文章

目前行业通用的防泄密手段有哪些?

“防泄密”时至今日正在成为各行各业都重点关注的一个信息安全问题。传统信息安全思想一般是重点防范外部人员的攻击,衍生的产品有防火墙、漏洞扫描等。但是,随着职场道德问题频发,防范内部工作人员的泄密等问题正在成为越来越多企业关注的问题。比如近期的:特斯拉代码泄密,大疆无人机代码泄密,B站代码被员工上传到Github上等,这样的案例多到几乎可以脱口而出。所以我们今天聊聊,目前行业内为了防范敏感资料泄密,都有哪些手段,以及各个方案的优缺点。

加密软件
说到防泄密,那么大家首先想到的对策就是加密。加密软件的确是现在比较通用的防泄密手段。注意,这里的加密软件不是指对文件、文件夹进行单机加密的小工具,而是指企业级的透明加密软件。这类软件工作原理是用户保存文件时自动加密,打开文件时自动解密,也就是说加解密的过程对于用户来说是透明、无感知的,一定程度上不会影响用户习惯。但是当用户将文件拷贝到U盘带走,或者用QQ发送给别人,那么外部是打不开这个软件的。理论上看上去这个方案是比较完美的,但是缺点是会较严重的影响用户习惯,尤其对于一些需要频繁将文件和外部进行收发的场合。所以此类软件一般运用在一些有图纸的机械制造加工,设计类的行业。如果只是使用常规Office软件进行办公,那么一般不大用得到。

数据防泄漏(DLP)
数据防泄漏软件其实是一个比较宽泛的概念,首先来讲无论是国内还是国外,此类软件的功能以及技术都不可一概而论。但是我们基本上还是可以归纳总结几个基本点
1.支持对敏感内容的识别
支持对Word、Excel、PDF、图片等常见文件格式的内容识别。前面的几个文本格式还好说,图片OCR就是考验真功夫的一个技术点了。一般需要对识别精确度、速度、性能等进行多维度考量。

2.支持对风险行为进行拦截
支持对文件的外发行为进行拦截,比如通过QQ、电子邮件等途径外发,以及将文件上传到网盘等。这里要注意的是,很多DLP软件的拦截处理只是在Shell层面做的,而不是协议层面的识别、拦截。

3.支持事后审计、告警
所有存在泄密风险的行为进行审计和告警。这个通常不是核心问题,因为前面两者如果在技术层面都实现了,那么后者只是逻辑上的处理。

其他
除此之外,还有一些其他的防泄密手段供参考。这些技术、手段通常都被集成到了DLP、加密软件等产品里。比如:屏幕水印、打印水印、防截屏、文档外发管控等。

文档加密软件几种选型参考

很多企业、个人出于数据保密、防范泄密的目的,都会选择使用文档加密软件。文档加密软件有很多种类型,每种软件实现的效果和适合使用的场景也不一样,下面我们就简单介绍一下文档加密软件的几种类型,以及如何选型使用。

普通文档(文件夹)加密软件
这种软件使用场景非常有限,更多是一些个人软件开发者或者小的工作室研发的。这类软件没有严谨的学术理论做支撑,一般用于对保密性没那么严格的文档进行保护。这里我们不做过多探讨,参考产品有:文件夹加密大师、超级加密等。

磁盘加密
磁盘加密其实很常见,Windows Vista专业版以上的版本就内置了Bitlocker。磁盘加密的原理主要是在磁盘驱动中间层加入了一个加密模块。启用后,整个磁盘的数据实际上是被加密的(注意并不是文档被加密,而是文件系统被加密),但是由于加密模块的存在,可以保证系统访问磁盘数据时,数据被动态解密,写入时又动态加密,所以可以起到一个透明、无感知的效果。但是,如果电脑关机后,磁盘带走,那么外部没有密钥是无法打开这个磁盘的。这种磁盘加密的使用场景是,如果磁盘(硬盘、U盘等)丢失,外人是无法获取磁盘内的真实数据。注意:此类软件无法做到防范企业内部人员的泄密。参考产品有:Bitlocker、TrueCrypt(已停止维护)、VeraCrypt(基于TrueCrypt研发)等。

文档透明加密
这类文档加密软件是极具中国特色的产品。严格来说,这类软件也没有严谨的学术理论做支撑,但是处于国内各种各样的职场道德问题,此类软件需求量是非常大的。所以是一种彻彻底底的市场驱动的产品。这类软件与磁盘加密的不同在于,并非是整个磁盘的透明加密,而仅是针对文档的读写行为进行透明加解密。这类软件会有一个授信进程的概念,比如CAD是授信进程编辑dwg图纸文件,读的过程解密,写的过程加密。换成QQ发送dwg文件,那么读取的就是密文。这类软件的主要使用场景就是,防范企业内部人员的泄密。参考产品有:Ping32、绿盾、华途等。

使用Ping32加密CAD图纸

很多设计行业、机械制造加工行业都需要对CAD图纸进行加密,为了不影响使用的便捷性,一般都采用业界主流的透明加密方案,即:用户打开文件时无感知,保存文件时自动加密。Ping32的图纸加密方案也是采用了此技术。

与其他产品不同的是,Ping32预先做了很多加密策略,用户不需要做复杂的配置,可以说是安装即用,非常简单。

开启Ping32的加密功能,需要有加密授权。点击加密策略,选择需要启用加密的软件类型即可。

此外,用户可以根据实际需求,选择其他策略参数,比如是否允许发起解密申请。

下发策略后,我们可以做一个实验,打开CAD软件做一个图纸,然后保存,你会发现,保存的图纸左下角会有一个绿色的盾牌标记,这说明这个文件已经被加密了。此时,无论你把这个文件拷贝到U盘,还是通过电子邮件外发,外部都是无法打开的。

Ping32加密软件的研发厂商是山东安在信息技术有限公司,是一家以研发信息安全类产品及提供相关服务为主营业务的技术驱动型公司。是中国领先的、拥有完全自主知识产权的信息安全产品和服务解决方案专业提供商。总部位于山东省济南市。

Ping32终端安全管理系统3.7.21正式发布

Ping32终端安全管理系统3.7.21正式发布了,本次升级增加了屏幕水印功能,优化了硬件检测逻辑以及实时屏幕性能,也修复了若干bug,优化产品性能。您可以前往下载中心或联系客服获取最新版本。

升级内容

1.增加了屏幕水印功能,对屏幕安全形成闭环管理,进一步提升防泄密支持;

2.优化了实时屏幕性能;

3.优化了硬件检测逻辑以及硬件变更告警功能;

4.优化了NFP中文件变更监控的性能;

5.优化了控制台若干界面,进一步规范统一了界面风格;

6.若干bug的修复。

安装文档

《安装部署Ping32终端安全管理系统》