我接触过的国内企业文档安全分为三类:1.文档加密;2.DLP;3.文档授权集中管理;
第一类 文档加密
技术核心是透明加密。简单说就是在每一台pc安装agent,指定要保护的文档类型(图纸、doc、ppt、excel),agent会自动把这些文档加密,用户可正常打开使用,对加解密过程无感知。文档在未经授权的情况下脱离了企业环境后,由于未被解密,因此无法打开使用,实现保护文档的目的。
典型厂商:大成天下、亿赛通、明朝万达。
透明加密技术并不完美,听闻国内某车企曾发生过加密的文档无法解密导致企业设计图纸无法使用的事故。
第二类 DLP
技术核心是文档特征提取与匹配。分网络DLP、邮件DLP、终端DLP。以终端DLP为例,同样需要在客户端装agent。软件首先自动或手动提取要保护的文档的特征,可以是正则表达式,也可以是指纹信息,也可以是关键词组合。在服务器端录入所有的文档特征后制定保护策略。例如,设定包含关键词“绝密+XXXX车型”的图纸严禁通过USB拷贝、禁止网络上传、禁止邮件发送。agent运行时获取到该策略后会监控这台pc的操作,当发现匹配了策略后的用户行为后,自动deny。
从这个过程可以看出,十分类似杀毒软件的工作原理:设定特征->监控pc->匹配策略
所以业界做DLP出色的基本都是杀毒软件企业。比如,mcafee、赛门铁克,websense、RSA、趋势科技也有相关产品。国内听闻有成功解决方案的貌似只有启明星辰。
第三类 文档授权集中管理
实话讲这是一类比较小众的产品类型。
多说两句背景。很多企业会有内部专门的文档共享服务器,最开始可能只是在域控上建立的一个文档共享服务器,域管理员对各个文件夹为每个域用户设定权限,可读,or,可读可写。
久而久之文档越来越多,域用户越来越多,授权会很麻烦,权限也越来越不可靠。
微软提出了sharepoint的解决方案,可以很完美的解决这个问题,用户在sharepoint门户上可以在线阅读文档,接受权限控制。但毕竟微软的收费很高,自定义程度也不完美。
国内有两家做替代产品的公司,edoc和德雅科技。
两家的产品类型很像,web的bs架构,用户以id登录后根据授权设定,有权限的目录和文档可以看到,没权限连看都看不到。然后用户根据管理员给自己赋予的权限,可以访问和使用文档。可以在线预览和编辑文档。且所有操作行为都有日志监控以供审计。
这类产品的卖点之一是授权严格。同一份文件,对不同的用户可分别授予颗粒度极细的权限,比如可阅读但不可下载不可编辑不可打印,可阅读可编辑但不可下载不可打印,等等。
卖点之二是流程。文件上传后,使用过程都可以流程化,而且支持企业与oa接口自开发。
但两家都没有大型企业的实施案例,文档数量过大(超过TB级别)或用户数量过多(2000以上)时,系统效率都不理想。开发能力也较弱,自开发的功能甚至连回归测试都不做就交付用户了。
总体说来,文档安全的技术很多,但每种技术都有自己的软肋,文档加密在于兼容性和稳定性,DLP在于特征识别准确率,文档授权管理在于海量文档管理的技术成熟度。
图纸文件一向是制造业最看重的东西,甚至有些老板认为比销售数据都要重要。但加密带来的不稳定,是技术体系的设计人员无法接受的。这是安全与便利的矛盾。
解决这一矛盾,根据我了解到的其他同行业公司的经验,有三种思路。
1.严格测试加密产品,并与这个细分领域的佼佼者建立深入合作机制,不仅买产品,更要对方提供驻场服务,不光在现场解决问题,更要定制开发软件,最好是共同开发,可以解决大部分应用层面的问题,缺点是代价比较高,人与财的投入都比较大。
2.用PLM系统管理图纸、技术资料、3D建模文件等等这些结构化数据。
这些资料与办公文档不同,他们都是有结构关系的,比如某一车型的文件按设计的生命周期可以进行系统分类管理。正常情况下,设计人员完稿的技术资料,除office办公文档外,理应集中存储在PLM系统中分享使用,就像CRM那样。那是不是可以考虑用PLM系统集中存储、统一管理。
安全需要做的,
一是要管理PLM系统本身的安全:数据的隔离性、服务器与存储设备的ACL、软件代码有无安全缺陷等等。
二是PLM系统的授权管理,是否做到了三权分立、授权原则是否可靠有效、授权原则与业务是否贴合、不同授权组之间如何高效协同办公,授权机制如何在业务人员中落地实施,授权变更管理等等。
三是PLM系统的日常安全管理与维护:用户行为的日志是否定期分析,管理员的行为分析与监控,数据备份与恢复、OS补丁管理机制等等。
我个人认为,用专业的系统管理专业的数据,是比较可靠的。安全不应过分参与业务,更不应以安全的理由影响业务(因加密而导致文件无法使用即为此类),但安全也不应与业务脱节,对专业系统进行安全管理,才是制造业安全应该考虑的重头戏。
3.还可以考虑用DLP。国外的汽车制造业,比如德国车企,都采用了这个思路。DLP相关内容回答中已提及,不赘述。但我的经验是,在实施DLP之前,需要对企业的数据进行彻底的盘点,识别清楚密级,识别清楚哪些是真正需要高级别保护的。
什么都管,也就等于了什么都不管。
盘点与识别的过程相当复杂和庞大,要把各类数据准确的分类,确定密级、确定特征(关键字组合、正则表达式等等)、确定存储位置、确定授权。这些都准备妥当了,才有实施DLP的前提。
