現(xiàn)在很多單位都有自己的商業(yè)機密，并且通常都是存儲在單位員工的電腦上，如何保護這些電腦文件的安全，防止電腦文件泄密就成為當前企業(yè)網(wǎng)絡管理的一個重要方面。但是，目前業(yè)內(nèi)電腦文件防泄密系統(tǒng)很多，如何選擇合適的電腦文件防泄密系統(tǒng)呢？筆者以為，筆者經(jīng)過自己的親身實踐，并結(jié)合多年的相關(guān)經(jīng)驗，總結(jié)如下，供大家參考選擇。

1.防泄密軟件的設(shè)計思路

信息時代的高速發(fā)展，泄密形式越來越多樣化，單單只是對外置接口進行禁用已經(jīng)遠遠無法滿足企業(yè)的信息保護要求。防泄密軟件應站在時代的前端，依據(jù)“事前主動防御、事中全程控制、事后有據(jù)可查”的設(shè)計理念，從源頭保護企業(yè)的信息安全，為企業(yè)提供一體化的信息安全解決方案。即使泄密事件無可必免的發(fā)生了，也能夠為企業(yè)提供有用的數(shù)據(jù)以供調(diào)查，將企業(yè)的損失降到最低。

事前主動防御：文件在創(chuàng)建、編輯、保存時自動加密 ，能保證存放在硬盤上的文件是密文，防止主動泄密。指定類型的文件能自動備份，防止惡意刪除。

事中全程控制：對信息泄密的各種途徑都做了有效控制，比如：剪切板加密、禁止OLE、禁止打印、禁止截屏等，同時只有受保護的程序才能讀取密文。

事后有據(jù)可查：能詳細記錄文件的各種操作行為，包括新建、編輯、打開、復制、刪除、重命名等，支持網(wǎng)絡共享操作以及對可移動磁盤的操作。記錄用戶的計算機操作行為，給事后追查提供依據(jù)。

2.防泄密軟件的安全性

1)密鑰的安全性：

加密文件的安全由算法和密鑰來保證。加密算法一般都是采用國際流行的安全性高的算法，這些算法都是公開的，所以確切的說加密算法的安全性真正依賴的是密鑰。
防泄密軟件的密鑰是否安全應該解決以下問題：
a)要保證不能夠搭建出兩套一樣的軟件環(huán)境，也就是要保證不同企業(yè)能有不同的加密密鑰，確保不同的企業(yè)即使安裝相同的加密軟件，也無法打開彼此加密的文件。
b)要保證廠商即使獲取到密文也無法解密。很多防泄密軟件，企業(yè)無法自己設(shè)置密鑰。廠商拿到了密文后，只要根據(jù)軟件本身的特征就可以進行破解，這樣子的防泄密軟件形同虛設(shè)，無法真正的保護企業(yè)的信息安全。
c)如果密鑰泄露，要有補救的措施，比如說密鑰能夠了支持更改，這樣密鑰泄密了，企業(yè)可以方便的更換。

2)泄密途徑的管控

泄密途徑控制的好壞，是選擇防泄密軟件的一個重要考查點。

企業(yè)信息經(jīng)常通過以下渠道被泄露：

a)移動存儲介質(zhì)復制，如U盤、移動硬盤等；

b)利用系統(tǒng)截圖工具將相關(guān)的文檔信息通過QQ、MSN、E-mail等各種網(wǎng)絡工具向外傳輸內(nèi)部重要信息文檔；

c)通過打印機將文檔打印帶走；

d)通過虛擬打印機轉(zhuǎn)換后帶走；
……
防泄密軟件必須對泄密的途徑進行管理，禁止終端使用指定的設(shè)備，包括USB存儲設(shè)備限制、光盤驅(qū)動器限制、軟盤驅(qū)動器限制和打印機限制。

虛擬打印機是目前企業(yè)中比較重要的輸出設(shè)備，但是由于虛擬打印機支持大部分的格式文件，是信息安全的重大威脅。防泄密軟件除了需要對常規(guī)的泄密途徑進行管控外，也必須對虛擬打印機進行管控：禁止虛擬打印機或者即使使用虛擬打印機，也是以密文的形式。

3.防泄密軟件的功能完備性

企業(yè)辦公信息化，防泄密需求不斷的擴大。功能單一的產(chǎn)品注定要被淘汰。對于防泄密產(chǎn)品，需要具備以下的幾個功能：

1)解密方案是否完整

文檔因為業(yè)務來往需要發(fā)送給客戶時，就需要員工向管理人員進行申請審批解密。這就要求加密軟件應該提供完備靈活的審批流程，支持各種形式的審批，如支持大文件審批、支持目錄審批等，從而不影響工作的效率。

2)離線方案是否完整

完整的離線方案應該具備以下三種形式:

a)短期離線方案：在指定的時間內(nèi)，即使沒有與服務端聯(lián)通，終端也能正常工作。主要用于當服務器生網(wǎng)絡故障時，終端還是正常工作的緩沖時間。另外對于使用筆記本電腦工作的員工，方便員工晚上回家或者周末在家也能正常加解密文件，不需要額外的操作。

b)長期離線方案：主要用于員工帶電腦出差的情況。即在規(guī)定的時間內(nèi)，終端可以正常工作，超過時間，將無法打開加密文檔。

c)永久離線：主要運用于脫離總部，長期或永久在外面使用的電腦，一般是分公司或辦事處。使用離線終端，可保證總部與分部之間的資料都是加密的，可以互相訪問，又可以控制分部的資料。

3)是否支持未定義的軟件加密

防泄密軟件一般都會支持市面上大部份圖檔編輯應用程序，但市面上的圖檔編輯應用程序在不斷地推陳出新中。所以防泄密軟件是否提供自定義受控程序添加的功能，是測試人員應該要考查的一個方面。

4)外發(fā)方案是否完整

企業(yè)經(jīng)常需要與外界進行數(shù)據(jù)交互，這些數(shù)據(jù)可能會涉及企業(yè)內(nèi)部核心信息，可是這些文件必須以明文的形式發(fā)出，這樣一來，企業(yè)對發(fā)出的數(shù)據(jù)就失去了控制。防泄密軟件需要對脫離公司環(huán)境的外發(fā)文件進行權(quán)限的設(shè)置，如限制閱讀的時效、次數(shù)、閱讀的權(quán)限或只允許在一臺電腦上打開等，從而有效地提高文件安全性。

5)設(shè)備限制方案是否完整

防泄密產(chǎn)品最基本的功能是對設(shè)備的限制：是否可以禁止終端使用指定設(shè)備，包括打印機限制和驅(qū)動器限制、USB存儲設(shè)備是否有認證功能等。對USB存儲設(shè)備的認證功能是在禁止所有USB存儲設(shè)備使用的情況下，允許指定分組使用指定的USB存儲設(shè)備，未經(jīng)過認證的USB存儲設(shè)備將不被識別。

4.防泄密軟件的性能

防泄密軟件在操作系統(tǒng)內(nèi)核上處理文件，肯定多少都會影響操作系統(tǒng)的運行速度，因此，良好的穩(wěn)定性和加密速度又成為了防泄密軟件必需考慮的因素。安裝防泄密軟件后，電腦是否出現(xiàn)藍屏、死機等現(xiàn)象是考察此類軟件穩(wěn)定性的重要依據(jù)。此外，隨著windows操作系統(tǒng)的不斷升級，加密軟件能否兼容windows7和64位操作系統(tǒng)，是否具備更廣泛的兼容性也將成為購買此類軟件的一個重要指標。

圖：大勢至電腦文件防泄漏軟件

目前，國內(nèi)有一款“大勢至電腦文件防泄密系統(tǒng)”（下載地址：http://www.grabsun.com/monitorusb.html），在電腦安裝完畢之后，就可以完全禁止U盤使用、禁用USB存儲設(shè)備的使用。同時，還可以禁止網(wǎng)盤上傳、禁止微信發(fā)送文件、禁止qq發(fā)送文件、禁止郵件附件上傳電腦文件等，以及禁止論壇上傳文件、禁止藍牙發(fā)送文件、禁止網(wǎng)線直連拷貝電腦文件、禁止電腦共享文件、禁止電腦隨意安裝軟件、禁止電腦運行程序等，全面保護電腦文件安全，防止各種途徑泄密的行為。

同時，本系統(tǒng)還可以禁止電腦開機按F8進入安全模式、禁止光驅(qū)啟動電腦、禁止U盤啟動電腦、禁止PE盤啟動電腦等，防止各種試圖繞過系統(tǒng)監(jiān)控，拷貝電腦文件的行為。

此外，本系統(tǒng)操作簡單，所有功能點點鼠標就可以啟用，是當前國內(nèi)操作最簡單的局域網(wǎng)數(shù)據(jù)安全管理系統(tǒng)、計算機文件安全管理軟件。有興趣的網(wǎng)友可以下載使用。

最新評論