企業(yè)網(wǎng)D1Net訊 2月20日(上海)
大量移動設備的涌入增加了接入企業(yè)的終端數(shù)量,加大了企業(yè)數(shù)據(jù)信息安全風險。一般辦公環(huán)境中,企業(yè)信息多以電子文件的形式存在、流轉(zhuǎn)在各辦公終端、辦公應用中。存儲、傳輸都面臨不同的威脅。
電子文件的保密性
電子文件移動辦公管理的實現(xiàn)是基于無線網(wǎng)絡信息傳送和有線網(wǎng)絡信息傳遞兩種形式。由于處在完全依賴網(wǎng)絡傳遞信息的辦公環(huán)境下,無論是哪種信息傳遞方式其網(wǎng)絡自身都存在諸多不安全因素,電子文件本身也具有一定的信息保密性,而在信息交換和人員溝通復雜的移動辦公系統(tǒng)中電子文件的業(yè)務往往需要經(jīng)歷外網(wǎng)和內(nèi)網(wǎng)Oh的信息交互來辦理,這就使得處于開放的網(wǎng)絡狀態(tài)下移動辦公系統(tǒng)中的電子文件信息面臨網(wǎng)絡帶來的各種風險,如計算機木馬、手機病毒的入侵,非法用戶對電子文件的竊取、篡改等。
電子文件的完整性
移動辦公中的電子文件管理面臨的安全風險還影響了電子文件構(gòu)成要素的完整性。木馬、病毒的入侵會改變電子文件包括字體、數(shù)字簽名、時間戳等內(nèi)容的物理格式以及包括文本、圖像、注釋等文件表示類型的智能格式;非法用戶對電子文件的竊取和篡改也會使得包括電子文件內(nèi)容、活動、檔案鏈、背景等電子文件的基本構(gòu)成要素缺失或失真,這些都影響了電子文件自身要素的完整,與電子文件管理中安全保障原則相悖。
電子文件的信息認證
電子文件的信息認證即確保電子文件的發(fā)送者和接收利用者身份的真實性以及驗證文件信息的完整性。處在多種移動終端的辦公環(huán)境下,信息的發(fā)送者身份復雜,如手機和PDA辦公中往往較難核實信息發(fā)送人員的身份;辦公人員在移動終端系統(tǒng)進行電子文件業(yè)務辦理一般是基于系統(tǒng)給予的訪問權(quán)限操作來完成的,但現(xiàn)在較為普遍的“用戶名+密碼”的身份驗證往往容易被第三方破譯或截獲密碼,訪問權(quán)限操作安全系數(shù)不高;此外對電子文件信息的完整性驗證是移動辦公的難題,目前對電子文件構(gòu)成要素的完整性檢測普遍只存在于傳統(tǒng)的各個機構(gòu)的內(nèi)部辦公網(wǎng)絡當中,對于拓展到移動辦公模式當中則需要攻克技術(shù)、管理等難題。
電子文件管理漏洞
對處于移動辦公系統(tǒng)中的電子文件進行管理必然會面對來自人員操作、管理制度、管理技術(shù)等方面的漏洞威脅。在人員操作方面,對電子文件傳輸和接收的管理不慎會造成電子文件的泄密,如對電子文件網(wǎng)絡傳輸網(wǎng)關、OA服務器的管理者若是沒有及時更新網(wǎng)絡安全軟件,或是在傳送電子文件時對傳輸操作不熟悉,就會使得電子文件在移動傳輸過程中被第三方竊取;又如移動終端的使用者(電子文件的接收者)在終端設備處于開放狀態(tài)時沒有及時將接收到的電子文件進行妥善的保存處理,或者其保存后不慎丟失移動終端,這也會帶來極大的泄密風險。在管理制度方面,對機構(gòu)內(nèi)的移動辦公中履行電子文件管理的職責分工明確與否,是否有一套較成熟的管理方案也對電子文件安全管理起著極為重要的作用。在管理技術(shù)方面,這主要體現(xiàn)在電子文件網(wǎng)絡傳輸網(wǎng)關、OA服務器的管理者的技術(shù)水平的高低上,其是否具備較好的移動通訊和電子文件安全管理技術(shù)水平很大程度上決定了電子文件在移動辦公管理中能否順暢進行;另外移動辦公的終端使用者也必須具備一定安全和操作儀器的知識,否則無法進行正常的電子文件移動辦公。
電子文件法律安全漏洞
移動辦公中電子文件管理目前還存在較大的法律安全漏洞,這主要體現(xiàn)在以下三方面。一是移動辦公安全法律法規(guī)不健全。雖然我國已經(jīng)出臺了一些與移動辦公相關的計算機網(wǎng)絡信息傳播保護法規(guī),但現(xiàn)有的法規(guī)和政策仍難以適應日益發(fā)展壯大的移動辦公的需求。二是電子文件安全規(guī)范有待完善。我國現(xiàn)有的電子文件安全規(guī)范主要有《電子文件歸檔及管理規(guī)范》、《電子簽名法》、《建設電子文件與電子檔案管理規(guī)范》等相關法規(guī)和標準,但當中還是有一些法規(guī)界定較籠統(tǒng)、不清晰,這也使得電子文件在自身安全管理上就有較大的漏洞。三是對相關法律的執(zhí)行力有待加強。移動辦公中的電子文件傳遞和保存等操作往往只需要短短的幾分鐘甚至幾十秒鐘,而且對其安全傳輸?shù)墓芾碛直仨毥?jīng)過多層面的把關,這就增加了信息安全的風險,而隨著科學技術(shù)的進步,即使有專門針對網(wǎng)絡通訊犯罪和電子文件管理的法律法規(guī),其執(zhí)行力也還有待加強。
在存儲和傳輸過程中,企業(yè)信息安全在技術(shù)漏洞和人為泄露兩方面存在威脅。在移動安全解決方案設定時,在技術(shù)方面,企業(yè)可針對終端、網(wǎng)絡、應用幾大方面部署相關MDM、MAM及網(wǎng)絡安全解決方案。在人為泄露方面,企業(yè)則需要明確員工在敏感信息保存方面的責任,進行必要的移動安全培訓,在企業(yè)移動設備管理中確保員工訪問數(shù)據(jù)記錄可查。