拆解项目中的防泄密难题|项目评估报告范文

　　项目负责人很清楚，U盘、邮件、MSN等都可能泄漏项目的机密文档。然而，迫于业务交流的需要，他通常都不能采用封死电脑出口、禁止上互联网等绝对的安全措施，不得不默许这些有泄密风险的工作方式。对于组成复杂的项目组织来说，防泄密有着其特殊的难度。
　　正所谓，有利必有弊。电子文档在方便了信息共享的同时，也方便了机密信息的泄漏。目前，大量的信息泄密手段往往是最直接的拷贝，离职人员把电脑上资料直接带走。这时，防火墙、入侵检测等防护系统就形同虚设，根本起不到任何保护作用。因为防火墙或专网，只是解决了外部人员非法访问的问题，不能解决内部人员通过电子邮件、移动硬盘、U盘或笔记本电脑把电子文档进行传播的问题。
　　随着企业经营活动的多样化，企业往往是各种复杂结构的组合体。比如，财务、人事、后勤等部门可能是职能型的，而销售可能有多个事业部和地区平台，可能是矩阵型，而新产品研发、重大建设等任务可能又是以项目形式开展工作。
　　而在多数项目中，虽然表面上看是项目型运作的，但由于项目组成员来自各个业务部门，甚至有很多是来自合作伙伴的公司。项目组成员对信息沟通、共享的需要很强烈。项目的这个特点，决定了防泄密的难度。
　　为了安全和保密，军队可以建一个与外界物理隔离的网络，封死对外的所有出口。而在项目组里，对于各种可能的信息泄密途径，比如USB接口、邮件、MSN等信息传播的途径，往往不能一禁了之。明明知道U盘可以拷走公司所有机密，却不能封死所有USB接口。明明知道发邮件可能泄密，却不能禁止使用邮件。因为，项目组成员需要协同完成一个任务，需要共享一些信息，甚至是一些机密信息。尽管有泄密的风险，项目组成员还是需要使用各种快捷的沟通方式。防泄密难就难在这，既要满足完成项目所需要的沟通，又需要防止机密信息的泄漏。
　　BS7799作为建设信息安全管理体系的一个权威性标准，得到许多国家的认可。目前我国不少企业或机构希望根据BS7799来建立自己的信息安全管理体系。从该标准可以看出，安全特别是信息安全，是一个系统工程。在这个系统工程中，技术和管理是两个重要的组成部分。
　　管理制度、管理策略是管理的一种浓缩，也可称为精华所在。在项目组织里，一套好的管理制度和好的管理策略至少应该：以企业的实际情况为主要依据，在满足企业保密需求的同时，能满足项目组成员对信息共享和沟通的需要，要具备良好的可操作的防泄密管理制度。
　　当然，仅有管理制度的约束，没有防泄密的技术措施，来源复杂的项目组成员是难以保守秘密的，保密最终只是空洞的说教。在整个内网中，终端计算机占了网络节点的大部分，显然安全管理，特别是信息安全管理的重点和难点。近几年，防泄密相关的产品和技术百花齐放。每一类防泄密产品，都能以某种方式保护企业的信息安全。但是，当每一类产品都将以不同的方式约束项目成员的信息交流，并将这种约束机制与企业的通信方式紧密地结合在一起。
　　因此，选择防泄密产品的最重要的一步是确定企业的实际需要。无论底层技术有多么安全或多么有吸引力，不恰当的产品会把项目的工作搞得一团糟。同样，企业还要考虑防泄密产品的实际成本和局限性。让物理距离很近的项目成员共享一个加密设备，这样企业就可以节约成本，但是安全性就不是很高。