文檔透明加密四大趨勢

　　引言：數據安全越來越受到政府機關、軍隊、軍工單位和企業用戶的重視。各種類型的加密軟件也逐漸得到使用，在一定程度上降低了數據泄露的風險，起到了保護數據安全的作用。然而，數據泄露不只是一個加密軟件就能解決問題的。信息化水平的提高和數據泄露風險增大是并存的，用戶關于數據安全的方面，已經提出了更多、更新、更高的需求。只有把握用戶的需求，才能清楚地看到透明加密行業的未來。

　　透明加密，僅僅只是個開始

　　從2002年開始，一個旨在對核心數據加密、防止從內部泄密的軟件行業開始興起并迅猛發展起來，通常稱之為“電子文檔安全行業”，或稱“加密行業”。加密行業通常采用透明加密技術，對不同類型的電子文檔進行強制、實時、透明的加密，從文件的創建、存儲、使用、流轉和銷毀全過程進行保護。即使文檔流失到外部，也因為進行了加密處理而無法打開，確保核心機密不被泄露。這個行業也常常被稱為“透明加密行業”。

　　加密軟件已經得到了廣泛的使用。在國內，政府、軍隊、軍工企業、制造業、通信業、研發設計行業等有大量用戶采用了加密軟件。一批具有影響力的用戶如外交部、酒泉衛星發射中心、解放軍二炮部隊、中國移動集團、正泰集團、比亞迪、國人通信、京東方等采用加密軟件之后，對加密軟件評價頗高。市場上也涌現出以一大批北京億賽通為首的加密軟件企業，據估計有將近300家。從銷售情況來看，加密行業2006年不足1億元，2007年達到了1.1億元，2008年估計市場總額將達到1.7億元，預計 2010年將達到3.8億元。加密軟件市場每年的增幅均在50%以上，銷售額已經占到整個信息安全市場的6.34%。

　　雖然加密軟件行業如火如荼地發展，但是，加密軟件只是數據泄露防護的核心構件之一，單憑加密軟件就要承擔起數據泄露防護的全部功能，是不可能的。從整個信息安全的發展動態來看，加密軟件僅僅只是數據安全的開始。

　　趨勢之一：

　　智能動態加解密將成為加密軟件的發展方向。

　　加密軟件的加密方式主要有兩種，一種是自動、強制、透明的加密方式，另一種是手動加密方式，后者主要由文檔的作者或者文檔管理員根據內容來判斷是否需要加密，用手動的方式對文檔進行加密。

　　這兩種加密方式雖然在一定程度上滿足了用戶的需求，但是并不是最終的解決方案。對用戶來說，加密軟件還需要具備以下功能：

　　1、系統自動識別文檔內容并判斷是否屬于密級文檔。這是因為，對強制加密軟件來說，只針對文件類型進行加密。而該種針對文件類型的加密，將會把所有該類型的文件都加密了，但是多數企業的核心資料只占到5%——10%之間，如果要對該種文件類型的文件都加密的話，在需要對外發送明文時，必然要有大量的解密工作，這會降低工作效率；而如果采用第二種加密方式，用手動進行加密的話，那就無法防止文件的作者或者文件管理員在加密之前把文檔泄露出去。

　　2、系統對識別為密級的文檔自動進行加密。對手動加密方式來說，加密之后的文件只能保證文檔的下一個使用者不會泄密，卻無法防止文檔的創建者或者文檔管理員泄密。要防止手動加密的泄密，加密軟件就必須有自動對涉密文檔進行加密的功能。

　　綜合現有加密軟件的功能和用戶的需求，現有的加密軟件還是不能完全滿足用戶需求的，所以，下一代加密軟件應該是智能動態的加密軟件。  {page_break}

　　趨勢之二：

　　文檔加密將與文檔的存儲、備份和災難恢復等功能集成在一起，成為文檔管理整體解決方案。

　　賽門鐵克CEO John Thompson表示：“我相信我們將會發現歸檔、備份、災難恢復之間的界限越來越模糊。”他還說：“大家過去購買的單獨的產品將會走到一起，作為一套整體解決方案，擁有更好的性能，可以讓您更有效的管理您的信息。”John Thompson先生的預測是對的，但是還遺漏了一點，那就是文檔加密。文檔加密也將會和文檔的歸檔、備份、災難恢復等功能一起集成為一個文檔管理整體解決方案。

　　文檔加密和文檔的備份、災難恢復一樣是解決數據安全問題，所以文檔的備份、災難恢復與文檔加密具有天然的近親關系。在新的安全威脅形勢下，基于內容的深度安全分析已經成為目前數據安全的熱點方向，包括基于特征匹配的深度分析以及基于行為識別的內容分析技術等。從文檔的創建、使用、流轉、存儲和銷毀整個生命周期來看，必然包含了對文檔的安全保護。文檔安全保護的手段，基本上可以細分為：文檔的加密處理、文檔備份、文檔的存儲管理、文檔的災難恢復等。

　　從目前的市場應用來看，對中小型用戶來講，現在單獨采購加密軟件的還是占多數。但對大型企業用戶來說，一般不會直接采購加密軟件，而是通過系統集成商，對應整個文檔管理需求，制定一個完整的文檔管理解決方案。從長遠來看，文檔加密功能與文檔管理集成在一起，是一個大的趨勢。

　　趨勢之三：

　　加密軟件集成到數據泄露防護（DLP）體系中，成為DLP解決方案的的一部分。

　　早期的加密軟件的基本思路是通過對核心文檔加密，從源頭上控制文檔的使用，防止泄密。但是，隨著信息技術和管理理念的發展，單一的加密功能已經不能滿足現在用戶的需求。

　　很多加密軟件廠商在產品設計理念上，還處于相當初級的階段，還僅僅把加密軟件當作一個產品來考慮，認為加密軟件只要功能再做的復雜一些，穩定性、安全性做得再高一些，就足夠了。但是，從整個信息安全發展的潮流來看，這種想法相當的原始。  {page_break}

　　在信息安全管理方面，分層架構多重防護理念已經是主流。在一個網絡內部的多個區域，通常采用多種方案的分層保護來確保信息安全，此種方法可以避開單點安全防御的失敗。雖然現在的加密軟件結合了身份認證、權限管理、自動備份、日志審計等功能，已經具備了分層保護的雛形，但從市場上的產品來看，這些功能還是相對比較簡單，沒有做深做透。

　　從國際國內信息安全廠商的動態來看，把文檔加密軟件集成到數據泄露防護（DLP）體系中，已經成為主流。這一點可以從國外信息安全廠商越演越烈的并購潮中看出來。Sophos收購了德國數據安全公司Utimaco， McAfee去年秋天買下SafeBoot公司。在國內，中國最早的加密軟件企業和領導者北京億賽通，也預見到這一趨勢，并且從2007年起就迅速發展其產品線，從一家單純的加密軟件企業，羽化為中國第一家能提供完善的數據泄露防護產品的整體解決方案提供商。

　　趨勢之四：

　　隨著虛擬化技術的廣泛應用，數據泄露防護（DLP）將成為數據安全的最佳解決方案。

　　虛擬化是把物理資源轉變為邏輯上可以管理的資源，打破物理結構之間的壁壘，物理資源都透明地運行在各種各樣的物理平臺上，資源的管理都將按邏輯方式進行，完全實現資源的自動化分配。虛擬化是IT大趨勢，有服務器虛擬化、存儲虛擬化、網絡虛擬化、終端虛擬化、桌面虛擬化等。

　　加密軟件多數采用 C/S架構，對主機、服務器、終端等物理位置上的文檔進行加密。而虛擬化技術將會給加密軟件帶來巨大的沖擊，首先是終端的虛擬化。因為終端不再存儲文檔，所有文檔將存放在虛擬的服務器上，終端所操作的文檔都只是虛擬的圖像文件，不用對本地文檔進行管理。存儲虛擬化的影響更為直接。虛擬存儲將會把文檔存放在某個虛擬的區域里，不再像以前樣存放在本機或者上傳到服務器。網絡虛擬化將會使文檔的流轉途徑發生巨大變化，服務器的虛擬化將會使文檔的存儲位置變得更無序可循。

　　綜合以上種種因素，虛擬化時代的文檔管理，加密軟件將無用武之地，而取而代之的是數據泄露防護（DLP）。DLP是一套完整的數據安全保護體系，它將智能地將文檔進行過濾，區別出文檔是涉密或者是普通文檔，然后將涉密文檔進行自動、強制、透明地加密。在文檔的創建、使用、流轉、存儲中將采用“追蹤加密”技術。與此同時，DLP將會通過有效的終端管理、網絡邊界管理、電子郵件管理、網絡接入管理等手段，防止非法用戶連接到虛擬服務器，并防止涉密信息非法輸出內部網絡。而對涉密文檔合法流轉到內網之后，也能對涉密文檔進行管理。