电子文档安全管理势在必行

在当今全球一体化的商业环境中，信息的重要性被广泛接受，信息系统在商业和政府组织中得到了真正的广泛的应用。许多组织对其信息系统不断增长的依赖性，加上在信息系统上运作业务的风险、收益和机会，使得信息安全管理成为企业管理越来越关键的一部分。管理高层需要确保信息技术适应企业战略，企业战略也恰当利用信息技术的优势

　　但现实世界的任何系统都是一串复杂的环节，安全措施必须渗透到系统的所有地方，其中一些甚至连系统的设计者、实现者和使用者都不知道。因此，不安全因素总是存在。

　　据CSI(美国犯罪现场鉴证科的英文缩写)调查显示，在所有的安全技术应用中，以数据加密传输和加密存储为基础的技术应用所占比率分别为66%和47%。通过这一调查，我们可以看到数据加密技术正在成为传统安全技术：防病毒、防火墙、VPN、反间谍、入侵检测后的又一具有发展趋势的应用技术。结合各项攻击所带来的经济损失的变化，我们可以看到针对于机密信息的安全保护正在成为更多企业关注的新方向。因此，信息盗窃事件的主谋已经不再单纯是网络黑客和恶意程序，更多的数据信息是被企业和机构的内部员工所泄漏或盗窃。与传统的外部盗窃相比，这种来自内部的恶意泄露更具有针对性，隐蔽性，给企业造成的损失也更大。

　　在2006年，国内《信息安全等级保护管理办法》，美国《萨班斯——奥克斯利法案》的正式实施对于信息安全产业产生了标志性的影响。这两部法规都以法规的形式敦促企业加强内部控制，增强抵御风险的能力。企业电子文档安全管理系统主要对象是公司内部网络范围内所有终端计算机上的办公系列文档，包括公文、统计数据、机要文件、会议纪要、设计图纸、价格体系、商业计划、财务预算、采购成本、合同定单、管理制度、董事会决议、上市公司年报等。加强了对文档信息的统一管理，对防火墙、入侵检测、防病毒系统管理的盲区进行了补充。

　　为了安全管理公司内部的机密信息，进行了安装硬件防火墙、部署入侵检测、安装防病毒软件等工作，针对来自于外部网络的攻击和入侵做到了有效的防御。但是，传统信息安全领域主要关注于外部入侵或外部对数据的破坏和泄漏，而对于企业网络内部的信息泄漏(如内部人员泄密或其他未授权人员直接接入内部网络导致的泄密等)，却没有引起足够的重视。

　　如上述公司文档信息安全的应用现状，是涉密信息安全保密工作中突出的问题和薄弱环节所在，是公司涉密信息管理工作的安全隐患所在。不利于公司构建文档信息安全的完整性。

　　信息资产安全内控解决方案

　　因此我们认为，防内相对比防外更为重要。堡垒最容易从内部被攻破。从力拓案我们可以清晰地看到,境外公司获取我们铁矿石谈判的数据资料，不是靠从外网侵入内网来偷盗的，而是境外公司买通了我们的谈判代表，从而使得我们的谈判资料泄露给境外公司。下一阶段，信息安全的重点将从防外转到防内。

　　上海夏尔软件有限公司专注于提供信息资产安全内控解决方案。

　　夏尔公司认为，信息资产安全内控解决方案至少需要包含下列四个方面的内容：

　　(一) 、集中统一管理

　　信息资产安全内控解决方案应该做到让这些以电子文件形式表现的信息资产变成"企业"信息资产，而不是"个人"信息资产;由组织里某人或某些人起草的重要文件要集中统一管理;防止由于人员的离职,电脑的丢失，有意或无意的删除操作，或病毒的侵袭造成文件丢失。

　　传统上，像含有机密财务数据的投融资报告，月度，季度，年度销售分析报告，财务分析报告， 商业往来文件和合同，重要内部会议的会议纪要等。这些对一个组织来讲非常重要的文件大多是由组织里的某个人或某些人撰写， 保留在个人的电脑里， 容易由于有意或者无意的原因造成文件丢失。

　　(二) 、即时可用

　　信息资产安全内控解决方案至少应该做到需要使用时，调阅出来的信息是信息生成时的状态;防止由于计算机技术的局限性，信息在储存过程中可能因为磁盘位错或磁盘故障造成数据丢失，病毒传播造成数据损坏。

　　(三) 、利用过程有严密的受控保护机制

　　信息资产的安全内控解决方案应做到信息资产在内部使用过程中的安全防扩散;需要做到"看得见、拿不出去;拿出去了，也不能用"，这个方面主要包括:

　　1、可以对从内网拷贝到外网使用的文件根据文件内容做过滤，也就是说，组织能够控制含有哪些内容的文件可以从内网拷贝到外网使用，含有哪些文件内容的文件不能从内网拷贝到外网使用。

　　2、如果有权使用受控文件的内部人士将受控文件通过邮件，聊天工具，U盘等任何方式传递给第三者，第三者打开文件看到的是乱码，确保信息不被泄露。

　　3、今天大多数组织信息系统，系统管理员有最高权限，这是一个极大的信息安全漏洞，系统管理员可以不留痕迹地复制和删除全部文件，以及查看任何文件。 夏尔的信息安全内控解决方案可以由文件的所有人来设置权限，决定谁可以查看这个文件，在该工作环境中系统管理员也同样是受限制的。

　　(四) 、严密安全防护机制下还需要易用

　　信息资产安全内控解决方案还需要做到在将信息资产严密保护的同时，能够让组织内有权限的人非常便利的访问这些信息资产，我们希望提高工作效率和达到组织内的知识传递，就必须让这些以电子文件形式存在的信息资产能方便的共享和访问，不能因噎废食!

　　夏尔公司是以iFile软硬一体设备为中心的信息资产安全内控整体解决方案，该方案实现了组织内的电子文件集中管理、内外网基于文件内容的摆渡、文件防扩散、以文件的所有者为导向的权限控制以及基于资源管理器易用操作的模式。在完成了上述一、三、四点的要求的同时，软硬一体的底层存储通过采用CAS存储架构，实现对磁盘位错或者磁盘故障造成的信息资产损坏自动修复，由于底层为专用的嵌入式系统，对于计算机病毒有天然的防护。软硬一体的解决方案使组织基本可以做到"零"实施。

　　上海夏尔软件有限公司简介

　　夏尔科技(上海夏尔软件有限公司)成立于1997年，是专业从事内容管理领域产品研制、开发、销售及服务的高科技公司，也是国内规模最大的文档数字化处理BPO服务提供商。夏尔科技在为内容管理邻域提供核心软件平台，集中数字化处理，系统集成，存储架构，服务及整体解决方案方面处于国内领先地位。公司被国家认定为“高新技术企业”与“软件企业”，并通过了国际标准化组织最严格的ISO 9001质量管理认证。