“加密系统”的巨坑

      在来公司之前,我压根就不知道这世界上原来还有“加密系统”这种软件产品存在,学名叫数据防泄漏,也怪我孤陋寡闻了。因为之前在厦门从来没听说过哪家公司有在用加密系统。当然,每家公司都有自己独特的管理需求,也许公司这边也确实重要信息比较多,核心机密担心泄露也未可知。

      公司的加密系统采用的是亿赛通的产品,2014年实施,2015年上线。每台电脑都会安装一个加密客户端,在电脑安装系统的时候网管就安装了,随机启动,用户无权退出,由管理员在系统后台操控每个账号的策略权限和审批流。针对加密策略的管理上,我们公司对普通员工的策略上是文档只要有新增和编辑改动就加密,哪怕只是改名,需要解密的时候就提申请给主管审核解密。而公司高管的加密文档基本上自己就可以解密了,无需旁人。因为公司网络基础架构没有做好,所以每台客户端连接加密系统都是用的公网地址连接。用户在家也可以用公司的电脑连接加密系统查看文档。

      虽然有加密系统的存在,但用户对文档的读写操作大部分不受习惯上的影响。双击打开文档,加密客户端就自动在后台对文档解密并打开,当用户编辑完之后保存退出,文档自动加密。任何的手段都没办法做到对文档的破解。一旦电脑没安装加密系统,则文档打开会乱码或者打不开。

      亿赛通加密系统,公司上线了一年多,发现它有几个大问题如下:

一、上了就很难换

      加密系统仿若流氓软件一样存在,一旦在企业里用上了,就基本上就换不了了。涉及到太多的文档需要解密,同时如果跟其他系统做集成的话,也都是一堆坑在里面。所谓请神容易送神难,IT管理员不仅要维护保证加密系统的稳定性,同时也要保证它跟其他系统的完美兼容,简直苦不堪言。一旦出现了不稳定和兼容问题,就需要厂家来协助,每年交维护费是免不了的。而内部加密系统管理员能做的仅仅只是修改策略,添加权限等等这种常规运维而已,高深的技术根本没法涉及到。

二、兼容性问题

      可能是公司当初跟加密厂商签合约的时候没谈好,并没有说明后续兼容性的处理问题。导致上线没多久兼容性问题就频发。典型的问题就是跟Win10不兼容,在上面使用加密系统会频繁导致蓝屏或黑屏,根本没法用。这个经过了非常大量的测试,包括用户也拿到监测站去检测过,Win10的版本也测过许多,安装上了加密系统就立马蓝屏,卸载掉就不会。现在公司购买的电脑只能格掉预装的正版Win10系统,让网管安装盗版的Win7或Win8才行。那这些电脑厂家没有发布Win7或Win8的硬件驱动怎么办?那就真的只能凉拌了,凑合着用!

      加密系统也没办法跟一些特殊的软件做兼容,比如证券软件,会导致软件使用异常。

三、密码无法初始化

      新员工进来,会分配一个初始的加密系统账号,都固定有一个默认的密码。但是加密系统却没办法去强制要求用户修改默认密码,所以只要有心的人完全可以轻松盗取所有人的加密系统的密码,解密账号简直易如反掌,导致加密系统形同虚设。

四、公网验证

      公司的基础网络架构没有搭起来,没有购置VPN或者购买专线网络,所以所有子公司的加密客户端都是通过公网的地址来连接加密系统的机房。这就意味着如果用户的电脑被盗了,那里面的加密文档简直没有任何安全可言。同时,如果有人知道加密系统的登录地址(很容易知道),完全可以在家安装加密系统,顺利登陆成功。而且因为是公网运行,外部人员完全可以通过技术手段来攻击加密系统的服务器!

五、系统集成

      但看加密系统可能没啥问题,但如果你要涉及到ERP系统,可能问题就“滚滚来”了。特别是在实施ERP的时候,往往要导很多的数据,上传Excel上去就把数据灌进去,而加密系统又不能做到完美支持这一点。从ERP上导数据下来也没办法做到下载的文档是加密的。由此在不久的未来,系统越来越多,每个都要跟加密系统做好对接,在技术无法完全掌握的情况下,这就是一个大坑!      

      六、对IT的影响

      加密系统不仅加密Office文档,连图片,甚至源码和配置文件都给加密了。结果可想而知,程序根本没办法加载入资源和文本,导致开发根本进行不下去。只要图片有改动地址等操作就立马被加密,几乎让IT开发的exe程序处于废材状态!

七、影响用户的办公效率

      既然有这么一个东西存在,影响用户的办公效率是一定的了。

      1、遇到ERP和OA系统使用问题时没办法截图给IT做判断,会黑屏;

      2、网管无法远程连接用户的电脑去维修,因为加密系统的原因它会黑屏;

      3、用户不能从Excel复制内容到其他软件产品,只能对着文档一个字一个字敲内容,特别是要搜索内容时,特别痛苦;

      4、跟其他软件冲突导致有时候不能随机启动,导致文档无法打开;

      5、无法在压缩包里直接拖拉文档出来解压,会报错;

      6、不管是什么文档,哪怕是毫不重要的文件都会被加密,有时候需要外发就要申请,严重影响效率;

      7、一些个别的软件图标显示不正常,因为图标加密的原因,软件无法正常显示。

      以上列举了加密系统的各种问题。因为它不能正常跟Win10兼容,所以现在新买的电脑都不能用自带的正版Win10,都需要格掉换成盗版Win8.1,而厂商那边也没有对应的补丁包,所以我们打算给它做一次升级,需要花钱。这一点得到了已经卸任的IT领导的强烈反对。他认为加密系统是跟Win10兼容的,直接无视我们做得非常大量的测试报告,也无视个别高层拿电脑到电脑售后做的检测报告,直接说我们Win10技术不行,使用的是盗版。跟高层建议通过内部IT的技术手段(程序开发),制作加密系统的补丁包来堵住兼容问题。

(Win10不太稳定,会出现蓝屏崩溃?你让微软面子往哪里搁,你让十几亿Win10用户情何以堪?)

      如此来来回回非常多次,决策层一听到要花钱,基本上就采纳了已经卸任的IT领导的建议。我们公司一直在内部学习其他标杆企业的制度和行事风格,但是那家标杆企业也正好用的是亿赛通的加密系统,人家就是因为Win10的兼容问题而给加密系统做了一次升级,现在也都完美解决兼容问题了。我不知道高层和这位卸任的“IT”领导人作何感想。这套加密系统已经来来回回折腾了好多次了,各种问题都会出现,而且根本没办法去通过技术手段来解决,人家根本就不会提供源码。折腾到最后,这加密系统还是原来的样子。高层一如既往不用解密申请而畅通无阻,普通员工的文档有的没的还是一直被加密状态,问题还是一大堆。

(没有任何源码,没有任何技术交接的基础上,让IT开发人员通过自己的能力给第三方软件打补丁?)

      严谨来说,加密系统一般只对一些重要的部门使用,比如研发和财务等比较核心的部门才会做监控加密。而且对高层是不会开放的,因为高层反而会掌握更多的非常核心的数据文档,底下的普通员工就是一些很基本的办公文档,加密这些意义何在?再说了,企业里面难道只有文档才是需要被加密的吗?像上了ERP之后,里面的采购价格,客户信息是不是最重要的?人事系统里的薪资和员工基本资料是不是很重要?这些数据存在数据库里,加密系统根本就没办法去管控加密得了,而且公司不使用VPN网络加密和网络专线,所有用户的电脑和公司之间的网络通信全部都是在网络上明文传输,加密系统又如何管理的了?      

      写在结尾,我想说的是,加密系统能做的实在是非常非常有限。企业上加密系统完全就是给信息管理部门挖坑。真的碰到有心要泄露公司机密的人,直接拿着手机对着电脑屏幕拍照,分分钟就泄露出去了,再不济也可以人工一个字一个字发到QQ上。功能有限,普遍挖坑是加密系统的特长。如果企业能不上加密系统就不要去碰他,那绝对跟流氓软件没区别。花钱不说,也起不到管理效果。

      如果真的有必要,封堵网络端口,USB封堵,做上网行为管理才是正道,而不是给自己花钱挖坑!

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

看我如何用一千块钱搭个八核十六线程、32G内存的工作站

* 本文原创作者:Push丶EAX,本文属FreeBuf原创奖励计划,未经许可禁止转载 笔者经常要使用虚拟机,然而作为一个用着i3的屌丝,每一次开虚拟机都是一次...

1965
来自专栏FreeBuf

你的CAD图纸被盗了吗?

本次分析的样本是CAD脚本动态生产的一种VBS蠕虫病毒,大概10多年前就已经开始通过E-Mail传播此样本,而如今这类病毒依旧活跃着,浮浮沉沉,生生不息。 蠕虫...

1818
来自专栏FreeBuf

CIA 对本国情报机构下手?利用ExpressLane工具搜集FBI与NSA等机构的数据

维基解密上周休息了一周,本周又来搞事了:新一波 “Vault 7” 系列文档泄露。这次泄露的文档被标注为 “secret”,内容是 CIA 秘密监控全球联络情报...

36213
来自专栏FreeBuf

使用CommView for WiFi抓取无线报文

无线的使用已经越来越广泛,咖啡厅、图书馆,甚至洗手间都有无线覆盖。GOD!希望各个厂家的无线射频都达标,对人体无害,要不然。。。。 FreeBuf科普:什么是无...

2475
来自专栏accesshub

省心运维,远程接入托管服务

解决移动办公用户远程接入需求的方案很多,但无论是购买成熟商业产品还是使用开源软件,都需要自己运维。运营维护依赖人工,需要投入人力解决,这对于人力资源缺乏的企业是...

1052
来自专栏FreeBuf

TR-064漏洞受影响厂商设备及TR-064协议安全性分析

作者:英国Xiphos Research高级安全研究员 Darren Martyn 过去几个星期,嵌入式设备表现出来的安全状况让人担忧,在Mirai的早期代码...

1786
来自专栏逸鹏说道

NodeJS 应用仓库钓鱼

前言 城堡总是从内部攻破的。再强大的系统,也得通过人来控制。如果将入侵直接从人这个环节发起,那么再坚固的防线,也都成为摆设。 下面分享一个例子,利用应用仓库,渗...

2585
来自专栏快乐八哥

使用Ubuntu 12.04作为日常电脑环境

搜狗输入法出来之后,我觉得有必要写一篇博客说明一下,如何使用Ubuntu作为日常的电脑系统。我使用的Ubuntu版本是12.04,没有使用Ubuntukylin...

2068
来自专栏AI研习社

GitHub 到底为啥这么受欢迎,我们为你整理一份使用攻略

GitHub,全世界开发者的安全空间,在这里,你可以分享你的代码为大家所用,也可以和全世界的开发者一起共建完善你的代码。在这里,你可以学习借鉴前辈的经验快速提升...

802
来自专栏视频加密

视频文件采用P2P边下边播6大优势

2) 可以多源下载:有人疑问了?如果只有一个人下载,此时BT下载是不是就没什么优势了。NO!就算只有一个人下载,这个用户如果用普通http,一般是从单个服务器下...

221

扫码关注云+社区