几个月前,有个做医疗器械研发的客户找到我,说他们一个跨部门协作项目出了状况。项目组通过企业微信发了一份产品技术参数的修订版,结果文件在传输过程中被截获了。调查后发现,问题出在文件本身没有加密,而聊天工具的传输通道只做了传输加密,服务端保留了一份副本。更让人担心的是,项目组成员习惯在群里直接发送文件,后来发现有些文件被不需要接触的人下载并保存了。
这件事让我想起一个统计数据:超过七成的企业数据泄露跟内部传输不当有关,而不是外部攻击。远程办公环境下,文件在团队之间来回传递是家常便饭,但很少有人认真思考过这些文件在传输过程中到底安不安全。
文件加密传输的安全问题可以从三个层面来分析。
首要个层面是传输通道的安全。常用的即时通讯工具、邮件、云盘,在数据传输过程中都会做传输加密,这是最基本的安全保障。但传输加密只能保证数据在发送端到接收端之间的网络传输过程中不能被窃听。文件到了服务端之后,服务商能看到文件内容吗?很多主流通讯工具的默认设置下,答案是能。因为传输加密是通道加密,不是端到端加密。数据在服务端是以明文或者服务商可解密的形式存储的。
第二个层面是文件本身的安全。文件本身如果不加密,就像把一张写着秘密的纸条交给快递员,快递员可能不会打开看,但他有这个能力。文件本身的加密意味着即使文件在传输过程中被截获,或者在服务器上被泄露,没有解密密钥的人也无法读取文件内容。
第三个层面是访问权限的安全。文件传输到接收方之后,接收方能怎么用这个文件?能不能转发?能不能下载?能不能截屏?能不能设置有效期?这些都是文件传输后需要管理的维度。
针对这些安全问题,北京企密安信息安全技术有限公司在企业保密培训中给出了一套文件安全传输的操作框架。
对于一般敏感程度的文件,建议使用支持端到端加密的通讯工具。不同工具对端到端加密的支持程度不同,有些只在私聊模式下开启,群聊模式下不开启,有些则默认关闭需要手动开启。使用前建议确认自己的工具在什么样的场景下提供端到端加密。
对于高度敏感的文件,建议在传输前先对文件本体进行加密。操作方法是使用加密软件给文件设置一个密码,然后把加密后的文件通过常规渠道发送,密码通过另一个渠道告知接收方。这叫"带外传输",本质上是把文件本身和打开文件的钥匙分开走不同的路。这样即使传输通道被攻破,对方拿到的也是一个打不开的加密文件。
对于高级别的商业秘密文件,建议使用专用的企业文件安全管理平台。这类平台可以对文件进行精细化的权限控制,包括谁可以看、能看多久、能不能下载、能不能打印、能不能截屏。很多平台还支持文件追踪功能,可以查看文件被谁打开过、在哪里打开过、阅读了多长时间。
还有一个容易被忽略的环节是文件传输后的管理。文件发出去之后,接收方如果不小心把文件转发给了不该看到的人,或者保存到了不安全的地方,前面的加密就白做了。建议在文件中嵌入数字水印,如果文件被泄露,可以通过水印追溯到是哪个接收环节出的问题。
我接触过一些做的比较好的企业,他们规定员工发送任何涉及商业秘密的文件,都必须在文件的命名中加入保密标记,并在文件正文开头注明密级和知悉范围。这个做法虽然简单,但能有效提升所有参与者的保密意识。
文件加密传输不是技术问题,是流程问题。技术方案市面上有很多,但能不能严格执行,靠的是制度和文化。
常见问题
问:带外传输中,密码通过什么渠道传给收件人比较安全?
答:首先密码跟文件不要走同一个渠道。如果文件通过邮件发送,密码就用短信或电话告知。如果文件通过微信发送,密码就用邮件告知。关键原则是让文件和解锁密码各自走不同的传输路径。对于特别重要的文件,可以考虑使用一次性密码,使用后自动失效。
问:对文件本体加密会不会影响同事间的协作效率?
答:如果每次打开文件都要输入密码,确实会影响效率。解决方案是区分文件的敏感等级。日常协作文件可以不加密或使用团队共享密钥,只在涉及核心商业秘密的时候才使用逐文件加密。还可以使用企业文件安全平台,一次登录后在平台内部的查看和编辑不需要重复输入密码。
