如何借助修订策略来使用PDF修订工具

日期: 2017-12-01 作者:Michael Cobb翻译:Charlie 来源:TechTarget中国 英文

我常常收到来自读者的问题,这些读者关注各种微软Office产品中“允许快速保存”选项的安全问题。“快速保存”背后的观念就是通过仅保存所做更改并将更改添加到原始文档,从而加速保存文档或展示的过程。这意味着,保存的文档可能包含元数据,如注释和被删除的文本。任何人只要使用文本编辑器或Word的“恢复文本”功能就可以查看“被删除的”文本。

此外,在这些文档被转换为另一种文件格式时,如转换为HTML,“被删除的”文本通常都包括在新的文档中。 这个问题和Word的“修定”功能多年来已经产生了一些令人不快的安全漏洞,敏感和秘密信息被不知不觉地泄露给未被许可看到此信息的人。例如,用Word发表的文档就曾泄露了英……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

我常常收到来自读者的问题,这些读者关注各种微软Office产品中“允许快速保存”选项的安全问题。“快速保存”背后的观念就是通过仅保存所做更改并将更改添加到原始文档,从而加速保存文档或展示的过程。这意味着,保存的文档可能包含元数据,如注释和被删除的文本。任何人只要使用文本编辑器或Word的“恢复文本”功能就可以查看“被删除的”文本。此外,在这些文档被转换为另一种文件格式时,如转换为HTML,“被删除的”文本通常都包括在新的文档中。 这个问题和Word的“修定”功能多年来已经产生了一些令人不快的安全漏洞,敏感和秘密信息被不知不觉地泄露给未被许可看到此信息的人。例如,用Word发表的文档就曾泄露了英国政府对有争议的拘留恐怖份子嫌疑人员的计划的怀疑,还有一份Word文档泄露了政治捐款人名单的私密注解。 不适当修订的类似问题——用于发布的文本的审核和准备——如今在PDF文档中很常见。去年年底,由于未能妥善修订他们在网上公布的文件,HSBC Bank USA N.A.泄露了包含美国客户电子申请破产程序的详情。该年早些时候,关于Facebook/ConnectU和解的保密听证会正式文本确实修订了对和解的金融条件的所有引用,但是,修订得并不恰当,敏感信息仅仅用“白盒”(其内部结构可以直接观测)掩盖起来。简单的复制和粘贴就能泄露ConnectU的创始人收到650万美元的赔偿这一信息。 可以看出,如果不正确地准备就公开发布电子文档,可能会导致数据安全方面的严重损害。这是敏感数据从企业网络中泄露的一种明显但却很常见的方式。不仅企业的信息安全过程应当包含修订文档策略,而且工作人员还需要知道如何正确地完成修订。正确的电子修订就是从电子文档中完全清除内容,使其不能复原,且难以查看、打印、搜索或复制。修订要求恰当的工具和培训,这样修订才会长期有效。 具有讽刺意味的是,美国加州北区的联邦法院已经制定了一个很好的修订步骤指南,正是这家法院披露了我之前提到的Facebook的正式文本。 Adobe Acrobat Pro 8和9中有一个内置的PDF修订工具,如果你的企业经常以PDF格式发布文档,工作人员就应当学会如何使用这种工具。Adobe建议从“视图”菜单中选择“修订”,然后选择“工具栏”菜单。如果要设置修订标记的外观,请单击“修订属性”。下一步,选择“标记修订”工具,并通过双击来选择一个单词或图片,或在你选择一行、一个文本块、一个对象或区域时按下Ctrl键,为你想清除的项目作出标记。为了修订所标记的项目,单击修订工具栏上的“应用修订”。 在任何时候,都要用“检查文档”功能来搜索并清除可能隐藏的信息。如果不保存文档,这些项目就不会被永久性的从文档中删除。在保存文档时,起一个新的文件名并将其新的分类等级加入到文档属性中是很明智的。 有一些第三方修订产品可作为升级到Adobe专业版本的另一种选择。Appligent Document Solutions发布了Adobe Acrobat的Redax插件,它是第一家提供PDF文档修订工具的公司。Informative Graphics公司提供了著名的Redact-It,在其网站上有一系列免费的关于如何修订文档的白皮书。还有一个针对Microsoft SharePoint的Redact-It企业版,它能自动清除由SharePoint所发布的敏感内容及私密信息,同时又不改变源文档。 如果你没有预算购买额外的修订软件,Adobe有一个有用的文档,称为电子文档中机密信息的修订,这份文档解释了在不使用Adobe Acrobat专业版的情况下,如何修订PDF文档。 对于仍在使用具有“允许快速保存”功能的Microsoft Office早期版本的用户来说,可通过单击“工具”/“选项”/“保存”,然后取消选择“允许快速保存”。在完成一篇文档时,你还应当在你与其它人共享文档之前,执行一次完整的保存,并将文档的文本迁移到其它程序,或将文档转换为一种不同的文件格式。 为了防止将仍包含修订或注解的Word 2003或更早版本的文档发送出去,应选择“工具”/“选项”/“安全性”,选择“打印、保存或发送包含修订或批注的文件之前给出警告”。你也许需要考虑微软的清除隐藏数据工具,此工具可以从Word、Excel、 PowerPoint 2003/XP等文件中清除隐藏的和关联的数据,如修订和注解。不过,还要阅读一一篇题为“清除隐藏数据工具的已知问题”的知识库文章,以避免代价高昂的错误。对于使用office早期版本的人来说,可查看http://www.codeplex.com/redaction上的Word 2007 Redaction Tool这个开源工具。 不管你的单位选择了什么工具,你都必须为员工提供恰当的培训。将一些修订很差的文档包含在培训中来强调危险性,这是一个不错的主意。没有什么比现实生活中的例子更有说服力。此外,培训应当包含如何修订不同类型文档的详细步骤。这些说明可从你所使用工具的手册中获得,也可参考Adobe及微软提供的建议。 正确修订的文档必须清晰地显示出原始文本的位置,从而醒目地显示其清除内容。修订的目的是为了留下清晰的删除证据,而不会给读者这样的印象:清除的文本可在任何地方,其长度也是任意的。很明显,在确信已经清除了元数据和修订信息后,这是没有必要的。 修订有助于保护知识产权以及被认为是敏感或私密的数据,对于任何处理机密、敏感或私密信息的组织而言,这是一个重要的安全过程。糟糕的修订可能要付出高昂的代价。

作者

Michael Cobb
Michael Cobb

Michael Cobb, CISSP - ISSAP在IT行业的安全方面有10年以上的经验,财经方面有16年的经验,他是Cobweb Applications Ltd的创办人兼常务董事,IT培训和数据安全与分析顾问。与人共同撰写IIS Security 这本书,并为许多IT出版物写了大量的技术性文章。Michael也是微软认证数据库管理员和微软认证专家。