商业调查发现,内部机密泄露 80%是由电子资料的泄露造成的
国内常见内网数据安全加密产品
政府、企业或组织对内网安全的重视由来已久,特别是近几年,随着企业无纸化、电子化办公的普及,造成内部信息泄漏的实现更容易。商业调查发现,内部机密泄露 80%是由电子资料的泄露造成的,一些机密性的材料,电子文档轻易的就可以通过电子邮件或移动硬盘等途径泄密到网络外部。因此,内网信息安全已日趋成为众多企业关心的焦点。内网安全领域的产品,发展到现在,总共有5类,而且,这5类产品目前在市场上共存:
国内常见内网数据安全加密产品
目前市场上数据安全产品分为以下几类:
1、 一般资料加密产品(如:Word、WinZip自带的设置密码)
2、 安全文件夹类加密产品(如:安科Strongbox)
3、 “防水墙”类加密产品 [通常我们称之为第一代权限控制产品]
4、 格式转换类加密产品 [通常我们称之为第二代权限控制产品]
5、 安全域控制类加密产品(如:安科coffer disk)[通常我们称之为第三代权限控制产品]
数据安全产品功能分析
一、一般资料加密产品
例如,winrar,WinZip或是office自带的加密功能。
优点:
具备初级防范能力,此功能往往附带于应用软件中,无需额外开销。
缺点:
安全性能不佳,容易被破解,无法控制内部传播泄密,且操作麻烦。用户每次使用都需要设置或者输入密码,不同文件需要设置不同密码,操作烦琐容易忘记密码。
二、安全文件夹类加密产品
优点:
安全性能强,一般采用AES128位加密,为军方所采用加密方式。使用方便,自动加解密,用户只需记住登陆口令即可。
缺点:
仍旧属于初级安全产品,并需要额外采购。适用个人用户。同样无法控制内部传播泄密,只要获得登录口令,直接可以通过复制、网络等方式获得,而且无用户登录日志记录,无法在数据丢失后查询。
三、“防水墙”类加密产品
优点:
作为第一代权限控制产品,引入了内网管理防止内部资料外泄概念。功能众多,有详细日志审计功能,能达到事后审计功能。
缺点:
a) 采用被动式安全控制,无法彻底控制内部资料外泄。防水墙采取的是封堵I/O端口的策略,其安全的首要条件是管理员需要实时在位监控终端操作,且终端所有出口必须全部堵死,形成相对封闭空间,达到防止数据外泄功能。但是用户完全可能通过自制RS232转USB等特别途径逃避控制、外泄数据。
b) 涉密资料一旦向外传播即自动解密,无法继续进行安全控制。
c) 布置成本过高,需要添置额外服务器,还需增加专业管理员,实时监控终端行为,修改终端安全策略,否则难以达到安全效果;
d) 对于客户端用户,使用平台后很多功能将无法应用,因为平台处于相对封闭环境,封闭用户端口,在用户正常使用造成诸多不便;
e) 对于管理员而言,虽然它提供许多安全策略供选择使用,但需在安全性和客户端灵活应用性上进行艰难的选择,二者无法兼顾。(下一页)
内网安全加密产品对比
四、格式转换类安全产品优点:
优点:
作为第二代权限控制产品,进一步拓展了各种权限功能,内部用户间可以交互涉密资料
缺点:
a)设置权限后,同类文档将全部被加密,内容无法与外界用户交流。如需发送任何资料到外部,都必须由管理员解密,导致外传资料无法进行任何安全控制
b)布置成本较高,需额外增加控制服务器,且管理员为每台电脑配置安全策略非常复杂,很容易产生安全隐患。
c)对于用户而言,需要改变诸多软件的使用习惯,导致操作不便。且策略改变繁琐,用户只有在线状态下才能打开被加密的文档。而要设置离线状态,必须在线由管理员设置。复杂且极其不便,不但增加用户与管理员的负担,且对工作场所(必须能够连接公司内部网络)限制较大。
d) 对于管理员技术要求较高,如果配置不当,极易造成安全隐患。
五、安全域控制(安科cofferdisk)[第三代权限控制产品]
作为第三代权限控制产品,其研发是建立在对第一、二代权限控制产品充分研究的前提下研制的。所以在很大程度上,避免了第一、二代权限控制产品的缺点。
a)保留I/O端口、网络控制功能,并且可以在初次安装时根据需要选择为使能或者禁止。
B)能够真正意义上做到即使文档向外传播也可以进行安全控制,彻底防止文件外泄。(对于安全域外的电脑,coffer disk独有的辅助生成器功能能够充分做到安全与方便兼顾,防止其它用户将资料外泄。)
b)产品不需增加额外服务器等设备,也不需专职管理员,安装、使用方便。
六、产品对比表:
|
一般加密类 |
安全文件夹类 |
“防水墙”类 |
格式转换类 |
安全域控制类 |
描述 |
设置文件访问密码 |
建立虚拟安全分区,加密存储数据 |
封闭物理接口,监控实时数据 |
配置控制服务器,变更使用软件格式 |
封闭端口,设置安全区域自动加解密 |
安全等级 |
低 |
中 |
较高 |
高 |
很高 |
分权限管理 |
- |
- |
Y |
Y |
Y |
内部数据防护 |
- |
- |
Y |
Y |
Y |
外部数据防护 |
Y |
Y |
Y |
Y |
Y |
内部数据安全交换 |
- |
- |
- |
难 |
易 |
外部数据安全交换 |
- |
- |
- |
- |
Y |
添加额外设备 |
- |
- |
需要 |
需要 |
- |
专业操作人员维护 |
- |
- |
Y |
Y |
- |
改变使用习惯 |
- |
- |
Y |
Y |
仅在保护模式下有所改变 |
网友评论