一． 前言由于網絡和計算機系統固有的特性，它在提高數據與設備共享性的同時，帶來了信息、數據被非法竊取、復制、使用等弊端，對涉及國家機密及企業內部敏感數據的安全管理形成極大的挑戰。為防止數據外泄，企業往往不惜花巨資購進防火墻、入侵檢測、防病毒、漏洞掃描等網絡安全產品，以為可以高枕無憂了。其實，這種想法是錯誤而且極其危險的。FBI和CSI對484家公司進行了網絡安全專項調查，調查結果顯示：超過85%的安全威脅來自公司內部。在損失金額上，由于內部人員泄密導致了 6056.5 萬美元的損失，是黑客造成損失的16倍，是病毒造成損失的12倍。于是，對文件本身進行加密的產品就得到越來越多的重視，但是傳統中的文件加密技術基本上都是以靜態加解密為理論根據的。這種加解密技術過多的依賴應用程序和個人的操作，雖然技術本身可以比較好的實現對文件的加解密，但是無法化解信息安全和工作效率之間的矛盾，也不能完全的防止企業內部人員主動泄密的隱患的發生。隨著信息的發展，協同工作的要求愈來愈強烈，這需要信息的完全共享，這時傳統意義上的加解密技術就無法滿足這一時代要求。安全系數大大降低！另外，傳統中的加解密技術基本上都需要人的手工操作， 非智能化的，這種手工操作費時費精力，員工在專心工作的同時還要考慮著文件是否被加密 的問題，降低了工作效率，有時還會因為一時的疏忽大意釀成無法挽回的嚴重后果。二． 企業計算機應用現狀1．部門機構及軟件應用：部門：研發部、工程部、營運部、生產部、財務部、行政人事部應用軟件：（1）設計軟件：VS2005、UE、ProE、UG、Solidworks、AutoCAD（2）管理軟件：OA、CVS（3）辦公軟件：Excel、Word、WPS（4）即時通訊和郵件軟件：QQ、MSN、Outlook三． 文件安全需求公司的安全需求主要體現在一下幾方面：1．原代碼文件的安全保護原代碼 是公司的核心數據，一旦泄漏，會導致無可預估的經濟損失，因此，所有的原代碼都必須進行保護。現在公司所用到的設計軟件主要有VS2005、UE、ProE、UG、Solidworks、AutoCAD。必須要對這些軟件生成的文件進行嚴格的控制。2．管理軟件導出的Excel的控制公司使用的OA系統中，存放著大量的重要數據，如、材料信息、財務信息等，這部分數據可以通過Excel文件的方式導出管理系統，從而造成失密。因此，需要對導出的Excel文件進行嚴格控制。3．對外交流的暢通營運部門需要通過QQ、MSN以及郵件工具跟外界進行頻繁的溝通，以明文的方式交換資料。如何保證這種交流的暢通，同時又能防止重要數據隨意擴散，是亟待解決的問題。4．離線工作的管理公司經常會有員工出差需要攜帶一些圖紙資料。另外，有些在公司中未完成的工作需要帶回家進行工作。同時，一旦計算機丟失，又不希望公司需要對這些離線工作進行有效地管理和控制。5．移動存儲介質拷貝的控制由于公司的USB口沒有封閉，因此員工可以通過U盤或者移動硬盤任意拷貝公司的資料和數據。從安全性角度來說，這是文件資料泄密的重要渠道。6．權限和普通用戶權限的區分一般有更高的文件處理權限，如可以在不受加密監控的情況下工作、可以自由的將加密文件外發等等。四． 解決方案可以通過巨石企業文件加密系統HS-Key和專業打印控制軟件來保護企業重要數據的安全。具體方案如下：1．加密監控所有設計軟件（1）目標：保證原代碼文件只能在公司內部正常使用，離開公司后即無法打開。（2）實現方式：i.設定所有設計軟件為受控程序，這些軟件保存的任何格式的文件都將被自動加密；ii.設定所有的與圖片相關的文件格式為強制加密文件類型，當這些文件在進行拷貝時，會自動加密。2．加密Excel程序及文件（1）目標：防止重要的數據表格，尤其是從OA中導出的重要數據泄密（2）實現方式：設定Excel為受控程序，任何以Excel格式保存的文件都將被自動加密。從OA管理軟件中導出的Excel報表也會被強制加密。3．解密權限的管理（1）目標：方便和外界的交流，以及方便將工作帶回家（2）實現方式：n指定的專門解密員進行手工解密操作，所有的解密操作將記錄到解密日志中；n如果需要拷貝將加密文件帶出公司，則可將文件拷貝在U盤中，并獲得審批后，由解密員進行解密；n指定授權的、可信任的用戶，可以在通過QQ、MSN、郵件工具發送加密文件時自動解密。4．離線策略（1）目標：方便外出工作時仍然可以正常工作；計算機丟失時，文件無法打開。（2）實現方式：n在外出時，為該用戶設置脫機時間，在脫機時間內，文件可以正常被打開查看，超過脫機時間后，文件將無法被打開。n如果需要臨時延長脫機時間，則可以通過公司發送一個脫機策略文件，即可獲得更多的脫機工作時間。5．移動存儲介質拷貝的控制（1）目標：防止使用U盤、移動硬盤或者其他存儲介質非法拷貝公司數據；（2）實現方式：n一般情況下，在加密軟件中設定要保護的文件類型，在拷貝到移動存儲介質時，會自動進行加密；n也可以限制任何文件在拷貝到移動存儲介質時，都強制進行加密；n也可以限制指定的計算機禁止使用移動存儲介質，只有部分獲得授權的計算機可以使用U盤。6．策略1.目標：讓受到信任的獲得更加寬松的加解密環境2.實現方式：n可以關閉加密監控客戶端，自己創建的文件不受加密控制；n可以通過QQ等即時通訊工具和郵件工具發送加密文件時自動解密；n可以使用PrtSc等熱鍵進行拷屏操作；n可以將加密文件拷貝到U盤時，自動進行解密。五． 應用效果實施該安全方案后，可以達到以下應用效果：1.代碼文件和重要的文件只能在公司內部傳閱，離開企業后無法打開；2.OA中導出的Excel文件也無法在公司以外的環境中使用；3.原有的QQ、MSN等即時通訊工具和郵件發送工具仍然可以正常使用，但是如果發送的文件是加密文件，將無法打開；4.文件的解密必須在一定的審批流程下才能進行；5.U盤、移動硬盤等存儲介質可以進行有效的控制；6.打印機受到監控，既能防止重要文件泄密，又能有效地控制成本。總的來說，文件加密軟件和打印控制軟件的部署，從整體上提升了企業的安全管理水平，在不改變內部工作方式和工作流程的情況下，有效地保護了企業的知識產權和核心競爭力，為企業的快速發展保駕護航。