文档安全_文档安全软件_数据安全技术

试着简单答几句，

我接触过的国内企业文档安全分为三类：1.文档加密；2.DLP；3.文档授权集中管理；

第一类 文档加密

技术核心是透明加密。简单说就是在每一台pc安装agent，指定要保护的文档类型（图纸、doc、ppt、excel），agent会自动把这些文档加密，用户可正常打开使用，对加解密过程无感知。文档在未经授权的情况下脱离了企业环境后，由于未被解密，因此无法打开使用，实现保护文档的目的。

典型厂商：大成天下、亿赛通、明朝万达。文档安全

公司的加密项目非我负责，因此这些厂商的东西只是接触过，并未深入研究，就不贸然比较优劣了。

但透明加密技术并不完美，听闻国内某车企曾发生过加密的文档无法解密导致企业设计图纸无法使用的事故。

第二类 DLP

技术核心是文档特征提取与匹配。分网络DLP、邮件DLP、终端DLP。以终端DLP为例，同样需要在客户端装agent。软件首先自动或手动提取要保护的文档的特征，可以是正则表达式，也可以是指纹信息，也可以是关键词组合。在服务器端录入所有的文档特征后制定保护策略。例如，设定包含关键词“绝密+XXXX车型”的图纸严禁通过USB拷贝、禁止网络上传、禁止邮件发送。agent运行时获取到该策略后会监控这台pc的操作，当发现匹配了策略后的用户行为后，自动deny。

从这个过程可以看出，十分类似杀毒软件的工作原理：设定特征->监控pc->匹配策略

所以业界做DLP出色的基本都是杀毒软件企业。比如，mcafee、赛门铁克，websense、RSA、趋势科技也有相关产品。国内听闻有成功解决方案的貌似只有启明星辰。

第三类 文档授权集中管理

实话讲这是一类比较小众的产品类型。

多说两句背景。很多企业会有内部专门的文档共享服务器，最开始可能只是在域控上建立的一个文档共享服务器，域管理员对各个文件夹为每个域用户设定权限，可读，or，可读可写。

久而久之文档越来越多，域用户越来越多，授权会很麻烦，权限也越来越不可靠。

微软提出了sharepoint的解决方案，可以很完美的解决这个问题，用户在sharepoint门户上可以阅读文档，接受权限控制。但毕竟微软的收费很高，自定义程度也不完美。

国内有两家做替代产品的公司，edoc和德雅科技。

卖点之二是流程。文件上传后，使用过程都可以流程化，而且支持企业与oa接口自开发。

但两家都没有大型企业的实施案例，文档数量过大（超过TB级别）或用户数量过多（2000以上）时，系统效率都不理想。文档安全开发能力也较弱，自开发的功能甚至连回归测试都不做就交付用户了。

总体说来，文档安全的技术很多，但每种技术都有自己的软肋，文档加密在于兼容性和稳定性，DLP在于特征识别准确率，文档授权管理在于海量文档管理的技术成熟度。

----------------------------------2013-09-10补充-------------------

我在汽车制造业从事信息安全工作三年时间，我们应该遇到过很类似的问题。简略答一下。

图纸文件一向是制造业最看重的东西，甚至有些老板认为比销售数据都要重要。但加密带来的不稳定，是技术体系的设计人员无法接受的。这是安全与便利的矛盾。

解决这一矛盾，根据我了解到的其他同行业公司的经验，有三种思路。

1.严格测试加密产品，并与这个细分领域的佼佼者建立深入合作机制，不仅买产品，更要对方提供驻场服务，不光在现场解决问题，更要定制开发软件，最好是共同开发，可以解决大部分应用层面的问题，缺点是代价比较高，人与财的投入都比较大。如果贵司已经买了软件，这条路可以考虑下。我相信在任何一家国内公司，向boss坦白自己买的软件有问题，都是需要极大勇气的。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/ruanjian/article-25970-1.html