“加密系统”的巨坑

      在来公司之前,我压根就不知道这世界上原来还有“加密系统”这种软件产品存在,学名叫数据防泄漏,也怪我孤陋寡闻了。因为之前在厦门从来没听说过哪家公司有在用加密系统。当然,每家公司都有自己独特的管理需求,也许公司这边也确实重要信息比较多,核心机密担心泄露也未可知。

      公司的加密系统采用的是亿赛通的产品,2014年实施,2015年上线。每台电脑都会安装一个加密客户端,在电脑安装系统的时候网管就安装了,随机启动,用户无权退出,由管理员在系统后台操控每个账号的策略权限和审批流。针对加密策略的管理上,我们公司对普通员工的策略上是文档只要有新增和编辑改动就加密,哪怕只是改名,需要解密的时候就提申请给主管审核解密。而公司高管的加密文档基本上自己就可以解密了,无需旁人。因为公司网络基础架构没有做好,所以每台客户端连接加密系统都是用的公网地址连接。用户在家也可以用公司的电脑连接加密系统查看文档。

      虽然有加密系统的存在,但用户对文档的读写操作大部分不受习惯上的影响。双击打开文档,加密客户端就自动在后台对文档解密并打开,当用户编辑完之后保存退出,文档自动加密。任何的手段都没办法做到对文档的破解。一旦电脑没安装加密系统,则文档打开会乱码或者打不开。

      亿赛通加密系统,公司上线了一年多,发现它有几个大问题如下:

一、上了就很难换

      加密系统仿若流氓软件一样存在,一旦在企业里用上了,就基本上就换不了了。涉及到太多的文档需要解密,同时如果跟其他系统做集成的话,也都是一堆坑在里面。所谓请神容易送神难,IT管理员不仅要维护保证加密系统的稳定性,同时也要保证它跟其他系统的完美兼容,简直苦不堪言。一旦出现了不稳定和兼容问题,就需要厂家来协助,每年交维护费是免不了的。而内部加密系统管理员能做的仅仅只是修改策略,添加权限等等这种常规运维而已,高深的技术根本没法涉及到。

二、兼容性问题

      可能是公司当初跟加密厂商签合约的时候没谈好,并没有说明后续兼容性的处理问题。导致上线没多久兼容性问题就频发。典型的问题就是跟Win10不兼容,在上面使用加密系统会频繁导致蓝屏或黑屏,根本没法用。这个经过了非常大量的测试,包括用户也拿到监测站去检测过,Win10的版本也测过许多,安装上了加密系统就立马蓝屏,卸载掉就不会。现在公司购买的电脑只能格掉预装的正版Win10系统,让网管安装盗版的Win7或Win8才行。那这些电脑厂家没有发布Win7或Win8的硬件驱动怎么办?那就真的只能凉拌了,凑合着用!

      加密系统也没办法跟一些特殊的软件做兼容,比如证券软件,会导致软件使用异常。

三、密码无法初始化

      新员工进来,会分配一个初始的加密系统账号,都固定有一个默认的密码。但是加密系统却没办法去强制要求用户修改默认密码,所以只要有心的人完全可以轻松盗取所有人的加密系统的密码,解密账号简直易如反掌,导致加密系统形同虚设。

四、公网验证

      公司的基础网络架构没有搭起来,没有购置VPN或者购买专线网络,所以所有子公司的加密客户端都是通过公网的地址来连接加密系统的机房。这就意味着如果用户的电脑被盗了,那里面的加密文档简直没有任何安全可言。同时,如果有人知道加密系统的登录地址(很容易知道),完全可以在家安装加密系统,顺利登陆成功。而且因为是公网运行,外部人员完全可以通过技术手段来攻击加密系统的服务器!

五、系统集成

      但看加密系统可能没啥问题,但如果你要涉及到ERP系统,可能问题就“滚滚来”了。特别是在实施ERP的时候,往往要导很多的数据,上传Excel上去就把数据灌进去,而加密系统又不能做到完美支持这一点。从ERP上导数据下来也没办法做到下载的文档是加密的。由此在不久的未来,系统越来越多,每个都要跟加密系统做好对接,在技术无法完全掌握的情况下,这就是一个大坑!      

      六、对IT的影响

      加密系统不仅加密Office文档,连图片,甚至源码和配置文件都给加密了。结果可想而知,程序根本没办法加载入资源和文本,导致开发根本进行不下去。只要图片有改动地址等操作就立马被加密,几乎让IT开发的exe程序处于废材状态!

七、影响用户的办公效率

      既然有这么一个东西存在,影响用户的办公效率是一定的了。

      1、遇到ERP和OA系统使用问题时没办法截图给IT做判断,会黑屏;

      2、网管无法远程连接用户的电脑去维修,因为加密系统的原因它会黑屏;

      3、用户不能从Excel复制内容到其他软件产品,只能对着文档一个字一个字敲内容,特别是要搜索内容时,特别痛苦;

      4、跟其他软件冲突导致有时候不能随机启动,导致文档无法打开;

      5、无法在压缩包里直接拖拉文档出来解压,会报错;

      6、不管是什么文档,哪怕是毫不重要的文件都会被加密,有时候需要外发就要申请,严重影响效率;

      7、一些个别的软件图标显示不正常,因为图标加密的原因,软件无法正常显示。

      以上列举了加密系统的各种问题。因为它不能正常跟Win10兼容,所以现在新买的电脑都不能用自带的正版Win10,都需要格掉换成盗版Win8.1,而厂商那边也没有对应的补丁包,所以我们打算给它做一次升级,需要花钱。这一点得到了已经卸任的IT领导的强烈反对。他认为加密系统是跟Win10兼容的,直接无视我们做得非常大量的测试报告,也无视个别高层拿电脑到电脑售后做的检测报告,直接说我们Win10技术不行,使用的是盗版。跟高层建议通过内部IT的技术手段(程序开发),制作加密系统的补丁包来堵住兼容问题。

(Win10不太稳定,会出现蓝屏崩溃?你让微软面子往哪里搁,你让十几亿Win10用户情何以堪?)

      如此来来回回非常多次,决策层一听到要花钱,基本上就采纳了已经卸任的IT领导的建议。我们公司一直在内部学习其他标杆企业的制度和行事风格,但是那家标杆企业也正好用的是亿赛通的加密系统,人家就是因为Win10的兼容问题而给加密系统做了一次升级,现在也都完美解决兼容问题了。我不知道高层和这位卸任的“IT”领导人作何感想。这套加密系统已经来来回回折腾了好多次了,各种问题都会出现,而且根本没办法去通过技术手段来解决,人家根本就不会提供源码。折腾到最后,这加密系统还是原来的样子。高层一如既往不用解密申请而畅通无阻,普通员工的文档有的没的还是一直被加密状态,问题还是一大堆。

(没有任何源码,没有任何技术交接的基础上,让IT开发人员通过自己的能力给第三方软件打补丁?)

      严谨来说,加密系统一般只对一些重要的部门使用,比如研发和财务等比较核心的部门才会做监控加密。而且对高层是不会开放的,因为高层反而会掌握更多的非常核心的数据文档,底下的普通员工就是一些很基本的办公文档,加密这些意义何在?再说了,企业里面难道只有文档才是需要被加密的吗?像上了ERP之后,里面的采购价格,客户信息是不是最重要的?人事系统里的薪资和员工基本资料是不是很重要?这些数据存在数据库里,加密系统根本就没办法去管控加密得了,而且公司不使用VPN网络加密和网络专线,所有用户的电脑和公司之间的网络通信全部都是在网络上明文传输,加密系统又如何管理的了?      

      写在结尾,我想说的是,加密系统能做的实在是非常非常有限。企业上加密系统完全就是给信息管理部门挖坑。真的碰到有心要泄露公司机密的人,直接拿着手机对着电脑屏幕拍照,分分钟就泄露出去了,再不济也可以人工一个字一个字发到QQ上。功能有限,普遍挖坑是加密系统的特长。如果企业能不上加密系统就不要去碰他,那绝对跟流氓软件没区别。花钱不说,也起不到管理效果。

      如果真的有必要,封堵网络端口,USB封堵,做上网行为管理才是正道,而不是给自己花钱挖坑!

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏ThoughtWorks

基于密码学的数据治理Crypto-based Data Governance|洞见

最近得益于区块链在金融领域的火爆效应,Crypto-based currency&transaction改变了金融圈原本“数字货币=数字游戏”的印象,密码学货币...

29750
来自专栏FreeBuf

浅析大规模DDOS防御架构:应对T级攻防

本文作者:ayaz3ro DDOS分类 在讲防御之前简单介绍一下各类攻击,因为DDOS是一类攻击而并不是一种攻击,并且DDOS的防御是一个可以做到相对自动化但做...

54470
来自专栏BestSDK

Github 推出检测代码新工具,支持 Ruby 和 Java

在于旧金山 Pier 70 举办的 Github Universe 大会上,该公司宣布了一款名叫“依赖图”的新工具,旨在帮助开发者们识别代码中易受攻击的依赖项。...

382100
来自专栏企鹅号快讯

计算机网络安全技术

浅谈计算机网络技术安全 本文从计算机网络安全的基本知识出发,分析影响计算机网络安全的因素,并提出针对网络安全的三种技术,比较各种技术的特色以及可能带来的安全风险...

39990
来自专栏FreeBuf

物联网设备已沦陷,咖啡机也不能例外

随着物联网设备的广泛使用,被黑客攻击的范围也在不断扩大,我们周边的智能设备是网络犯罪者们首要选择的攻击目标。那么咖啡机又怎能例外呢?联网的咖啡机会成为黑客入侵网...

24260
来自专栏FreeBuf

网吧营销大师投放“QQ部落刷粉”病毒

摘要 随着互联网的普及,安全软件查杀能力的提升,许多灰产甚至黑产都将战场转向了安全性较低的网吧。近日,渔村安全团队监测到有QQ广告病毒通过网吧营销大师进行传播,...

29950
来自专栏FreeBuf

验证码安全那些事

前言 最近在研究验证码安全,本文主要分析四种流行的验证码(图形,短信,语音和滑动)进行分析,写这篇文章的出发点并非是绕过或破解验证码,而是根据自身业务情况来选择...

77790
来自专栏FreeBuf

慎用免费HTTPS:看似美好的免费“通用SSL证书”

上个月月底,CloudFlare宣布向所有客户提供免费的SSL支持。一时间,全世界的云计算供应商以及开发者大为欣喜,首先作为一个网站管理员,他可以在更小的成本下...

39290
来自专栏FreeBuf

任天堂3DS游戏机烧录卡蓝屏事件

在2013年8月份gateway-3ds发布第一款3DS游戏烧录卡,正式宣告了3DS被破解,可以免费玩众多3DS游戏。在这几个月之后多家山寨厂商开始盗用gate...

313100
来自专栏FreeBuf

偷车其实很简单 | 你知道Android车控App有多不安全吗?

卡巴斯基实验室的安全研究人员最近发现:黑客可以仅仅通过侵入Android车控App轻易解锁汽车,上百万汽车深陷被窃危机。 汽车控制App现在越来越流行了,这些应...

231100

扫码关注云+社区

领取腾讯云代金券