企業如何正確挑選加密軟體

標籤：使用   檔案   資料   問題   sp   代碼   c   工作   管理   

 在測試了好多市場上的加密軟體後，感覺各有優勢吧！兩類產品設計理念和功能迥異，都處在不斷的發展和互相借鑒中。需要特別指出的是，大多數客戶對於資料防泄密產品的選擇往往不夠重視，將其和普通的軟體產品等同對待。而事實上，資料防泄密項目和現有的公司資訊系統密切相關，並非簡單的加密一些檔案或者硬碟了事。從這幾年的應用情況看，資料防泄密項目想要實施成功，除了選擇合適自身的產品外，更加需要客戶的重視和配合，其難度不亞於ＥＲＰ項目。在不甚瞭解的情況下，倉促的選擇產品並實施，項目失敗率幾乎就是１００％。這樣的反面案例數不勝數。

    下面簡單講述一下兩者的區別： 

    檔案透明加密的設計思路是基於windows的檔案系統（過濾）驅動（IFS）技術，工作在windows的核心層。我們 在安裝電腦硬體時，經常要安裝其驅動，如印表機、隨身碟的驅動。檔案系統驅動就是把檔案作為一種裝置來處 理的一種虛擬驅動。當應用程式對某種尾碼檔案進行操作時，檔案驅動會監控到程式的操作，並改變其操作方式 ，當使用者在開啟或編輯指定檔案時，系統將自動對加密的資料進行解密，讓使用者看到的是明文。儲存資料的 時候，系統自動對資料進行加密，儲存的是密文。而沒有許可權的人，無法讀取保密資料，從而達到資料保密的效 果。 

    優點：針對小型的辦公檔案，例如一些簡單的報表、word等檔案處理時效果較好，而且很直觀，效率高。 

    缺點：針對開發行業較為吃力，因為有加密的過程，所以會影響原程式處理速度，而且當程式或者系統因不 穩定而造成程式崩潰時，加密過程沒有做完，最終檔案無法被識別，這就是俗稱的破壞檔案。 

 

    環境加密的主要功能是給員工搭建一個工作模式，這個模式我們稱作是沙箱模式。將所有與工作有關的資料全部放在沙箱模式中，員工必須進入沙箱模式才能開啟機密資料。進入沙箱模式之後，他的所有可以泄密的操作，比如檔案上傳、隨身碟、外接電腦、複製粘貼、郵件、CD燒錄、截屏、列印、上傳、盜走硬碟、重做系統等等，都是受限制的。如果想拿出檔案，必須走審批次程序。員工如果不進入沙箱模式，那麼沙箱模式下的所有保密檔案都是無法查看訪問的，同樣也不可以訪問伺服器。沙箱是個容器，把涉密軟體，檔案扔到 容器中加密。而這個容器是透明的，使用者感覺不到它的存在。採用最先進的磁碟過濾驅動，檔案過濾驅動，網路過濾驅動等核心級縱深加密防泄密技術，每個模組只做自己最擅長的那塊，所以非常穩定。沒有進入沙箱模 式的人與進入加密模式的人區分與兩個空間，相互隔絕，所以不用擔心泄密。 

    優點：不綁定程式、檔案，不區分檔案大小，不影響速度，不影響上網，任何檔案落地即加密，對系統採取只進不出的限制（原始碼開發性質的防泄密用此類產品效果最佳）。 

    缺點：軟體功能龐大，安裝部署時較為複雜。需要在乙方工作人員協助下實施安裝才能很快上手，且實施後維護非常安逸。 

 

    在和著名加密廠商深信達公司的領導人李經理的討論中，李經理也對兩種加密產品與影響做出一些具體的分析：

 

  項目風險分為以下幾種：

1.資料加密後被破解的風險

文檔加密是對應用軟體進行控制，產生的文檔在儲存時被寫入密鑰，但該密文在裝有加密產品用戶端的電腦上被開啟時，加密軟體會先對密文自動解密，然後才能正常開啟，也就是說，該加密檔案，在記憶體中依然是明文存在的，可以通過“讀記憶體”直接提取明文，繞過加密，安全層級較低；環境加密採用整體防護，非法外出的檔案才會被加密，如果要破解，唯一的方式就是暴力破解，其難度相當大，安全層級高。

2.對人員使用習慣的改變

使用習慣改變越小，意味著項目推進的阻力越少。不管哪類產品，一旦上線，必然會導致員工以往的行為受到約束。比如，以往可以隨便用ｑｑ外發檔案，現在無法發送或者發送出去的都是密文。在這一點上，文檔加密產品對人員使用習慣的改變較小，員工可以自由的發送非加密性質的檔案，優於整體防護類產品，但同時帶來的風險也較大，有可能員工會將敏感性資料偽造成非加密性質檔案。但無論哪類產品，員工都必須按照設定的方式重新規範自身行為，這點需要企業自上而下的推動。

3.資料的損毀幾率

加密就要解密，也必然存在加密和解密失敗的風險，由此產生的結果就是資料損毀，極大影響員工的日常工作，導致系統無法上線。在這點上，整體防護類產品要遠優於文檔加密類，因為文檔加密對資料有直接和頻繁的加解密處理，資料損毀率很高，整體防護類產品的加密在資料轉送邊界

處進行，對資料本身不做處理，損毀率很小。從以往的項目經驗看，損壞資料幾乎已經成為文檔加密產品的代名詞和無法逾越的瓶頸（尤其是終端環境複雜的研發製造型企業裡），而整體防護類產品不會出現此類情況。

4.應用系統升級風險

前面提到過文檔加密是通過控制軟體來加密，必然會涉及到軟體版本的問題，例如：某一文檔加密軟體現在可以支援到WORD2010，將來微軟新推出了WORD2012，這時候必須要開發商將WORD2012添加為受控軟體才可以實現加密，使用者可能還要為此不斷升級而增加一系列的費用；而環境加密不存在此類風險。

5.管理制度變更風險

管理制度變更風險指資料保密系統上線後，企業的管理制度和流程出現一定的變化，此時，資料保密系統必然要隨之進行一定的調整。如果不能快速和有條理的完成調整工作，將會對企業正常的管理和生產秩序造成極大幹擾。文檔加密產品只能以“文檔“為主要管理維度，和管理制度之間並無直接對應關係。當制度改變時，需要同時熟悉文檔加密系統和管理流程的人員進行調整，該調整並無標準步驟和過程，存在很大的操作風險。整體防護類產品基於“資料風險管理體系“的設計理念與企業的管理流程密切相關，任何一條資料保密策略必然對應著一條顯性或隱形的管理制度。比如外發郵件時的黑白名單管理、是否加密控制就和企業的外發管理制度完全符合。當企業管理制度和流程發生改變時，只需要找到對應的策略並進行修改，就可以完整相應的調整工作，簡單快速。

6.產品下線風險

下線風險指企業在某些因素的推動下，需要卸載資料保密系統並恢複到系統上線前狀態時面臨的風險。

對於文檔加密產品來說，加密資料以單個加密檔案的形式散落在內網的各個終端上，取消資料加密對業務系統造成的幹擾並恢複資料將是一個及其複雜和漫長的過程。企業需要付出的下線成本不亞於上線成本。這使得企業的應用資訊完系統完全被加密系統“挾持“，成為一個潛在的巨大風險，可能會在不遠的將來讓企業付出沉重代價。

對於整體防護類產品，所有資料在沒有任何受控策略下，都會以明文形式傳輸和應用，管理員可以隨時通過刪除”資料出口“處的加密策略，迅速消除加密體系對原有資訊體系的影響，下線風險極低。

 

通過以上6點對比，基本可以得出結論，對於大中型研發製造型企業來說，整體防護類產品的理念更為適用。歸根結底，整體防護類產品更看重與現有資訊系統和管理制度的匹配與融合，文檔加密類產品更看重對操作者使用習慣的影響和改變，因此，環境加密需要企業做出一定的投入和讓步來確保防泄密系統的順利上線，但是一旦上線以後，運行將更為順暢，後期管理和維護更為容易；檔案加密更符合目前客戶對於加密產品的普遍看法”不泄露資料，不影響工作“，但潛在的風險很大；環境加密更像是個系統，檔案加密更像個軟體，環境加密更適合於大中型企業的整體管理需求，檔案加密更適合於小規模企業的快速應用。

以上分析主要基於兩類產品的設計理念，但好的理念未必會真正附諸實現，所以，考察廠家的實力和案例非常的重要，具體案例是否屬實，應用環境如何，需要更多的實地考察和交流。

企業如何正確挑選加密軟體