信息防泄漏是指通過(guò)一定的技術(shù)手段，防止企業(yè)的指定（重要或者敏感的）數(shù)據(jù)或信息資產(chǎn)以違反安全策略規(guī)定的形式流出企業(yè)的一種策略。目前來(lái)說(shuō)，國(guó)內(nèi)信息防泄漏以文檔加密技術(shù)為核心，結(jié)合安全審計(jì)機(jī)制、嚴(yán)格管控機(jī)制、內(nèi)部文檔操作控制機(jī)制，有效防止任何狀態(tài)（使用、傳輸、存儲(chǔ)）的內(nèi)部資料和信息資產(chǎn)泄漏。然而，不少企業(yè)對(duì)于信息防泄漏只停留在文檔加密的階段。

從字面意思來(lái)看，信息防泄漏是防止信息的外泄。信息的生命周期包括創(chuàng)建、使用、存儲(chǔ)、傳遞、消亡，信息的傳遞周期涉及到信息創(chuàng)建、終端、端口、移動(dòng)存儲(chǔ)介質(zhì)、網(wǎng)絡(luò)等方面，兩個(gè)周期共涉及到企業(yè)的各個(gè)方面的，例如業(yè)務(wù)流、IT、管理、人員等。單純的文檔加密技術(shù)顯然不能保證信息不外泄，這也是為何企業(yè)應(yīng)用熱潮從"透明加密"轉(zhuǎn)向"信息泄露防護(hù)（DLP）"的所在。游俠安全網(wǎng)站長(zhǎng)張百川提醒一些只依賴加密保證數(shù)據(jù)安全的企業(yè)，"加密算法并非牢不可破，一旦算法被攻破，企業(yè)就暴露在危險(xiǎn)環(huán)境中而無(wú)招架之力。實(shí)施了加密，還是需要多種技術(shù)聯(lián)合起來(lái)防泄漏。"鄭州三全食品股份有限公司CIO周清湘對(duì)于加密技術(shù)也持謹(jǐn)慎觀點(diǎn)：" '加密'手段既是保險(xiǎn)柜，也是死胡同。加密后，即使數(shù)據(jù)泄露出去，因?yàn)榭床坏皆钠髽I(yè)也不會(huì)為此緊張；反之，若加密技術(shù)有問(wèn)題，加密算法被破解那么企業(yè)就非常難過(guò)了。不可盲目輕信加密技術(shù)，所以也就要當(dāng)心'如何加密？''范圍多大？'等問(wèn)題。"

技術(shù)當(dāng)然不可能是完美的，但是不能因?yàn)榭赡艿娘L(fēng)險(xiǎn)而不用。文檔加密不能替代信息防泄漏，它卻也是信息防泄漏的核心，企業(yè)應(yīng)用的關(guān)鍵。在使用上，一些企業(yè)對(duì)全局都部署了文檔加密，期望用"密不透風(fēng)"的戰(zhàn)術(shù)來(lái)保證數(shù)據(jù)安全。而一些企業(yè)只在研發(fā)設(shè)計(jì)等核心部門部署了文檔加密產(chǎn)品。然而，只在核心部門部署文檔加密產(chǎn)品，那么在與其它部門交互的時(shí)候，邊界安全將得不到保證。信息安全專家李洋博士從搭建安全體系的角度出發(fā)，鼓勵(lì)安企業(yè)核心部門和其他非核心部門在條件允許的情況下盡可能的部署安全設(shè)備，同時(shí)注重管理，來(lái)保證數(shù)據(jù)的安全。"安全是一個(gè)體系。"他說(shuō)。青島中集冷藏箱制造有限公司信息主任耿峰則認(rèn)為全部加密沒(méi)有必要，因?yàn)橐粋€(gè)公司不是所有文檔都需要加密。

實(shí)施過(guò)加密的企業(yè)應(yīng)該深知，加密雖然看起來(lái)"透明"，實(shí)則會(huì)多少影響一些系統(tǒng)運(yùn)行效率。如果對(duì)不需要加密的文檔都盲目加密，系統(tǒng)運(yùn)行效率將受到更大的挑戰(zhàn)。安全與效率不可兼得，管理者需要在安全和效率之間取得一定的平衡。"加密會(huì)在一定程度上影響組織原有的業(yè)務(wù)流程，不是所有的組織都適合部署加密產(chǎn)品，甚至加密只適合于某些高度涉密的特定部門。"溢信科技產(chǎn)品總監(jiān)黃凱作為業(yè)界專家，提出了解決方案。"加密系統(tǒng)一般都會(huì)輔以對(duì)應(yīng)的外發(fā)審批機(jī)制，這就要求有對(duì)應(yīng)的規(guī)章流程，以及有對(duì)應(yīng)的審批人員和權(quán)限規(guī)定。如果組織的規(guī)模很大，所有人都要審批，又沒(méi)有專門的部門，那么外發(fā)審批很明顯會(huì)成為一場(chǎng)災(zāi)難。對(duì)于一些要求不那么嚴(yán)格的組織來(lái)說(shuō)，對(duì)常見(jiàn)的網(wǎng)絡(luò)、外設(shè)、Email等進(jìn)行完整的審計(jì)和一定的限制，就足以達(dá)到效果了。"

三一重工股份有限公司研究總院信息化經(jīng)理譚俊峰兼顧安全與效率平衡的做法是既"顧全大局"，又不"過(guò)猶不及"。他的理念是從全局出發(fā)的，"設(shè)計(jì)部門只是企業(yè)的一個(gè)環(huán)節(jié)或者一個(gè)點(diǎn)，只是對(duì)一個(gè)部門做了加固很難防范安全邊界，很多時(shí)候設(shè)計(jì)部門的東西可以通過(guò)別的部門流出來(lái)。" 看來(lái)，平衡二者的重點(diǎn)是要理解"核心部門"。制造業(yè)信息化專家黃培博士指出安全體系中的"核心部門"與企業(yè)組織架構(gòu)中的"核心部門"并不相同，安全體系的架構(gòu)不應(yīng)按照企業(yè)組織架構(gòu)來(lái)考慮，而應(yīng)該以核心信息流轉(zhuǎn)的角度來(lái)考慮。"一般企業(yè)組織架構(gòu)中，核心部門在設(shè)計(jì)、財(cái)務(wù)、銷售等部門，而在安全體系中，所有能接觸到核心信息的部門都應(yīng)該是核心部門。"

每個(gè)公司的業(yè)務(wù)流程不同，核心信息不同，那么流轉(zhuǎn)的部門也就不同。加密范圍，也就更為不同。并且，隨著企業(yè)業(yè)務(wù)變化，和信息化的建設(shè)，企業(yè)本身的核心數(shù)據(jù)流動(dòng)也會(huì)發(fā)生變化。正因?yàn)槿绱?，整體加密與局部加密在很多情況下，不能說(shuō)孰優(yōu)孰劣?；氐?quot;信息防泄漏"中的"信息"一詞，"信息"是指有意義的數(shù)據(jù)，那么判定信息是否是核心信息，才應(yīng)該是加密的要點(diǎn)。即使在"核心部門"，也不是工作中100％都是敏感信息。武漢凡谷電子技術(shù)股份有限公司信息部經(jīng)理朱烔哲表示，通常的情況，就算是核心部門，工作中80％還是非敏感的信息，日常業(yè)務(wù)中諸如出差申請(qǐng)單、辦公用品申請(qǐng)單都需要審核解密，對(duì)工作效率影響太大。

雖然每個(gè)企業(yè)的加密范圍無(wú)從統(tǒng)一，內(nèi)容判定也不相同，但是同樣的是，加密以后的安全審計(jì)很重要。"企業(yè)要經(jīng)常性的進(jìn)行檢查以評(píng)估安全的效能，不要以為加密后就萬(wàn)無(wú)一失。"杭州汽輪機(jī)股份有限公司黃梁所長(zhǎng)強(qiáng)調(diào)，"就算是信息防泄漏體系，也不能保證萬(wàn)無(wú)一失。"安全--永遠(yuǎn)都是相對(duì)的。青島中集冷藏箱制造有限公司信息主任耿峰點(diǎn)明問(wèn)題的源頭："因?yàn)檫@些系統(tǒng)是人在使用。"#p#

對(duì)此，武漢凡谷電子技術(shù)股份有限公司信息部經(jīng)理朱烔哲深有體會(huì)。加密技術(shù)之于他和凡谷電子來(lái)說(shuō)，最有效的是"防止了信息被人為的無(wú)意識(shí)、不經(jīng)意地泄露"。加密技術(shù)就像是一堵墻，因?yàn)樾畔⒁魍ǎ鸵_(kāi)一個(gè)門，有門就要有門崗來(lái)守安全。任何企業(yè)都有供應(yīng)商、客戶、關(guān)系單位、管理政府部門，訂單、采購(gòu)信息、報(bào)告、請(qǐng)示等各種各樣的電子文件，其中涉及到各種流程、人。而這些流程和人就是企業(yè)加密系統(tǒng)的門和門崗。流程需要人來(lái)審核，人和門崗都需要管理。只有完善的管理制度，才會(huì)真正的將技術(shù)的作用發(fā)揮出來(lái)。

單一的加密不能實(shí)現(xiàn)信息防泄漏，信息防泄漏要用整體的理念來(lái)對(duì)待。要建構(gòu)完善的信息防泄漏體系，我們要用全局的視角來(lái)審視企業(yè)的安全狀況，統(tǒng)籌兼顧，整合運(yùn)用審計(jì)、權(quán)限管控、加密等防泄漏功能，根據(jù)各個(gè)部門具體的涉密程度以及需求，進(jìn)行防護(hù)力度輕重有別的部署，以達(dá)到安全、效率、成本的最優(yōu)平衡。

首先，企業(yè)要認(rèn)識(shí)到單一的文件加密不能保證數(shù)據(jù)安全。加密只是解決了機(jī)密信息本身的保密性問(wèn)題，而不能解決信息使用、流通中的泄漏風(fēng)險(xiǎn)。企業(yè)如果想全盤(pán)控制自己的機(jī)密信息，必然要對(duì)信息的存儲(chǔ)、使用、傳播都做出保護(hù)。加密就像一個(gè)堅(jiān)固的保險(xiǎn)柜，把機(jī)密信息鎖起來(lái)，保險(xiǎn)柜雖然安全，但沒(méi)有人想自己的保險(xiǎn)柜隨便出現(xiàn)在大街上。

其次，企業(yè)要認(rèn)識(shí)到并不是所有部門都適合部署加密產(chǎn)品。加密雖然能夠大大提升企業(yè)的信息資產(chǎn)的安全性，但加密也是會(huì)對(duì)原有的工作流程會(huì)產(chǎn)生較大影響。雖然安全性很高，由于可能涉及到申請(qǐng)、審批、外發(fā)、離線等工作流程，必然會(huì)以信息流動(dòng)受阻為代價(jià)。這種受影響的程度，視企業(yè)想要做到的權(quán)限控制和保密的細(xì)致程度而定，因此，企業(yè)應(yīng)該衡量安全與效率之間的平衡。

第三，企業(yè)應(yīng)該在多大的范圍內(nèi)部署加密，這需要視實(shí)際情況而定。企業(yè)應(yīng)該意識(shí)到，企業(yè)信息系統(tǒng)中所包含的信息的機(jī)密程度是不同的，大部分的信息可能是普通信息，涉及到機(jī)密的核心信息只是一小部分，此外，這些信息可能集中在某個(gè)核心的業(yè)務(wù)部門，但更多的可能是分散在不同部門中，即每個(gè)部門都有其需要高度保密的信息。這就要求企業(yè)在部署加密產(chǎn)品時(shí)，應(yīng)該以機(jī)密信息為中心，視存儲(chǔ)和處理的信息的重要程度來(lái)決定某個(gè)終端的保密級(jí)別。企業(yè)所部署的信息防泄漏方案，也應(yīng)該考慮到策略制定、下發(fā)、實(shí)施和更改的靈活性與便捷性，注重可變性、可擴(kuò)展性等特性。

最后，重視人對(duì)在整個(gè)信息防泄漏方案中的影響。任何技術(shù)都是被人來(lái)操作的，任何技術(shù)也都不是完美的，企業(yè)一定要完善管理制度，來(lái)配合技術(shù)的使用，用管理來(lái)駕馭技術(shù)，用技術(shù)輔助管理。

完善的信息防泄漏體系，需要多種功能的產(chǎn)品形成方案。那么是選擇單一產(chǎn)品組合成的方案，還是選擇一個(gè)廠商提供的整體方案呢？請(qǐng)關(guān)注"內(nèi)網(wǎng)安全"十年之"辯"系列之五：怎樣打出信息防泄漏的"組合拳"？

【編輯推薦】

1. 信息防泄漏新里程碑
2. 保護(hù)“知本”：企業(yè)信息防泄漏
3. 透明加密的第二次浪潮
4. 數(shù)據(jù)中心密碼學(xué)之加密形式