山丽网安谈析数据防泄漏十大必备功能总结篇

       在《山丽网安谈析数据防泄漏十大必备功能》系列文章中，讲述了研发类机构、跨国公司、机械制造、政府机构、国际贸易等不同行业，不同发展阶段，不同规模的企业在部署数据防泄漏方案的需求重点。真正有效的数据防泄漏方案是针对企业实际需求的个性化方案。而在这些不同的需求背后，是否有一些共同点呢？山丽网安在近十年的信息安全行业摸索中，统计出多数企业会选择的数据加/密软件十大功能。《山丽网安谈析数据防泄漏十大必备功能》系列文章应运而生！下面就对这十大功能的背景与应用进行分析，作为该系列的总结篇！

       概述

       在过去的一年中，全球 98.2％的计算机用户使用杀毒软件；90.7％设有防火墙；75.1％使用反间谍程序的软件。但却有 83.7％的用户遭遇过至少一次病毒、蠕虫或木马攻击事件；79.5％遭遇至少一次间谍程序攻击事件。据国家计算机信息安全测评中心数据显示：由于内部重要机密通过网络泄漏而造成经济损失的单位中，重要资料被黑客窃取和被内部员工泄漏的比例为：1：99。这是来自于国家计算机信息安全测评中心的一个数据，据调查显示，互联网接入单位由于内部重要机密通过网络泄漏而造成重大损失的事件中，只有 1%是被黑客窃取造成的，而 99%都是由于内部员工有意或无意的一些泄/密行为所导致的。

       企业信息安全综合分析

       根据《山丽网安谈析数据防泄漏十大必备功能》系列文章的总结分析，来自企业内部的信息安全威胁主要有以下几类：

• 当窃取者通过用户的日常操作，在用户对文档手动加密的过程中进行数据获取。有些高端的窃取者会在用户使用内存或者调用临时文件时对文档进行截取。
• 窃取者通过公共账户，对使用者系统默认账户进行密码破/解等方式对计算机进行非法操作，窃/取重要数据。
• 在一些中大型企业在日常工作中，不同的部门互相独立，形成金字塔模式的管理，如果只是由统一的高层进行文件的审批工作，对文件的使用以及保护都会产生很大的漏洞。
• 在烧录活动的常规操作中，需要对加密文件进行解//密操作，这时的文件为明文，即任意用户可阅览拷贝。在这个工程中文件的安全性就产生了隐患。
• 内部员工通过磁盘复制、打印或者非法拨号外联等方式将只允许在内网使用的数据泄漏到公司外部。
• 公司内部共享文件需要外发给客户时，审批流程复杂，权责不明导致无法透明高效率地监督整个工作流程。
• 内部员工在工作时间浏览无关的网站，下载与工作无关的软件等行为，导致恶意程序在内网横行，阻塞正常网络运行。
• 应用系统（OA等业务系统）等与数据加/密软件结合使用，在原来基础上的系统管理已经有一些瓶颈出现，叠加加/密软件的防护，造成加密电子文件在流通共享时出现了一些审批管理冗繁的现象，降低了企业整体工作效率。
• 目前办公内网所使用的监控和审计系统，虽然提供了网络控制功能，但其重点是对网络数据进行记录和审计，因此并不能很好地阻止公司信息安全外泄事件的发生。一旦发生信息安全事件，对于公司造成的损失，此类系统的安全防护作用有限。
• 使用数据加/密软件来对敏感数据进行保护的方式已经被众多企业用户认同并采纳。但是这类数据加/密软件主要实现计算机数据的加/密，对于其网络、计算机、用户的管理不灵活，而且内网资源众多，需要分别进行权限的设置，管理难度大。尤其当用户权限发生频繁更换的时候，容易造成信息安全漏洞，不利于公司内部信息安全管理。

       上述这些风险分析可以看出数据在使用、传输、存储过程中容易出现信息安全隐患。这些安全威胁不是防火墙、入侵检测和防病毒等传统手段所能解决的。山丽网安呼吁广大企业用户应该看到信息安全要立足于终端，从源头抓起，才能从根本上解决信息安全问题，与应用系统紧密结合，才能做到有的放矢。

       山丽网安数据防泄漏“秘笈”

       透明加/密

       在企业中，信息大多以电子文档的形式存在。在信息安全行业大致分为两种模式保护企业重要数据的安全。一种是由外及里，封堵各种可能的文档传播渠道，一种是由里及外，对文档本身进行强制加/密，这也是目前企业普遍使用的透明加/密。

       透明/加密对企业重要文档本身进行强制加/密，有一种以不变应万变的味道，这也许就是众多企业对其趋之若鹜的原因之一。山丽网安的透明加/密使企业的重要文档随时处于加/密状态，同时不影响用户的使用习惯，在不知不觉中保护信息安全。另外很重要的一点是山丽网安的透明加/密可以对外发文档的安全进行良好的管理。企业数据防泄漏不可能仅仅局限于企业内网。随着信息经济的发展，企业与外界的沟通将日益网络化，企业内外间的线上交流是必不可少的。山丽网安的透明加/密通过对外发文档的访问权限进行严格的控制，以保证企业重要信息不会轻易被泄露。

       对于透明加/密，山丽网安认为除了以上说的几点外，离线权限控制以及分级别分区域的权限控制也非常重要，加/密应该充分考虑到各种应用情况，提供各种场合下的解决方案。

       登录管理

       登录管理是山丽网安数据加/密软件的特色管理模块之一。不同的登录方式针对文档的安全管理及外带安全的问题有不同的解决策略。应对不同的用户群体，针对不同的用户实际需要形成不同的登录方式。如：应用于企业的机密计算机，安全级别高的计算机采用强制登录方式，计算机开机完毕后自动锁屏并跳出登录界面，形成使用必先登录的操作方式。同样，应用于企业低等级的计算机，采用触发登录或者手动登录等方式，在用户需要对文件进行加/密情况下，酌情的手动登录加/密系统，对文件进行加/密操作。

       登录方式与用户使用习惯相结合，大大方便用户使用的过程中，保证文件的安全性。使软件的使用方式更加多变，适应各种企业用户，不同阶层用户的各种需要。

       审批管理

       加/密和审批是紧紧相连的，是无法分开的。企业不应该注重加密方式，被企业忽略的那一点往往给企业管理带来严重的困扰。山丽网安以审批管理为着重点，帮助企业如何选择适用于自己企业的审批管理模式，来保障企业的信息安全。

       在山丽网安的解/密审批中，选择性更多的是审批流程。客户可以选择一种适合自己的审批文件的流程，深入自身的业务，帮助企业搭建一个更为高效、科学的企业信息安全管理体系。

       标准审批流程和多级审批流程带来的审批效果让企业的审批流程更加灵活，选择方式更多。有加/密就有解密，一般企业客户往往只在意如何加/密，却都忽略了解/密审批也是重要的一点。山丽网安的审批，给客户带来的不一样的体验！

       审批流

       山丽网安在自身的审批管理中添加了审批流的技术创新概念。将公司业务流程如同生产流水线般针对工作需求进行审批管理，这是信息安全行业的独创！

       山丽网安在数据加/密软件产品设计上增加了平行审批、单线审批、全线审批和提审4大功能。在处理公司员工外发或者解/密的申请要求时，部门负责人会同时收到审批申请。这里就体现了平行的概念。而全线审批则是突出企业对于公司内部信息安全的要求高的特点。每一个审批流必须全部通过方可解/密审批通过。

       山丽网安坚持：客户的需求就是山丽网安的追求！4大全新功能的多级审批流程让企业用户在管理上更加人性化！

       外发控制

       山丽网安的外发控制将内部保护和外发保护无缝结合，构建了一个全方位的文件权限系统。文档口令设置、打开次数、累计时间、打印权限和环境设置5大功能设置构成了外发控制模块。

       企业利用5大功能设置将公司收集来的融合自身创意的重要资料整理，发送给自己的客户，限制客户在设定的条件下了解发送文件的内容，随后该文件就以密文的状态保存。如此加/密保护，令双方都不再担忧信息安全问题。

       密级管理

       保护企业的信息安全很大程序上可以说就是保护企业的重要文档的安全。文档是企业办公的基础，也是各种信息安全保护手段的中心。

       山丽网安通过对文档设定密级“机密”，“秘密”，“内部”，实现对文档的密级管理，满足平级关系、上下级关系文档权限管理，可以实现对企业标准化文件的精细化管理，可以实现特定的标准化文件只能在特定的服务器上只读，不能下载到本地读取等功能。

       外设管理

       企业的许多IT设备，尤其是存储设备如移动硬盘、光驱、刻录机等，都属于可能的信息泄漏渠道，而且现在新设备每隔一段时间就会更新，这对企业的信息安全带来很大的风险，因此对这些通道必须进行严格控制。

       对于这些外设，有很多是企业正常工作非常用性设备，有一些甚至极少用到，因此可以对这部分设备的使用进行禁止，如有需要可临时开放权限。企业用户在对这一功能进行选择时有两点需要特别注意，一是管控设备的种类宜多多益善，并具备灵活的扩展性；二是管控的粒度宜精细，不仅仅采取一刀切的方式，对所有设备统一允许或者禁止。

       山丽网安的外设管理可对存储设备、通讯接口设备、USB设备、网络设备及任何新增外设进行控制，而在设备识别上山丽网安也能做到精细化管理，比如对于USB设备，可以识别出USB鼠标与USB移动存储，灵活方便。

       软件烧录

       数控是一系列自动化公司采用烧录的方式对大型机器进行程序控制。而在这当中就产生了信息安全的隐患性问题。现在市场上的很多公司应对烧录功能无从下手，而山丽网安应对这类公司的实际需要，对烧录有了管控。

       大部分公司应对烧录时会先对文件程序进行解/密，然后由烧录程序烧录到机器当中。在这个烧录环节中，解/密的明文程序存在于计算机上，这对信息安全问题有了很大的考验。山丽网安针对在烧录过程中进行解/密，密文不被解/密，直接在使用烧录程序烧录的工程中解/密，避免文件解/密的隐患。

       山丽网安特有的管理模块大量应用于自动化设备行业、数控设备行业、高精尖设备制造行业和机电设备制造行业。

       上网行为管理

       许多企业都存在工作时间炒股、玩游戏、聊天、BT下载、浏览网页等现象，从办公效果上说，这种状况会降低企业的工作效率，因为工作时间分配与企业网络流量分配不合理。而更可怕是，滥用网络与系统资源还可能将暗藏于互联网的安全隐患带入企业网络内，威胁系统信息安全。

       这种情况下山丽网安的上网行为管理模块首先可以严格管理使用这些程序的终端，其次对进行详细的操作审计，记录通信内容，通信时间等信息，一方面从心理上产生一定的威慑力，一方面当出现问题时可以随时进行查询。另外企业管理层对不同的用户可以设置不同的管控策略，比如企业为防止员工上班时间访问股票类网站而设置禁止策略，但是对于因工作原因需要临时查看与股票相关信息的同事，则可灵活授予其访问权限。

       山丽网安寄语

       对于电信、金融、石化等众多行业开始对数据防泄漏产生了越来越多的需求，这些行业用户对数据加/密软件产品和技术的需求也有很大的不同。这也是山丽网安推出《山丽网安谈析数据防泄漏十大必备功能》系列的初衷。这些行业用户普遍具有信息化能力强、保密意识及水平较高、信息安全体系建设趋于完善以及法律法规健全等特点。山丽网安更多注重业务连续保障能力及持续安全服务的能力，为高端行业用户提供企业级应用及服务支撑能力！

• 非法用户“进不来”
• 网络行为“有规则”
• 有效信息“拿不走”
• 涉密信息“读不懂”
• 非法行为“跑不了"

       可以说，山丽网安结合由操作审计、权限管控及文档加/密组成的整体数据防泄漏方案已经得到了多数企业的认可。可以想象，未来随着新技术的发展，企业将要面临的网络环境会越来越复杂，国家及行业相关法律法规的颁布及推行的范围也会越来越广泛，国内的信息安全行业标准已呼之欲出，行业的格局也即将被重新划分及调整。

       《山丽网安谈析数据防泄漏十大必备功能》系列文章一经发布，得到国内多家媒体的争相报道，同时众多企业用户纷纷致电表示对“数据防泄漏功能系列”十分关注和赞同，其中大部分企业用户已经与山丽网安进入实质的业务合作阶段。能否为企业提供完整、长远、切实可行的信息安全服务，才是山丽网安最在意的问题。客户的需求就是山丽网安的追求!

       敬请期待后续系列的推出！