随着计算机、互联网以及企业信息化建设的深入，企业的绝大多数信息是以电子文件的形式被管理和存储，信息化使企业信息的生产、存储、获取、共享和传播更加便利，企业内部信息沟通、企业与外部信息交换更加自由，然而，与此同时，网络和办公设备的自由使用却因为缺乏有效的信息安全管理机制，给企业信息安全带来更多的威胁，企业内部信息安全问题日益严重。

大中型企业一般有着完善的书面文档涉密信息安全管理制度，并且由单独的文控中心负责制订、监督、审计企业内部重要情报信息使用状况，亦达到了很好的效果。但是对电子文档数据的信息安全管理却存在明显的不足，主要存在以下几点特性：

1) 文件密级无明确的规定和标识

2) 分散保存，多人分散管理

3) 明文存放，被获取后易泄密

4) 无法确认每个文档的利用者

5) 无法根据需要细分用户权限

6) 文件使用无期限和次数控制

由于电子文档数据使用便捷、易于获取等特性，再加上电子文档信息安全管理上的不足，使电子文档成为企事业单位内部机密信息泄密的源头。据FBI(Federal Bureau of Investigation美国联邦调查局)和CSI(Computer Security Institute计算机安全学会)对484家企事业单位进行了网络安全专项调查，调查结果显示：超过85%的安全威胁来自企事业单位内部。在损失金额上，由于内部人员泄密导致了6056.5万美元的损失，是黑客造成损失的16倍，是病毒造成损失的12倍。数据资产成为企业长期生存和发展的生命线，保护数据资产的信息安全成为现代企业的首要任务。但是在中国，高达80%的计算机应用单位未设立相应的信息安全管理系统、技术措施和制度，缺乏有效的内部信息安全防护机制。

问题分析

为什么企业已经部署了周密的网络安全，依然存在内部信息安全泄漏问题？原因是：传统的信息安全解决方案，如防火墙、VPN专网、入侵检测等，可以防止外部人员非法访问，但不能防止内部人员、以及用户本人对机密文档进行复制和传播，所以说如何防止内部员工泄密成了企业急需解决的信息安全问题。

(一)主动泄密，导致的信息安全问题

1、内部人员将机密信息通过U盘或移动硬盘从电脑中拷出带走;

2、内部人员通过互联网将机密信息通过电子邮件发送到自己的邮箱;

3、内部人员通过互联网将机密信息通过云存储将资料批量“同步”带走;

4、内部人员直接将机密信息通过复制粘贴到聊天工具上传送出去;

5、内部人员将机密信息打印并带走。

(二)被动泄密，导致的信息安全问题

1、外部人员通过黑客手段攻入公司局域网窃取机密信息;

2、电脑转手或丢失后，硬盘上的数据没有处理，导致泄密;

3、移动存储设备共用，导致非相关人员获取机密信息。

(三)恶意破坏，导致的信息安全问题

员工离职恶意删除或格式化电脑数据。

(四)越权读取，导致的信息安全问题

公司机密信息无法设置阅读权限。

可见，如果文档本身是没有经过任何的安全处理，要防范文件信息不被恶意的获取是非常困难的，因此只有对文档本身进行加密控制才能达到企事业单位数据防泄密的要求，常见的信息泄密途径。

计算机硬件端口：通过USB、IDE、软驱、光驱、红外、蓝牙、无线网卡等端口，使用U盘、移动硬盘、光盘、笔记本电脑、PDA甚至智能手机复制或传输。

网络：通过网上邻居、共享文件夹、E-mail、QQ/MSN/ICQ等即时通讯工具、论坛发贴、ftp、BT、网络硬盘等方式传输。

在网络化和信息化给现代企业和个人带来更多便利的同时，也给企业信息安全带来更多漏洞和危机，作为组织或企业，核心数据泄密可能导致企业的核心竞争力和竞争优势缺失，相当于培养自己的竞争对手，也可能使公司发展出现瓶颈，甚至导致重大经济损失，只有注重企业信息安全防护意识，完善企业内部信息安全管理方案，才能使得企业在激烈的商业竞争中立于不败之地。

信息安全：管得住“正人君子” 防不了“不法分子”

信息安全,12306,信息泄漏