老黄出诊记（1）：加密不是信息防泄漏的万灵丹

　　在老黄前段时间举办的“信息防泄漏的选型与实施”线上技术门诊活动中，网友们反响很热烈。大家纷纷过来“问诊”，为企业所遇到的信息安全困扰寻求“良方妙药”。

　　从大家描述的企业情况可看出目前大部分企业都意识到了信息防泄漏建设的重要性，不少企业也已着手部署了一些措施。但这些企业都无一例外地遇到了相同的困扰：苦于不知如何更好地开展信息防泄漏这一项目。

　　老黄将出诊情况皆一一记载，接下来对一些经典的企业个案进行系列讲解，希望为相似“病情”的企业提供参考借鉴，构建健康安全的防泄漏体系。

　　在众多防泄密技术、功能里，加密的功效无疑是最强的，其理念非常诱人，“丝毫不影响工作，非授信环境下，带得走，也看不了”。但只下加密这一剂猛药，企业安全问题是否能药到病除呢?下面这则企业案例告诉我们，答案是否定的。

出诊札记

　　软件研发企业A，两年前部署了一套透明文档加密系统，只在研发部上加密，对软件代码、设计方案、图纸等核心机密进行加密防护。使用以来，兼容性的问题一直存在，而且信息保密漏洞百出，还有泄密事件发生。近期准备部署准入及终端管理系统，处于试用阶段。对全面的信息防泄漏体系的构建、评估以及产品的选型心存疑惑。

　　症结分析：

　　· 缺乏全面、系统化的安全防御体系

　　A企业只在核心部门——研发部上加密，除此之外，没有其他任何的防泄密措施。老黄认为，问题症结就在于只在核心部门装加密，无法控制和掌握内部所有信息的使用及流转，只能保障加密信息在非授信情况下的安全。而一旦加密信息以合法手段变成明文后，核心机密的安全就无从谈起。打个比方，加密就好象是把你的机密信息装进一个保险柜，虽然保险柜很安全，你也不愿意你的保险柜被偷走或者随意丢在大街上。

　　· 所采用的透明加密产品兼容性欠佳，厂商提供的售后服务不够到位

　　透明加密存在着兼容性的问题，这是由于所采用的加密系统兼容性不佳而导致，无法满足系统及业务所需。而在两年来的使用中都出现这样的问题，则说明了加密厂商所提供的支持不到位，没有快速响应客户所遇到的问题。

　　对症下药

　　老黄所在企业溢信科技10余年来致力于为企业提供全面的信息防泄漏解决方案。其基于多年的客户服务经验以及对市场需求的准确把握度，领先“研制”出了为企业全面、系统化解决信息安全问题的方案——IP-guard三重保护信息防泄漏解决方案。下面老黄将结合这一方案，为A企业开出老黄的独家药方。

　　· 全方位、整体调理，一个部门也不能少

　　A企业的主要病状在于装了加密，但是仍有泄密事件发生。虽然如今准备部署准入及终端管理系统，防护能力较之以前会大大加强。但这个举措依旧存在误区，信息防泄漏最忌的是“头痛医头脚痛医脚”，各种产品堆砌管理。曾经遇到过很多企业，采用了安全审计、准入控制、透明加密等各种产品，部署之后面临着后期维护困难、软件冲突等多重问题，企业虽然“装”了安全产品，但根本“用”不了。

　　综合A企业的病状及需求，老黄认为IP-guard三重保护信息防泄漏解决方案正是医治A企业病状的良方。

　　三重保护解决方案包括详尽细致的操作审计、全面严格的操作授权以及安全可靠的透明加密。通过三重保护解决方案，A企业可在企业全范围部署审计，对内部操作实现可视化，及时发现安全隐患的所在;而对于一些涉密程度较高的部门，三重保护解决方案提供对包括文档操作管控、设备管控、邮件管控、即时通讯管控、移动存储管控、网络准入管控等15大可能的泄密渠道进行有效的控制，这个既实现了全面的管控，也满足A企业欲部署准入及终端管理系统的需求。

　　A企业所属类型为软件研发型企业，智力资产可说是企业制胜的核武器，因此覆盖到企业所有部门的安全管理以及全面的管控是必不可少的，只有这样才能实现最大程度的安全。同时，IP-guard系统采用的是模块化的设计，A企业可以根据每个部门的涉密情况以及实际的安全需求，灵活组合，以最小的投资获得最高的安全回报。

　　· 选型与评估

　　A企业在问诊过程中也提出了如何评估防泄漏方案是否完善以及加密产品如何选型这些困惑。老黄平日与客户沟通交流过程中，也发现不少客户对防泄漏方案的评估感到疑惑。依老黄之见，完善的防泄漏方案，必须满足以下几个条件。

　　1. 安全管理措施覆盖企业所有部门

　　2. 对内部操作实现全范围可视化

　　3. 信息的一切传播渠道都有相应管控

　　4. 防护力度与涉密程度相匹配

　　5. 及时发现及应对新的安全威胁

　　6. 根据功能需要和规模迅速扩展

　　7. 项目效果的可评估性

　　对于A企业在两年来的使用中遇到的兼容性问题，需要该系统的厂商给予足够的支持才能解决。老黄在这里结合服务客户以及项目经验，总结一下加密产品选型中需要注意的地方。

　　市场上加密产品众多，鱼龙混杂，兼容性和稳定性都是加密系统中的重要考核指标，因此在正式部署前，以下两步是不可忽视的：

　　1. 测试环节是非常重要的，考察产品的适用性、稳定性。首先选取具有代表性的机器首先进行全面的测试。当第一步测试没问题后再将部署范围逐步推进，最终做到对所有的电脑进行管理。

　　2. 除了技术以外，还要多重视厂商的市场表现和服务能力。信息防泄漏产品，尤其会涉及到企业的核心机密，来不得半点的耽搁和马虎，选择服务能力跟的上的厂商，能够保证产品的正常使用。

　　出诊心得

　　上述分析的A企业案例是目前企业应用中较为典型的其中一种“病状”，有不少问诊者都是相类似的情况。这是由于这些企业过于依赖加密的防泄密功效，寄希望于部署加密后防泄密工作能一劳永逸所导致的。不可否认，透明加密是众多防泄密技术中功效最强的，但防泄密工作需要的是各种技术的整合应用，而不是一招吃天下。

　　企业每个部门所担负的职能不一样，其涉密程度也不同。老黄认为，正确的信息防泄漏思路是首先将每个部门的安全问题都审视清楚，然后根据每个部门的具体涉密程度以及安全状况，整合应用审计、权限管控、加密等多种技术手段进行统一管理，防护力度轻重有别，从而形成全面、梯度式的整体体系。