绝杀信息安全之打印泄密

绝杀信息安全之打印泄密

近年来，企业对于安全的认知程度已经发生了巨大的变化，据中国电子信息产业发展研究院预测，中国目前有1400万家中小企业，有信息安全需求的占到40%~50%。同时IDC 的调查也显示出，43%的中小企业担心信息安全问题，名列它们最关心的网络问题第一位。同期中国国家信息安全测评认证中心的调查结果：只有20.3%的人认为自身企业从未发生泄密事件。而这一部企业中，可能曾经发生过信息泄密事件，只是被蒙在鼓里的人，或许也还有之，但是只有五分之一的企业没有信息泄密的事实，却也足以让人心惊胆战。

信息时代，企业的正常运作离不开信息资源的支持，这包括企业的经营计划、知识产权、生产工艺、流程配方、方案图纸、客户资源以及各种重要数据等，这些都是企业全体员工努力拼搏、刻苦钻研、殚精竭虑、长期积累下来的智慧结晶，是企业发展的方向和动力，关乎着企业的生存与发展，企业的重要信息一旦被泄露会使企业顿失市场竞争优势，甚至会遭受灭顶之灾。因此，企业要保持健康可持续性发展，信息安全是基本的保证之一。

在媒体的宣传下，病毒、黑客已经成为危害信息安全的罪魁祸首。但是据信息专家论证，对计算机系统造成重大破坏的往往不是病毒、黑客，而是组织内部人员有意或无意对信息的窥探或窃取。美国CSI/FBI在1999至2003连续五年的《计算机犯罪与安全调查报告》中指出，有超过85%的安全威胁来自组织内部，在各种信息安全威胁所造成的损失中，企业和政府机构因重要信息被窃所造成的损失排在第一位，超过病毒感染和黑客攻击所造成的损失，最主要的信息安全事件为内部人员和内外勾结所为。综上所述，未来安全问题不再是过去简简单单的一个病毒或者一个黑客，它将朝着更多元化的方向发展，对于企业而言，无论是数据失窃、邮件泄密、打印泄密、还是网络瘫痪，也许都将是一次彻底的毁灭。

网管与MIS人员是最容易被无辜地当作了真实泄密者的“替罪羊”，然而遍查国内外案例，IT犯案者寥寥无几，反而是组织内部经常接触机密信息的中高层管理者占了绝大多数，由此看来，电脑网络技术人员并非泄密的高发人群！在此我们积极呼吁网管与MIS人员从保护企业和自身利益的角度出发，应当积极努力为所在企业建立科学有效的信息安全监控体系，切实看管好企业的敏感信息，一旦发生意外泄密，至少可以通过窃密证据作为呈堂证供帮助企业挽救损失和为自己证明清白！

很多企业妄图通过与员工签订一些保密协议来保证企业内部的员工不会窃取内部信息，事实证明这种单一的信息安全保障手段效果是非常有限的，毕竟这样的保密协议与诚信条约一样，都是以诚信为前提，恰恰泄密员工本身动机就是不具备诚信的职业道德标准。

越来越多的企业已经走出重管理轻安全的“盲区”，从“被动式接受”转变为“主动防范”。这种变化包含两层意思:一方面是意识的转变,从最早的轻视信息安全，认为安全是额外的投入，不能带来任何收益，是IT建设的附属品，到之后的开始接触信息安全理念、产品以及技术，被动接受安全体系的建设，再到今天企业非常清醒的看待信息安全问题，认识到信息安全作为企业生存与发展的重要支撑，变被动为主动，将其提升到与信息化建设同等重要的高度；另一方面是需求的变化，信息安全不再只是大型企业的专利。在以前，企业管理者们往往认为安全建设是大企业才需要做的事情，安全问题得不到重视，俗话说，好钢用在刀刃上，既然安全没有重要到“刀刃”的地步，企业自然不愿意把钱花在这个上面，所以，在早期安全投资只有一些大型企业才会实施，而小企业由于资金有限，更愿意把钱花在他们认为重要的项目上，信息安全自然救被忽视了。可是随着网络环境的日益恶化以及企业自身的发展伴随着越来越多的商业泄密事件的发生，信息安全问题逐渐被提上议事日程，企业管理者也逐渐走出以往的误区，信息安全建设成了企业首要任务，一些中小企业也纷纷加入到这个日益庞大的队伍中来。可以预见的是，信息安全将会被越来越多的企业所重视，成为企业生存与发展的必修课之一。

据国外信息安全权威专业机构调查统计，泄密的主要途径主要有三种：mail泄密、移动

存储泄密、打印泄密。其中发生概率较多的是mail泄密和移动存储泄密，一般通过这两种途径泄密的95%以上都是一些相对保密等级不高的普通商业信息，泄密者一般都是以企业的执行层员工，杀伤力不大，损失金额一般在5万美元以下，破案率较高；而发生次数相对较少的是打印泄密，出乎人们意料之外的是，这种些秘密途径虽然发生次数较少，但是通过这种方式泄密的80%以上的泄密事件几乎都涉及到了企业的较高等级甚至是核心级的商业信息，通过这种方式进行泄密的基本上都是企业的规划层甚至是决策层，每次泄密损失金额至少都在50万美元以上，破案率很低，破坏力非常巨大，几乎关乎着企业的生存和发展！这种泄密方式最严重的主要集中发生在大中型企业以及国际跨国大公司。相关机构联合警方通过对大量已经案发的泄密事件和当事人进行讯问了解到：通过mail等网上通讯工具和移动存储工具进行泄密的人，一般受职位和知识经验的影响，他们接触和掌握的企业信息等级几乎都不高，泄密野心也不大，思维比较简单化，通常会草率地采用最流行便捷的方式进行泄密；而通过打印泄密的人，一般在企业都具有相当高的权限和权利，知识经验阅历都非常丰富，泄密野心非常大，他们对于泄密方式非常谨慎小心，他们更看好传统泄密方式，他们深知越现代的泄密方式，越容易被监察到，反之打印泄密这样的传统方式却是被企业管理忽略的途径，不容易留下任何蛛丝马迹，将资料打印带出公司，离开公司的时候保安通常只会检查员工是否将公司的产品、零部件等重要物件带出公司，而对于文件资料者通常不重视，而且保安也不会也不敢也不能区分企业高阶主管公文包内的文件资料是否被列为禁止带出的资料，所以他们坚信越传统越安全，他们有着超级阴谋家所共有的逆反心理和缜密思维！

在80年末期纺织业曾经发生了一件极其轰动的打印泄密事件，美国一家享誉全球的纺织企业（以下简称A公司），花了10多年时间潜心研发出的一款新的纤维合成技术被最大的竞争对手（某日本公司，以下简称B公司）抢先向全世界发布了这项新技术。为什么呢?警方经过长达两年多的调查发现，原来B公司也在这项生产技术研发上面投入了很多年的时间和人力，但是在研发中碰到了很多技术瓶颈始终无法突破，他们深知A公司有这样的实力，于是他们决定在A公司布置间谍，而A公司董事长的女秘书因为消费观念很前卫，虚荣心非常强、生活长期入不敷出，思维缜密、职位高等特点让B公司觉得她是最合适的间谍人选。于是重金收买了她，在A公司布置了这样一个超级密探，时时掌握和传递A公司的重要信息，尤其是对于那项新技术的研发进展。因为这次窃密事件非常重大，所以这位女秘书非常慎重，反复权衡泄密方式后，她运用她老公提供的密码破解技术破解了董事长的电脑密码，将新技术的核心研发资料打印出来，通过快递邮寄的方式完成了这次重大泄密事件！这次泄密事件给A公司造成了难以估量的经济损失！

至此，我们可以看出打印泄密虽然很传统，看起来好像有些笨拙，但恰恰是这种传统笨拙的泄密方式最受高级商业间谍的信任和亲睐！同时也向我们警示，在伴随打印硬件业务的快速发展和成熟的今天，我们必须要重视打印信息安全，努力寻求并为自身企业内建置一整套全方位的打印信息安全的解决方案，否则早晚会为“被自己遗忘的角落”付出非常惨重的代价！

解决方案：

那么我们应该如何来管理企业内的打印作业呢？或许每个企业都做过一些尝试，笔者在前不久通过百度搜索“打印监控”发现一款非常不错的打印监控软件—Printusage网络打印监控系统，在此分享给在企事业单位从事信息管理的朋友们，希望能对大家的工作有所帮助！Printusage是一种Web方式的打印监控软件，每个员工所发送的每一条打印任务都将被它真实详细地记录下来了，此外，它还支持打印内容监控、页眉打印功能和人工打印审核功能，可以在事中发现并杜绝打印泄密事件的发生，也可以事后追查追究打印泄密者的身份和责任，提供全方位的打印监控和打印管理功能！写到这儿，我想大家应该已经很明白如何运用这款软件去保障企业打印信息安全了吧！很多朋友和我一样也有过这样的担心，企业高层（例