企业为了保护信息和处理流程的安全,虽然已经采用了反病毒软件、防火墙、入侵检测、身份认证、文件加密等手段,但依然无法阻止电子形式的信息以电子邮件、文件传输、恶意下载等手段从企业中泄漏出去。企业中用户大量使用的U盘、移动硬盘、可写光盘、MP3播放器等移动存储设备,Wi-Fi、蓝牙等网络连接方式,还有笔记本、PDA等移动设备,也都给企业带来了严重的保密数据泄漏威胁。黑客也可以通过各种0Day漏洞,穿透防火墙和反病毒软件的保护,在企业的客户端和服务器装入恶意软件。面对日益严重的信息安全威胁,企业原有的安全方案渐渐显得力不从心。
企业内部人员也是企业保密信息泄漏的一大根源,安全业界从去年开始就逐渐开始重视这一威胁趋势,但因为当前的大部分网络安全技术出发点是解决对外防护的问题,对内防护十分薄弱,企业在制定和实施安全策略之间也有较大的差距。如何才能有效的把安全边界从企业外部扩展到企业内部网络的每一个节点,如何控制企业人员的主动或非主动的泄密行为,如何从源头上保证企业机密信息的安全?企业电子文档保密系统便是一种比较适合的解决方案。
企业电子文档保密系统的定义和分类
通过用户验证、权限管理、数据加密及其他技术手段,对有价值的电子文档进行集中归档、存储和管理,在文档的全生命周期内实现文档内容泄漏保护的安全系统方案,称之为企业电子文档保密系统。
根据各种电子文档保密系统的结构不同,大致可以把它们分成单机版、内部网络版、外部网络版三种类型:
单机版:适合在没有网络数据交换需求的单台计算机上使用,可以保护单台计算机上的保密电子文档在存储、查看、编辑时的安全。
内部网络版:适合在与外部网络物理隔离的内部网络上使用,一般使用单台或多台中间服务器作为保密电子文档的存储服务器,客户端上只能按权限执行查看、编辑等操作,不在本地存储保密电子文档。
外部网络版:适合于有通过互联网进行远程访问需求的大型企业用户,除了包含内部网络版的所有功能外,外部网络版还可以根据用户的使用环境和网络环境,增加更强的传输加密、双因素认证、更具体的权限管理等功能。
企业电子文档保密系统的组成
市面上生产企业电子文档保密系统的厂商众多,各厂商的产品也各有自己的特色和功能上的侧重。但从产品功能实现的角度来分析,可以分成以下的功能模块:
加密模块:加密模块是企业文档保密系统的核心功能模块,为用户提供本地存储加密、传输加密等功能,根据使用算法不同,有的产品还通过本模块提供数字签名功能。
认证授权模块:认证模块提供用户的身份认证和用户管理功能,市面上的文档保密产品大多支持密码、域集成验证、设备认证、生物认证等多种认证方法。授权模块允许管理员或用户通过系统内置或自定义的访问规则,对用户对保密文件的访问进行控制。通常访问控制可以按照访问用户、访问类型来控制,有的功能比较强的产品还增加了按时间、按次数等更细致的访问控制方法。
文档处理支持模块:文档处理支持模块实现电子文档保密系统和文档处理软件的无缝连接功能,支持文档类型的多少和保密文档进入保密系统存储之前是否需要进行格式转换,是衡量电子文档保密系统功能是否完善、使用是否方便的重要指标。
其他功能模块:键盘记录防护、截屏防护、禁用USB存储设备等功能都属于这个模块。这些功能虽然不是企业电子文档保密系统必须具备的功能,但作为各产品的特色功能,也从一定程度上增强了产品的功能和用户信息的安全性。