現(xiàn)在很多單位都有自己的商業(yè)機(jī)密，并且通常都是存儲(chǔ)在單位員工的電腦上，如何保護(hù)這些電腦文件的安全，防止電腦文件泄密就成為當(dāng)前企業(yè)網(wǎng)絡(luò)管理的一個(gè)重要方面。但是，目前業(yè)內(nèi)電腦文件防泄密系統(tǒng)很多，如何選擇合適的電腦文件防泄密系統(tǒng)呢？筆者以為，筆者經(jīng)過自己的親身實(shí)踐，并結(jié)合多年的相關(guān)經(jīng)驗(yàn)，總結(jié)如下，供大家參考選擇。

1.防泄密軟件的設(shè)計(jì)思路

信息時(shí)代的高速發(fā)展，泄密形式越來越多樣化，單單只是對(duì)外置接口進(jìn)行禁用已經(jīng)遠(yuǎn)遠(yuǎn)無法滿足企業(yè)的信息保護(hù)要求。防泄密軟件應(yīng)站在時(shí)代的前端，依據(jù)“事前主動(dòng)防御、事中全程控制、事后有據(jù)可查”的設(shè)計(jì)理念，從源頭保護(hù)企業(yè)的信息安全，為企業(yè)提供一體化的信息安全解決方案。即使泄密事件無可必免的發(fā)生了，也能夠?yàn)槠髽I(yè)提供有用的數(shù)據(jù)以供調(diào)查，將企業(yè)的損失降到最低。

事前主動(dòng)防御：文件在創(chuàng)建、編輯、保存時(shí)自動(dòng)加密 ，能保證存放在硬盤上的文件是密文，防止主動(dòng)泄密。指定類型的文件能自動(dòng)備份，防止惡意刪除。

事中全程控制：對(duì)信息泄密的各種途徑都做了有效控制，比如：剪切板加密、禁止OLE、禁止打印、禁止截屏等，同時(shí)只有受保護(hù)的程序才能讀取密文。

事后有據(jù)可查：能詳細(xì)記錄文件的各種操作行為，包括新建、編輯、打開、復(fù)制、刪除、重命名等，支持網(wǎng)絡(luò)共享操作以及對(duì)可移動(dòng)磁盤的操作。記錄用戶的計(jì)算機(jī)操作行為，給事后追查提供依據(jù)。

2.防泄密軟件的安全性

1)密鑰的安全性：

加密文件的安全由算法和密鑰來保證。加密算法一般都是采用國(guó)際流行的安全性高的算法，這些算法都是公開的，所以確切的說加密算法的安全性真正依賴的是密鑰。
防泄密軟件的密鑰是否安全應(yīng)該解決以下問題：
a)要保證不能夠搭建出兩套一樣的軟件環(huán)境，也就是要保證不同企業(yè)能有不同的加密密鑰，確保不同的企業(yè)即使安裝相同的加密軟件，也無法打開彼此加密的文件。
b)要保證廠商即使獲取到密文也無法解密。很多防泄密軟件，企業(yè)無法自己設(shè)置密鑰。廠商拿到了密文后，只要根據(jù)軟件本身的特征就可以進(jìn)行破解，這樣子的防泄密軟件形同虛設(shè)，無法真正的保護(hù)企業(yè)的信息安全。
c)如果密鑰泄露，要有補(bǔ)救的措施，比如說密鑰能夠了支持更改，這樣密鑰泄密了，企業(yè)可以方便的更換。

2)泄密途徑的管控

泄密途徑控制的好壞，是選擇防泄密軟件的一個(gè)重要考查點(diǎn)。

企業(yè)信息經(jīng)常通過以下渠道被泄露：

a)移動(dòng)存儲(chǔ)介質(zhì)復(fù)制，如U盤、移動(dòng)硬盤等；

b)利用系統(tǒng)截圖工具將相關(guān)的文檔信息通過QQ、MSN、E-mail等各種網(wǎng)絡(luò)工具向外傳輸內(nèi)部重要信息文檔；

c)通過打印機(jī)將文檔打印帶走；

d)通過虛擬打印機(jī)轉(zhuǎn)換后帶走；
……
防泄密軟件必須對(duì)泄密的途徑進(jìn)行管理，禁止終端使用指定的設(shè)備，包括USB存儲(chǔ)設(shè)備限制、光盤驅(qū)動(dòng)器限制、軟盤驅(qū)動(dòng)器限制和打印機(jī)限制。

虛擬打印機(jī)是目前企業(yè)中比較重要的輸出設(shè)備，但是由于虛擬打印機(jī)支持大部分的格式文件，是信息安全的重大威脅。防泄密軟件除了需要對(duì)常規(guī)的泄密途徑進(jìn)行管控外，也必須對(duì)虛擬打印機(jī)進(jìn)行管控：禁止虛擬打印機(jī)或者即使使用虛擬打印機(jī)，也是以密文的形式。

3.防泄密軟件的功能完備性

企業(yè)辦公信息化，防泄密需求不斷的擴(kuò)大。功能單一的產(chǎn)品注定要被淘汰。對(duì)于防泄密產(chǎn)品，需要具備以下的幾個(gè)功能：

1)解密方案是否完整

文檔因?yàn)闃I(yè)務(wù)來往需要發(fā)送給客戶時(shí)，就需要員工向管理人員進(jìn)行申請(qǐng)審批解密。這就要求加密軟件應(yīng)該提供完備靈活的審批流程，支持各種形式的審批，如支持大文件審批、支持目錄審批等，從而不影響工作的效率。

2)離線方案是否完整

完整的離線方案應(yīng)該具備以下三種形式:

a)短期離線方案：在指定的時(shí)間內(nèi)，即使沒有與服務(wù)端聯(lián)通，終端也能正常工作。主要用于當(dāng)服務(wù)器生網(wǎng)絡(luò)故障時(shí)，終端還是正常工作的緩沖時(shí)間。另外對(duì)于使用筆記本電腦工作的員工，方便員工晚上回家或者周末在家也能正常加解密文件，不需要額外的操作。

b)長(zhǎng)期離線方案：主要用于員工帶電腦出差的情況。即在規(guī)定的時(shí)間內(nèi)，終端可以正常工作，超過時(shí)間，將無法打開加密文檔。

c)永久離線：主要運(yùn)用于脫離總部，長(zhǎng)期或永久在外面使用的電腦，一般是分公司或辦事處。使用離線終端，可保證總部與分部之間的資料都是加密的，可以互相訪問，又可以控制分部的資料。

3)是否支持未定義的軟件加密

防泄密軟件一般都會(huì)支持市面上大部份圖檔編輯應(yīng)用程序，但市面上的圖檔編輯應(yīng)用程序在不斷地推陳出新中。所以防泄密軟件是否提供自定義受控程序添加的功能，是測(cè)試人員應(yīng)該要考查的一個(gè)方面。

4)外發(fā)方案是否完整

企業(yè)經(jīng)常需要與外界進(jìn)行數(shù)據(jù)交互，這些數(shù)據(jù)可能會(huì)涉及企業(yè)內(nèi)部核心信息，可是這些文件必須以明文的形式發(fā)出，這樣一來，企業(yè)對(duì)發(fā)出的數(shù)據(jù)就失去了控制。防泄密軟件需要對(duì)脫離公司環(huán)境的外發(fā)文件進(jìn)行權(quán)限的設(shè)置，如限制閱讀的時(shí)效、次數(shù)、閱讀的權(quán)限或只允許在一臺(tái)電腦上打開等，從而有效地提高文件安全性。

5)設(shè)備限制方案是否完整

防泄密產(chǎn)品最基本的功能是對(duì)設(shè)備的限制：是否可以禁止終端使用指定設(shè)備，包括打印機(jī)限制和驅(qū)動(dòng)器限制、USB存儲(chǔ)設(shè)備是否有認(rèn)證功能等。對(duì)USB存儲(chǔ)設(shè)備的認(rèn)證功能是在禁止所有USB存儲(chǔ)設(shè)備使用的情況下，允許指定分組使用指定的USB存儲(chǔ)設(shè)備，未經(jīng)過認(rèn)證的USB存儲(chǔ)設(shè)備將不被識(shí)別。

4.防泄密軟件的性能

防泄密軟件在操作系統(tǒng)內(nèi)核上處理文件，肯定多少都會(huì)影響操作系統(tǒng)的運(yùn)行速度，因此，良好的穩(wěn)定性和加密速度又成為了防泄密軟件必需考慮的因素。安裝防泄密軟件后，電腦是否出現(xiàn)藍(lán)屏、死機(jī)等現(xiàn)象是考察此類軟件穩(wěn)定性的重要依據(jù)。此外，隨著windows操作系統(tǒng)的不斷升級(jí)，加密軟件能否兼容windows7和64位操作系統(tǒng)，是否具備更廣泛的兼容性也將成為購買此類軟件的一個(gè)重要指標(biāo)。

圖：大勢(shì)至電腦文件防泄漏軟件

目前，國(guó)內(nèi)有一款“大勢(shì)至電腦文件防泄密系統(tǒng)”（下載地址：http://www.grabsun.com/monitorusb.html），在電腦安裝完畢之后，就可以完全禁止U盤使用、禁用USB存儲(chǔ)設(shè)備的使用。同時(shí)，還可以禁止網(wǎng)盤上傳、禁止微信發(fā)送文件、禁止qq發(fā)送文件、禁止郵件附件上傳電腦文件等，以及禁止論壇上傳文件、禁止藍(lán)牙發(fā)送文件、禁止網(wǎng)線直連拷貝電腦文件、禁止電腦共享文件、禁止電腦隨意安裝軟件、禁止電腦運(yùn)行程序等，全面保護(hù)電腦文件安全，防止各種途徑泄密的行為。

同時(shí)，本系統(tǒng)還可以禁止電腦開機(jī)按F8進(jìn)入安全模式、禁止光驅(qū)啟動(dòng)電腦、禁止U盤啟動(dòng)電腦、禁止PE盤啟動(dòng)電腦等，防止各種試圖繞過系統(tǒng)監(jiān)控，拷貝電腦文件的行為。

此外，本系統(tǒng)操作簡(jiǎn)單，所有功能點(diǎn)點(diǎn)鼠標(biāo)就可以啟用，是當(dāng)前國(guó)內(nèi)操作最簡(jiǎn)單的局域網(wǎng)數(shù)據(jù)安全管理系統(tǒng)、計(jì)算機(jī)文件安全管理軟件。有興趣的網(wǎng)友可以下載使用。

最新評(píng)論