在來(lái)公司之前,我壓根就不知道這世界上原來(lái)還有“加密系統(tǒng)”這種軟件產(chǎn)品存在,學(xué)名叫數(shù)據(jù)防泄漏,也怪我孤陋寡聞了。因?yàn)橹霸趶B門從來(lái)沒(méi)聽說(shuō)過(guò)哪家公司有在用加密系統(tǒng)。當(dāng)然,每家公司都有自己獨(dú)特的管理需求,也許公司這邊也確實(shí)重要信息比較多,核心機(jī)密擔(dān)心泄露也未可知。

      公司的加密系統(tǒng)采用的是億賽通的產(chǎn)品,2014年實(shí)施,2015年上線。每臺(tái)電腦都會(huì)安裝一個(gè)加密客戶端,在電腦安裝系統(tǒng)的時(shí)候網(wǎng)管就安裝了,隨機(jī)啟動(dòng),用戶無(wú)權(quán)退出,由管理員在系統(tǒng)后臺(tái)操控每個(gè)賬號(hào)的策略權(quán)限和審批流。針對(duì)加密策略的管理上,我們公司對(duì)普通員工的策略上是文檔只要有新增和編輯改動(dòng)就加密,哪怕只是改名,需要解密的時(shí)候就提申請(qǐng)給主管審核解密。而公司高管的加密文檔基本上自己就可以解密了,無(wú)需旁人。因?yàn)楣揪W(wǎng)絡(luò)基礎(chǔ)架構(gòu)沒(méi)有做好,所以每臺(tái)客戶端連接加密系統(tǒng)都是用的公網(wǎng)地址連接。用戶在家也可以用公司的電腦連接加密系統(tǒng)查看文檔。

      雖然有加密系統(tǒng)的存在,但用戶對(duì)文檔的讀寫操作大部分不受習(xí)慣上的影響。雙擊打開文檔,加密客戶端就自動(dòng)在后臺(tái)對(duì)文檔解密并打開,當(dāng)用戶編輯完之后保存退出,文檔自動(dòng)加密。任何的手段都沒(méi)辦法做到對(duì)文檔的破解。一旦電腦沒(méi)安裝加密系統(tǒng),則文檔打開會(huì)亂碼或者打不開。

      億賽通加密系統(tǒng),公司上線了一年多,發(fā)現(xiàn)它有幾個(gè)大問(wèn)題如下:

      一、上了就很難換

      加密系統(tǒng)仿若流氓軟件一樣存在,一旦在企業(yè)里用上了,就基本上就換不了了。涉及到太多的文檔需要解密,同時(shí)如果跟其他系統(tǒng)做集成的話,也都是一堆坑在里面。所謂請(qǐng)神容易送神難,IT管理員不僅要維護(hù)保證加密系統(tǒng)的穩(wěn)定性,同時(shí)也要保證它跟其他系統(tǒng)的完美兼容,簡(jiǎn)直苦不堪言。一旦出現(xiàn)了不穩(wěn)定和兼容問(wèn)題,就需要廠家來(lái)協(xié)助,每年交維護(hù)費(fèi)是免不了的。而內(nèi)部加密系統(tǒng)管理員能做的僅僅只是修改策略,添加權(quán)限等等這種常規(guī)運(yùn)維而已,高深的技術(shù)根本沒(méi)法涉及到。

      二、兼容性問(wèn)題

      可能是公司當(dāng)初跟加密廠商簽合約的時(shí)候沒(méi)談好,并沒(méi)有說(shuō)明后續(xù)兼容性的處理問(wèn)題。導(dǎo)致上線沒(méi)多久兼容性問(wèn)題就頻發(fā)。典型的問(wèn)題就是跟Win10不兼容,在上面使用加密系統(tǒng)會(huì)頻繁導(dǎo)致藍(lán)屏或黑屏,根本沒(méi)法用。這個(gè)經(jīng)過(guò)了非常大量的測(cè)試,包括用戶也拿到監(jiān)測(cè)站去檢測(cè)過(guò),Win10的版本也測(cè)過(guò)許多,安裝上了加密系統(tǒng)就立馬藍(lán)屏,卸載掉就不會(huì)。現(xiàn)在公司購(gòu)買的電腦只能格掉預(yù)裝的正版Win10系統(tǒng),讓網(wǎng)管安裝盜版的Win8.1才行。

      加密系統(tǒng)也沒(méi)辦法跟一些特殊的軟件做兼容,比如證券軟件,會(huì)導(dǎo)致軟件使用異常。

      三、密碼無(wú)法初始化

      新員工進(jìn)來(lái),會(huì)分配一個(gè)初始的加密系統(tǒng)賬號(hào),都固定有一個(gè)默認(rèn)的密碼。但是加密系統(tǒng)卻沒(méi)辦法去強(qiáng)制要求用戶修改默認(rèn)密碼,所以只要有心的人完全可以輕松盜取所有人的加密系統(tǒng)的密碼,解密賬號(hào)簡(jiǎn)直易如反掌,導(dǎo)致加密系統(tǒng)形同虛設(shè)。

      四、公網(wǎng)驗(yàn)證

      公司的基礎(chǔ)網(wǎng)絡(luò)架構(gòu)沒(méi)有搭起來(lái),沒(méi)有購(gòu)置VPN或者購(gòu)買專線網(wǎng)絡(luò),所以所有子公司的加密客戶端都是通過(guò)公網(wǎng)的地址來(lái)連接加密系統(tǒng)的機(jī)房。這就意味著如果用戶的電腦被盜了,那里面的加密文檔簡(jiǎn)直沒(méi)有任何安全可言。同時(shí),如果有人知道加密系統(tǒng)的登錄地址(很容易知道),完全可以在家安裝加密系統(tǒng),順利登陸成功。而且因?yàn)槭枪W(wǎng)運(yùn)行,外部人員完全可以通過(guò)技術(shù)手段來(lái)攻擊加密系統(tǒng)的服務(wù)器!

網(wǎng)友評(píng)論