信息防泄露：如何避免“一發(fā)不可收拾”？

上篇我們談到怎樣通過(guò)文檔權(quán)限管理來(lái)保護(hù)企業(yè)機(jī)密， 那是否企業(yè)信息只需要做好權(quán)限管理就可以防止泄密了呢？答案顯然是否定的。特別是在當(dāng)今，企業(yè)間的互動(dòng)不斷，信息來(lái)往頻繁，如何保護(hù)這些外發(fā)文檔的信息安全，正是包括下面案例里的管理者們都頭痛的問(wèn)題。

Z企業(yè)是一家家具設(shè)計(jì)公司，在行業(yè)內(nèi)有較高知名度。其中設(shè)計(jì)部和銷(xiāo)售部是公司核心部門(mén)，也是對(duì)外聯(lián)系最為密切的兩大部門(mén)。由于A企業(yè)的家具制造環(huán)節(jié)是由工廠代工生產(chǎn)，這就需要Z企業(yè)在每次新品設(shè)計(jì)完畢之后將圖紙外發(fā)給工廠，再由工廠按照設(shè)計(jì)圖紙進(jìn)行家具生產(chǎn)，最終由Z企業(yè)將產(chǎn)品推向市場(chǎng)銷(xiāo)售。但在一次家具新品即將上市的時(shí)候，卻意外發(fā)現(xiàn)B公司已搶先一步推出與自己設(shè)計(jì)相差無(wú)幾的新品家具。Z企業(yè)的管理層極度懷疑是公司設(shè)計(jì)圖紙外泄了。

于是馬上從企業(yè)內(nèi)部開(kāi)始進(jìn)行排查，并且重點(diǎn)調(diào)查設(shè)計(jì)部和銷(xiāo)售部。但所有證據(jù)表明，這兩個(gè)部門(mén)的員工都沒(méi)有泄密行為，這意味著內(nèi)因泄密的可能性被排除了。管理層這才開(kāi)始將調(diào)查的目光轉(zhuǎn)向企業(yè)外部——代工工廠。經(jīng)過(guò)多方協(xié)助的詳細(xì)排查之后，最終確認(rèn)設(shè)計(jì)圖紙是被工廠方某職員為獲取高額報(bào)酬而發(fā)給了B公司。Z企業(yè)之后宣布與此工廠方永不合作，并向工廠和B企業(yè)要求賠償經(jīng)濟(jì)損失。

Z企業(yè)設(shè)計(jì)圖紙外泄是商業(yè)交流合作中比較常見(jiàn)的泄密事件，它的發(fā)生幾率既取決于企業(yè)對(duì)外發(fā)文檔管控手段的高明與否，也取決于對(duì)方企業(yè)的安全管理水平。如果事事都依靠合作方來(lái)管控，我想那是不靠譜的。這需要企業(yè)本身通過(guò)外發(fā)文檔的控制角度來(lái)對(duì)企業(yè)機(jī)密實(shí)施保護(hù)，我還是用IP-guard的文檔外發(fā)管理功能進(jìn)行模擬。

首先，企業(yè)外發(fā)的文檔的重要性程度和外發(fā)對(duì)象的可信任度都是不同的，需要提供不同的外發(fā)形式。IP-guard文檔外發(fā)包括明文解密外發(fā)和密文外發(fā)，可根據(jù)合作伙伴或者客戶(hù)的信任度和加密文檔的安全要求進(jìn)行選擇，為其匹配合適的外發(fā)方式。

√ 安全要求高的加密文檔，可以選擇安裝外發(fā)查看器，與收件方的計(jì)算機(jī)硬件綁定，并通過(guò)授權(quán)碼認(rèn)證，限制文檔外發(fā)后隨意傳播。

√ 安全要求較低的文檔，則不需要授權(quán)碼認(rèn)證，只要安裝外發(fā)查看器或者拿到exe格式外發(fā)文檔，即可直接查看。

√ 無(wú)論是何種外發(fā)方式，都可以對(duì)外發(fā)文件進(jìn)行如查看期限、打開(kāi)次數(shù)、打印、截屏、復(fù)制等控制的設(shè)置進(jìn)行限制，超過(guò)限制，則文檔無(wú)法正常查看。

√ 企業(yè)中存在可信任的伙伴或客戶(hù)，還可通過(guò)白名單的方式發(fā)送加密文件，做到既能審計(jì)又不影響工作效率。如此一來(lái)，就能?chē)?yán)格保護(hù)外發(fā)文檔安全。

當(dāng)然，企業(yè)信息的保護(hù)絕不是錯(cuò)一點(diǎn)改一點(diǎn)的邏輯，而是需要形成一套完整、全面的管理體系，并且需要防控結(jié)合。就Z企業(yè)目前的情況來(lái)看，信息泄密漏洞不僅體現(xiàn)在文檔外發(fā)上，文檔的內(nèi)部傳播、應(yīng)用服務(wù)器、移動(dòng)辦公等都可能成為企業(yè)的泄露渠道。因此，要真正地在深入的商業(yè)交流的情況下保護(hù)商業(yè)機(jī)密，僅僅靠外發(fā)文檔的管理也是不夠的，而是盡可能多途徑地堵截泄密出口，從源頭上降低泄密的可能性。在信息防泄密體系建設(shè)上，IP-guard正是如此思考，一直秉承審計(jì)、管控與加密三重保護(hù)緊密結(jié)合原則，針對(duì)企業(yè)無(wú)論核心部門(mén)還是普通部門(mén)，信息外部傳播還是部門(mén)內(nèi)部傳播，都能夠分層次地進(jìn)行加密、管控和審計(jì)。