文檔加密兩大技術
不論是行業的龍頭企業,還是正在快速成長中的企業,談到核心商業機密的保護時,都對文檔加密保護這壹技術非常重視。目前在國內有壹定影響力的文檔加密產品的研發廠家有十幾家之多,但許多企業在了解了各種加密產品以後遲遲不能下定決心選型; 有些企業即使采購了某種產品,在部署、落實時卻遇到了難題。要分析造成這種現狀的原因,還得從目前加密產品的技術特點說起。現有的文件加密產品可以分成兩大技術派別,即: 內核加密技術和文檔權限管理技術兩大類。
●內核加密技術
內核加密技術是在文件存取時截獲磁盤I/O請求,對文檔進行加密、解密處理。這樣的技術需要靠判斷文件類別來決定是否加密,也就是說對壹種類型的文檔,如文本文檔或電子表格文檔,要麽都加密,要麽都不加密。其主要優點是文件加密、解密透明,使用者不需做額外的操作,同時,部署和內部使用也方便。
這種技術的優點也導致了它在使用時的局限性,加密文檔在內部使用時沒有權限的區分,敏感信息和非敏感信息等同對待,這樣降低了非敏感信息的跨組織使用、傳播效率,同時也不能對敏感信息精確授權訪問進行控制。基於這種技術的產品,適合在小的企業或者大企業的某個核心部門使用,如果在壹個規模很大的企業使用,它對工作效率(主要是和外部進行文檔交互時)的負面影響將成為最大障礙。
●文檔權限管理類加密技術
文檔權限管理類加密技術要和它所支持的應用(如: Office系列,CAD、PROE、PDF)做緊密的結合,在使用文檔權限加密支持的應用時,進行文件的加密、解密處理,系統在打開文件時根據授權確定使用者的只讀、可打印、可編輯等權限。與前壹種技術相比,這種技術不是對壹類文檔進行加密,而是對需要加密的文檔進行加密。其優點是,非敏感信息可以不加密,使用和傳播過程中的效率不受影響; 對於加密的敏感信息,又可根據使用人的崗位,確定其是否有查看、打印、編輯等權限。這種技術的優點同樣也造成了它的缺點,每個文檔的使用權限都需要人來判斷和手工授權,使用煩瑣是壹方面的問題,更大的難點是員工如何判斷壹個文檔是否該加密?對其他人該授什麽樣的權限?在部署和落實這類加密產品前,對文檔的密級劃分、對員工的培訓是必要的前提。這種技術產品適合安全管理水平達到壹定高度的企業使用。
另外,還可以配合使用數字權限管理技術,對各類電子文檔的內容進行權限管理,靈活設置用戶使用電子文檔的權限(包括: 閱讀、打印、保存、另存為、閱讀時間、打印次數等)。
安全管理與加密技術兩手抓
很多企業壹開始考慮文件加密時都想找到壹個集內核加密技術的方便性、易用性和文檔權限管理技術的靈活性於壹身的好產品,遺憾的是魚和熊掌不可兼得。兩種產品的技術實現方式決定了它們在使用中的種種優點和缺點。那麽在這種難以兩全的現實面前,企業該怎麽選擇產品呢?以下幾點是需要重點考慮的問題:
●企業文化和執行力
內核加密的文檔是全部加密的,員工沒有選擇權利,其計算機上產生的文檔全部屬於公司。
●企業規模和需要部署的範圍
企業內部不同的事業部或者部門之間文檔也需要相互保密。企業不同部門文檔的敏感程度也不壹樣。根據企業規模和部門的情況,應設置適當的文件解密崗位,負責與外部交流文件的解密處理。對重要的紙質文檔要做好保存、借閱、復印、使用方面的管控機制,防止商業秘密通過紙質方式泄露出去。
●企業和合作夥伴的聯系
設計者應明確有多少部門要和外部交互文檔?這些文檔中敏感信息和非敏感信息的比例是多少?兩種加密技術對於外出的文檔都需要人工解密或者授權,否則妳的合作夥伴是不能使用的。
●企業安全管理的水平
管理水平的考核包括: 是否大家都能正確判斷哪些文檔該加密?什麽人該有什麽樣的權限?文件加密產品和企業的應用系統或者管理流程怎樣結合?
●員工素質和信息安全意識
有多少員工不具備按要求使用加密軟件的能力?員工是否願意按要求加密文件?是否能建立相關的審計和監控機制?這些問題都應落實。
加密軟件僅僅是個工具,在企業核心機密保護方面安全管理更為重要。沒有好的管理思路,工具的長期、有效使用和落實的目標是無法實現的。兩類加密軟件都可以防止拷屏,防止將加密信息拷貝並粘貼到非加密文檔中,但什麽技術可以防止拍照呢?又有什麽手段可以防止人記下看到的信息呢?在企業中,核心機密不僅僅存在電子文檔中,還存在紙面文檔中以及人的大腦中。紙面的信息和人腦中的信息泄密問題是無法靠技術產品解決的,這些更多地要求從管理方面想對策。
鏈接
保密新品:“隱形郵件”
據悉,由美國紐約壹家公司推出的“隱形郵件”於今年年初投入使用。采用該公司的隱形郵件系統,郵件被閱讀過後馬上消失得無影無蹤,不會在終端和服務器上留下任何痕跡,因而可以保護那些極其敏感的商業信息。系統在處理郵件時,會把發信人、收信人的姓名和發信日期從郵件正文中分離出來,使得三者與正文無法同時顯示,所以郵件在外人看來毫無意義。而且郵件也不能被轉發、編輯或者保存,甚至無法像普通郵件壹樣打印。
針對屏幕捕捉,該系統也進行了防護,無論是發信人還是收信人都無法用鍵盤上的“打印屏幕”鍵捕獲完整郵件的截圖。 其次,這種即時的隱形郵件壹經發送後將被置於系統緩存中。收信人閱讀郵件的同時,郵件將被從系統緩存中清除。