我们把以文档为最小管理粒度,以加密、认证、授权、审计为手段的防泄密安全技术称为基于文档的防泄密技术,这是一种重量级的防泄密技术。基于文档的防泄密以文档和数据为核心管理对象,对文档进行高强度加密、细粒度操作授权、严格用户认证,全面操作审计。基于文档的防泄密不要求文档的物理位置处于可控的范围,但保证对文档的使用始终处于可控状态。
基于终端的防泄密从技术上来说是不可靠的,而且规模越大,可靠性越差,而管理难度也越大。因为基于终端的解决方案是一种封堵传播途径的技术,在理想的情况下,如果能够封堵所有的文档传播途径,则文档不会被传播出去。但现实是,一方面任何的封堵措施都有漏洞,也不可能找到所有的出口(特别是程序出口),另一方,采用物理方式能轻易破解,比如拆走硬盘,操作系统双启动等。所以这种轻量级的解决方案是不成熟、不可靠的解决方案,它必将被重量级的基于文档的解决方案代替。
基于文档的解决方案采用加密、认证、授权、审计等技术等文档进行处理和监控。目前有文档嵌入式和透明加解密两种技术。文档嵌入式具有良好的用户体验,因为文档所有的操作授权都能提示给用户。但文档嵌入式需无休止地增加文档的支持种类,并且文档编辑器的原厂商能很容易地提供这种功能。透明加解密在操作系统底层对需要保护的文档透明加解密,无需逐个文档进行支持,但用户体验较差,因为较难提示用户哪些是没有授权的操作。
透明加解密模式适合在封闭环境下,所有电脑都接受管理,产生的文档较少用于与外部交流,比如企业的开发设计部门。透明加解密模式需要结合封堵技术(主要封堵程序出口,普通操作系统级别的文件操作无需封堵),才能达到较好的效果。
| < 上页 |
|---|
