摘要: 在如今互联网时代,企业的业务发展越来越离不开网络。公司多年的研发图纸、科研资料、财务数据、经营数据和客户资料等全部存储于网络之中。随着近来泄密事件的增多,如何更好的保护和管理企业自身的信息资产、防止信息泄密已成为企业目前面临的一个严峻挑战。这些信息和数据与企业...
在如今互联网时代,企业的业务发展越来越离不开网络。公司多年的研发图纸、科研资料、财务数据、经营数据和客户资料等全部存储于网络之中。随着近来泄密事件的增多,如何更好的保护和管理企业自身的信息资产、防止信息泄密已成为企业目前面临的一个严峻挑战。这些信息和数据与企业的前途命运息息相关,任何一个信息的外泄有可能让您苦心经营多年的公司领先技术优势化为乌有、公司树立的正面形象毁于一旦、个人打造良好的声誉威名扫地……
图纸、源代码被偷走:杀价竞争,抢走客户;
精彩创意被甲方剽窃:百般挑剔,恶性毁约;
客户信息被批量窃取:低价转卖,扰乱市场;
财务数据被非法外泄:制造麻烦,要挟公司;
……
面对以上问题,企业该怎么做才能保障核心数据的安全?为解决这类问题,目前业界已有很多厂商都推出了防泄密类的产品,如文档加密、身份控制、DLP、审计等等。如些多的产品,企业又该如何选择呢?笔者建议企业在选择防泄密产品时一定要先充分了解自身的需求再进行产品的选型。近日笔者收到一款安腾-凤凰卫士防泄密软件的评测,希望通过我们的详细评测,可以帮助企业用户对这套防泄密软件有一个详细的了解,对您的选型有所帮助!
评测流程介绍:
一、主要功能介绍
二、主要特性介绍
三、软件安装过程
1、服务端安装
2、客户端安装
四、软件设置介绍
1、常规设置
2、受控软件设置
3、轻易实现文件加解密
五、本次评测总结
一、主要功能介绍
安腾软件根据不同组织机构用户的实际需求,从2005年开始研发了以先进的PHOENIX加密技术为核心,集身份认证与权限管理、自动备份、U盘管控、程序控制、日志记录、截屏监控、流程审批等多功能模块于一体的反商业泄密系统软件。
1、透明加密:安装凤凰卫士客户端的电脑,其生成的文档自动加密。加密文档在内部授权环境中可以正常使用,未经授权解密,私自带到外部或未经授权的内部环境均无法打开。
2、U盘管控:可以自动识别并限制多种移动存储设备的使用,包括U盘、MP3、手机、相机等,而对于鼠标、打印机等非存储类的设备则不受影响。
3、打印控制:可以禁止使用打印机。防止无意义打印或者是通过打印的方式泄密。
4、日志记录:可以对用户的操作过程做详尽的记录,包括打印、复制、移动、涉密文件的审批、服务器操作情况等,以便监督检查和事后追溯。
5、自动备份:自动将相关的涉密文档定时备份至文档服务器,防止重要文档被有意或无意删除以及遭受病毒而造成损坏。
6、截屏监控:定时或者手动对指定电脑的屏幕进行抓取,监管员工桌面操作。对工作期间经常从事与工作无关的事情,起到震慑作用,帮助企业规范员工行为。
7、流程审批:可以结合用户的管理需要,针对不同操作分别指定审批手续和权限,灵活设计单级和多级审批流程,支持异地审批。
二、主要特性介绍
凤凰卫士是基于计算机技术和管理学理论地整合、扩展和延伸,力图在客户不同的管理方法下,无缝融入对计算机文档的权限管理,使其既能防止文档向外泄密,又能对单位内部的文档管理做一个很好的支撑。能够实现复杂而灵活的应用,满足各种组织机构的需要。
1、基于B/S的架构:凤凰卫士是基于B/S架构的,能满足多样的部署条件和要求。
2、基于PKI体系的加密:以RAS算法为基础,通过身份证书标明不同的子公司、部门、个人。与传统的多密钥体系或者密级体系相比有更多的灵活性。
3、多种用户认证模式:支持按硬件号(一人一机的模式)认证用户,也可持按与微软的AD活动目录完全结合,使用域用户认证,并可导入域服务器上的组织结果,根据需要也可以支持两种认证模式混合使用。
4、多种加密模型:支持打开加密、修改加密、不加密、智能加密等多种模型,用户可以根据需要对不同的个人、部门,或者不同的应用程序设置不同的加密模型。
5、加密与权限无缝衔接:生成的加密文档可以根据预先的设置加入相关的信息,同时也可以指定文档的权限,如哪些人可以看,哪些人可以修改,哪些人可以打印等。
6、自动或者手动加密的结合:可以针对不同的用户,不同的应用软件采用加密或者手动加密。在保证安全性的前提下保留方便性。
7、屏幕控制/动态水印:员工在看文档或者是编辑文档的时候屏幕上会自动浮动当前电脑用户名、当前电脑IP地址、当前计算机名称、当前电脑日期甚至可以自定义一些文本内容,从而让员工在拍照的时候起到心理震慑。
8、灵活的组策略结构:组织结构以Root为根,可以无限级分组。对于每一个组、用户均可进行单独的设置。同时根据需要,下层组可以选择是否继续上层的设置。当设置有冲突时,自动以最严格的设置为准。
9、基于FTP的审批认证方式:审批是通过用户的FTP做中转,实现跨地域分布式部署。
三、软件安装过程
凤凰卫士防泄密系统主要由服务端和客户端两大模块组成:服务端主要用于对局域网内所有客户端以及管理端的集中配置与管理。客户端采用无界面设计,在安装好客户端后,员工并不会感觉到有凤凰卫士的存在。所有的加密均是在背后由客户端自动完成的,此过程无需也不可干预。
1、服务端安装
服务端的安装非常简单,只需要双击安装包中的install.bat文件即可,如下图所示:
稍等片刻之后,服务启动成功,如下图所示:
服务端采用标准的WEB管理界面,用户使用常用的浏览器都可以对其进行管理,在此我们以IE浏览器为例。在地址栏输入http://localhost:54911/itensoft/ 即可登录主页面,如下图所示:
2、客户端安装
点击上图所示的客户端下载,即提示保存client.zip文件,然后打开进行安装。
接下来在服务器配置界面中,需要指定服务端计算机的IP地址,在此我使用的是192.168.10.201,如下图所示:
根据智能的向导提示,很顺利的完成客户端的安装,如下图所示:
四、软件设置介绍
首先,我们需要登录到服务器端的管理界面中,方法是打开浏览器,在地址栏中输入:http://127.0.0.1:54911/itensoft,默认用户名/密码都是SuperUser,即可打开管理界面,如下图所示,强烈建议首次登录后进行密码修改。
从上图中可以看到,凤凰卫士强大的策略功能以及当前的客户端信息;安全功能之丰富,足以满足企事业单位和个人消费者的应用。
在下图中,我们可以看到组策略的设置项,如果希望对客户端进行设置也非常简单,只需要在客户端上右击,就可以看到例如常规、受控软件、身份、接受者以及审批流程的相关设置。
下面,我们就针对一些最为常用的设置,进行介绍。从中大家可以发现安腾软件充分考虑到用户的体验,用户可以利用WEB配置界面很方便的实现必要的基本设定,整个设置过程相当简单。
1、常规设置
1) 一般项设置
·从上层继承(如果选择,我们就已上面所有的层以及当前层最严格策略来设定)。
·U盘使用日志:记录U盘的使用过程,比如新建、拷贝、移动、删除文件等。
·打印日志:记录用户打印过的文件,以备日后回溯。
·Ftp:备份解密以及外发的文件。
·离线使用
1、在线使用(极进模式):如服务器死机或网络故障,则将无法打开已加密的文档。
2、在线使用(温和模式):如服务器死机其依旧可以打开加密文档,直到其重新启动。
3、允许离线使用:则无论是否能够连接到服务器均可以正常打开已加密文件。
·Explorer需预览的文件:由于文件如图片经过加密后在Explorer中不能被预览,所以我们提供了Explorer预览功能,只需要将需要预览的文件以通配符的形式(如:*.jpg)两种格式之间用英文输入法下的分号(;)隔开,填入文本框里,便可以在Explorer中进行预览效果了。
2) 设备控制
·禁止打印:当需要使用打印机时,可由管理员临时允许用户使用打印功能。
·移动存储设备:分为出入两个模块,每个模块各有三种模式。
1、允许:不对U盘移动硬盘等设备作控制。
2、禁止:不可以入(出)文件到本地硬盘(移动存储设备),并且不会影响其他USB设备的正常使用。
3、加密:既可读取又可写入,但写入的内容都会自动加密。
4、解密:既可读取又可写入,但读取的内容会自动解密。
3) 备份
·自动备份:在自动备份前打上 并且在要备份的文件类型的文本框中使用通配符的格式,两种格式之间以英文输入法下的分号(;)隔开的形式填入。然后在备份路径中如图所示打上备份存储的文件夹位置(也可以是网络文件夹),最后选择备份的版本数便可以对您要操作的文件进行备份了。
4) 抓屏
·为了更高效的防止文件的泄密,我们可以通过定时抓屏来锁定人员的工作详情。可以设置抓屏的间隔和保留的天数。抓屏的间隔精确至分钟。
5) 高级
·虚拟打印保护:市面上有很多虚拟打印设备可能导致通过虚拟打印得到明文,选中这个选项便不会出现上述问题。
·复制粘贴保护:如果未选中的话受控软件和非受控软件之间便可以实现明文的互相复制粘贴功能,选中后,由受控软件向非受控软件里复制文件的功能将被禁止。
·拖放保护:如果未选中的话受控软件和非受控软件之间便可以实现明文的互相拖放功能,选中后,由受控软件向非受控软件里拖放文件内容的功能将被禁止。
·抓屏保护:选中后将禁止使用如qq截屏的各种软件截屏。
·OLE插入保护:选中可以解决通过OLE插入加密文件的时候的明文泄漏问题。
·加密文件图标在资源管理器中特别显示:默认情况下加密文件于未加密文件在资源管理器下是没有任何区别的,选中后加密状态下的文件图标上将会出现一个加密小锁:
2、受控软件设置
右击root,设置->受控软件,弹出如下对话框:
在这里我们可以加密自己设定的软件。用户也可以通过自定义设置想要加密的软件。在这里我们还可以进行打印的有效控制。
加密模式:加密共分为四种模式:
·打开加密:未加密文件一经打开便被软件自动加密。
·保存加密:只有对未加密的文件进行修改保存后,软件才会对其进行加密。
·不加密:软件不对电脑上的文件进行任何加密操作,但仍然可以打开加密的文件。
·智能加密:选用此加密方式打开加密的文件修改保存后文件为加密文件,打开未加密文件,修改保存后文件则为未加密文件,但是同时打开已加密的文件与未加密的文件修改保存后,两者将都为加密文件。
3、轻易实现文件加解密
凤凰卫士功能强大,例如透明加密、U盘管控、打印控制、日志记录、自动备份、截屏监控、流程审批等,限于篇幅不能一一讲解,在此我们就以文件加解密为例,让大家充分体验到凤凰卫士功能的强劲和操作的简便。
首先,我们需要创建一个审批人,他的作用就是针对用户的申请做出响应,方法打开凤凰卫士电子文档安全管理系统,在用户角色功能选项卡中,即可按照提示创建审批人用户,如下图所示:
但可千万不要忘记给它分配审批的权限。例如,在此我们给他分配的权限有允许登录审批端、审批解密、审批外发、审批调整权限等,如下图所示:
审批用户创建成功后,即可以使用此用户登录了,此时右下角将新增一图标(如下图), 双击该图标打开审批员界面。列表框中显示的就是需要审批的信息。在 “设置”菜单可根据需要设置,是否自动运行,关闭时最小化到系统托盘,临时文件的目录,显示数据的时间,且可以按照日期来排列,退出时删除临时的文件。考虑之细,可以看出此软件的设计者们用户良苦。
接下来,用户给文件加密就异常简单了,在此我们看一下手动加密的方法,只需要在未加密的文件上,右键选择“凤凰卫士”单击“加密”即可。如图:
细心的朋友看出来,在这里不仅有加密功能,用户还可以在这里申请解决、申请外发、申请调整权限等。这些功能正是很多企业迫切需要的,所谓外发指定的是可控制外发文档的使用权限,如只读、另存、打印、截图权限和有效使用时间等,并可实现外发文档绑定电脑、绑定特别存储介质(U盘)、打开次数、打开密码等控制权限,同时还提供水印功能,可以设置外发文件水印来做到有效控制。水印包括:屏幕水印以及打印水印。通过此页面可以设置水印的时间、电脑的ip地址、机器名以及用户名。同时还可以设置水印的角度以及显示的方式。这个功能真的太贴心了,网上可是无数人在苦苦寻求,这里都给你提供了。
那么调整权限也不难理解,可以指定某份文档的权限,如哪些人可以看,哪些人可以修改,哪些人可以打印等,并可对这些权限作出调整。调整权限的界面如下图所示:
学会了如何加密文件,那么解密的操作同样简单,只需要在加密的文档上右键“申请解密”即可。然后选择相应的审批者,点击“申请”即可。(此时,系统会发送提示信息给管理端,并将给文件上传到管理端的“临时文件夹中”)等待管理端的批复即可。如下图所示:
评测总结:
1、产品功能强:不但有常规的文件加解密功能而且还有很多辅助功能如:权限管理,加密文件自动备份、U盘等移动存储数据流向管理、限时限次可控的文件外发(个人感觉目前市场最完善)、加密文件日志审计;
2、产品使用简捷:加密产品会改变用户体验,凤凰卫士在用户体验上非常好,软件集成了MYSQL的数据库安装的同时数据库也配置好了省钱省事;文件可以按文件类型选择性加密;而且手动和自动加密结合,减少了大量不需要加密文件的审批;而且审批流程简单,可以做多级或者同级审批;
3、产品兼容性好:产品支持WindowsXP,2000/ 2003 /2008 /WIN7/WIN8操作系统,我们特意找了个Windows8 64位操作系统,和微软Surface Pro平板支持都不错,64位的支持非常适合SOLIDWORKS/CATIA/UG等3D制图软件,而且可以和很多业务系统结合ERP/CRM/OA/PDM/PLM/等软件结合使用。甚至可以和很多编程软件C++/汇编/DELPHI等结合使用;
4、产品安全性高:我们找了一些常规解密工具尝试暴力解密不成功,而且没有传统软件私自备份加密文件明文落地的情况,系统资源占用少客户端内存使用只有其他软件20-30%;
安全无小事,文档安全方面面临的所有问题,在凤凰卫士防泄密系统中我们都可以找到很好的解决办法, 在如今泄密事件越演越烈的今天,一款好的防泄密软件不仅可以帮助企业防止核心数据的泄密。有数据泄露防护需求的企业可以关注一下安腾的凤凰卫士防泄密软件。