行业新闻

专业信息安全领域!

加密软件、防泄密软件产品选型的建议

 

 

随着企业对信息防泄密的需求越来越大,市场上出现了各种各样的文档防泄密软件,加之目前国内行业标准尚未建立,导致许多用户在选购此类产品时感到十分困惑。那么,如何才能挑选到一款称心如意的防泄密软件呢?这里参考一些厂家提供的文档并结合自己的经验,提供一些建议供大家参考。

 

1.防泄密软件的设计思想

 

    信息时代的高速发展,泄密形式越来越多样化,单单只是对外置接口进行禁用已经远远无法满足企业的信息保护要求。防泄密软件应站在时代的前端,依据“事前主动防御、事中全程控制、事后有据可查”的设计理念,从源头保护企业的信息安全,为企业提供一体化的信息安全解决方案。即使泄密事件无可必免的发生了,也能够为企业提供有用的数据以供调查,将企业的损失降到最低。

 

    事前主动防御:文件在创建、编辑、保存时自动加密 ,能保证存放在硬盘上的文件是密文,防止主动泄密。指定类型的文件能自动备份,防止恶意删除。

 

    事中全程控制:对信息泄密的各种途径都做了有效控制,比如:剪切板加密、禁止OLE、禁止打印、禁止截屏等,同时只有受保护的程序才能读取密文。

 

    事后有据可查:能详细记录文件的各种操作行为,包括新建、编辑、打开、复制、删除、重命名等,支持网络共享操作以及对可移动磁盘的操作。记录用户的计算机操作行为,给事后追查提供依据。

 

2.防泄密软件的安全性

 

    1)密钥的安全性:

 

    加密文件的安全由算法和密钥来保证。加密算法一般都是采用国际流行的安全性高的算法,这些算法都是公开的,所以确切的说加密算法的安全性真正依赖的是密钥。

 

    防泄密软件的密钥是否安全应该解决以下问题:

 

    a)要保证不能够搭建出两套一样的软件环境,也就是要保证不同企业能有不同的加密密钥,确保不同的企业即使安装相同的加密软件,也无法打开彼此加密的文件。

 

    b)要保证厂商即使获取到密文也无法解密。很多防泄密软件,企业无法自己设置密钥。厂商拿到了密文后,只要根据软件本身的特征就可以进行破解,这样子的防泄密软件形同虚设,无法真正的保护企业的信息安全。

 

    c)如果密钥泄露,要有补救的措施,比如说密钥能够了支持更改,这样密钥泄密了,企业可以方便的更换。

 

    2)泄密途径的管控

 

    泄密途径控制的好坏,是选择防泄密软件的一个重要考查点。

 

    企业信息经常通过以下渠道被泄露:

 

    a)移动存储介质复制,如U盘、移动硬盘等;

 

    b)利用系统截图工具将相关的文档信息通过QQ、MSN、E-mail等各种网络工具向外传输内部重要信息文档;

 

    c)通过打印机将文档打印带走;

 

    d)通过虚拟打印机转换后带走;

 

    防泄密软件必须对泄密的途径进行管理,禁止终端使用指定的设备,包括USB存储设备限制、光盘驱动器限制、软盘驱动器限制和打印机限制。

 

    虚拟打印机是目前企业中比较重要的输出设备,但是由于虚拟打印机支持大部分的格式文件,是信息安全的重大威胁。防泄密软件除了需要对常规的泄密途径进行管控外,也必须对虚拟打印机进行管控:禁止虚拟打印机或者即使使用虚拟打印机,也是以密文的形式。

 

3.防泄密软件的功能完备性

 

    企业办公信息化,防泄密需求不断的扩大。功能单一的产品注定要被淘汰。对于防泄密产品,需要具备以下的几个功能:

 

    1)解密方案是否完整:

 

    文档因为业务来往需要发送给客户时,就需要员工向管理人员进行申请审批解密。这就要求加密软件应该提供完备灵活的审批流程,支持各种形式的审批,如支持大文件审批、支持目录审批等,从而不影响工作的效率。

 

    2)离线方案是否完整

 

    完整的离线方案应该具备以下三种形式:

 

    a)短期离线方案:在指定的时间内,即使没有与服务端联通,终端也能正常工作。主要用于当服务器生网络故障时,终端还是正常工作的缓冲时间。另外对于使用笔记本电脑工作的员工,方便员工晚上回家或者周末在家也能正常加解密文件,不需要额外的操作。

 

    b)长期离线方案:主要用于员工带电脑出差的情况。即在规定的时间内,终端可以正常工作,超过时间,将无法打开加密文档。

 

    c)永久离线:主要运用于脱离总部,长期或永久在外面使用的电脑,一般是分公司或办事处。使用离线终端,可保证总部与分部之间的资料都是加密的,可以互相访问,又可以控制分部的资料。