近几年企事业单位的泄密事件频繁发生，据调查80%的泄密事件都是由电子文档管理不当引起的，因此，电子文档的安全引起了企事业单位的高度关注，管理者们都在试图寻找一种有效的方法来降低管理风险，如有些单位不允许上互联网，有的对电脑USB端口进行封堵等等，不但降低了工作效率，增加了管理成本，而且实际效果欠佳，那么如何能在不影响工作效率的情况下，实现文档的安全防护呢？ 要实现对电子文档的安全防护，首先，我们要了解文档的存储形式，对于绝大多数单位而言，80%的数据是以非结构数据的形式存储即以电子文档形式，仅有20%的数据是以结构化数据的形式存储于数据库中如Oracle、SQLSERVE等等。而这些电子文档又以各种形式存储于终端（员工电脑）、文件服务器、邮件附件、移动介质（如U盘等）中，因此，对于禁用USB端口、限止上互联网等防护手段是没有太大效果的，我们忽略了问题的关键所在内容安全，即文档本身所承载的信息，只要文档本身的信息安全可控，那么任何非法形式都打不开，看不到，至于文档存储于哪儿并不重要。 根据笔者的经验，建议各单位在做电子文档安全防护重点关注以下两个方面： 第一：要明确文档安全的保护范围，并不是公司每个部门的文档都需要防护，比如对设计行业来说，设计相关的图纸、工艺流程等电子文档是重点保护对象，因此，我们要重点关注这些文档内容的生产者、使用者、传播者。   数据生产环境：   主要体现的是针对集体协作用户的主动控制，在此类环境中特点是多人协同工作，对集体设计的成果进行主动控制，防止文件扩散泄密，在此类环境中，文件作者能直接掌握文件的内容，存储泄密风险，需要对这类用户进行控制。 数据应用环境：    数据生产环境中产生的文件需要给其他用户使用时进行传播使用，可通过OA、ERP等途径进行流转，传播过程中可进行授权控制，控制文件的读、写、打印等操作，数据应用环境的用户可按照配置的权限进行使用，因能见到文件的内容，可能存在泄密的风险，需要对这类用户也进行控制。 外部传播环境： 由于业务需要，公司内部的文件可能需要与外界进行交互，其实是把核心的关键信息发送到了外界，这时数据的安全没有任何保障，几乎失控。因此，我们要对发送到外界的数据进行管控。   第二：采用相关技术控制文档的内容安全，但就目前而言，国内绝大多数单位都是采用文档加密系统或文档加密软件来实现，从实际应用效果来看，这也是唯一有效的手段，因为文档加密是直接对文档的内容进行加密处理，不改变文档的格式和员工原有的工作习惯，安全级别高，从而实现对文档内容的生产者、传播者、接触者的安全防护。 1.     文件内容生产者：通过透明加密模块，控制作者本身主动外泄。 2.     数据内容传播者：通过权限管理模块，控制文档使用范围，防止扩散。 3.     第三方内容接触者：通过文档外发管理模块，控制第三方对文件的使用，防止文档在外部使用再次扩散。 文件内容防护重点体现如下几点： 1.     剪切板/拖拽控制 合法用户打开加密文件时，系统将对合法程序的剪切板行为进行监控，受控程序之间可以进行内容的复制、粘贴、剪切等操作，但是受控程序的内容不允许粘贴至非受控程序中。例如系统对CAD软件及数据类型进行加密控制，用户在加密文件（如：dwg文件）间可以自由进行数据内容的复制和粘贴，且保存的目标文件将自动加密保护；但dwg文件内容数据内容将无法粘贴至网页或QQ中，也无法通过截图及虚拟打印PDF文件方式泄密。 2.     打印控制 系统可对用户的打印行为进行灵活控制，即可实现“开/关”式打印控制，控制用户是否允许或禁止打印加密文件，也可实现打印精细化管理，控制用户对指定文档的阅读、打印权限，如使用次数和时限等。 为保障核心数据的打印安全及可追溯，可进行打印水印设置，水印包括文字信息和水印图片，例如可以自动强制添加公司名称以及公司LOGO图片等版权标识，并可自动添加打印用户ID、打印时间、打印机器IP等信息。 3.     操作审计 简单的说，任何用户在任何时间对任何文件做的任何操作，日志管理员可登陆后台进行审计追溯。