您现在的位置是:首页 > IT基础架构 > 网络与安全 >
透明加密的第二次浪潮
摘要可以毫不夸张地说,企业的信息防泄漏工程就像一片汪洋,外表看似平静实则内部错综复杂,而透明加密作为汪洋中的潮水,已经掀起了一次又一次的巨浪! ...
目前,企业正处在伟大的社会思想家阿尔文•托夫勒(Alvin Toffler)预言中的信息社会,每天都会产生无数的新数据,而数据存储和管理也变得复杂,内部数据发生泄漏的可能性极大。因此,可以毫不夸张地说,企业的信息防泄漏工程就像一片汪洋,外表看似平静实则内部错综复杂,而透明加密作为汪洋中的潮水,已经掀起了一次又一次的巨浪!
第一次浪潮:技术实力大比拼
2008年,在信息技术的带动下,企业中越来越多与业务相关的信息以电子文档的形式存在,部分敏感文件更是核心竞争力的所在,企业机密数据安全保护的需求激增。
同年6月,中国的“萨班斯法案”——《企业内部控制基本规范》正式颁布。要求中国将近2000家上市公司将加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制。该法案的诞生进一步拉动了透明加密的市场需求。
“只要安装了透明加密软件,财务数据、设计图纸、研发代码等文档在企业内部自动加密,丝毫不影响用户原有工作习惯,对用户完全透明。即使文档非法流出,也无法打开应用。”这是透明加密在开辟市场时打出的宣传口号。对于当时空白的市场来说,这一口号确实打动了不少企业。
在需求刺激、感性认识、盲目跟风的情况下,不少企业用户选择了透明加密软件。更有甚者,为了加快部署透明加密的步伐,竟然直接跃过评估、试用产品这一步骤。一时之间,透明加密产品成了当时的“香馍馍”;与此同时,大大小小的透明加密厂商也如雨后春笋般冒了出来,到2009年前后达到了一个制高点——300左右,厂商实力参差不齐,有最早进入内网安全领域的溢信科技这样的主流厂商,也有贴个牌就进来掘金的OEM厂商。
这一时期,企业用户对透明加密的认识处在感性认识阶段,在选型过程中主要聚焦于产品的技术、功能。各个厂家也因此拉开了“最强争夺战”,技术上的比拼成为吸引客户的关键:
驱动层加密VS应用层加密
透明加解密技术是与操作系统紧密结合的一种技术,它工作于操作系统底层,从技术角度看,分为驱动层加密和应用层加密。这也是应用两种不同方式进行透明加密的厂商争论的焦点:
驱动层加密通常采用文件过滤驱动技术,应用层加密通常采用 API HOOK(俗称钩子)技术,其基本原理都是要接管文件 IO(读写)操作,通过监视涉密进程(受保护程序)的磁盘读写,对保密文档进行动态的加密和解密。驱动层加密在操作系统层级进行加密操作,兼容性强,但稳定性弱;应用层加密稳定性高,但在兼容性方面又稍弱于驱动层加密。
至今,两种技术方式的争论仍然不绝于耳。但在应用过程中,实际上驱动层加密和应用层加密各有千秋,关键看哪一种方式能更好满足客户的需求。
应用何种加密算法最好
这一时期,企业更多关注透明加密软件的安全性,而某些透明加密厂商一直鼓吹自己采用的加密算法难度大、安全性高。
透明加密产品采用的各种密码技术,根据密钥类型不同可分为两类:对称加密算法、非对称加密算法。常见的对称加密算法包括:DES、3DES、AES;非对称加密算法包括RSA、 DSA、ECC。
实际上,高级的算法能增加破解的难度,但算法类型并不是安全的关键因素,因为算法是公开的,专业人士都知道怎样实现,所以安全的关键在于对密钥的管理,厂商必须确保密钥绝不被泄漏。
总之,在第一浪潮中,企业用户在选择透明加密之时,仅仅从产品的技术和功能方面上考量;而透明加密厂商也不断深入研发透明加密产品,透明加密产品朝着功能强大、安全专业的方向发展,技术上的争论成为厂商争夺客户的焦点。
问题繁多,透明加密一度萎靡
2010年初,由于透明加密在首次浪潮中并不成熟,而加密本身存在一定风险性,企业盲目跟风安装了加密,结果内部出现如影响业务效率、稳定性不够造成文档损害等众多问题,企业在选型中更为谨慎,甚至对透明加密望而却步。
另外,一批缺乏核心技术、实力不够的OEM小厂商,急功近利。随便修改几个页面,贴上新公司LOGO就把透明加密产品卖个用户,实施效果较差,而小厂商后续力量不足,没办法提供好的售后支持和服务,也纷纷被淘汰。
据统计,2009年末-2010年初,大批OEM厂商倒闭,市面上的透明加密厂商缩减了近7成。
第二次浪潮:整体信息防泄漏观念形成
2011年, 一场内网信息安全风暴席卷而来。“雷诺汽车泄密事件”、“苹果内部员工外泄机密” 、“三星员工盗取核心资料”等企业内部泄密事件纷纷见诸报端,企业的安全需求随着经济的回暖而迅速升温。透明加密的巨浪在信息防泄的汪洋中再次翻腾起来。
经过第一次浪潮的洗礼,大多数企业对信息防泄漏有了更理性的认识,不再被天花乱坠的概念所迷惑,而更加注重实施效果,同时考量服务、厂商实力等众多因素;与此同时,顺应企业的需求转变,以溢信科技为代表的实力厂商,除了在在技术应用上把透明加密产品磨砺地较为成熟外,还着重优化透明产品的应用效果以及塑造产品品牌。
这一时期,透明加密呈现出新的特点:
由多种产品堆砌到整体信息防泄漏理念的转型
在首次浪潮中,重视知识产权保护的企业很容易被“透明加密”简单清晰的概念所吸引,缺乏对安全需求进行分析,匆忙部署加密。笔者曾听说一个案例:某家企业曾花重金在全公司都部署了透明加密,安全程度看似提升,但却因为审批解密繁琐、传输文件不方便而造成业务效率大大降低,应用效果非常不理想。
另外,不少企业发现仅有加密满足不了文档安全防护的需求,于是又“头疼医头、脚痛医脚”,盲目堆砌包括透明加密在内的众多安全产品。殊不知这种做法导致企业必须付出较高的成本,增加了技术的复杂性和系统的资源消耗,更有甚者会产生软件冲突等问题。
实际上,在信息防泄漏建设中,企业首先要明确“安全、效率、成本”三者关系。安全不是绝对的,世界上不存在绝对的安全,企业始终面临着风险,有些风险可以避免,有些风险可以降低,而有些是可以接受的。企业需要意识到自己可以接受的风险底线,同时衡量提升安全性降低风险可能带来的业务操作的麻烦、企业安全成本的升高等问题,处理好“安全、效率、成本“三者关系。
为了实现“安全、效率、成本”三者的最优平衡,溢信科技在总结逾10年过万家客户的服务经验的基础上,率先提出以“整体信息防泄漏”理念为核心的“IP-guard信息防泄漏三重保护解决方案”:即企业在进行防泄密建设中,应从全局的视角出发,对安全问题进行统筹规划、统一管理,整合运用审计、权限管理、透明加密等防泄密功能,根据涉密程度的轻重(如核心部门和普通部门),部署力度轻重不一的防护,有的放矢,在内部构建起全面、立体化的整体体系。
目前,不少企业用户已经认可整体信息防泄漏理念,并在其指导下,根据内部安全风险程度,按需部署。比如利用“IP-guard信息防泄漏三重保护解决方案”,企业可对内部所有操作行为进行审计,不单能为安全事件的追查提供证据还可及时发现安全漏洞,抵御安全风险;同时对于敏感的岗位进行管控,规范信息的带出行为;最后,对于核心部门以及一些跟外界交流较少的部门,可采用文档透明加密,对信息做最大限度的防护。
另外,通过IP-guard单一的控制台进行操作,避免了多种产品堆砌产生的多种问题,减少了购买成本,简化了日常的操作与管理,降低了系统的资源占用。
品牌成为用户选型指标之一
品牌即意味着专业、品质、服务和信誉。如今,企业用户,特别是规模较大的企业,不仅关注于透明加密产品的功能和技术,而且还把加密产品的品牌形象、口碑评价也当作重要的选型指标。
纵观中国内网安全领域,以溢信科技为代表的老牌厂商已经在行业的10年风雨中突围而出,积累了不错的口碑。而溢信旗下的IP-guard内网安全管理系统更获得过万家用户的认可,在全球运行数百万客户端,拥有较高的知名度和评价,在用户选型过程中优势较为突出。从发展的轨迹中可以看到,品牌成为各主流内网安全厂商今后关注的一大重点。
更加注重应用效果
跟首次浪潮相比,当前主流的透明加密产品已经发展成熟。以大家熟知的“IP-guard内网安全管理系统”为例,不管是对加密技术的应用还是用户在使用加密过程中所涉及到的离线、外发、分级权限等功能上,皆趋于完善。
由于这一时期,主流的透明加密软件在功能区分上不大,企业用户在选型过程中,更加看重产品的具体实施效果。这一需求的转变使得加密厂商们着力提升产品的应用效果,比如大力确保产品的高稳定性以及不断优化使得产品操作更加容易。
纵观两次透明加密浪潮,我们可以清晰地看到,随着安全威胁的增多、管理水平的提高以及行业经验的积累,单凭透明加密已无法解决企业信息防泄难题,能够提供包括透明加密在内的整体解决方案的单一产品成为企业的需求热点。在整体信息防泄漏理念的指导下,未来,透明加密产品将会不断的进行外延和融合,以求适应时代的新特点和新需求。
(本文不涉密)
责任编辑: