银核安全盾如何用最低的成本保护律所的信息安全？

“世界上最危险的信息环境在哪里？在那群精通网安合规和数据合规的律师手上。”律所几乎承接着全社会工作生活方方面面的业务，涉及的社会行业信息，个人隐私的数据量非常庞大，隐私要求极高。

但是律所在信息安全方面则处于尴尬的地位。律所与大企业、互联网公司相比，在信息安全方面属于天然“弱势”。律所既缺乏维护信息安全的专业人才，又无法像大企业那样对信息安全投入巨额资金。但律所日常处理的却往往是委托人价值连城的技术秘密、交易信息或者个人隐私。然而，律所的信息安全系数长期以来都是极低水平。这种反差，一方面不但会让委托人的机密信息时刻处于不安全状态，严重的会引发委托人的信任危机；另一方面会给律所带来潜在的巨大执业风险。根据我们的实地调研和多方面考察，律所普遍存在五大信息安全漏洞，我们也将一并给出相应的解决方案。由于律师大多不具备计算机相关技术背景，我们将抛弃复杂的技术概念，让大家以最小的成本了解律所信息安全知识。

安全隐患一：wifi安全。wifi对律所日常办公来说必不可少，很多律所为了节省成本，使用的都是一些低端的路由器，并没有把工作网络和访客网络区分开来，大部分WIFI密码也设置的相对简单，破解起来非常容易。一旦有黑客进入我们的网络，就可以随意阅读我们的共享文档、客户委托的案件信息、投放勒索病毒等，导致律所文件信息丢失。

解决方案：够针对WIFI设置访客网络和工作网络，并对内部网络共享设置访问权限，并更改默认密码。另外，定期修改WIFI密码。我们银核存储的安全隔离系统能对网络环境进行设置，隔离断网，保障内部数据不受外界干扰。我们的兑盾产品有一个二级操作系统，登陆这个系统可以实现一台电脑两个系统并行，双方互相独立，且在二级操作系统内完成相关操作，本机不会留下数据痕迹，可以有效防止打印，防止拷贝。

 安全隐患二：口令安全。最突出的问题是重复口令或弱口令，律所的有些人为了登录方便，把律协的账号密码，律所的OA账户密码，电脑口令，邮箱密码均设置为同一个账号和密码，一旦该密码被某些网站获取后，黑客便可以轻松的通过泄露者的电脑和密码侵入到律所内部。

解决方案：提升律所人员信息安全防护意识，观看一些远程攻击的视频，对不同密级的系统账号设置不同的密码，这是基本的人防措施；我们银核存储的安全盾不仅能提供口令密码输入，还具有密码控制的功能，文件导入进行编辑修改后，要导出文件则需要经过管理员授权。

安全隐患三：电子文档的存储问题，目前律所文件存储方式大多分为二种，一是电子文档律师自己存储，优点是律所无需投入存储设备节省成本。

这种去中心化的存储方式，一旦遭受攻击损失的只是部分文件，但从利用的角度来讲，无法实现集中检索，而且律师一旦离职，资料就面临被带走的风险，这对律所来说是一种灾难；二是采用集中存储的方式，通过企业OA或者内部共享来实现，但是这种将鸡蛋放在一个篮子里的做法，如果服务器受到攻击，给律所带来的是灭顶之灾。目前大部分律所没有对共享文件进行分级，所有人可以看到所有机密层级的文件，且文件在服务器上也没有进行任何备份或者采取防护手段，一旦硬件损坏或者文件感染病毒就巴比Q了。

解决方案：我们银核安全盾在文件存储方面采用密文形式，能够给文件多一层保护，文件也有相应的管理员权限，比如管理员可以设置文件的阅览次数，截止时间，过期文件自毁，可以对文件做到使用可控。

安全隐患四：滥用移动存储介质 在律所的日常运作中移动存储介质的使用存在严重的安全隐患，一是，大部分人认为，使用移动硬盘或者U盘，里面的文件删除掉就没有了，实际上文件删除只是删除了存储的表结构文件，里面的数据可以被轻松恢复。二是，普通U盘的交叉使用，非常容易传播病毒，特别是现在网络上针对移动存储介质的摆渡木马格外多，大大增加了泄密或者损坏文件的风险；三是，很多律师为了工作方便，将某些案件信息存在移动硬盘内带出去工作，这些文件一旦在其他电脑上打开过，即使文件没有被拷贝到本地，该文件也会在使用过的电脑上留下缓存痕迹，专业人才只需要简单的几步就可以将他打开的文件恢复出来，给律所声誉和服务的客户造成巨大的损失。

安全隐患五：邮件安全 邮箱是律师事务所重要的办案工具，邮箱中保存着律师与法院，与当事人的各类信件往来，恰巧邮箱也是重大的安全风险点，大部分律所没有建立邮箱备份机制；另外，容易遭遇钓鱼攻击，因为很多律师邮箱都是对外公开的，攻击者只需要将钓鱼邮件发送到该邮箱，用户一旦点击，就会被远程控制，从而更进一步的获取律所信息；

解决方案：除了加强对使用者的安全教育，不阅读来历不明的邮件，建立邮件备份系统，并做好安全防护，我们的星际盾可以有效解决这一难题，星际盾在使用时需要锁定一台电脑，插入星际盾且只能在该电脑上进行文件编辑、存储、导出操作。一旦离开该电脑，星际盾内的数据在任何其他电脑上都无法读取也不能进行相关操作。

通过调查研究，我们为大家总结了这些问题，大部分人会问：我们应该如何系统的解决这些问题呢？亡羊补牢，为时未晚。我们能做的是提升我们整体系统的安全防护等级，攻击与防护是一个动态发展的过程，第一步：我们要提高的是我们安全防护的意识，只有了解了信息泄露的危害，意识到提升自己的安全防护水平的重要性，我们提供的防护技术才有用武之地。可悲的是大部分人安全意识还比较薄弱，全球黑客攻击的产业链早已超过了200亿个，安全防护的产业链却不到20亿个。

在后疫情时代，尤其在互联网经济快速发展的今天，我们不仅要提升数据安全意识，更要有相对应的数据安全方案来保驾护航。