华夏经纬信息防泄密软件选型报告.pdf

信息防泄密软件选型报告 企业管理咨询公司、市场研究公司，具有典型的数据密集型、 知识密集型之特点。随着互联网的高速发展，信息流动（信息获 取、信息泄密）的形式越来越多样化，获取有价值的数据信息已成 为各类攻击者的主要目标。 依靠传统的边界防护措施已无法完全保护华夏经纬内部的数据 资产安全，加强数据资产自身安全迫在眉睫。为积极有效维护我集 团内部数据资产安全，数据部在去年年底就已着手集团数据安全规 划与建设工作，经过对数据加密软件厂商的摸底、考察、测试等前 期准备工作，现简报如下。 一、防泄密软件的安全性 1、防泄密软件的设计思想  事前主动防御：文件在创建、编辑、保存时自动加密，能保 证存放在硬盘上的文件是密文，防止主动泄密。指定类型的 文件能自动备份，防止恶意删除。  事中全程控制：对信息泄密的各种途径都做了有效控制，比 如：剪切板加密、禁止OLE、禁止打印、禁止截屏等，同时 只有受保护的程序才能读取密文。  事后有据可查：能详细记录文件的各种操作行为，包括新 建、编辑、打开、复制、删除、重命名等，支持网络共享操 作以及对可移动磁盘的操作。记录用户的计算机操作行为， 广州华夏经纬市场调查有限公司 1 给事后追查提供依据。 2、密钥的安全性 加密文件的安全由算法和密钥来保证。加密算法一般都是采用 国际流行的安全性高的算法，这些算法都是公开的，所以确切的说 加密算法的安全性真正依赖的是密钥。 防泄密软件的密钥是否安全应该解决以下问题： 要保证不能够搭建出两套一样的软件环境，也就是要保证不同 企业能有不同的加密密钥，确保不同的企业即使安装相同的加密软 件，也无法打开彼此加密的文件。 要保证厂商即使获取到密文也无法解密。很多防泄密软件，企 业无法自己设置密钥。厂商拿到了密文后，只要根据软件本身的特 征就可以进行破解，这样子的防泄密软件形同虚设，无法真正的保 护企业的信息安全。 如果密钥泄露，要有补救的措施，比如说密钥能够了支持更 改，这样密钥泄密了，企业可以方便的更换。 3、泄密途径的管控 泄密途径控制的好坏，是考察防泄密软件的一个重点。 企业信息经常通过以下渠道被泄露：  移动存储介质复制，如U 盘、移动硬盘等；  利用系统截图工具将相关的文档信息发出；  通过QQ、MSN、E-mail 等网络工具向外输送内部重要信息；  通过打印机将文档打印带走； 广州华夏经纬市场调查有限公司 2  通过虚拟打印机转换后泄密； 防泄密软件必须对泄密的途径进行管理，禁止终端使用指定的 设备，包括USB 存储设备限制、光盘驱动器限制、软盘驱动器限制 和打印机限制。 虚拟打印机是目前企业中比较重要的输出设备，但是由于虚拟 打印机支持大部分的格式文件，是信息安全的重大威胁。防泄密软 件除了需要对常规的泄密途径进行管控外，也必须对虚拟打印机进 行管控：禁止虚拟打印机或者即使使用虚拟打印机，也是以密文的 形式。 二、数据防泄露主要手段 1、数据加密  可对不同的用户定义不同的密级，高密级用户可以打开低密 级用户产生的文档，反之禁止。高密级用户可以选择文档进 行降级操作。  可用解密工具对需要的文档进行批量的手工解密和加密，且 在服务端记录。 2、权限控制  对于光驱、软驱、USB 存储(包括 U 盘和移动硬盘)的权限 控制，可选择正常、只读、禁用 3 种状态。  可禁用红外、蓝牙、手机同步，可禁止打印，可禁止互联 网，可禁止截屏，可禁止客户端访问其他计算机的共享文 档。 广州华夏经纬市场调查有限公司 3 3、行为控制  可以支持文件加密状态下授权流转、授权文件可以设置不同