾多安全廠商經(jīng)常引用的數(shù)據(jù)來(lái)自FBI 和CSI，該數(shù)據(jù)稱，超過(guò)85%的安全威脅來(lái)自企業(yè)內(nèi)部，威脅源頭包括內(nèi)部未授權(quán)的存取、專利信息被竊取、內(nèi)部人員的財(cái)務(wù)欺騙等。當(dāng)然更有說(shuō)服力的，還是一些國(guó)內(nèi)活生生的例子，如國(guó)內(nèi)某著名企業(yè)的泄密案等等，其損失之巨大，更是足以不寒而栗。

現(xiàn)在一提到信息安全，人們首先想到的就是病毒、黑客入侵，在媒體的宣傳下，病毒、黑客已經(jīng)成為危害信息安全的罪魁禍?zhǔn)?。然而，?duì)計(jì)算機(jī)系統(tǒng)造成重大破壞的往往不是病毒、黑客，而是組織內(nèi)部人員有意或無(wú)意對(duì)信息的窺探或竊取。從技術(shù)上來(lái)講，內(nèi)部人員更易獲取信息，因?yàn)閮?nèi)部人員可以很容易地辨識(shí)信息存儲(chǔ)地，另外也不需要他們擁有精深的IT知識(shí)，只要會(huì)操作計(jì)算機(jī)，就可以輕易得獲取自己想要得資料;相對(duì)而言，黑客從外部竊取資料就比較困難，首先他們要突破防火墻等重重關(guān)卡，然后還要辨別哪些是他們想要的信息，這就對(duì)黑客提出了比較高的技術(shù)要求。

FBI和CSI在2007年對(duì)5484家公司進(jìn)行了網(wǎng)絡(luò)安全專項(xiàng)調(diào)查，調(diào)查結(jié)果顯示：超過(guò)85%的安全威脅來(lái)自公司內(nèi)部、有6%來(lái)自內(nèi)部未授權(quán)的存取，有4%來(lái)自專利信息被竊取，有3%來(lái)自內(nèi)部人員的財(cái)務(wù)欺騙，而只有2%是來(lái)自黑客的攻擊;在損失金額上，由于內(nèi)部人員泄密導(dǎo)致了560，565，000美元的損失，是黑客所造成損失的16倍，病毒所造成損失的12倍。這組數(shù)據(jù)充分說(shuō)明了內(nèi)部人員泄密的嚴(yán)重危害，同時(shí)也提醒國(guó)內(nèi)組織應(yīng)加強(qiáng)網(wǎng)絡(luò)內(nèi)部安全建設(shè)。

內(nèi)部人員造成的危害如此巨大，為什么媒體披露的卻比較少呢?這是因?yàn)楹诳蛶?lái)的危害是比較公開(kāi)的，例如篡改主頁(yè)，拒絕服務(wù)攻擊，網(wǎng)絡(luò)釣魚(yú)，編寫(xiě)并傳播病毒等黑客行為，這些行為造成的后果影響的面比較廣，因此媒體得到這些信息也比較便捷，曝光率也就比較高。相比黑客入侵，內(nèi)部人員的破壞行為往往具有隱蔽性，另外有些單位怕曝光后社會(huì)影響不好，影響單位聲譽(yù)，因此也就捂住不報(bào)。

隨著這幾年的發(fā)展，人們對(duì)網(wǎng)絡(luò)安全的認(rèn)識(shí)也日益深入，入侵檢測(cè)、VPN、信息加密等安全產(chǎn)品也逐步得到認(rèn)可，但是這些產(chǎn)品有一個(gè)共同點(diǎn)：防外不防內(nèi)。各個(gè)組織在網(wǎng)絡(luò)安全建設(shè)上投資不小，但這些安全建設(shè)完全基于“內(nèi)部人行為可信賴”這一假設(shè)。這樣一來(lái)，網(wǎng)絡(luò)內(nèi)部安全必然疏于防范，信息暴露于內(nèi)部人面前，假如這些信息有可利用的價(jià)值，就可能被內(nèi)部人員截獲并獲取非法利益，而一旦泄密事故出現(xiàn)，不僅損失慘重，而且很難追查到泄密人員，只能對(duì)相關(guān)領(lǐng)導(dǎo)進(jìn)行處罰。其實(shí)這種情況是可以通過(guò)一些手段避免的，只不過(guò)這些組織沒(méi)有認(rèn)識(shí)到內(nèi)部安全問(wèn)題而已。

信息社會(huì)，信息就是價(jià)值，信息就是生產(chǎn)力。IT技術(shù)的發(fā)展使得人們獲取信息的速度日益加快，這也給犯罪分子提供了便利，通過(guò)一個(gè)U盤(pán)，一分鐘的時(shí)間就可以拷走上百兆的資料，而這些資料可能價(jià)值不菲，因此說(shuō)一分鐘損失幾千萬(wàn)，上億元絕對(duì)不是危言聳聽(tīng)。我們?cè)诎踩ㄔO(shè)上“重防外，輕防內(nèi)”無(wú)疑會(huì)給自己留下安全隱患。

由于內(nèi)部網(wǎng)絡(luò)監(jiān)控的缺位，有許多漏洞可以被內(nèi)部人員所利用以截獲資料，目前來(lái)看，內(nèi)部泄密主要是通過(guò)如下途徑：1、內(nèi)部人員將資料通過(guò)軟盤(pán)、U盤(pán)或移動(dòng)硬盤(pán)從電腦中拷出帶走;2、內(nèi)部人員通過(guò)互聯(lián)網(wǎng)將資料通過(guò)電子郵件發(fā)送到自己的郵箱;3、將文件打印后帶出;4、將辦公用便攜式電腦直接帶回家中;5、電腦易手后，硬盤(pán)上的資料沒(méi)有處理，導(dǎo)致泄密;6、隨意將文件設(shè)成共享，導(dǎo)致非相關(guān)人員獲取資料;7、移動(dòng)存儲(chǔ)設(shè)備共用，導(dǎo)致非相關(guān)人員獲取資料;8、將自己的筆記本帶到公司，連上局域網(wǎng)，竊取資料;9、乘同事不在，開(kāi)啟同事電腦，瀏覽，復(fù)制同事電腦里的資料。此外，還有很多其他途徑可以被別有用心的內(nèi)部人員利用以竊取資料。

那么如何才能解決內(nèi)部人員泄密問(wèn)題呢?這就要求組織配置必要的技術(shù)裝備，另一方面也要加強(qiáng)管理，做好內(nèi)部人員的保密教育，法制教育。“技術(shù)與管理”并重，才能從根本上杜絕內(nèi)部人員泄密。

在技術(shù)上，目前有許多產(chǎn)品可以對(duì)內(nèi)部人員計(jì)算機(jī)操作行為進(jìn)行審計(jì)。在管理上，防范內(nèi)部人員泄密要做到一下幾點(diǎn)：一是要建立一整套規(guī)范的安全保密制度并嚴(yán)格執(zhí)行;二是要加強(qiáng)員工的保密教育，使他們認(rèn)識(shí)到保密工作的重要意義;三是要有獎(jiǎng)懲制度，對(duì)保密先進(jìn)個(gè)人、單位予以嘉獎(jiǎng)，對(duì)于泄密事故加大懲處力度，做到以儆效尤。

信息技術(shù)的運(yùn)用正逐步滲透到日常工作的各個(gè)層面，與此而生的內(nèi)網(wǎng)安全問(wèn)題也會(huì)逐漸被各級(jí)組織所認(rèn)知，如何應(yīng)對(duì)內(nèi)網(wǎng)安全問(wèn)題將是擺在各個(gè)單位面前的重要問(wèn)題。有政府的政策指引，有各個(gè)安全企業(yè)的參與，相信由內(nèi)網(wǎng)安全問(wèn)題所帶來(lái)的損失將被大大縮減，當(dāng)然最重要的還是單位自身需要認(rèn)識(shí)到內(nèi)網(wǎng)安全的嚴(yán)峻形勢(shì)并采取有效措施加以防范

網(wǎng)絡(luò)經(jīng)濟(jì)發(fā)展對(duì)信息安全產(chǎn)品帶來(lái)新的需求，防火墻、防病毒、信息加密、入侵檢測(cè)等已經(jīng)基本解決了抵御外來(lái)入侵的困擾;但是內(nèi)部用戶引起的信息泄密問(wèn)題成為當(dāng)前信息安全的新的焦點(diǎn)。建立起有效的事前預(yù)防，事后追究機(jī)制成了眾多企業(yè)的當(dāng)務(wù)之急。

計(jì)算機(jī)和計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)成為企業(yè)、政府和其它各種組織的重要信息載體和傳輸渠道。很明顯，計(jì)算機(jī)、計(jì)算機(jī)網(wǎng)絡(luò)和其所帶來(lái)的信息數(shù)字化大幅度提高了工作效率，也使得海量的信息存儲(chǔ)和處理成為了現(xiàn)實(shí)。但是，在享受到計(jì)算機(jī)以及計(jì)算機(jī)網(wǎng)絡(luò)所帶來(lái)的方便性的同時(shí)，也出現(xiàn)了目前廣泛關(guān)注的信息安全問(wèn)題、行為管理問(wèn)題。

國(guó)家信息安全測(cè)評(píng)認(rèn)證中心的調(diào)查結(jié)果也表明，信息安全問(wèn)題主要來(lái)自泄密和內(nèi)部人員犯罪，而非病毒和外來(lái)黑客引起，這正反映了“堡壘最容易從內(nèi)部攻破”的道理。毫不夸張地說(shuō)，一個(gè)能進(jìn)入辦公室打開(kāi)機(jī)密電腦的普通員工對(duì)內(nèi)網(wǎng)安全的潛在威脅遠(yuǎn)遠(yuǎn)超過(guò)了一個(gè)技術(shù)一流的網(wǎng)上黑客。

一般來(lái)講，大型機(jī)構(gòu)在網(wǎng)絡(luò)化過(guò)程中面臨的安全問(wèn)題可包括網(wǎng)絡(luò)系統(tǒng)安全和數(shù)據(jù)安全。針對(duì)網(wǎng)絡(luò)系統(tǒng)安全方面，機(jī)構(gòu)需要防止網(wǎng)絡(luò)系統(tǒng)遭到?jīng)]有授權(quán)的存取或破壞以及非法入侵;在數(shù)據(jù)安全方面機(jī)構(gòu)則需要防止機(jī)要、敏感數(shù)據(jù)被竊取或非法復(fù)制、使用等。各類計(jì)算機(jī)病毒、系統(tǒng)陷阱(Trapdoors)、隱蔽訪問(wèn)通道、黑客攻擊等造成敏感數(shù)據(jù)泄密、Web 站點(diǎn)癱瘓等等問(wèn)題，都是機(jī)構(gòu)實(shí)現(xiàn)網(wǎng)絡(luò)化面臨的外部威脅。如何搭建安全的網(wǎng)絡(luò)架構(gòu)，如何將非法入侵者拒之門(mén)外、如何防止內(nèi)部信息外泄，這些都是企業(yè)/機(jī)構(gòu)在進(jìn)行網(wǎng)絡(luò)化過(guò)程中必須解決的問(wèn)題。目前，機(jī)構(gòu)僅僅利用Firewall 在網(wǎng)絡(luò)的邊緣設(shè)置了快速有效的網(wǎng)絡(luò)防火墻及網(wǎng)絡(luò)巡警系統(tǒng)，可以對(duì)網(wǎng)絡(luò)入侵進(jìn)行監(jiān)控和防護(hù)，抵御低階通訊層次的攻擊、防止主機(jī)及個(gè)人電腦的入侵、檢測(cè)惡意的可執(zhí)行程序和阻絕網(wǎng)絡(luò)的濫用。

這種解決方案是針對(duì)外部入侵的防范，對(duì)于機(jī)構(gòu)內(nèi)部信息保密安全管理卻無(wú)任何作用。對(duì)于一個(gè)大型機(jī)構(gòu)，特別是政府機(jī)關(guān)，信息安全防范尤為重要。以往人為控制的教育加監(jiān)督(人工填寫(xiě)日志)的安全管理方式是無(wú)法阻止內(nèi)部工作人員運(yùn)用現(xiàn)今的高科技信息載體主動(dòng)或被動(dòng)泄密(如利用EMAIL，F(xiàn)TP，筆記本，光盤(pán)，可移動(dòng)硬盤(pán)等)的，這是每一個(gè)安全管理人員必須認(rèn)真對(duì)待的問(wèn)題。

因此，不管是以樂(lè)觀還是悲觀的心態(tài)來(lái)看待網(wǎng)絡(luò)安全的現(xiàn)狀以及未來(lái)的發(fā)展，我們都應(yīng)充分意識(shí)到這樣一個(gè)事實(shí)：來(lái)自內(nèi)部的威脅已經(jīng)成為危害網(wǎng)絡(luò)安全的首要因素：內(nèi)憂甚于外患，如何建立一個(gè)可信并可控的內(nèi)部網(wǎng)絡(luò)(Trusted & Controllable Network，TCN)，其重要性是不言而喻的。