数据越来越多,数据存储和管理也变得复杂,信息泄漏成为企业关注的重点之一。本分回顾了加密的历史,介绍了透明加密的第二次浪潮。
目前,企业正处在伟大的社会思想家阿尔文?托夫勒(Alvin Toffler)预言中的信息社会,每天都会产生无数的新数据,而数据存储和管理也变得复杂,内部数据发生泄漏的可能性极大。因此,可以毫不夸张地说,企业的信息防泄漏工程就像一片汪洋,外表看似平静实则内部错综复杂,而透明加密作为汪洋中的潮水,已经掀起了一次又一次的巨浪!
第一次浪潮:技术实力大比拼
2008年,在信息技术的带动下,企业中越来越多与业务相关的信息以电子文档的形式存在,部分敏感文件更是核心竞争力的所在,企业机密数据安全保护的需求激增。
同年6月,中国的“萨班斯法案”——《企业内部控制基本规范》正式颁布。要求中国将近2000家上市公司将加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制。该法案的诞生进一步拉动了透明加密的市场需求。
“只要安装了透明加密软件,财务数据、设计图纸、研发代码等文档在企业内部自动加密,丝毫不影响用户原有工作习惯,对用户完全透明。即使文档非法流出,也无法打开应用。”这是透明加密在开辟市场时打出的宣传口号。对于当时空白的市场来说,这一口号确实打动了不少企业。
在需求刺激、感性认识、盲目跟风的情况下,不少企业用户选择了透明加密软件。更有甚者,为了加快部署透明加密的步伐,竟然直接跃过评估、试用产品这一步骤。一时之间,透明加密产品成了当时的“香馍馍”;与此同时,大大小小的透明加密厂商也如雨后春笋般冒了出来,到2009年前后达到了一个制高点——300左右,厂商实力参差不齐,有最早进入内网安全领域的溢信科技这样的主流厂商,也有贴个牌就进来掘金的OEM厂商。
这一时期,企业用户对透明加密的认识处在感性认识阶段,在选型过程中主要聚焦于产品的技术、功能。各个厂家也因此拉开了“最强争夺战”,技术上的比拼成为吸引客户的关键:
驱动层加密VS应用层加密
透明加解密技术[url]http://www.sanlen.com[/url]是与操作系统紧密结合的一种技术,它工作于操作系统底层,从技术角度看,分为驱动层加密和应用层加密。这也是应用两种不同方式进行透明加密的厂商争论的焦点:
驱动层加密通常采用文件过滤驱动技术,应用层加密通常采用 API HOOK(俗称钩子)技术,其基本原理都是要接管文件 IO(读写)操作,通过监视涉密进程(受保护程序)的磁盘读写,对保密文档进行动态的加密和解密。驱动层加密在操作系统层级进行加密操作,兼容性强,但稳定性弱;应用层加密稳定性高,但在兼容性方面又稍弱于驱动层加密。
至今,两种技术方式的争论仍然不绝于耳。但在应用过程中,实际上驱动层加密和应用层加密各有千秋,关键看哪一种方式能更好满足客户的需求。
应用何种加密算法最好
这一时期,企业更多关注透明加密软件的安全性,而某些透明加密厂商一直鼓吹自己采用的加密算法难度大、安全性高。
透明加密产品采用的各种密码技术,根据密钥类型不同可分为两类:对称加密算法、非对称加密算法。常见的对称加密算法包括:DES、3DES、AES;非对称加密算法包括RSA、 DSA、ECC。
实际上,高级的算法能增加破解的难度,但算法类型并不是安全的关键因素,因为算法是公开的,专业人士都知道怎样实现,所以安全的关键在于对密钥的管理,厂商必须确保密钥绝不被泄漏。
总之,在第一浪潮中,企业用户在选择透明加密之时,仅仅从产品的技术和功能方面上考量;而透明加密厂商也不断深入研发透明加密产品,透明加密产品朝着功能强大、安全专业的方向发展,技术上的争论成为厂商争夺客户的焦点。
问题繁多,透明加密一度萎靡
2010年初,由于透明加密在首次浪潮中并不成熟,而加密本身存在一定风险性,企业盲目跟风安装了加密,结果内部出现如影响业务效率、稳定性不够造成文档损害等众多问题,企业在选型中更为谨慎,甚至对透明加密望而却步。
另外,一批缺乏核心技术、实力不够的OEM小厂商,急功近利。随便修改几个页面,贴上新公司LOGO就把透明加密产品卖个用户,实施效果较差,而小厂商后续力量不足,没办法提供好的售后支持和服务,也纷纷被淘汰。
据统计,2009年末—2010年初,大批OEM厂商倒闭,市面上的透明加密厂商缩减了近7成。
第二次浪潮:整体信息防泄漏观念形成
2011年, 一场内网信息安全风暴席卷而来。“雷诺汽车泄密事件”、“苹果内部员工外泄机密” 、“三星员工盗取核心资料”等企业内部泄密事件纷纷见诸报端,企业的安全需求随着经济的回暖而迅速升温。透明加密的巨浪在信息防泄的汪洋中再次翻腾起来。
经过第一次浪潮的洗礼,大多数企业对信息防泄漏有了更理性的认识,不再被天花乱坠的概念所迷惑,而更加注重实施效果,同时考量服务、厂商实力等众多因素;与此同时,顺应企业的需求转变,以溢信科技为代表的实力厂商,除了在在技术应用上把透明加密产品磨砺地较为成熟外,还着重优化透明产品的应用效果以及塑造产品品牌。
这一时期,透明加密呈现出新的特点:
由多种产品堆砌到整体信息防泄漏理念的转型
在首次浪潮中,重视知识产权保护的企业很容易被“透明加密”简单清晰的概念所吸引,缺乏对安全需求进行分析,匆忙部署加密。笔者曾听说一个案例:某家企业曾花重金在全公司都部署了透明加密,安全程度看似提升,但却因为审批解密繁琐、传输文件不方便而造成业务效率大大降低,应用效果非常不理想。
另外,不少企业发现仅有加密满足不了文档安全防护的需求,于是又“头疼医头、脚痛医脚”,盲目堆砌包括透明加密在内的众多安全产品。殊不知这种做法导致企业必须付出较高的成本,增加了技术的复杂性和系统的资源消耗,更有甚者会产生软件冲突等问题。
实际上,在信息防泄漏建设中,企业首先要明确“安全、效率、成本”三者关系。安全不是绝对的,世界上不存在绝对的安全,企业始终面临着风险,有些风险可以避免,有些风险可以降低,而有些是可以接受的。企业需要意识到自己可以接受的风险底线,同时衡量提升安全性降低风险可能带来的业务操作的麻烦、企业安全成本的升高等问题,处理好“安全、效率、成本“三者关系。