信息安全本质上只有两个领域，一个是防破坏，一个是防泄密。信息系统的破坏者好比真实世界的恐怖分子，他们以瘫痪网络、轰炸服务器、攻击数据库、摧毁应用系统、损坏桌面系统、删除文件为主要目的，给信息系统用户造成时间、效率上的损失。因此信息安全的防破坏主要针对这些信息世界的恐怖主义活动。信息资料的泄密则可能因用户原因导致资料丢失，或因黑客蓄意窃取而导致资料外泄。信息资料的泄密造成的后果比被破坏严重得多，对于个人和企业来说，轻则将蒙受财产损失，重则将遭受包括声誉、前途、甚至生命等方面的威胁，对于国家来说，可能面对政治、经济、军事等方面的风险。对信息安全来说，防泄密是比防破坏更加重要的领域。

　　传统的安全产品往往专注于防破坏方面，或者兼顾防破坏和防泄密两个方面，比如防病毒软件对用户桌面和网络的保护，IDS和IPS对入侵攻击的防护，防火墙对企业大门的看护。这些产品在防破坏方面已经做到比较完善，但在防泄密方面主要着力于泄密的通道管理以及事后审计上，因而达不到理想的效果。在通道的管理上，主要采取了通道封堵与通道加密技术。网络封堵一般采用防火墙和入侵防护系统，而终端封堵是防水墙系统采用的手段。VPN产品则主要用于通道加密。事后审计只对“善良”的用户有威慑作用，而对恶意窃取信息者没有什么真正的效果。要做到有效的防泄密，必须关注信息系统的核心资产—文档与数据。

　　我们把传统的通道封锁和通道加密的防泄密安全技术称为基于终端的防泄密技术，这种技术的最小管理粒度为终端。顾名思义，基于终端的防泄密技术把终端作为核心管理对象，围绕终端进行网络封堵、外设限制、传输加密、移动存储管理，把核心资产限制在指定的物理范围内使用。本质上防水墙产品属于基于终端的防泄密产品。

　　我们把以文档为最小管理粒度，以加密、认证、授权、审计为手段的防泄密安全技术称为基于文档的防泄密技术，这是一种重量级的防泄密技术。基于文档的防泄密以文档和数据为核心管理对象，对文档进行高强度加密、细粒度操作授权、严格用户认证，全面操作审计。基于文档的防泄密不要求文档的物理位置处于可控的范围，但保证对文档的使用始终处于可控状态。

　　基于终端的防泄密从技术上来说是不可靠的，而且规模越大，可靠性越差，而管理难度也越大。因为基于终端的解决方案是一种封堵传播途径的技术，在理想的情况下，如果能够封堵所有的文档传播途径，则文档不会被传播出去。但现实是，一方面任何的封堵措施都有漏洞，也不可能找到所有的出口(特别是程序出口)，另一方，采用物理方式能轻易破解，比如拆走硬盘，操作系统双启动等。所以这种轻量级的解决方案是不成熟、不可靠的解决方案，它必将被重量级的基于文档的解决方案代替。

　　基于文档的解决方案采用加密、认证、授权、审计等技术等文档进行处理和监控。目前有文档嵌入式和透明加解密两种技术。文档嵌入式具有良好的用户体验，因为文档所有的操作授权都能提示给用户。但文档嵌入式需无休止地增加文档的支持种类，并且文档编辑器的原厂商能很容易地提供这种功能。透明加解密在操作系统底层对需要保护的文档透明加解密，无需逐个文档进行支持，但用户体验较差，因为较难提示用户哪些是没有授权的操作。

　　文档嵌入式模式适合在开放环境下，文档需要广泛与外界共享的场所，一般适用于OA环境。目前Microsoft Office已支持IRM技术，直接在文档内部进行认证和授权。

　　透明加解密模式适合在封闭环境下，所有电脑都接受管理，产生的文档较少用于与外部交流，比如企业的开发设计部门。透明加解密模式需要结合封堵技术(主要封堵程序出口，普通操作系统级别的文件操作无需封堵)，才能达到较好的效果。

　　启明星辰的防泄密解决方案将依托启明星辰现有的UTM、IDS、IPS产品线、在实现通道封锁、通道加密的同时，结合基于文档的防泄密技术，为不同环境、不同需求的用户提供完善的文档防泄密解决方案。