上了加密软件，就可以高枕无忧？

      企业在选型加密软件时往往选型、招标、比功能、砍价格、拼服务，考虑周全，面面俱到。经过层层比拼，最终上线加密系统。然后，甩手给一个不懂业务或不太相关的网管全权处理。不可否认，企业实施加密软件，可以一定程度上防止数据随意扩散，对于一些上线PDM、PLM这些仅在系统内具备权限管控功能，一旦脱离系统没有任何约束的企业，更应上线加密系统。但是加密系统，仅仅是一个工具，工具只能起辅助作用。用工具的是人，工具强大，管理也必须跟上。否则，再强大的工具效果也会大打折扣。数据安全绝非一蹴而就，仅靠工具来实现防护效果，可能暗藏更大的隐患。如何规避头重脚轻？只有摆脱重工具，轻管理的思维才能真正筑建一道安全防护墙。

权限分离

       在加密系统中实现权限分离，严格控制管理与解密权限分离。

● 管理权限

       系统管理员仅能安装、卸载、升级客户端，对客户端进行日常维护管理，不应具备解密及流程审批权限。

● 解密权限

       仅能实现解密功能，没有管理功能，特别是不具备日志相关功能。直接解密在整个加密系统应用中至关重要，应尽可能避免随意解密。可以实现插锁解密（解密时插锁，解密完拨锁），密锁分离（锁和密码分两个人管理，解密时需两人同时在场）。文档留存：直接解密在系统中仅记录操作者信息及文档名称，系统没有保存文档。可以在解密做好登记操作同时将文档留存。

● 审批权限

       能审批解密流程，除不能具备直接解密权限外，还不能审批自己申请的流程。使用流程解密时，须根据企业实际情况规范流程表单内容。详细说明需要解密的原因及解密文件的流向，便于后续审计。可以针对不同的文档类型设置不同的审批流程，对于对外交流较多，保密级别相对较低的办公文档可以设置相对简单的流程，如一级审批；对于比较重要敏感的文档如图纸，可以设置多级审批。

       另外，只有对外的文档才需要解密，为严格控制，不管是直接解密还是流程解密，解密后的文档应直接发给接收方，申请者本人不应接触明文。

对外交流管控

       信息社会，企业不可能弧立存在，对外交流必不可少。加密系统已初步实现企业数据封闭圈，如何让封闭圈尽可能延伸，减少缺口？对外交流一般采用直接解密的方式，即将企业内加密文档解密后发给合作企业，这种外发的文档是没有受任何保护。除此外我们是否就别无它法？文档外发管控系统！专门针对外发的一款安全产品，将企业数据安全延伸到所有合作伙伴，需要对外交流时，将文档使用外发系统转换成受控文档，根据需要可以控制使用期限，打开次数，甚至限定打开文件的计算机、阅后即焚。

事后审计

● 日志报警

       设置日志报警，当单个用户日解密量达到设定阀值时报警，及时发现安全隐患。

● 日志审计

       设置专人定时对解密日志，流程审批日志审计。并针对敏感操作生成统计数据，定期公布。

       只有上线功能完善的加密软件，加上考虑周全的管理办法，再配备相应的人员，加密软件才能真正成为企业数据的保护神，而非形同虚设的样子工程。