文档安全一直是一个百听不厌的话题,古今中外都有很多文档泄密的案例,尤其是现在信息化这么发达,文档载体这么方便的情况下更是如此。所有现在冒出来了这么多的文档安全产品,数据放泄密产品等等。从本质上来看就是想防泄密。但防泄密是一个很空泛的话题。尤其是现在中国的情况特别喜欢走极端。
前几天在网上有一个聊天,感觉很有意思在这里记录下来。
无涯 17:36:55
防打印有毛线有
现在手机像素都这么高,直接拍照
宁-
这又是一个指望技术能搞定所有问题的
无涯
以前哥哥一个同学
是在第二炮兵学院学导弹什么什么的
后来工作了
提起过一段放拍照的技术
防拍照的技术
那叫防辐射
根本就拍不到
宁
我拿笔抄下来还可以啊
杭州
那时候液晶还没有那个
宁
或者我天生记忆好,就记住了
杭州
你拿笔抄写,就意味你可以看
无涯
再说有些人真可以做到过目不忘呢
杭州
你抄写,就有摄象头
杭州
所以三分技术7分管理
在中国这种情况特别多,喜欢钻牛角尖,我有手机拍照你如何放泄密,对文档保护,在不行我抄下来总可以把。
其实这总是一种误区,因为到目前为止没有任何一种或者多种技术能解决所有问题,所有讨论到最后又变成了三分技术七分管理了。
其实讨论安全总要有一种假设情况,就是假设最少有一个人是安全的,或者几个人是安全的,国外的三权分立就是基于这种原理,不然如果三家都凑在一起做坏事那何谈安全。
说完假设后,我们来分析一下,我们要保护的什么东西。就是保护的主体是什么。
通常来说保护的对象一般是文档,下面我们从几个场景来分析如何保护我们的文档。
我写的文档只有我自己看,别人不能看,这种情况比较简单的是对文档进行加密放在硬盘上就可以了。不需要透明加密,只要写完加个密码就可以了。当然这里面也有很多抬扛的事情可以做,比如你机器上有个木马,后者说你在写文档的时候后面有个高清摄像头。呵呵,我认为我们暂时假设我的环境是安全的。不然问题就没有办法分析了。
我写的文档可以给别人看,任何人都可以看,但是我希望别人不要copy里面的内容或者改一下作者说是自己的。这个时候如何处理呢,这个时候我认为有两种解决方案,一种是像百度文库一样只能看,不能下载和copy的那种。还有一种就是我做一个图片pdf加上一个水印给别人,别人爱怎么看怎么看,爱给谁给谁。我认为这个时候就达到目标了。但这个时候也是可以抬扛的,比如我用ocr识别,用截屏取一部分内容。这种情况下我认为等同于他自己又敲一边的作用,除非你不给别人看,只要给别人看,这种没有就解决不掉。
我写的文档只能给一部分人看,我认为这种情况是现在的主要解决的场景。就这种场景,我们有以下解决方案:
1、加密,这种情况可以解决存储和传输过程的泄密,因为没有密码,所有拿到的文档意义不大。但是有种情况就是我有查看的密码,我吧文档和密码一起给别人,你如何处理。我认为这种情况就很难处理,这也是大多数现有产品重点解决的场景。比如防copy,防截屏,防传输,防接口。我认为这是一个逻辑上的悖论,因为我给一个我看起来受信任但实际情况却有可能不受信任的人身上。因为从技术上来说只要他想泄密就一定能泄密。就比如拍照、手机录像、手写等。因为这种情况就本身脱离的电脑的控制。所有这种情况只能通过行政手段来处理。通过上面的分析,那就是如果有人真的想泄密,那是没有办法从技术上防住的。那上这种产品的意义何在呢,我认为只能解决一部分的无意识泄密,或者增加大家的放泄密意识或者增加泄密的成本,我在监控你,你要注意些。从很多厂家的分析报告中,这个是重点。
2、云端,这是时候类似百度网盘,你只能看不能下载。看的时候需要密码认证。而且也拿不走。
3、我下发的文档具有不可修改和带水印功能,这种情况就可以把文档添加查看人的水印在文档里面,而且是不可修改的,这个时候他就会很慎重的吧文档发给别人,因为上面有他的水印,就知道是他泄密出去的。当然这种情况还是防止不了拍照等,但这种情况我认为也没有办法防止。现在有个产品《pdf水印虚拟打印机》可以实现第三种解决方案和你给别人看又不想让别人改的那种场景。