企業電子文檔防泄密產品選型分析

盧亦俊

【摘 要】隨著信息化的高速發展，企業核心數據泄密的風險也愈來愈大，越來越多的企業考慮部署電子文檔防泄密產品來防止泄密事件的發生。本文就企業如何選擇電子文檔防泄密產品做了一些分析。

【關鍵詞】電子文檔防泄密；透明加密

0 引言

如今社會已步入信息化時代，企業的核心信息如研發資料、設計圖紙、客戶資料等均以電子文檔形式存在。這些信息數據對企業來說是最寶貴的財產，一旦發生數據泄密將會給企業造成巨大損失，嚴重影響企業的發展。越來越多的企業意識到保護核心機密信息的重要性，開始考慮采用電子文檔防泄密產品對企業的核心數據實施保護。電子文檔防泄密產品在技術上采用先進的加密算法對文檔數據進行加密，加密后的文檔在企業內部可以正常使用，在企業外部則由于沒有文檔的密鑰，無法解析文檔的加密數據，從而達到對重要數據進行保護的目的。

1 電子文檔保護的方式

造成企業數據泄露的原因很多，如黑客、木馬、病毒等的入侵、員工泄密、員工拷貝帶走數據、存儲設備丟失、外部惡意竊密等。目前，針對電子文檔的保護主要有數據封鎖和數據透明加密兩種方式。兩種方式各有利弊，相對來說，自動透明加解密的方式較好。

1.1 封鎖數據

封鎖數據信息主要采用隔離內外網、禁用USB接口、給機箱上鎖等措施來防范數據泄密。這些措施的使用給員工工作會造成一些不便，大大降低了企業的運行效率，雖然也有一定的效果，但卻并沒有給企業帶來真正的安全，泄密事件很容易發生。

1.2 透明加密數據

所謂透明，是指使用者在打開或編輯指定文檔時，系統將自動對未加密的文檔進行加密，對已加密的文檔自動解密，計算機的使用者又覺察不到，一旦離開使用環境，由于應用程序無法得到自動解密的服務而無法打開，從而起到保護文檔內容的效果。[1]透明加密數據是針對文檔的整個過程進行保護，不存在泄密風險，也能對文檔內容的操作（如復制、剪切等）進行控制，阻隔了泄密的途徑。它可以在保證企業數據安全的前提下，為用戶提供盡可能多的方便性，保證了使用者的工作效率。

2 產品選型

由于透明加密類的產品優勢明顯，這類產品也成為企業解決數據保密問題的首選。但是市場上這類產品種類繁多，導致用戶在選購時感到十分困惑。選購一款適合企業的電子文檔防泄密產品，需要考慮廠商的綜合實力和產品的品質兩方面的情況。要對廠商的情況進行考察，并根據企業的實際情況從產品的穩定性、效率、擴展性、集成性、架構、產品是否滿足業務需要、產品所采用的加密技術等方面考量產品的品質。

2.1 廠商的選擇

應盡量選擇綜合實力強的廠商。實力強的廠商開發出來的產品也要好一些，也才能保證產品以后的更新、升級。廠商要具備相應的資質，如具備《計算機信息系統安全專用產品銷售許可證》、《商用密碼產品銷售許可證》、《涉密信息系統產品檢測證書》等資質，如果用戶是軍工單位還需要廠商具有《軍用信息安全產品認證證書》。廠商應具有各方面服務的能力，首先是實施服務能力，要具有好的實施方法以及項目管理體系，保證項目能夠成功實施；其次是售后服務能力，當產品出現問題后，能及時響應，能在最短的時間內解決問題，不要影響企業的正常運轉。

2.2 產品的穩定性

對產品穩定性的考量，就要看文檔在加密后有沒有破壞及打不開的情況，電腦是否會出現死機、速度慢等現象。不穩定的系統是無法應用的。如果系統使用不安全、不穩定，造成重要文檔數據丟失或無法恢復，將會給企業帶來重大的損失。在產品選型時，不要被加密軟件的各種花哨的功能所迷惑而忽視了產品本身的穩定性。

2.3 產品的效率

電子文檔防泄密產品部署之后，或多或少都會影響系統的性能，因此，產品的效率也是必需考慮的因素。效率與安全是一對相反的量，對于使用者來說，在保證安全的前提下，應該選擇效率高的產品。

要重點考察安裝電子文檔防泄密產品后，受控軟件打開或保存數據時會不會增加時長，有沒有耗用計算機太多的性能，會不會占用太多的網絡帶寬。另外，好的產品要具有良好的易用性，不改變或較少改變用戶的使用習慣，不增加用戶的工作量，界面友好，操作簡單。

2.4 產品的擴展性

企業在選擇產品的過程中，不能只考慮當時的效果，還要考慮到產品的擴展性，要便于維護和升級。隨著企業不斷的發展，企業的加密需求是不斷變化的，這就需要電子文檔防泄密產品能根據應用環境的變化靈活地設置要保護的文檔格式和關聯的應用程序。

2.5 產品的集成性

為了滿足企業全面數據保護的需求，也要考察產品能否有效地與各種管理系統（如ERP、CRM、PDM等）或硬件（如數控機床等）的集成配合。對于與ERP的集成，需要導出的文檔能自動加密，ERP能讀取加密過的文檔，并保證系統正常運行；對于與數控機床的集成，要能實現加密的文檔在輸送到數控機床的過程中自動解密。

2.6 產品的架構

電子文檔防泄密產品的架構主要有C/S 架構和C/S、B/S 混合架構兩種方式。客戶端基本上都是C/S 架構。管理端如果采用了B/S 架構，則管理員就可以在各客戶端進行管理操作，而不必非要在安裝了管理端的電腦上進行管理操作，這將大大提高管理的效率，給管理員帶來很大的方便。相對C/S 架構來講，C/S、B/S 混合架構在系統的擴展性、易用性和便利性方面存在較多優勢[2]。所以應優先考慮選用C/S、B/S混合架構的產品。

2.7 產品是否滿足業務的需要

產品應具有完備的功能，要能滿足企業各種業務的需要。業務簡單一點的企業，主要涉及企業內部各終端的應用、與外界的數據交流以及終端的離線運用三大方面；部門復雜，業務復雜的企業，可能就需要根據部門及層級的不同，部署不同的密級，給予不同的權限。企業需要根據自己的實際情況及以后的發展綜合考慮。

企業經常需要與外界進行數據交互，這些文件必須以明文的形式發出，這樣一來，企業對發出的數據就失去了控制。這就要求防泄密產品應該提供完備靈活的審批流程，支持各種形式的審批，同時需要對外發的文件進行權限的設置，如限制閱讀的時效、次數、權限等。

產品的離線方案應完整，要能針對對突發狀況、短期外出工作、長期在外工作等情況，設置不同的策略，比如可采取短期離線、限時離線和永久離線等策略。短期離線策略主要針對突發狀況，終端未能連接服務器（如網絡故障），終端也能正常工作。限時離線策略通過設置終端離線后可以正常工作的時間，來控制終端的使用，主要用于員工攜帶電腦外出工作的需要。永久離線策略主要適用于電腦長期或永久在外面使用的特殊情況。

2.8 產品采用的加密技術

市場上存在基于應用層和驅動層的兩種數據加密技術。應用層透明加密需要針對每種應用程序的每個版本進行開發，以后企業的應用軟件如果有變化，就會受制于廠商。

驅動層透明加密技術工作在windows的內核層，所有加密過程均從系統底層來完成，并且兼顧了系統各層面的協調性，加解密效率高，控制靈活，運行更加穩定。用戶可根據自己的需求添加加密格式及應用軟件，不受廠商的制約。這種加密技術已成為成為透明加密的主流技術，所以應盡量選用采用驅動層透明加密技術的產品。

3 結語

在信息技術迅猛發展的今天，保護好核心數據成為了企業面臨的重大問題，選擇一款電子文檔防泄密產品來為企業的數據信息保駕護航成為眾多現代企業的重要任務。電子文檔防泄密產品的選型不能簡單看看功能，還必須結合企業自身的實際情況和需求，找出關鍵點，并以此為依據，才能選出一款合格的、適合自身的產品。

【參考文獻】

[1]周道明，錢魯鋒，王路路.透明加密技術研究[J].信息網絡安全，2011（12）：54-56.

[2]杭州恒興洛克.文檔加密類產品的選擇[J].信息安全與通信保密，2008（6）：37-38.