加密软件
数据保密手段
加密软件发展很快,最常见的是透明加密,透明加密是一种根据要求在操作系统层自动地对写入存储介质的数据进行加密的技术。透明加密软件作为一种新的数据保密手段,自2005年上市以来,得到许多软件公司特别是制造业软件公司和传统安全软件公司的热捧,也为广大需要对敏感数据进行保密的客户带来了希望。加密软件上市以来,市场份额逐年上升,同时,经过几年的实践,客户对软件开发商提出了更多的要求。与加密软件产品刚上市时前一两年各软件厂商各持一词不同,经过市场的几番磨炼,客户和厂商对透明加密软件有了更加统一的认识。
主流技术
数据库加密的应用透明技术
关系型数据库所存储的数据加密后,在前台应用程序访问后台数据库中的密文数据过程中,用于对关系型数据库中的数据进行加密保护,防止信息被非法的窃取,在关系型数据库通用的视图和触发器的基础上,通过实现多级视图并结合基于行标识的触发器实现对敏感数据的自动加密和解密,达到对应用透明的目标,应用系统无需改造;通过多级视图,实现对数据库查询行为的精确判定,从而可以针对不同种类的查询行为,构建专门的基于LRU缓存管理机制的密文和明文数据缓存策略,构建对密文数据进行批量预解密处理的策略,实现高效的密文查询。
数据库加密的密文索引技术
数据库所存储的数据加密后,原来的明文数据索引必然失效,在查询密文数据过程中,如果想提到查询速度,首先要做密文索引提高查询结果的命中率。一种基于无偏序关系的轻量级的密文索引结构的索引建立、检索和维护方法,这种结构能够表示索引中的节点关系,便于维护,维护代价低。索引中存储的数据是密文的,由于不存在数据之间的偏序关系,也就无法进行分析了,保证了数据的安全。基于这种无偏序关系的密文索引的检索方法,能够对密文数据进行快速的检索和定位;维护方法能够有效的维护索引数据和节点关系,并保证索引数据在并发操作环境下的正确性。
驱动层加密的透明加密技术
市面上的透明加密软件,基本上只支持Windows平台。透明加密的实现主要有两种技术,一种是应用层(API)的透明加密技术,一种是核心层(Kernel,又叫驱动层)的透明加密技术(图1)。应用层的开发难度低(Windows Hook技术),但对应用程序的适应性差,同时加密多种应用程序时相互干扰大,因此,有些厂商为适应不同程序加密要求开发出独立针对某种软件的加密软件版本。
驱动层透明加密技术是通过Windows提供的可安装文件系统(Installable File System)开发接口写设计一个文件过滤驱动,通过此驱动实现透明加解密功能。由于驱动开发要与windows更核心层打交道,此方面的开发人才比较少,相对开发难度也高。驱动层的透明加密技术由于与操作系统的文件系统结合紧密,加解密效率更高,控制更加密灵活,运行更加稳定。但要充分考虑到与Windows及其它应用在驱动层软件的兼容,如杀毒软件,否则会导致windows蓝屏。
对客户而言,透明加密软件采用什么技术并不是他们关心的重点,他们主要关心的是加密软件产品本身的稳定性、安全性和使用方便性。应用层透明加密技术和驱动层加密技术的特点使得驱动层透明加密软件有更多竞争上的优势。
经过市场几年的考验,加密软件厂商都逐步认识到,驱动层透明加密技术才是加密软件可靠的技术。于是我们可以看到,新切入市场的加密软件厂商的产品都是采用驱动透明加密技术,一些原来采用应用层透明加密技术的老牌加密软件厂商也放弃最初的应用层技术,转而从头开始研发驱动层加密技术。
发展方向
密文自动备份成为必备功能
数据存储是个复杂的过程。透明加密软件对Windows操作系统的存储和读取进行干预,难免不会出现这样那样的问题,导致加解密过程失败,甚对文件造成无法挽回的损失。加密软件的其它bug客户可以接受,但对文件造成无法挽回的破坏、或经常出现需要对异常密文进行修复的情况,将直接影响客户的正常工作,客户是无法接受的。实际上,只要存在加密,就存在数据紊乱的风险。
加密技术在传统应用领域――通讯加密――也没有完全克服。但是通讯加密产品都会将报文冗余地方式进行发送。借鉴这一思路,文件加密也可以用冗余地方式降低数据紊乱风险,这就是密文的自动备份。所谓的密文自动备份,是指当有密态文件写入存储介质时,系统会自动地在指定位置(可以是本地,也可以是远程)中自动生成一份文件副本。一些有远见的厂商在不断加强自身软件稳定性的同时,也学习其它软件的自动备份功能,在密文保存过程中进行自动备份,以防不测。
自动备份可以看作是一项预防措施,或保险措施。作为与存储密切相关的透明加密软件产品,自动备份功能应该成为一种标准功能。参考其它如office、AutoCAD等传统软件,加密软件应该还要有对异常密文自动修复的功能。
更加灵活的加密控制条件可以防止过度加密
强制加密是控制单位内部敏感数据泄密的有力手段,但实际应用过程中,有些单位需要更加灵活的加密控制条件。例如,企业只需要对文件服务器上的归档文件进行加密,PC使用者新建文件不需要加密。又例如,雇主需要能打开员工加密的密文,但自已电脑上不加密。对加密控制条件如此,纷繁复杂的需求,促使加密软件厂商对加密控制条件不能局限于强制加密一种手段,而是要更加灵活地进行配制。
市场对加密软件灵活的控制需求使得透明加密的内涵变得更加丰富。加密软件灵活的加密控制方式使处于不同加密需求阶段的客户有更多的选择。客户也可以根据实际情况,分阶段、分步骤部署加密软件。
密文分级管理将是大型用户应用趋势
透明加密软件产品通过控制不同用户的密钥来控制密文只能内部交流。在一些单位,不但要求内部数据不能外传,还要在部门间或项目组之间相互保密,而上级部门或领导又要能打开不同部门的密文,这就使得一个单位只有一个密钥无法满足需求。于是便出现了密文分级的需要。
密文分级管理,实际上就是加密软件的密钥管理。如果我们把不同部门看成是不同的房间,部门内人员只有部门房间的钥匙,那么,他们的上级领导就相当于有几个部门的钥匙。这样,领导就可以按需打开每个部门房间的门。
这种密文分级管理的需求,只会出现在大型用户中。从中也可以看到,加密软件也开始得到大型用户的青睐。
工具化和专业化是加密系统的发展方向
有些客户在部署加密软件的同时,提出要对密文的操作权限进行控制。比如,某些人只能打开密文,某些人可以编辑密文,某些人可以打印密文等。某些厂商还“延伸”透明加密软件的含义,提出所谓“企业权限管理(ERM)”的概念,以迎合客户对文件权限管理的需求。
笔者认为,对文件的权限控制的需求和对文件加密的需求,是两个相互关联但又相互独立的需求。企业对文件进行权限控制需求,并不是在部署加密软件之后才有的,即使不采用加密软件,这种需求也是存在的。
实际上,对于文档权限的控制,Windows已经有一套完整的定义,当然,定义起来非常复杂,并不太适合一般企业直接应用。另一方面,早在十几年前就出现了专门的管理软件—企业数据管理PDM或EDM,后来还发展成PLM。这些软件都包含很强的文档权限管理功能,是专门进行文档权限管理的。
透明加密软件之所以很多厂商愿意投入,一个非常重要的原因它是一个工作于操作系统层的工具软件,有着广泛的应用面,不需要进行复杂的实施,容易实现产品化。如果在透明加密软件这样的工具软件中整合文档管理的功能,加密软件就演变成为一个需要复杂实施的管理系统。将两个相互独立的需求整个成一个庞杂的系统,违背了专业精深的发展原则,间接给客户带来了风险。不仅如此,项目型的软件系统价格高、实施周期长、牵扯因素多,因而见效慢、风险高,成功率普遍低于工具型的软件。这无疑对买卖双方都是有害的。从两年多来的实践来看,多数此类系统的用户最终都只是用到了系统的核心功能――文件加密。至于文件权限管理模块,多因定义过于复杂、使用过于繁琐而处于废弃或半废弃状态。
同样因为复杂和繁琐,某些加密软件的自定义解密工作流的功能,也没有得到充分应用。这不仅占用了厂商大量的研发和维护资源,而且对客户而言也是一种投资的浪费。笔者认为,密文操作权限控制以及其他工作流类型的功能,将不会成为透明加密软件发展的方向。而只有工具化才是透明加密软件的未来。有些加密软件中集成了如打印监控、行为监控等功能。当然,这并非是加密软件客户提出的需求,而是因为这些厂商有做类似软件的历史背景,将这些功能强行捆绑到加密软件中罢了。从市场角度来说,为客户创造更多的价值,提供更多的功能是无可厚非的,但在笔者看来,这种强行的捆绑只能满足个别有这方面需求的客户,并不能代表加密软件的发展方向。透明加密软件介绍:功能表 透明加密是指在操作人员不知不觉的情况下达到的一种加密效果,这和加密模式运用比较方便、快捷基本不影响操作人员的工作效率,而且当文件保存关闭后,在第二次打开时,只要在分环境内文件会自动解密,如果将文件复制到环境外的其他计算机上文件就会以加密的形式存在,打开时为乱码。
加密软件应用的更高层次——数据泄露防护(DLP)随着信息安全威胁的不断增长,传统的透明加密软件产品已不能应对不断增长的安全威胁。单纯的透明加密手段已不可能解决所有的安全需求问题。特别是对一些源代码之类的数据,加密并不是合适的安全保护手段。而大数据时代的来临更是让透明加密软件直呼无可奈何,而DLP数据泄露防护正式是替代普通的加密软件解决企业数据安全问题的更佳解决方案。
事实上,DLP是信息安全行业里很火的一个概念,从深圳虹安推出中国第一款DLP产品开始,中国市场上的DLP厂家如雨后春笋般的冒了出来。当然,其产品可靠性、技术研发实力等等就需要各位自己去考证了。完整的DLP应该从文档加密、环境隔离、虚拟安全桌面等核心层面,通过应用认证、加密、标签、审计、内核驱动、沙箱、还原、访问控制、应用防火墙等技术手段,对机密文档、U盘外设、外发文件、浏览器应用、笔记本、应用系统等多方面进行控制与保护,是一个体系化的数据安全防护网络。而文档透明加密是一种直接运行在操作系统内核中,支持动态地加密文件,专门针对文档进行保护的加密技术,它只是DLP(数据泄露防护)体系中的一部分。 
涉密信息安全
针对秘密信息,通过网络安全手段对这部分用户进行逻辑隔离,并对其传输的数据进行加密,使其他人员即便获取到相关信息也无法使用。另外通过端点准人功能配合的访问控制,确定用户访问涉密的权限,利用加密技术确定访问级别,确保对涉密信息的可控性。
在设立相关涉密安全信息保密系统,通过系统下发安全策略。在有传输秘密信息的终端用户安装客户代理端,保证涉及秘密信息的终端与相关服务器数据时实现信息加密,同时在存有涉密信息的服务器端安装监控加密程序,以实现对涉密服务器访问的身份识别及对信息访问的权限分配。
对于机密级单位,按照国家保密局相关规定,涉密单位网络应物理隔离,不允许与其他非涉密网络有连接。在机密单位内部建立可信网络保密系统和可信桌面系统。通过设立可信网络保密系统,控制内部信息不外泄,防止内部人员私自接人外网;利用可信桌面系统,保护涉密终端的安全,设置登录权限,保护加密终端内部数据。同时在保密部门设置相关弱电保密产品,在保证网络应用安全的同时确保涉密单位办公环境也达到保密要求。
内网安全
通过安全平台下发主机监控与审计系统安全策略,保证内部网数据不被恶意盗取,防止外接设备随意连接到终端,防止网络内部通过嗅探器等非法手段获取非授权信息,同时避免用户采用其它方式将内部网数据传输到外部网络,杜绝终端用户在未经授权的情况下擅自使用各种I/0设备、计算机外设、移动设备等。
技术分类
加密软件按照实现的方法可划分为被动加密和主动加密。
被动加密
被动加密指要加密的文件在使用前需首先解密得到明文,然后才能使用。这类软件主要适用于个人电脑数据的加密,防止存储介质的丢失(比如硬盘被盗)导致数据的泄密。
主动加密
(透明加密/自动加密)
主动加密指在使用过程中系统自动对文件进行加密或解密操作,无需用户的干预,合法用户在使用加密文件前,不需要进行解密操作即可使用,表面看来,访问加密的文件和访问未加密的文件基本相同,对合法用户来说,这些加密文件是“透明的”,即好像没有加密一样,但对于没有访问权限的用户,即使通过其它非常规手段得到了这些文件,由于文件是加密的,因此也无法使用。由于动态加密技术不仅不改变用户的使用习惯,而且无需用户太多的干预操作即可实现文档的安全,因而得到了广泛的应用。针对企业的防泄密软件(企业内部的文件可以自由流通、阅读,一旦拷贝出去或者脱离企业网络环境,将无法阅读),大多采用主动加密技术。
由于主动加密要实时加密数据,必须动态跟踪需要加密的数据流,而且其实现的层次一般位于系统内核中,因此,从实现的技术角度看,实现主动加密要比被动加密难的多,需要解决的技术难点也远远超过被动加密。这里说的加密软件就是采用主动加密技术的软件。
同时,按照其手段的不同,加密软件又可以分为以下几类:
全硬盘加密
这种技术比较早,大约出现在2000年。早期硬盘加密的特点是控制硬盘,不控制硬盘里的文件,不对硬盘里的文件进行加密。这种加密方式比较简单,不需要专人解密,即使硬盘被偷了,不知道用户名和密码也打不开。
这两年全盘加密技术有了大的发展,利用硬盘加密卡对硬盘全盘实时加密的同时,也对硬盘里的文件进行管控,这种技术将引起企业数据的防泄密应用和知识产权保护应用上的革命。
U盘加密
U盘加密技术也属于早期的技术,企业内部的机器上需要插一U盘读取的协议才能打开。这种加密手段实际在企业内部不太使用,总是需要企业领导上班把U盘插到服务器上,下班拔走。如果丢掉了这个U盘,公司的资料彻底打不开了。再者,U盘里的协议容易被破解,安全性较低,市场上很少再有人销售这种技术了。
PDM
或图文档管理系统
不少企业认为,如果上了PDM或图文档管理系统(EDM),公司内部的图纸及电子文档就可以控制了。其实这种想法是错误的,PDM或图文档管理系统管理的是产品数据,主要是对公司的流程、权限、版本、查询、历史记录等进行管理,它一定程度的给企业的图纸带来了一定程度上的安全。但是如果想彻底控制,这些系统是无法做到的。PDM及EDM控制图纸是通过权限的,如果有权限的人把图纸拿出去,拿到外面照样能够使用。也就是说PDM或EDM系统是把图纸一定程度的限制到了公司内部,但是如果图纸出去了,它没有任何保密性可言。
文件加密
这是这几年的新技术,也是最有效的控制手段,企业也比较认可这种加密手段。这种加密方式是把公司所有图纸及文档通过打开或保存自动加密,历史数据批量扫描加密。它还可以控制打印机、U盘、笔记本外出、同行之间数据通过内部工程师外泄,以及邮件外发、QQ截屏等各种外泄途径都被限制了。加密过的文件不经过专人解密,即使泄露出去了,也是无法打开的。即使硬盘被盗,离开公司彻底无法使用。因此市场上做文件加密的软件公司较多,大小公司参差不齐。
商用分类
市面上的企业用加密软件主要分为两类脱机版与网络版
主要区别在于
脱机版不需要局域网支持,可以单独安装。
脱机版的加密程序受控设置,有改动都需要通过软件商从新设置打包程序。并且每台电脑都需要提取硬件码单独注册安装。
网络版的加密程序及所有配置都可以通过服务器来完成,并且更换电脑不需要重新注册。
市场细分
丰富的加密软件产品线
客户需求永远是产品发展的指南针,透明加密软件市场也不例外。透明加密软件市场兴起之初,所有厂商都采用同样的宣传模式,更有甚者,一些厂商直接抄袭其他同行的宣传资料。看来,当时大家都是在介绍透明加密的好处,并没有体现自身产品的优势。当然,当时各厂商对加密软件市场需求不了解是主要的原因。随着两年多来与客户面对面的交流和碰撞,透明加密软件产品厂商对市场有了更深入的认识,产品定位和发展也有了新的动向。
透明加密技术刚出现
透明加密技术刚出现时,主要卖点就是强制加密,也可以说强制加密成了透明加密的代名词,市场定位清一色定位于单位内部的强制加密。所有厂商不管是网络版本还是离散授权使用版,都是冲着强制加密来的。因此,产品只有强制加密指定应用程序生成的敏感文件一种,预期的客户也基本上都是单一的局域网用户。其实,一方面客户不仅担心文件从内部泄密,而且也必须考虑文件从外部泄密;另一方面,不但群体客户有保密需求,一般的个人PC用户也存在大量的文件加密需求。因此,更多地透明加密产品也应运而生。
对于某些企业而言,其合作伙伴也是可以接触到其敏感文件的。因此,企业需要对发放到外部(如供应商)的敏感文件进行控制。针对客户此类需求,部分厂商开发了控制外发文件时效、打印权限、打开次数等的外发文件控制版本,也有叫防二次扩散软件的。
有保密需要用户
文件保密需求不但在企业有,对个人而言也是很有必要的,网上流传的这样那样的文件、文件夹加密大王、大师就是很好的证据。透明加密很适合做成强制加密的企业版本,但透明加密决不等于强制加密,它同样适合于个人加密的需要,甚至比现有的个人加密软件技术更先进,使用更方便。因此,有些厂商也感觉到了这块市场的存在,纷纷推出个人版本的透明加密软件
总之,市场需求的发展催进了透明加密技术在各个领域的应用。不仅是企业有着将安全延伸至整个供应链的需求,而且个人PC用户也期望着更多更好的透明加密技术产品。随着市场的进一步发展,必将会有更多更优秀的产品/版本面市。
最新修订时间:2024-10-20 16:19
目录
概述
主流技术
参考资料