网络安全和文档管理之间是什么关系？

Ureta表示，网络安全和文件管理之间所共享的基本概念是数据安全、合规性和风险管理。数据安全是此交叉点的核心，因为它确保文档在静止、使用或传输过程中都能得到安全的存储和传输。其中需要应用加密、访问控制和其他安全措施，来保护数据免受未经授权的访问、使用、披露、破坏、修改或销毁。

Ureta补充道：“合规性涵盖文件管理所涉及的法律法规和政策环境。组织必须遵守这些要求，包括数据保留、处置和审计跟踪的创建。同时，合规性不仅能确保数据得到保护，而且能确保数据在其适用的法律范围内能得到相应的管理。”

Ureta表示，网络安全和文件管理之间的另一个关键概念是风险管理，其包括了识别、评估和减轻风险。“这涉及要根据组织自己的需求，特别是合规性，制定、实施相应的安全政策和程序。此外，定期的安全审计和员工安全意识培训是风险管理的重要组成部分。”

安永董事总经理Reese Solberg表示，文件管理和网络安全在企业文件生命周期的关键概念上有着共同的目标，从有效分类的必要性到适当访问权限的管控，再到保留、销毁需要处理的应用，可以说文件管理是颗粒度更精细的网络安全。“比如要实现文件的高效管理，首先要对这些材料进行适当的分类。同样，安全性也需要依赖于适当的分类，因为只有分类妥当了，才能根据相关要求去识别和保护这些文件。如果不了解文档管理和网络安全之间的关系，就很难想象所谓的文档生命周期管理。”

IDC数据和信息安全研究总监Jennifer Glenn表示，从市场角度来看，许多“数据安全相关”的技术供应商在数据安全领域越来越受欢迎。“内容和文档管理是一个领域。对我来说，这意味着组织非常清楚与其文档管理相关的安全和隐私问题，可见他们正积极寻求关于这项业务活动的保护。”

德勤交易商业分析部的财务咨询副总裁Krishnan Ramachandran说，数据安全策略应和文件管理相互配合，这样就可以明确谁有权访问各种数据存储，数据该如何加密，数据是否需要匿名化，数据必须保留多长时间，以及在达到适用的保留时间后，数据应如何销毁等问题。“要确定一个组织如何管理好从端到端的文件生命周期，所有这些因素都应该被权衡。”

Solberg说，对安全的思考应该是文件管理战略评估的重要组成部分。“比如在确定关键目标时，组织通常会以‘提高效率、降低成本、加强协作’为核心。鉴于在数字化飞速发展的时代下，组织会面临重大网络风险，因此必须明确提出一个目标，并从一开始就保护好数据、文件和系统。”

Solberg表示，安全性也必须纳入文件管理评估的各个阶段，包括对当前状态的分析和对路线图的阐述。他补充道：“在这些阶段整合网络安全不仅有助于为战略提供合规基线，还有助于确定组织在满足这些要求时，需要怎样的能力。”

咨询公司Kaufman Rossin风险咨询服务业务的数据隐私主管Jeffrey Bernstein表示，安全是组织迈向成功的关键因素，也是所有上市公司、大型互联网公司的首要战略任务。他说：“正因为如此，大多数较为领先的组织都在采用文档管理计划以转变业务，这可加强安全防护和合规工作，同时能提高生产力，优化运营。”

Glenn表示，由于每家企业的安全团队都有着不同的预算和业务目标，所以如果要将安全纳入文件管理系统，第一步是调整部门的预期结果，接下来实际上就是解决和有效数据、信息安全相关的各种问题。

“比如要关注企业的数据在哪里。为了保护数据和信息，在共享之前，我们必须知道它们的具体方位，以及这些文档是如何存储的。这和大家做数据安全时是一个概念，即先要盘点资产的位置和存储路径，不可让各种文件散落在我们管控不了的地方。”

Glenn表示，其次是要知道组织的数据是什么，特别是需要了解组织现阶段优先要处理什么文件。“这些文件中包含哪些类型的信息？正在管理的文档中有哪些图像或内容？这些信息是否包含敏感信息？比如信用卡号码、机密信息、知识产权等，这都是需要关注的。组织可以使用数据发现和分类技术来查找这些内容，并根据其对业务的风险进行分类。”

接着是对访问权限的管控。“谁可以访问组织的数据？了解谁在共享文档，以及与谁共享文档，这些都是极其重要的管控目标。”Glenn说，数据泄露往往源于“受信任的用户与不应该拥有信息的人共享了信息”，这也是文档管理真正应该关心的问题。云访问安全代理和数据泄漏预防技术在这里能起到一定的作用，其可以查看谁在发送相关内容；此外，这些技术可以标记、阻止异常连接。

最后，Glenn指出，组织还应该查看文件是否得到了适当的保护。“包括Box和Egnyte在内的组织都会提供控制措施，他们能根据内容、用户、角色、权限、时间，限制对特定文档的访问。”

Ureta说，想要安全地存储、共享文档，可以采取这几类做法，其每一项措施都有助于为文档管理处理好安全方面的问题，这样组织就能保护敏感信息免受潜在的网络威胁了。根据Ureta的说法，几类措施分别为：

1、根据敏感度对文档进行分类，加密存储的文档和传输中的数据，组织要实施严格的访问控制，以及对文档访问使用多因素身份验证等做法。

2、和网络安全培训一样，组织也需要定期对员工进行文档管理培训，向员工介绍文档管理的重要性、常见的文档管理问题和如何避免文档管理风险。在明确了文档管理的内控制度后，要确保员工了解相关政策，包括禁止未经授权的访问、不泄露敏感信息、不打开不明来源的电子邮件附件等等。强调员工必须遵守公司的网络安全政策，否则将面临纪律处分。

此外，要定期对公司的文档管理实施进行审计，包括检查管理进度、网络设备、安全配置和漏洞，这样就可以及时发现和修复潜在的安全问题，并向员工提供反馈和建议。当然，作为新的管理政策，组织可以鼓励员工在发现任何文档管理方面的问题时作出报告。建立文档管理/共享问题的报告流程，确保员工知道该如何报告此事，以及如何保护自己免受潜在的负面影响。较为重要的一点，还是要将文档管理融入公司的日常工作，通过各方强调，使员工认识到文档管理的重要性。

3、组织要持续监测文件的访问和更改，同时要制定明确的事件响应计划。其包括报告、记录、分析、调查、修复等步骤。组织要确保所有员工都知道在发生相关安全事件时应该如何采取行动，并能够迅速报告和记录事件。Ureta表示，组织成立一个专门负责文件管理事件响应的小组，并为其提供必要的资源和支持。该小组应该具备专业技能和知识，能够迅速分析、调查和修复安全事件。

此外，可以为不同类型的文件管理安全事件制定具体的响应计划。这可以包括针对网络攻击、数据泄露、恶意软件等事件的响应计划。确保所有相关人员都了解这些计划，并知道在发生事件时如何采取行动。最后则是要定期更新和评估文件管理事件响应计划，以适应新的威胁和挑战，确保计划与组织的实际需求和业务目标保持一致。

4、组织要制定明确的保留和处置策略，并确保文档管理与行业法规始终保持一致。

5、制定备份和恢复策略，以确保在发生文件安全事件时能够迅速恢复数据和文件。定期备份所有重要文件和数据，并确保备份数据与主数据保持同步。同时，选择具有强大数据安全策略的云提供商。

6、做好软件和供应商管理，其包括始终将软件和工具保持在最新状态，并确保第三方供应商符合安全标准。

7、业务连续性和安全共享包括为不可预见的事件制定计划，组织可以在共享文档时使用安全文件传输方法，并禁止离职员工进行访问。

对于网络安全在文件管理中的作用和重要性，国内安全专家如此建议。

某科技公司信息安全总监刘凯表示，文件管理这个词在网络安全工作中提及较少，或许在数据防泄漏的场景中才会涉及。如果按照这个思路狭义地理解，更多特指的是敏感文件，例如保密文档、证书、密钥文件、拓扑等等；如果广义地理解，除了敏感文件这类，也可以包括文件的内容管理、文件内容的规范性等等。

“而无论是哪一种理解，个人觉得都要抓住关键点来满足安全诉求，一个是扩散范围，一个是有效期，前者是空间维度降低安全风险，后者是时间维度降低安全风险。两者在业内都有着普遍的实践，例如制定密级等级、保密年限、专岗专职等措施。”

某企业安全专家刘顺表示，文件管理指的是非结构化的文档管理，包括纸质文档管理，这项工作隶属于数据安全中非结构化数据安全的范畴。文件管理中的非结构化数据涉及产、供、销、研等企业各部门的敏感信息，代表着企业的核心竞争力，文件类型包括企业战略规划、披露前财务数据、销售数据、营销策略、技术研究报告、设计图纸、核心代码等，文件一旦被泄露必然会给企业造成严重损失。

非结构化数据安全与结构化数据安全，二者在治理思路上既有相同之处又各有特点，在整体治理思路上都是针对数据生命周期进行安全管控，在具体执行上非结构化数据安全的特点包括：

1、分类分级方面，非结构数据以文档类型为维度，需要按业务部门的实际场景开展资产梳理。比如研发部门可以按研发流程开展数据分类梳理，通常包括需求分析类数据、功能设计类数据、研发代码类数据、测试类数据、部署运维类数据等等；再比如人力资源管理部门，通常包括招聘类数据、绩效类数据、员工档案、培训类数据等等。涉密等级的划分通常参考保密工作领域的涉密级别，比如绝密、机密、内部公开、非涉密等。

2、数据安全风险评估方面，安全部门要与业务部门共同梳理非结构化数据的整个流转过程，绘制数据资产流转图。流转场景可能包括：从应用系统中下载重要数据支撑员工起草编写文件；在办公终端上进行文件编写，把过程中的文件上传到文档管理系统以便多人协同编辑；文件在办公终端上分别通过打印、内外部邮箱发送至其他部门和公司外部等。在完成数据流图的绘制后，可基于整个流转过程进行风险分析，识别脆弱点。

3、安全管控举措方面，非结构化数据的安全管控措施侧重于办公网的安全，包括办公终端安全管控、终端数据防泄漏、上网行为管理、邮件数据防泄漏、纸质文件打印安全、生产数据提取、文档外发安全等各方面。

某电信企业安全专家唐双林指出，文档安全是常见办公安全的一种，其危害大，但又容易忽略。例如：电脑临时离开未锁屏，电脑可能未授权访问，从而造成文档的泄露和篡改风险，进而导致劳动成果被不法窃取等。常见的安全防范手段主要考虑三个方面：员工安全意识、公司安全管理和安全技术手段。

首先要增强员工的安全意识，让员工充分了解文档安全的重要性并养成良好的安全习惯。例如：公司张贴相关宣传海报，定期做安全培训等。其次要加强公司安全管理，制定详细的文档管理规范，明确文档类别，设置文档保密级别，明确允许与禁止的行为。例如：文档打印后要及时拿走，机密文件要用专用的打印机等。此外，利用技术手段保护文档，如使用数字水印、文档加密、数据防泄漏、文档集中授权等工具。

“比如，我们采用了文档数据防泄漏系统，可以对文档进行分类分级管理，实施类似数据全生命周期的文档安全管控策略，并采用终端进行监测与扫描，对文档进行分级保护。当文档外发时，如未经管理员审批同意，文档将会变成一堆乱码，从而避免文档泄露风险。同时，在文档中添加数字水印，事前可以发挥震慑警示作用，事中可以防止未授权外传或者截屏行为，事后可以通过数字水印快速定位信息泄露源头，完成精准溯源。”

另外，唐双林认为，为了确保万无一失，定期备份重要文档也是十分重要的，这有助于文档的快速恢复，避免因人为或自然因素造成文档信息的丢失，以及对文档访问进行严格控制，只有授权的员工才能访问。最后，定期进行审计和监控，检查是否有违规行为，同时安装并定期更新安全软件，防止重要文档被加密勒索等，从而保护电脑和文档的安全。