如何管理具有一定风险的操作系统又如何应对故障风险
安全和效率,永远是一对矛盾。安全伴随着麻烦,效率意味着风险。在日常工作中,有些操作是具有泄密风险的,但是又可能是能够提高工作效率的,甚至是工作中必须要采取的。最为典型的莫过于将密文打印出成纸介质文件。这样的操作,我们可以称之为“风险操作”。对于风险操作,用户应该如何管理?软件系统又能够提供哪些管理手段?这也是对透明加密系统考查时必须注意的事项。
常见的风险操作包括:
(1)将密文打印成纸介质
(2)从涉密应用软件的窗口复制文件内容并粘贴到非涉密应用软件正在编辑的文件中
(3)在非涉密应用软件编辑文件的过程中,将密文作为OLE对象进行插入
对这些风险操作,一味地加以禁止或者一味地加以允许,都是不合适的。可行的办法是通过系统管理员的设置,实时地禁止/允许这些操作,并且这种设置应该是可以单独针对某一个(批)授信节点的。这样,平时禁止这些风险操作,如果需要再临时允许。这种方法,实际上是大多数用户所能够接受的矛盾平衡点。当然,这种方式对企业内部管理提出了较高要求,而且会加大管理员工作量。
用户在选择加密软件之前,就需要考查加密软件系统能够管控哪些风险操作,以及软件系统支持企业管控到什么程度。
透明加密系统一般都会要求客户端程序和服务器保持网络连接。早期的一些系统没有这个要求,造成了一些无法挽回的后果。例如安装了客户端程序的机器(即授信节点)脱离了用户的实际管控范围(员工声称他的笔记本电脑在出差期间被盗,但事实上是被此人藏匿起来了)之后,该授信节点在重新安装Windows之前永远能够打开公司的密文,而公司却无可奈何。
出于安全方面的考虑,现在的透明加密系统都有上述要求。一旦授信节点和服务器的通讯发生故障,授信节点应该不再能够打开密文。但是,这就带来了另外一个问题:如何降低对服务器和网络稳定性的依赖?
针对这个问题,不同的厂商有不同的解决方案。例如,针对服务器宕机的风险,有的厂商能够提供备用服务器。还有些厂商能够进一步针对网络故障的风险,将通讯频率设置得更小一些。例如,每10分钟检查一次授信节点和服务器的连接状态,比起每2分钟检查一次而言,前者对网络的负载就要小得多。在有些品牌的加密系统中,这个频率是可以允许用户自行设定的,甚至可以将这个频率设置为0。这个频率为0,意味着授信节点一旦成功从服务器上获取策略和密钥之后,就无需再和服务器通讯,直至下一次Windows启动。