参考公司-电子文档管理方案.doc

第一部分：电子文档的重要性 公司的电子文档是公司里面多年积累信息财富，在公司的发展和运营中有着举足轻重的作用，占有极其重要的地位。信息社会，信息就是价值，信息就是生产力，但是高度的信息流通以及信息传递的便捷性，增加信息泄漏的危险。尽管防火墙、入侵检测、VPN、入侵检测等安全产品也逐步得到认可和应用，但是这些产品有一个共同特点：防外不防内。 在现实中，企业内部员工存在有意或无意对信息的窥探或窃取，而且，相对而言，内部人员窃取机密信息比黑客要来得容易。因此，对公司的电子文档进行制度防范（人防）和计算机技术防范（技防）就具有了迫在眉睫、亟待解决的意义。 同时，公司重要电子文档安全管理目标应该是：在严格的安全访问控制体系管理下，建立资产保护和防泄密监控体系，并兼顾共享和使用知识资产的方便。 第二部分：需要保护的电子文档的表现形式 需要保护的公司的重要电子文档包含： 内部技术规范、项目招投标文件、归档电子文件、提供给客户的成果文件、重要数据库文件、公司各类电子证书图片、公司财务数据、公司薪酬及年终奖励电子数据等 第三部分：需要保护的文档处于的位置 公司重要电子文档存储现状： 以文件、文件夹集中存储在服务器的文件夹中（服务器上） 以MS SQL数据库形式存在于HDGIS系统中（服务器上） 以财务数据库形式存在于部门的服务器上（服务器上） 以文件形式分布于用户的PC上（工作站上） 解决方案 以文件形式存在于用户或者公司的u盘、移动硬盘等设备上（移动设备上） 文件类型包括：包括过去和现在的MS OFFICE文档（如记事本、office2000、office 2003、office 2007），还有将来的MS OFFICE文档（如MS将在2009年版本的office14），PDF各个版本、DWG各个版本，包括有可能由这些程序导出的各个未知文件格式，或者加壳产生的未知文件格式。就文件格式来讲，应该是文件格式处于不断升级、发展变化中，因此甚至可以说各个格式均有可能。 第四部分：可能的泄密途径 可能的泄密途径，应该来讲主要包括：服务器上泄密、工作站泄密、移动设备解密、网络泄密、输出设备泄密、客户泄密几个方面，主要的表现形式如下： 服务器泄密： 1、网络维护人员在进行维护时使用移动硬盘将服务器上的资料自备一份。 2、维护人员知道服务器密码，远程登陆上，将服务器上的资料完全的拷到本地或者自己家里的机器上。 工作站泄密： 1、乘同事不在，开启同事电脑，浏览，复制同事电脑里的资料。 2、内部人员将资料通过软盘、U盘或移动硬盘从电脑中拷出带走。 3、将笔记本（或者台式机）带出管控范围重装系统或者安装另外一套系统从而将资料拷走。 4、将笔记本（或者台式机）带出管控范围利用GHOST程序进行资料盗窃。 5、将笔记本（或者台式机）的硬盘拆回家盗窃资料，第二天早早来公司安装上。 6、将办公用便携式电脑直接带回家中。 7、将笔记本（或者台式机）带出管控范围使用光盘启动的方式，使用磁盘管理工具将资料完全拷走。 8、将笔记本（或者台式机）的硬盘或整机送修，资料被好事者拷走。 9、电脑易手后，硬盘上的资料没有处理，导致泄密。 10、笔记本（或者台式机）遗失或者遭窃，里面的资料被完整的窃取。 网络泄密： 1、内部人员通过互联网将资料通过电子邮件发送出去。 2、内部人员通过互联网将资料通过网页bbs发送出去。 3、随意将文件设成共享，导致非相关人员获取资料。 4、将自己的笔记本带到公司，连上局域网，窃取资料。输出设备（移动设备）泄密： 1、移动存储设备共用，导致非相关人员获取资料。移动设备包括：u盘、移动硬盘、蓝牙、红外、并口、串口、1394等 2、将文件打印后带出。 客户泄密： 1、客户将公司提供的招标文件自用或者给了竞争对手。 2、客户处管理不善产生的泄密。 第五部分：公司电子文档安全管理的解决方案 公司电子文档的安全管理应该包括防止信息泄密的制度建设和防止信息泄密的计算机技术建设，简称“人防”和“技防”。并且，应该是技防和人防并举，技防需要先行，但“人防”应立即跟上。最后对内外区别达到如图的效果（引用供应商之一提供的图）： 而在内部，又可以达到如下的效果（引用供应商之一提供的图）： 解决方案 在公司信息中心，主要考虑以下九个场景及对应的管理流程，以供领导决策： 1、在公司局域网内服务器上的进行数据维护 在公司局域网络内，服务器上的数据不进行加密，但局