作者:大势至 日期:2017.5.18
当前,在企事业单位局域网中,电脑文件安全极为重要,尤其是涉及单位无形资产和商业机密的数据文件。一旦泄密将会给企业来重大损失,严重影响企业的稳健经营。如何保护这些数据的安全,是当前企业网络管理的重要目标。
由于企业的机密数据常常存储在单位的电脑、服务器或专门的文件存储设备上,因此保护企业数据安全的具体举措是保护电脑文件安全、保护服务器文件安全,防止通过各种途径泄密。
那么,如何保护公司电脑文件安全、防止公司电脑数据泄密呢?笔者以为可以通过以下两种途径来实现。
方案一、全面禁止U盘使用、禁用USB存储设备的使用,公司电脑禁止上网等。
当前,由于U盘、移动硬盘的存储空间越来越大,读写速度越来越快,可以轻松通过U盘存储大量的文件,这使得员工可以轻松通过U盘、移动硬盘复制公司电脑文件,然后携带出去用于某种私利目的。因此,公司局域网必须全面禁用USB存储设备。
而禁用电脑USB存储设备的方法很多,比如可以通过组策略禁用U盘、组策略禁用U口使用,通过注册表禁止USB存储设备的使用等,甚至还可以通过BIOS来禁用U口的使用,从而达到禁用USB存储设备的目的。但相应地,也会使得工作中偶尔需要USB存储设备存储文件时有所不便。
对于公司涉密电脑则除了禁用U口之外,还需要完全禁用互联网、禁止电脑上网。因为一旦电脑可以访问互联网,则可以轻松通过邮件、网盘、FTP文件上传和QQ发送文件等各种方式将电脑文件发送出去,从而达到窃取公司机密信息的目的。因此,公司涉密电脑必须完全禁止上网。这可以通过物理手段或通过路由器加以阻断,但也会造成需要访问互联网查询资料、网络办公等方面造成不便。
对于这种物理手段禁用USB存储设备、禁止电脑上网的方法,虽然比较粗暴,但非常有效,适合于对商业机密保护比较严格的单位。
方案二、通过电脑文件防泄密软件、电脑数据防泄漏系统防止电脑文件泄密。
如果你觉得通过物理手段禁用U口、禁止电脑上网的方式来阻止泄密电脑文件的方法过于极端,则也可以考虑一些电脑文件防泄密软件来实现,相对于通过物理手段防止电脑文件泄密更加人性化,也可以满足用户一定情况下需要使用U盘、需要访问互联网的情况。
目前,国内数据防泄漏产品厂家众多,推出了很多电脑文件防泄漏产品,如何从中选择适合本单位需要的数据防泄密产品常常让网络管理员无所适从,甚至经常选择了不适合本单位需要的数据防泄漏产品。
笔者在企业信息安全领域工作多年,积累了一些企业文件防泄密方面的经验,建议用户可以从以下几个方面进行选择:
首先,必须部署方便、简单易用,能够适应不同行业的数据防泄密管理需要。
因为对于国内大多数企业来说,通常都没有配备专门的网络管理员,一旦系统复杂、繁琐,将会大大提高系统部署成本,甚至导致较后无法成功上线使用的情况。
其次,功能稳定可靠,可以真正防止电脑文件泄露、防止公司数据泄密。
由于电脑文件泄密的途径很多,而且现在懂技术的员工很多,并且还可以借助百度搜索等,获得各种破解、反向设置方法,从而达到重新使用USB存储设备或者重新上网的目的。因此,部署的电脑文件防泄密系统也必须具有全面的电脑文件防泄密控制功能,严防通过各种管道泄密的行为。同时,也必须具有一定的操作系统安全防护功能,防止一些别有用心的员工试图通过各种方案泄密的行为。
纵观国内电脑文件防泄密产品,有一款“大势至电脑文件防泄密”(下载地址:
http://www.grablan.com/monitorusb.html),是一款安装快速简单、操作方便、功能强大的电脑文件防泄密系统。这款软件能够适应各种操作系统,安装完毕后自动隐藏运行,必须输入管理员设置的密码才可以进入,并且软件只有一个界面,功能模块一目了然,勾选即可生效,操作极为简单。
通过这款软件可以有效禁用U盘、禁用移动硬盘等USB存储设备的使用,而且还可以禁止电脑发送邮件、禁止网盘上传电脑文件、禁止qq发送文件以及禁止FTP文件上传等,防止通过各种途径泄密的行为。此外,还可以只让使用特定的U盘、只允许从U盘向电脑复制文件而禁止从电脑向U盘复制文件,从而满足了一定情况下需要使用U盘但又不会泄密的行为。同时,本系统还可以只让使用公司邮箱、只让电脑接收邮件和读取邮件而禁止发送文件,从而也防止了通过网络途径泄密的行为。如下图所示:
图:大势至电脑文件防泄密系统
此外,鉴于很多公司都有文件服务器,并且文件服务器通常存储着单位重要的机密信息。因此,也必须防止文件服务器文件泄密的行为,尤其服务器共享文件的访问,一旦设置不当将会造成共享文件的丢失、泄露,甚至损毁。
而服务器共享文件的保护,目前普遍采用操作系统的安全设置,或者通过Windows域控制器来实现,虽然可以起到一定的作用,但始终无法阻止用户在读取共享文件时复制共享文件内容、打开共享文件后另存为本地磁盘的行为,或者在有修改共享文件的权限下删除共享文件的行为。这就需要借助于一些共享文件权限设置软件来实现。
这里笔者还是推荐大势至公司的一款“大势至局域网共享文件管理系统”(下载地址:
http://www.grablan.com/gongxiangwenjianshenji.html),估计也是大势至公司意识到,单纯保护员工电脑文件安全,而对服务器文件缺乏保护的话,依然还是无法真正实现公司数据防泄密的目的。因此推出了这样一款共享文件权限设置软件。
大势至局域网共享文件管理系统基于B/S架构,在服务器上安装之后,就可以扫描到当前服务器所有共享文件夹和服务器上所有账号,然后就可以为不同共享文件夹设置不同用户的不同访问权限,可以只让读取共享文件而禁止复制共享文件、只让修改共享文件而禁止删除共享文件、以及只让打开共享文件而禁止另存为本地磁盘、禁止打印共享文件和禁止拖拽共享文件的行为等。如下图所示:
图:大势至局域网共享文件管理系统
总之,只有有效保护电脑文件安全和服务器共享文件的安全,才算真正实现保护电脑文件安全、防止数据泄密的目的。
