自2012年“3·15”各類(lèi)企業(yè)信息泄密事件被曝光以來(lái),公眾對(duì)于信息安全問(wèn)題保持了較高的關(guān)注度,也體現(xiàn)了公眾對(duì)現(xiàn)有信息保護(hù)機(jī)制的不信任。對(duì)于國(guó)家、企業(yè)或個(gè)人而言,基本上都是從“意識(shí)、規(guī)范、技術(shù)”這幾方面對(duì)信息泄密進(jìn)行防范。首先是在信息安全風(fēng)險(xiǎn)的防范意識(shí)上,要認(rèn)識(shí)到風(fēng)險(xiǎn)的嚴(yán)峻性,也同時(shí)意識(shí)到這些風(fēng)險(xiǎn)可以通過(guò)對(duì)安全規(guī)
范的遵循、通過(guò)一些技術(shù)手段能夠給予解決。
其次是規(guī)范,目前國(guó)家對(duì)于不同的行業(yè)有分級(jí)保護(hù)、等級(jí)保護(hù)制度,明確了對(duì)系統(tǒng)及管理的安全保護(hù)要求。企業(yè)也有一些合規(guī)性法案要求、在進(jìn)行系統(tǒng)規(guī)劃和建設(shè)的同時(shí),應(yīng)將信息安全的保護(hù)措施作為必要的內(nèi)容進(jìn)行考慮。
最后是技術(shù),當(dāng)前針對(duì)數(shù)據(jù)加密和文檔防泄密保護(hù)、行為審計(jì)等安全問(wèn)題都有一些成熟可用的解決方案,無(wú)論是政府部門(mén)還是企業(yè)都可以采用一些技術(shù)手段來(lái)和管理需求結(jié)合,降低信息安全引發(fā)的風(fēng)險(xiǎn)。
文檔泄密的主要途徑
據(jù)了解,大量文檔信息泄密事件的出現(xiàn)主要有兩方面的原因:首先是大量的信息安全事件,呈現(xiàn)出商業(yè)利益驅(qū)動(dòng)的現(xiàn)象。不論是木馬病毒的黑色產(chǎn)業(yè)鏈,還是銀行系統(tǒng)內(nèi)部人員的儲(chǔ)戶信息主動(dòng)泄密,都有后面的商業(yè)利益驅(qū)動(dòng)。而且隨著商業(yè)環(huán)境競(jìng)爭(zhēng)的日益激烈,這種信息安全的威脅還會(huì)持續(xù)和加劇。
其次,信息泄密在向更加專(zhuān)業(yè)化犯罪的趨勢(shì)發(fā)展。從木馬病毒、釣魚(yú)網(wǎng)站的不斷出現(xiàn),再到運(yùn)營(yíng)商后臺(tái)密碼被攻破,這些灰色事件的背后,都有專(zhuān)業(yè)的人員和組織。這給信息安全防范帶來(lái)更高的要求。
據(jù)時(shí)代億信技術(shù)總監(jiān)李兆豐介紹,信息安全威脅不僅成為困擾個(gè)人隱私保護(hù)和企業(yè)發(fā)展的問(wèn)題,也成為阻礙我國(guó)電子商務(wù)產(chǎn)業(yè)繁榮、云計(jì)算推廣、移動(dòng)互聯(lián)網(wǎng)應(yīng)用的一個(gè)關(guān)鍵問(wèn)題。
根據(jù)時(shí)代億信近年來(lái)的研究結(jié)果顯示,目前文檔泄密的主要途徑有4種:計(jì)算機(jī)上木馬、病毒的惡意竊取;員工對(duì)于網(wǎng)絡(luò)、存儲(chǔ)介質(zhì)的違規(guī)使用;內(nèi)部員工、管理員的主動(dòng)泄密;筆記本電腦、移動(dòng)硬盤(pán)維修、丟失過(guò)程中導(dǎo)致的泄密。
針對(duì)這些泄密的途徑,時(shí)代億信文件盾系列產(chǎn)品采用如下技術(shù)有針對(duì)性地進(jìn)行了解決:通過(guò)對(duì)文檔加密,防止傳輸、存儲(chǔ)過(guò)程中的泄密;在計(jì)算機(jī)上進(jìn)行可信進(jìn)程控制,防止木馬、病毒等的惡意竊取;建立安全的身份識(shí)別機(jī)制,確認(rèn)對(duì)文檔當(dāng)前操作者的身份;對(duì)文檔實(shí)現(xiàn)細(xì)粒度權(quán)限控制,防止內(nèi)部員工的被動(dòng)、主動(dòng)泄密;靈活的離線控制策略,實(shí)現(xiàn)對(duì)文檔脫離網(wǎng)絡(luò)后的控制。
從目前國(guó)內(nèi)文檔安全產(chǎn)品的競(jìng)爭(zhēng)格局來(lái)看,主要有如下三類(lèi):第一類(lèi)是國(guó)外技術(shù)產(chǎn)品,比較典型的是微軟的RMS文檔權(quán)限管理系統(tǒng)以及EMC的Documentum IRM;第二類(lèi)是國(guó)內(nèi)企業(yè)的DRM文檔安全管理系統(tǒng)產(chǎn)品,這里既有進(jìn)入較早的前沿科技、億賽通等專(zhuān)業(yè)廠商產(chǎn)品,也有老牌信息安全廠商像天融信、啟明星辰、中軟、時(shí)代億信等OEM或自主研發(fā)的文檔安全產(chǎn)品;第三類(lèi)是針對(duì)CAD、PDM等設(shè)計(jì)類(lèi)應(yīng)用的專(zhuān)用加密產(chǎn)品。這些大都是專(zhuān)注于CAD應(yīng)用的傳統(tǒng)廠商開(kāi)發(fā)的針對(duì)設(shè)計(jì)軟件的加密產(chǎn)品。
而從目前我國(guó)文檔安全市場(chǎng)的發(fā)展來(lái)看,國(guó)外的產(chǎn)品由于理念、文化的差異,在國(guó)內(nèi)市場(chǎng)的推廣和實(shí)際應(yīng)用效果并不理想。而國(guó)內(nèi)產(chǎn)品更注重國(guó)內(nèi)企業(yè)的企業(yè)文化,更加貼近國(guó)內(nèi)企業(yè)的需求,由國(guó)內(nèi)廠商提出的基于文件透明過(guò)濾驅(qū)動(dòng)實(shí)現(xiàn)的自動(dòng)加解密技術(shù)成為目前市場(chǎng)的主流產(chǎn)品。隨著一些傳統(tǒng)安全廠商進(jìn)入這個(gè)領(lǐng)域后,能夠結(jié)合其在傳統(tǒng)4A安全領(lǐng)域的優(yōu)勢(shì)技術(shù),形成一整套從外到內(nèi)的信息安全整體解決方案,進(jìn)一步推動(dòng)了文檔安全市場(chǎng)的成熟和發(fā)展。
文檔加密技術(shù)的優(yōu)勢(shì)與挑戰(zhàn)
據(jù)李兆豐介紹,目前對(duì)于一般企業(yè)文檔安全的建設(shè),應(yīng)該不單單只是上了一套產(chǎn)品,而是需要建立企業(yè)文檔安全管理的規(guī)范,并且這個(gè)規(guī)范能夠隨著企業(yè)安全需求的變化而變化。評(píng)價(jià)文檔安全建設(shè)是否成功的一個(gè)方面就是所建立的文檔安全管理規(guī)范是否適合企業(yè)。
他說(shuō),企業(yè)安裝使用文件盾產(chǎn)品的主要優(yōu)勢(shì)在于:既可以根據(jù)用戶需求,提供個(gè)性化、模塊化的產(chǎn)品功能,還創(chuàng)新性的實(shí)現(xiàn)了一些主流第三方應(yīng)用的成功集成,幫助企業(yè)建立整體的文檔安全服務(wù)體系。文件盾按照用戶的需求,劃分為自動(dòng)加密(A)、權(quán)限管理(R)、應(yīng)用集成(M)、加密網(wǎng)關(guān)(G)、外發(fā)控制(S)、文件保險(xiǎn)箱(T)等6個(gè)產(chǎn)品型號(hào),既可以獨(dú)立又能結(jié)合使用。特別是在應(yīng)用集成方便,根據(jù)用戶的實(shí)際需求,能夠和主流的門(mén)戶、OA、KM等產(chǎn)品進(jìn)行融合。還創(chuàng)新性的實(shí)現(xiàn)了SVN、虛擬桌面環(huán)境、移動(dòng)終端下的文檔安全保護(hù)。
2011年民生銀行總行成功實(shí)施了文檔安全管理系統(tǒng)。全行裝機(jī)量10萬(wàn)多客戶終端,其門(mén)戶、OA、知識(shí)庫(kù)系統(tǒng)全面和文檔安全進(jìn)行了整合,在一年的時(shí)間里共有加密的文檔300萬(wàn)條,有力的支撐了用戶的信息安全保護(hù)需求。民生銀行最大的特點(diǎn)是把文檔安全系統(tǒng)建設(shè)成為企業(yè)內(nèi)部的文檔安全服務(wù)體系。在后期的建設(shè)過(guò)程中,逐步把SVN服務(wù)器、Citrix虛擬桌面應(yīng)用等一系列應(yīng)用納入文檔安全保護(hù)體系中,實(shí)現(xiàn)了企業(yè)信息安全保護(hù)的可持續(xù)發(fā)展。
文檔加密產(chǎn)品也面臨了一些技術(shù)上的瓶頸。李兆豐認(rèn)為,今后文件盾將主要在兩個(gè)方向上推進(jìn)和優(yōu)化:第一是將在服務(wù)過(guò)程中通過(guò)定制創(chuàng)新所收獲的成功經(jīng)驗(yàn)融入標(biāo)準(zhǔn)的產(chǎn)品化,如SVN服務(wù)端自動(dòng)加解密、IE瀏覽器可信數(shù)據(jù)保護(hù)等特色功能。第二是推進(jìn)對(duì)于移動(dòng)終端設(shè)備上面的文檔安全外延保護(hù)功能的研發(fā),進(jìn)一步提升用戶的使用體驗(yàn)。
越來(lái)越多的中小企業(yè)開(kāi)始重視網(wǎng)絡(luò)化和信息化,對(duì)于未來(lái)中小企業(yè)的信息安全應(yīng)用安全保障,除了自身購(gòu)買(mǎi)一些安全產(chǎn)品之外,未來(lái)隨著云計(jì)算SaaS軟件服務(wù)的推廣應(yīng)用,文檔信息安全會(huì)直接融入到使用的外包服務(wù)當(dāng)中,中小企業(yè)可以以更低的成本享用到更專(zhuān)業(yè)的安全保障。隨著云計(jì)算、移動(dòng)互聯(lián)網(wǎng)、BYOD這些概念、技術(shù)的發(fā)展,信息泄漏的途徑和手段也在不斷地豐富和隱蔽,這就對(duì)文檔安全服務(wù)提供商提出了更多的要求。不能僅關(guān)注于桌面數(shù)據(jù)的安全,還應(yīng)在用戶身份、網(wǎng)絡(luò)接入、終端類(lèi)型PC、筆記本、手機(jī)等移動(dòng)終端等方面有著扎實(shí)的技術(shù)基礎(chǔ),只有這樣才能和企業(yè)緊密合作,共同應(yīng)對(duì)各式各樣復(fù)雜環(huán)境下的信息泄漏。可以說(shuō),這種形勢(shì)下,文檔安全廠商必須具備多元化的研發(fā)能力和創(chuàng)新能力。
