数据防泄密产品实测对比

沙盒与文档加密产品对比

数据保密产品发展至今大致可分为两类：文档加密类产品和沙盒类（或者称为环境加密）产品。两类产品设计理念和功能迥异。从这几年的应用情况看，数据防泄密项目想要实施成功，除了选择合适自身的产品外，更加需要客户的重视和配合。在不了解产品的情况下，仓促的选择产品并实施，项目失败率几乎就是100%。这样的反面案例数不胜数。

项目风险分为以下几种：

1.加密文件破解风险

文档加密是对应用软件进行控制，生成的文档在保存时被写入密钥，但该密文在装有加密产品客户端的电脑上被打开时，加密软件会先对密文自动解密，然后才能正常打开，也就是说，该加密文件，在内存中依然是明文存在的，可以通过“读内存”直接提取明文，绕过加密，安全级别较低；沙盒加密采用整体防护，客户端电脑在使用的时候无法将文件拿出沙盒环境，但并不影响本地使用，文件只能在沙盒环境内流转，破解难度相当大，安全级别高。

2.硬件调试风险

现在客户需求越来越多的涉及到硬件调试开发了，包括开发板烧录，app开发等，硬件设备的越来越多也造成了泄密风险的越来越大。文档加密对烧录调试的内容做了加密，如需正常调试的话，必须得解密文件调试，从而造成诸如仿冒硬件设备，调试带走文件等风险。沙盒产品因为接管了整个电脑的文件出口，当需要连接调试的时候，整个过程还是处于保护状态的，调试的文件烧录的文件都会被记录的一清二楚，减小泄密风险。

3.数据损毁风险

加密就要解密，这样就会形成解密失败的风险，就会造成数据损毁，极大影响员工的工作，导致产品无法上线。在这点上，沙盒类产品要远优于文档加密类，文档加密对文件有直接和频繁的加解密处理，数据损毁率较高，环境加密类产品的加密在数据传输边界处进行，对文件本身不做处理，文件不会造成损毁。从以往的项目经验看，文件破坏几乎已经成为文档加密产品的代名词和无法逾越的瓶颈（尤其是终端环境复杂的研发制造型企业里），而环境加密类产品不会出现此类情况。

4.应用软件升级风险

前面提到过文档加密是通过进程来加密，会涉及到软件版本的问题，例如：某一文档加密软件现在可以支持到WORD2010，将来微软新推出了WORD2012，这时候必须要开发商开发支持WORD2012才可以实现加密，用户可能还要为此不断更新升级而增加一系列的费用；而沙盒软件不存在此类风险。

5.管理变更风险

管理制度变更风险指数据保密系统上线后，企业的管理制度和流程出现一定的变化，数据保密系统必然要随之进行一定的调整。文档加密产品主要以文档为管理中心，与管理制度间并没有直接关系，当制度进行调整时，需要同时熟悉文档加密和管理流程的人来调整，该调整并无标准步骤和过程，存在很大的操作风险。

沙盒类产品基于“数据风险管理体系“设计理念与企业管理流程密切相关，任何一条数据保密策略对应着一条管理制度。当企业管理制度和流程发生改变时，只需要找到对应的策略进行修改，就可以相应的调整工作，简单快速。

6.产品下线风险

当企业因为某种原因，需要卸载保密系统并恢复到正常系统环境时， 对于文档加密产品来说，加密文件以单个的形式散落在各个终端上，解密文件过程对工作的影响将是巨大的。企业需要付出的下线成本不亚于上线成本。这就使得企业的系统被加密系统“挟持“了，成为一个的巨大风险，可能会在将来造成更大的损失。

对于沙盒类产品，所有数据在没有任何受控策略下，都会以明文形式传输和应用。下线的时候管理员只需卸载加密软件，迅速消除加密体系对原有信息体系的影响，下线风险极低。

通过以上对比，基本可以得出结论，对于大中型研发制造型企业来说，整体防护类产品的理念更为适用。归根结底，整体防护类产品更看重与现有信息系统和管理制度的匹配与融合，文档加密类产品更看重对操作者使用习惯的影响和改变，因此，前者需要企业做出一定的投入和让步来确保防泄密系统的顺利上线，但是一旦上线以后，运行将更为顺畅，后期管理和维护更为容易；后者更符合目前客户对于加密产品的普遍看法”不泄露数据，不影响工作“，但潜在的风险很大；前者更像是个系统，后者更像个软件，前者更适合于大中型企业的整体管理需求，后者更适合于小规模企业的快速应用。