数据保密产品发展至今已有差不多有大10个年头,还是处于群雄争霸的地步,也未出现在行业内具有垄断地位的企业。大致上来说,数据防泄密产品分为两类:文档加密类产品(又称透明加密类)和整体防护类(或者称为环境加密)产品。两类产品设计理念和功能迥异,都处在不断的发展和互相借鉴中。需要特别指出的是,大多数客户对于数据防泄密产品的选择往往不够重视,将其和普通的软件产品等同对待。而事实上,数据防泄密项目和现有的企业信息系统密切相关,并非简单的加密一些文件或者硬盘了事。从这几年的应用情况看,数据防泄密项目想要实施成功,除了选择合适自身的产品外,更加需要客户的重视和配合,其难度不亚于ERP项目。在不甚了解的情况下,仓促的选择产品并实施,项目失败率几乎就是100%。这样的反面案例数不胜数。
这里主要结合使用的实际情况,从项目风险的角度分析两类产品在大中型企业中部署时的优缺点,以供参考。
项目风险分为以下几种:
1.数据加密后被破解的风险
文档加密是对应用软件进行控制,生成的文档在保存时被写入密钥,但该密文在装有加密产品客户端的电脑上被打开时,加密软件会先对密文自动解密,然后才能正常打开,也就是说,该加密文件,在内存中依然是明文存在的,可以通过“读内存”直接提取明文,绕过加密,安全级别较低;环境加密采用整体防护,非法外出的文件才会被加密,如果要破解,唯一的方式就是暴力破解,其难度相当大,安全级别高。
2.对人员使用习惯的改变
使用习惯改变越小,意味着项目推进的阻力越少。不管哪类产品,一旦上线,必然会导致员工以往的行为受到约束。比如,以往可以随便用qq外发文件,现在无法发送或者发送出去的都是密文。在这一点上,文档加密产品对人员使用习惯的改变较小,员工可以自由的发送非加密性质的文件,优于整体防护类产品,但同时带来的风险也较大,有可能员工会将敏感数据伪造成非加密性质文件。但无论哪类产品,员工都必须按照设定的方式重新规范自身行为,这点需要企业自上而下的推动。
3.数据的损毁几率
加密就要解密,也必然存在加密和解密失败的风险,由此产生的结果就是数据损毁,极大影响员工的日常工作,导致系统无法上线。在这点上,整体防护类产品要远优于文档加密类,因为文档加密对数据有直接和频繁的加解密处理,数据损毁率很高,整体防护类产品的加密在数据传输边界处进行,对数据本身不做处理,损毁率很小。从以往的项目经验看,损坏数据几乎已经成为文档加密产品的代名词和无法逾越的瓶颈(尤其是终端环境复杂的研发制造型企业里),而整体防护类产品不会出现此类情况。
4.应用系统升级风险
前面提到过文档加密是通过控制软件来加密,必然会涉及到软件版本的问题,例如:某一文档加密软件现在可以支持到WORD2015,将来微软新推出了WORD2016,这时候必须要开发商将WORD2016添加为受控软件才可以实现加密,用户可能还要为此不断升级而增加一系列的费用;而环境加密不存在此类风险。
5.管理制度变更风险
管理制度变更风险指数据保密系统上线后,企业的管理制度和流程出现一定的变化,此时,数据保密系统必然要随之进行一定的调整。如果不能快速和有条理的完成调整工作,将会对企业正常的管理和生产秩序造成极大干扰。文档加密产品只能以“文档“为主要管理维度,和管理制度之间并无直接对应关系。当制度改变时,需要同时熟悉文档加密系统和管理流程的人员进行调整,该调整并无标准步骤和过程,存在很大的操作风险。整体防护类产品基于“数据风险管理体系“的设计理念与企业的管理流程密切相关,任何一条数据保密策略必然对应着一条显性或隐形的管理制度。比如外发邮件时的黑白名单管理、是否加密控制就和企业的外发管理制度完全匹配。当企业管理制度和流程发生改变时,只需要找到对应的策略并进行修改,就可以完整相应的调整工作,简单快速。
6.产品下线风险
下线风险指企业在某些因素的推动下,需要卸载数据保密系统并恢复到系统上线前状态时面临的风险。
对于文档加密产品来说,加密数据以单个加密文件的形式散落在内网的各个终端上,取消数据加密对业务系统造成的干扰并恢复数据将是一个及其复杂和漫长的过程。企业需要付出的下线成本不亚于上线成本。这使得企业的应用信息完系统完全被加密系统“挟持“,成为一个潜在的巨大风险,可能会在不远的将来让企业付出沉重代价。
对于整体防护类产品,所有数据在没有任何受控策略下,都会以明文形式传输和应用,管理员可以随时通过删除”数据出口“处的加密策略,迅速消除加密体系对原有信息体系的影响,下线风险极低。
通过以上6点对比,基本可以得出结论,对于大中型研发制造型企业来说,整体防护类产品的理念更为适用。归根结底,整体防护类产品更看重与现有信息系统和管理制度的匹配与融合,文档加密类产品更看重对操作者使用习惯的影响和改变,因此,前者需要企业做出一定的投入和让步来确保防泄密系统的顺利上线,但是一旦上线以后,运行将更为顺畅,后期管理和维护更为容易;后者更符合目前客户对于加密产品的普遍看法”不泄露数据,不影响工作“,但潜在的风险很大;前者更像是个系统,后者更像个软件,前者更适合于大中型企业的整体管理需求,后者更适合于小规模企业的快速应用。
以上分析主要基于两类产品的设计理念,但好的理念未必会真正附诸实现,所以,考察厂家的实力和案例非常的重要,具体案例是否属实,应用环境如何,需要更多的实地考察和交流。
分享到:
相关推荐
加密程序,使用起来比较方便,但是解压缩会留下痕迹,只要把临时文件夹,清一下就比较安全了;
算法和优缺点。传统的:Fava类文件加密方式有RSA、AES等,但其对加密长度 是有限制的,在一些较为复杂和长数据加密过程中会存在异常的现象,因此,本 文提出了一种分块Java类文件的RSA加密...
采用这种加密方式进行加密,加解密运算可在客户端进行,它的优点是不会加重数据库服务器的负载并且可以实现网上传输的加密,缺点是加密功能会受到一些限制,与数据库管理系统之间的耦合性稍差。 数据库加密系统...
策略,对某几类文件进行透明加密,并且可对多种文件系统进行加密。而EFS 只能对指定文件进行加密,同时只针对NTFs(NTFielSystner)文件系统。同 时,本文指出了系统的不足和需要改进的地方,并提到了改进的方法。
主要优点:透明性。也就是说,安全服务的提供不需要应用程序、其他通信层次和网络部件做任何改动。 主要缺点:网络层一般对属于不同进程和相应条例的包不做区别。对所有去往同一地址的包,它将按照相同的加密密钥和...
通常在路由器上实现 实际上是一种网络的访问控制机制 优点: 实现简单 对用户透明 一个包过滤路由器即可保护整个网络 缺点: 正确制定规则并不容易 不可能引入认证机制 包过滤防火墙只通过简单的规则控制数据流的...
CNS的目标是通过解决其核心缺点,来替代传统域名系统(DNS): 审查制度抵抗确保所有者对域名的永久所有权分散注册分散访问CNS文档可从。入门如果您有兴趣提供或编译/测试智能合约,请参阅我们的。分辨率库可用的域...
9.2.5 隧道模式与透明模式 75 9.3 IPv6安全性头 76 9.3.1 身份验证头 76 9.3.2 封装安全性净荷头 78 第10章 相关的下一代协议 80 10.1 协议的层次 80 10.1.1 应用层 80 10.1.2 传输层 80 10.1.3 链路层 81 10.2 IPv6...
通过对多种空域水印算法优缺点的分析,提出了一种新的空域数字图像水印加入算法。引入了加密、位置双重密钥;采用了非位平面及基于VHS特性的嵌入和相关恢复等方法。实验表明,该方法对一系列的信号处理操作具有较强...
9.2.5 隧道模式与透明模式 75 9.3 IPv6安全性头 76 9.3.1 身份验证头 76 9.3.2 封装安全性净荷头 78 第10章 相关的下一代协议 80 10.1 协议的层次 80 10.1.1 应用层 80 10.1.2 传输层 80 10.1.3 链路层 81 10.2 IPv6...
并在另一台计算机上访问它们加密-导出/备份/同步已加密***功能***-同步到Google云端硬盘-加密-添加/删除/克隆-最小化/最大化-调整大小/双击边缘以调整大小/自动调整大小-背景/文本/边框颜色+透明度-更改字体属性-移...
并在另一台计算机上访问它们SECURE-导出/备份/同步已加密***功能***-同步到Google云端硬盘-加密-添加/删除/克隆-最小化/最大化-调整大小/双击边缘以调整大小/自动调整大小-背景/文本/边框颜色+透明度-更改字体属性-...
区块链和智能合约通过向各方提供安全、透明的数字版本来克服这一缺点。它可以自动执行任务和交易,甚至可以根据存储在其代码中的规则来限制行为。 智能合约应用实例全文共5页,当前为第1页。汽车 智能合约应用实例...
数据包过滤优点: 速度快,性能高 对用户透明 数据包过滤缺点: 维护比较困难(需要对TCP/IP了解) 安全性低(IP欺骗等) 不提供有用的日志,或根本就不提供 不防范数据驱动型攻击 不能根据状态信息进行控制 不能...
IPv6身份验证和安全性 69 9.1 为IP增加安全性 69 9.1.1 安全性目标 69 9.1.2 RFC 1825及建议的更新 70 9.2 IPsec 70 9.2.1 加密和身份验证算法 71 9.2.2 安全性关联 73 9.2.3 密钥管理 74 ...
C#编程经验技巧宝典源代码,目录如下: 第1章 开发环境 1 <br>1.1 Visual Studio开发环境安装与配置 2 <br>0001 安装Visual Studio 2005开发环境须知 2 <br>0002 配置合适的Visual Studio 2005...
(6)表示层:完成数据格式转换以及数据加密、压缩等工作; (7)应用层:是用户访问网络的接口。 请简述TCP/IP协议体系结构参考模型每层的名称和主要功能。 1.网络接口层 2.网络互连层 3.传输层 4.应用层 3.试比较...
开发环境:Supermap Desktop 2003(地图编辑工具),Supermap IS 2003(GIS服务端),ASP+SQL Server 2000(开发语言和数据库环境),IIS 5.0(WEB服务端),AutodeskExpressViewe3.1(Autodesk公司发布的浏览DWF文件的的...
问题2-2:在许多文献中经常见到人们将“模拟”与“仿真”作为同义语。那么,“模拟信道”能否说成是“仿真信道”? 问题2-3:为什么电话信道的标准带宽是3.1 kHz? 问题2-4:奈氏准则和香农公式的主要区别是什么?这...