加密软件的选型注意项目复制复制.doc

数据加密软件产品选型注意事项 山丽信息安全 Sanlen Information Security Co., LTD. © 版权全部~ 目 录 目 录 2 1 项目背景必需性 3 1.1 外部信息化现实状况 3 1.2 企业泄密风险 3 1.3 内部本身管理需要 5 1.4市场竞争需要 5 1.5 国家法律监管需要 5 2 加密产品实施过程中碰到问题和阻力和应对方法 6 2.1 产品选型错误 6 2.2 产品安全性不够 6 2.3 内部配套管理不够 7 3 加密产品实施前宣传教育关键和方法 7 版权申明 8 1 项目背景必需性 1.1 外部信息化现实状况 1月16日，中国互联网络信息中心(CNNIC)公布《第29次中国互联网络发展情况统计汇报》(下称汇报)。汇报显示，截至12月底，中国网民规模突破5亿，达成5.13亿。 网民生活、信息交流、办公已经无法离开互联网； 基于网络工作、创新、仿真、制造、管理已经是现代企业生存必需条件。 但因为国际、中国企业之间之间深入加剧、各个国家保护产权创新力度和范围大有不一样，基于个人或企业信息泄密事件时时在发生中…… 其中，超出80%是由内部职员有意或无意地泄漏和破坏引发…… 对IT资产中电脑硬件终端管理，和对电脑硬件里面数据管理成为信息泄密安全管理问题亟待处理两大问题。 信息安全关键是内部信息安全问题，是对内部电脑资源设备管控和电脑资源设备上数据文档管控。 1.2 企业泄密风险 对企业来讲，信息化不停发展，意味着信息安全泄密风险不停增加，分析泄密路径对企业防范安全泄密方法含相关键意义。 可能泄密路径，应该来讲关键包含： ü 服务器上泄密、 ü 工作站泄密、 ü 移动设备泄密、 ü 网络泄密、 ü 输出设备泄密、 ü 用户泄密、 ü 合作单位职员转发泄密等 关键表现形式以下： 服务器泄密： 1、 网络维护人员在进行维护时使用移动硬盘将服务器上资料自备一份。 2、 维护人员知道服务器密码，远程登陆上，将服务器上资料完全拷到当地或自己家里机器上。 工作站泄密： 1、 乘同事不在，开启同事电脑，浏览，复制同事电脑里资料。 2、 内部人员将资料经过软盘、U盘或移动硬盘从电脑中拷出带走。 3、 将笔记本（或台式机）带出管控范围重装系统或安装另外一套系统从而将资料拷走。 4、 将笔记本（或台式机）带出管控范围利用GHOST程序进行资料偷窃。 5、 将笔记本（或台式机）硬盘拆回家偷窃资料，第二天早早来装上。 6、 将办公用便携式电脑直接带回家中。 7、 将笔记本（或台式机）带出管控范围使用光盘开启方法，使用磁盘管理工具将资料完全拷走。 8、 将笔记本（或台式机）硬盘或整机送修，资料被好事者拷走。 9、 电脑易手后，硬盘上资料没有处理，造成泄密。 10、 笔记本（或台式机）遗失或遭窃，里面资料被完整窃取。 网络泄密： 1、 内部人员经过互联网将资料经过电子邮件发送出去。 2、 内部人员经过互联网将资料经过网页bbs发送出去。 3、 随意将文件设成共享，造成非相关人员获取资料。 4、 将自己笔记本带到企业，连上局域网，使用多种手段如ftp、telnet窃取资料 5、 随意点击不认识程序、上不熟悉网站造成中了木马产生泄密。 输出设备（移动设备）泄密： 1、 移动存放设备共用，造成非相关人员获取资料。移动设备包含：u盘、移动硬盘、蓝牙、红外、并口、串口、1394等 2、 将文件打印后带出。 用户泄密： 1、 用户将企业提供文件自用或给了竞争对手。 2、 用户处管理不善产生泄密。 3、 职员收到文件后将文件发送给其它人员产生泄密。 1.3 内部本身管理需要 根据管理学相关定律，比如破窗理论：一个房子假如窗户破了，没有些人去修补，隔很快，其它窗户也会莫名其妙地被人打破；一面墙，假如出现部分涂鸦没有被清洗掉，很快，墙上就充满了乱七八糟、不堪入目标东西;一个很洁净地方，大家不好意思丢垃圾，不过一旦地上有垃圾出现以后，人就会毫不犹疑地抛，丝毫不觉惭愧。 企业产品信息资产实际上已经是企业不可或缺宝贵资产，假如企业管理人员任由信息资产随意被泄密而不作为，最终迎接企业管理人员就是更多破窗。 不作为、不管理不是善意，是企业走向失败最大杀手。 所以，从本身管理需求上，企业也需要上数据加密产品对企业关键数据进行防护。 只有加密才是最终管理手段，非加密手段全部是治标不治本管理手段。 加密是信息安全基础。 1.4市场竞争需要 竞争对手如影随行，更有竞争对手已经派遣和培养了商业间谍进入自己企业。全部这些不得不防； 企业给发明力强职员提供了一个很好发展平台，职员在这个平台上不停发展，伴随发展程度提升，职员自我定义也已经在悄然发生改变，对企业作用也由一个跟随者改变为了独挡一面支撑者；当高级管理人员管理沟通方法没有愈加快改变时候，原来这个职员现在合作伙伴外出发展可能性极大，假如法律足够健全，我们将会有力保护参与者在其间掌握企业信息资产，当法律不健全或实施不够，实际上企业将沦为“黄埔军校”脚色； 实际上，有创新力者离开原来环境外出进行新发明是人本性、社会发展肯定。企业管理者最好馈赠是给了她们成长能力而不是企业原来持有信息资产。那样，不是支持她们而是害她们了。 1.5 国家法律监管需要 不一样行业，国家监管法律不一样，这个需要依据用户所在行业来分析，比如银行，就有银监局相关要求。 通常企业，能够遵照《企业内部控制基础规范对自己进行约束》。 2 加密产品实施过程中碰到问题和阻力和应对方法 加密产品在实施中碰到阻力关键是来自于三个方面，分别是产品选型错误、产品安全性不够、和内部配套管理不够； 2.1 产品选型错误 通常企业进行加密产品选型，喜爱把稳定性作为首选考虑，岂不知稳定性就如我们买食品必需能吃一样，是任何信息化产品基础要求，用这一点作为对数据加密产品要求结果就是很显著了，选择出来产品扩展性就远远不够了。 这个也不能埋怨我们企业产品选型者了，君不见市场上也有不能吃食品吗？还有吃了要人命食品呢。 加密产品最要命一点是，当企业采取办公软件改变或升级后，数据加密产品必需也进行升级，这么结果是信息化管理人员不停在数据加密产品上花费自己精力，而职员对这一点将成为她们最深痛恶绝了。 而一个企业，因为脚色不一样，所采取安全管理方法肯定不一样，对数据加密产品而言，就是应该依据脚色不一样，能够给予不一样加密策略。比如，对研发人员，因为其过程产物和结果产物全部很关键，而且大部分研发人员对系统全部比较了解，会使用管理人员也不了解开发软件进行产品开发，所以，对这么部门，就应该上全盘加密； 对企业全部者而言，上一套数据加密产品目标可不是为了加密自己，但管理人员又有查看其它人密文需求，所以，对最高级人员，加密系统还应该能提供空加密模式能够供用户选择； 对其它部门，如财务部门、行政部门等等，则能够更据需要，设置为目录加密或是一些固定程序能够加密就能够了。 所以，加密产品选型，应该将加密产品支持文件格式不受任何限制、不需要任何二次开发（包含支持全部压缩格式），和产品能够同时支持多个加密模式、包含全盘加密、空加密、目录加密、程序加密、手动加密作为选型标准，以预防出现反复作业和反复投资。 2.2 产品安全性不够 假如实施加密产品而不考虑产品安全性，那信息化管理人员就不是在买安全产品了。所以，加密产品安全性应该成为产品购置和实施关键考虑对象。 现在加密产品，根据国家管控要求，加密算法必需是采取国家指定加密算法（也是公开），不然产品不能在中国进行销售。这个也是国外安全产品迟迟不能今进入中国境内进行销售原因。 但国外安全产品安全性往往又很高，这个又是什么原因呢？ 这个是因为，有数据加密产品，在产品交付给用户时候，往往供给商会讲，是给用户提供一个密钥，或说给一个部门一个密钥。 不要相信什么不能破解神话。没有不能破解。当其它人一旦取得了企业密钥或一个部门密钥，加密算法是公开（也不用费神破解加密算法了），企业数据还有什么不能破解。 所以，一文一密钥是安全基础确保。国外产品安全性高原因就是一文一密钥（一个文件一个密钥）。 这么，破解者即使得到了一个产品密钥，也不会对数据安全产生根本性影响 要实现一文一密钥，必需采取对称加密和非对称加密相结合方法。现在pdf加密、windowsefs加密是这么，中国也有山丽防水墙是这么。 所以，采取对称加密和非对称加密，并实现一文一密钥是产品安全性确保。 2.3 内部配套管理不够 千万不要认为上了数据加密产品就万事大捷，能够高枕无忧了。实际上，我们还必需在实施厂家帮助下，对企业相关信息安全制度进行部分梳理，如安全策略变更步骤、数据解密管理步骤等等。 数据加密产品目标是对我们信息安全工作提供一套技术支持手段。而不是将数据加密以后不再进行帮助管理。 3 加密产品实施前宣传教育关键和方法 在布署数据加密产品之前，营造布署产品气氛和文化气氛是很有必需。不然贸贸然就进行产品布署，会带来职员情绪不满，从而挫伤职员主动性，带来职员不满情绪增加，加速或驱动职员分离，那就得不偿失了。 实施前宣传教育关键在于宣讲国家相关安全保密法律，在违反这些法律后对企业和歌个人带来后果。（法规宣讲） 实施前宣传教育关键还在于数据泄密会给国家、企业带来多大损失（不一定是自己企业），争取职员情感认同，毕竟大多数人对企业感情还是很深。（动之以情） 实施前宣传教育关键还在于列举出泄密后法律惩戒后果，如华为工程师入狱等等，告诉大家红线在哪里，这么也各大家树立了反面经典，知道了不遵守红线严重后果。（晓之以礼）。 版权申明 本文中出现任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有尤其注明，版权均属上海山丽信息安全全部，受到相关产权及版权法保护。任何个人、机构未经上海山丽信息安全书面授权许可，不得以任何方法复制或引用本文件任何片断。 山丽、Sanlen、防水墙、数据门卫、Datagate、安铁诺、Antiunknown、环境指纹均是山丽信息安全注册商标。 本方案提供商山丽信息安全(简称“山丽网安”)是信息安全防泄漏产品国家标准起草者之一； 本方案中提到数据生命周期管理（DLM：Data Life Management）原创提出者是山丽网安； 本方案提供商山丽网安持有数据防泄密产品中国第一个专利，也是一个奠基性发明专利。（专利号：ZL 1 0017241.3）专利名称：含有指纹限制机密文件访问授权系统。（9月19日得到授权） 本方案提供商山丽网安持有数据防泄密产品国际专利，也是一个奠基性发明专利。（专利号：US 7，890，993 B2）专利名称：Secret file access authorization system with fingerprint limitation。（1月15日得到授权） 8月1日本产品取得计算机软件著作权一项，软件名称：山丽防水墙数据防泄漏软件（简称：山丽防水墙）V5.0，登记号：SR053635。 8月28日“防水墙”获为中国境内之注册商标，注册号：第3875196号。 山丽信息安全