1996年,第一部《碟中碟》上映了经典一幕,主角伊森(汤姆·克鲁斯 饰)从“绝对安全”的中情局保险库的通风口吊着绳索空降房间盗取光碟,偷走了包含该地区特工真实姓名的NOC名单。
这是影视剧中典型的数据泄露的例子,而其中使用的也是我们现在可能碰到的最简单的一种数据泄露方式——用USB等移动驱动器插入企业服务器,将敏感信息带离。
▲《碟中谍》1电影截图
现如今随着技术的进步和企业数据的增加,数据泄露已屡见不鲜,从技术盗取到简单的人为疏忽,根据IBM和Ponemon Institute 的2020年数据泄露成本报告显示,52%的数据泄露是由恶意外部人员造成的,另外25%是由系统故障和攻击造成的,约23%属于人为错误。
▲图源自IBM《2020数据泄露成本报告》
数据泄露,防不胜防。人为错误作为数据泄露的三大根本原因之一,如何解决内部数据泄露,水印技术为企业提供了一种思路。
数字水印
在我们日常生活和工作中最常见的是数字水印,它是通过文字信息展现水印的一种方式。数字水印内容既可以配置成自定义的固定内容,也可以展现由系统预定义的宏来显示。
▲联软科技-数字水印
数字水印也称为明文水印,可以在日常工作中对员工起到提醒和警示的作用,如果文件信息泄露后可以定位泄密者。但有些重要文件还是不免被悄咪咪处理掉水印后泄露到外部,那么就需要稍“隐秘”的水印方法了。
二维码水印
二维码水印,顾名思义就是通过二维码的形式展现水印。水印默认在页面右下角打印二维码块,二维码块可以通过微信或者其它二维码扫描工具进行扫描,扫描后即可弹出所配置的数字水印内容。
▲联软科技-二维码水印
对于二维码水印属性,联软支持多种自主配置。可以根据客户需求调整二维码显示位置和二维码内的图标,同时,可以自定义二维码在屏幕中的水平起始百分比。
图片水印
图片水印主要将水印以图片的方式展现,使得水印变得统一,而且可通过调整图片的大小、颜色与位置,将视觉影响度降最低。
▲联软科技-图片水印效果
屏幕矢量水印
屏幕矢量水印抛弃原有了“所见即可得”的水印方式,用一种“轻微型”标记的方式来展现水印,近乎等同于“隐形水印”。
如果有屏幕拍照或者截屏,一旦发生泄密事件,即可通过泄密照片上的矢量水印信息快速锁定泄密者。而对于打印,还增加了水印审计信息,不仅可以事后根据打印纸张上的不规则水印锁定泄密者,还可以事先发现“违规”打印审计信息,预先防止。
需要提到的一点是,屏幕矢量水印无论照片如何压缩、优化、折叠都不会影响到水印信息的审计和泄密源的定位。只需要在查询页面中,输入水印信息进行查询,就可以锁定泄密人。如果得到的泄密的图片不够完整,系统也能支持查询出精确度最高的结果。
此外,屏幕水印可以任意选择、组合水印应用的范围,如业务系统、办公软件、安全虚拟磁盘(O盘)等等。
▲设备应用屏幕矢量水印
▲打印水印效果展示
了解了上述四种防泄密的水印方法,有没有快速下发和应用水印的方法?在这里主要分享一下无代理水印和有代理水印:
▐ 有代理水印
有代理水印即需要安装客户端才能使用的水印功能,需要配合管理后台配置水印效果实现屏幕水印、打印水印。
管理后台水印可配置参数内容包括【水印格式、水印显示位置、水印字号、密度、颜色、应用范围、触发场景】。水印支持在以下场景中触发启用:
1、开机加载水印;
2、访问指定业务系统或虚拟安全磁盘时加载水印;
3、访问指定格式的文档加载水印;
4、启用指定进程加载水印;如:浏览器、文档编辑器、数据库查询分析器、Telnet/SSH终端、图片编辑器、邮件客户端、工程图纸编辑器、软件开发编辑器;
5、访问指定敏感信息的文档内容加载水印。
▐ 无代理水印
用户无需安装任何agent也能在访问业务系统时附加水印。
将企业业务系统与水印服务器进行对接,当用户访问与水印服务器对接完成的业务系统时,业务系统将会调用水印服务器的接口,返回给用户附加好个人水印的页面。
▐ 文档保护平台(无代理)
针对企业的敏感文件泄露,水印系统将业务系统、文档系统保护起来,让人只能在线浏览,并增加水印防止拍照,如果一定要下载下来,也可结合防泄密功能限制外发,从而起到文档系统、应用系统的敏感信息被泄露。
❖水印应用实践
碧桂园集团用户办公电脑多为BYOD设备。水印系统建设在不装客户端的情况下,对关键业务系统加载数字水印,实现针对通过拍照、截屏或打印等方式导致泄密的行为进行追溯。无代理、不安装客户端,覆盖公司内所有类型的办公终端,实现对业务系统页面内容/文档的水印保护。