加密软件和防泄密软件选型的几个建议.docxVIP

PAGE 1 PAGE 1 加密软件和防泄密软件选型的几个建议  随着企业对信息防泄密的需求越来越大，市场上出现了各种各样的文档防泄密软件，加之目前国内行业标准尚未建立，导致很多用户在选购此类产品时感到非常困惑。那么，如何才能选择到一款称心如意的防泄密软件呢？这里参考一些厂家供应的文档并结合自己的经验，供应一些建议供大家参考。  　　1.防泄密软件的设计思想  　　信息时代的高速发展，泄密形式越来越多样化，单单只是对外置接口进行禁用已经远远无法满意企业的信息保护要求。防泄密软件应站在时代的前端，依据“事前主动防备、事中全程掌握、事后有据可查”的设计理念，从源头保护企业的信息安全，为企业供应一体化的信息安全解决方案。即使泄密事件无可必免的发生了，也能够为企业供应有用的数据以供调查，将企业的损失降到最低。  　　事前主动防备：文件在创建、编辑、保存时自动加密，能保证存放在硬盘上的文件是密文，防止主动泄密。指定类型的文件能自动备份，防止恶意删除。  　　事中全程掌握：对信息泄密的各种途径都做了有效掌握，比如：剪切板加密、禁止OLE、禁止打印、禁止截屏等，同时只有受保护的程序才能读取密文。  　　事后有据可查：能具体记录文件的各种操作行为，包括新建、编辑、打开、复制、删除、重命名等，支持网络共享操作以及对可移动磁盘的操作。记录用户的计算机操作行为，给事后追查供应依据。  　　2.防泄密软件的安全性  　　1)密钥的安全性  　　加密文件的安全由算法和密钥来保证。加密算法一般都是采用国际流行的安全性高的算法，这些算法都是公开的，所以准确的说加密算法的安全性真正依靠的是密钥。  　　防泄密软件的密钥是否安全应当解决以下问题： 要保证不能够搭建出两套一样的软件环境，也就是要保证不同企业能有不同的加密密钥，确保不同的企业即使安装相同的加密软件，也无法打开彼此加密的文件。要保证厂商即使获取到密文也无法解密。许多防泄密软件，企业无法自己设置密钥。厂商拿到了密文后，只要依据软件本身的特征就可以进行破解，这样子的防泄密软件形同虚设，无法真正的保护企业的信息安全。假如密钥泄露，要有补救的措施，比如说密钥能够了支持更改，这样密钥泄密了，企业可以便利的更换。 　　2)泄密途径的管控 　　泄密途径掌握的好坏，是选择防泄密软件的一个重要考查点。  　　企业信息经常通过以下渠道被泄露： 移动存储介质复制，如U盘、移动硬盘等；利用系统截图工具将相关的文档信息通过QQ、MSN、E-mail等各种网络工具向外传输内部重要信息文档；通过打印机将文档打印带走；通过虚拟打印机转换后带走； 　　防泄密软件必需对泄密的途径进行管理，禁止终端使用指定的设备，包括USB存储设备限制、光盘驱动器限制、软盘驱动器限制和打印机限制。 　　虚拟打印机是目前企业中比较重要的输出设备，但是由于虚拟打印机支持大部分的格式文件，是信息安全的重大威逼。防泄密软件除了需要对常规的泄密途径进行管控外，也必需对虚拟打印机进行管控：禁止虚拟打印机或者即使使用虚拟打印机，也是以密文的形式。  　　3.防泄密软件的功能完备性  　　企业办公信息化，防泄密需求不断的扩大。功能单一的产品注定要被淘汰。对于防泄密产品，需要具备以下的几个功能：  　　1)解密方案是否完整  　　文档因为业务来往需要发送给客户时，就需要员工向管理人员进行申请审批解密。这就要求加密软件应当供应完备敏捷的审批流程，支持各种形式的审批，如支持大文件审批、支持目录审批等，从而不影响工作的效率。  　　2)离线方案是否完整  　　完整的离线方案应当具备以下三种形式: 短期离线方案：在指定的时间内，即使没有与服务端联通，终端也能正常工作。主要用于当服务器生网络故障时，终端还是正常工作的缓冲时间。另外对于使用笔记本电脑工作的员工，便利员工晚上回家或者周末在家也能正常加解密文件，不需要额外的操作。长期离线方案：主要用于员工带电脑出差的状况。即在规定的时间内，终端可以正常工作，超过时间，将无法打开加密文档。永久离线：主要运用于脱离总部，长期或永久在外面使用的电脑，一般是分公司或办事处。使用离线终端，可保证总部与分部之间的资料都是加密的，可以相互访问，又可以掌握分部的资料。 　　3)是否支持未定义的软件加密 　　防泄密软件一般都会支持市面上大部份图档编辑应用程序，但市面上的图档编辑应用程序在不断地推陈出新中。所以防泄密软件是否供应自定义受控程序添加的功能，是测试人员应当要考查的一个方面。  　　4)外发方案是否完整  　　企业经常需要与外界进行数