数据保密产品发展至今大致可分为两类:文档加密类产品和沙盒类(或者称为环境加密)产品。两类产品设计理念和功能迥异。从这几年的应用情况看,数据防泄密项目想要实施成功,除了选择合适自身的产品外,更加需要客户的重视和配合。在不了解产品的情况下,仓促的选择产品并实施,项目失败率几乎就是100%。这样的反面案例数不胜数。 对于沙盒类产品,所有数据在没有任何受控策略下,都会以明文形式传输和应用。下线的时候管理员只需卸载加密软件,迅速消除加密体系对原有信息体系的影响,下线风险极低。 沙盒类安全产品,我个人推荐深信达SDC沙盒对于大中型研发制造型企业来说,整体防护类产品的理念更为适用。归根结底,整体防护类产品更看重与现有信息系统和管理制度的匹配与融合,文档加密类产品更看重对操作者使用习惯的影响和改变,因此,前者需要企业做出一定的投入和让步来确保防泄密系统的顺利上线,但是一旦上线以后,运行将更为顺畅,后期管理和维护更为容易;后者更符合目前客户对于加密产品的普遍看法"不泄露数据,不影响工作",但潜在的风险很大;前者更像是个系统,后者更像个软件,前者更适合于大中型企业的整体管理需求,后者更适合于小规模企业的快速应用。
项目风险分为以下几种:
1.加密文件破解风险
文档加密是对应用软件进行控制,生成的文档在保存时被写入密钥,但该密文在装有加密产品客户端的电脑上被打开时,加密软件会先对密文自动解密,然后才能正常打开,也就是说,该加密文件,在内存中依然是明文存在的,可以通过"读内存"直接提取明文,绕过加密,安全级别较低;沙盒加密采用整体防护,客户端电脑在使用的时候无法将文件拿出沙盒环境,但并不影响本地使用,文件只能在沙盒环境内流转,破解难度相当大,安全级别高。
2.硬件调试风险
现在客户需求越来越多的涉及到硬件调试开发了,包括开发板烧录,app开发等,硬件设备的越来越多也造成了泄密风险的越来越大。文档加密对烧录调试的内容做了加密,如需正常调试的话,必须得解密文件调试,从而造成诸如仿冒硬件设备,调试带走文件等风险。沙盒产品因为接管了整个电脑的文件出口,当需要连接调试的时候,整个过程还是处于保护状态的,调试的文件烧录的文件都会被记录的一清二楚,减小泄密风险。
3.数据损毁风险
加密就要解密,这样就会形成解密失败的风险,就会造成数据损毁,极大影响员工的工作,导致产品无法上线。在这点上,沙盒类产品要远优于文档加密类,文档加密对文件有直接和频繁的加解密处理,数据损毁率较高,环境加密类产品的加密在数据传输边界处进行,对文件本身不做处理,文件不会造成损毁。从以往的项目经验看,文件破坏几乎已经成为文档加密产品的代名词和无法逾越的瓶颈(尤其是终端环境复杂的研发制造型企业里),而环境加密类产品不会出现此类情况。
对于沙盒类产品,所有数据在没有任何受控策略下,都会以明文形式传输和应用。下线的时候管理员只需卸载加密软件,迅速消除加密体系对原有信息体系的影响,下线风险极低。
通过以上对比,基本可以得出结论,对于大中型研发制造型企业来说,整体防护类产品的理念更为适用。归根结底,整体防护类产品更看重与现有信息系统和管理制度的匹配与融合,文档加密类产品更看重对操作者使用习惯的影响和改变,因此,前者需要企业做出一定的投入和让步来确保防泄密系统的顺利上线,但是一旦上线以后,运行将更为顺畅,后期管理和维护更为容易;后者更符合目前客户对于加密产品的普遍看法"不泄露数据,不影响工作",但潜在的风险很大;前者更像是个系统,后者更像个软件,前者更适合于大中型企业的整体管理需求,后者更适合于小规模企业的快速应用。