词条 | 透明加密软件 |
释义 | 透明加密技术是近年来针对企业文件保密需求应运而生的一种文件加密技术。所谓透明,是指对使用者来说是未知的。当使用者在打开或编辑指定文件时,系统将自动对未加密的文件进行加密,对已加密的文件自动解密。文件在硬盘上是密文,在内存中是明文。一旦离开使用环境,由于应用程序无法得到自动解密的服务而无法打开,从而起来保护文件内容的效果。 透明加密有以下特点: 自动强制加密:安装系统后,所有指定类型文件都是强制加密的; 使用方便习惯:不影响原有操作习惯,不需要限止端口; 原有习惯保持:内部交流时不需要作任何处理便能交流; 对外严禁泄露:一旦文件离开使用环境,文件将自动失效,从而保护知识产权。 1、为什么需要透明文件加密 每个单位都有很重要的数据文件;比如对企业来说财务报表、用户名单、进货渠道、设计图纸、投标文件等等;那么这些资料你允许别人随意拿走吗? 如果你不想被拿走,你可能部署了比如网络监控等方式,但远远不够的,因为人是活的,既然你不想别人拿走,人家要拿的时候就千方百计的方式了;防不胜防;比如,压缩后发个邮件出去,修改名字后你也看不懂这个是什么再QQ传输出去; 那么你就应加密,比如采用压缩加密方式,或把文件夹加密,可是你会很快发现不现实也无什么用;比如压缩加密好了,你总是要打开的,要是你天天都要用的,你就烦了每天都加密解密;再比如假如你这个是设计的图纸,你的员工设计的,他手里还有一份呢,他抄走呢?再比如,一个大型的设计可能很多人需要参加,那你加密别人就无法参与了,可你解密后别人立即抄走了;也就是说你打开他们就抄走了,你不打开别人就无法工作了;这个时候,你就需要透明文件加密了; 2、什么叫透明文件加密 透明文件加密区别于常见的文件密码加密方式;对你想加密的机密文件进行保护时,系统在不改变用户原有工作流程和文件使用习惯的前提下,对需要保护的进程生成的所有文件(无论该文件原来是明文还是密文)进行强制加密保护。简单说:就是对你需要加密的文件自动加密又不改变原来的操作习惯,而能看的人又无法抄走(即使非法复制出去都是乱码的无法看的加密格式的文件);这样,你的员工可以像往常一样工作和参与,但却无法抄走(无论是网络方式、U盘方式、或改名转存方式等等);除非获得授权; 3、透明加密的基本功能 (1)强制、自动、透明加密电子文档,防止第一作者泄密; 设置文档阅读权限,防止越权读取; (2)自动备份加密文档,防止恶意删除; 全程记录文件操作行为; (3)有效控制传输途径:设备限制(USB存储设备、光驱/软件只读或禁用,打印机禁用);禁止截屏、拖拽;禁止内容复制; 三重密钥管理,安全可靠; 灵活离线策略,在方便员工短期外出、在家办公或长期出差的同时,仍防泄密;在线解密申请,授权高管解密后方可文件外发; 4、透明文件加密软件的部署 一般安装都很简单,在管理端安装一个引擎驱动,用于管理以及建立密钥等;被加密电脑安装工作站,然后就开始根据你管理端设置的规则自动加密了;剩余的只是对管理过程(比如授权、加密规则等) 5、透明加密技术原理 透明加密技术是与windows紧密结合的一种技术,它工作于windows的底层。通过监控应用程序对文件的操作,在打开文件时自动对密文进行解密,在写文件时自动将内存中的明文加密写入存储介质。从而保证存储介质上的文件始终处于加密状态。 监控windows打开(读)、保存(写)可以在windows操作文件的几个层面上进行。现有的32位CPU定义了4种(0~3)特权级别,或称环(ring),如图1所示。其中0级为特权级,3级是最低级(用户级)。运行在0级的代码又称内核模式,3级的为用户模式。常用的应用程序都是运行在用户模式下,用户级程序无权直接访问内核级的对象,需要通过API函数来访问内核级的代码,从而达到最终操作存储在各种介质上文件的目的。 为了实现透明加密的目的,透明加密技术必须在程序读写文件时改变程序的读写方式。使密文在读入内存时程序能够识别,而在保存时又要将明文转换成密文。Window 允许编程者在内核级和用户级对文件的读写进行操作。内核级提供了虚拟驱动的方式,用户级提供Hook API的方式。因此,透明加密技术也分为API HOOK广度和VDM(Windows Driver Model)内核设备驱动方式两种技术。API HOOK俗称钩子技术,VDM俗称驱动技术; 6、钩子透明加密技术简介 所有Windosw应用程序都是通过windows API函数对文件进行读写的。程序在打开或新建一个文件时,一般要调用windows的CreateFile或OpenFile、ReadFile等Windows API函数;而在向磁盘写文件时要调用WriteFile函数。 同时windows提供了一种叫钩子(Hook)的消息处理机制,允许应用程序将自己安装一个子程序到其它的程序中,以监视指定窗口某种类型的消息。当消息到达后,先处理安装的子程序后再处理原程序。这就是钩子。 钩子透明加密技术就是将上述两种技术组合而成的。通过windows的钩子技术,监控应用程序对文件的打开和保存,当打开文件时,先将密文转换后再让程序读入内存,保证程序读到的是明文,而在保存时,又将内存中的明文加密后再写入到磁盘中。 钩子透明加密技术与应用程序密切相关,它是通过监控应用程序的启动而启动的。一旦应用程序名更改,则无法挂钩。同时,由于不同应用程序在读写文件时所用的方式方法不尽相同,同一个软件不同的版本在处理数据时也有变化,钩子透明加密必须针对每种应用程序、甚至每个版本进行开发。 目前不少应用程序为了限止黑客入侵设置了反钩子技术,这类程序在启动时,一旦发现有钩子入侵,将会自动停止运行。 7、驱动透明加密技术简介 驱动加密技术基于windows的文件系统(过滤)驱动(IFS)技术,工作在windows的内核层。我们在安装计算机硬件时,经常要安装其驱动,如打印机、U盘的驱动。文件系统驱动就是把文件作为一种设备来处理的一种虚拟驱动。当应用程序对某种后缀文件进行操作时,文件驱动会监控到程序的操作,并改变其操作方式,从而达到透明加密的效果。 驱动加密技术与应用程序无关,他工作于windows API函数的下层。当API函数对指定类型文件进行读操作时,系统自动将文件解密;当进入写操作时,自动将明文进行加密。由于工作在受windows保护的内核层,运行速度更快,加解密操作更稳定。 但是,驱动加密要达到文件保密的目的,还必须与用户层的应用程序打交道。通知系统哪些程序是合法的程序,哪些程序是非法的程序。驱动透明加密工作在内核层。驱动加密技术虽然有诸多的优点,但由于涉及到windows底层的诸多处理,开发难度很大。如果处理不好与其它驱动的冲突,应用程序白名单等问题,将难以成为一个好的透明加密产品。 8、钩子透明加密技术与驱动透明加密技术比较 两种加密技术由于工作在不同的层面,从应用效果、开发难度上各有特点。从几个方面进行了简单比较: (1)工作层:钩子透明加密工作在用户层,驱动透明加密工作在内核层; (2)工作方式:钩子透明加密使用HOOK,驱动透明加密接受系统IRP; (3)应用关联性:钩子透明加密直接和应用关联,所以应用更新或新的加密类导致需要重新更新开发;驱动透明加密和应用无关,但要提供应用加密列表; (4)加解密可靠性:钩子透明加密由于应用层上所以速度慢容易死机等,特别是处理大文件或资源不足的时候;驱动透明加密采用内核加解密,受操作系统保护,稳定而且速度快; (5)网络操作:钩子透明加密没有限制,驱动透明加密需要单独编写对应程序处理; (6)开发难度:钩子透明加密相对容易但容易被当成病毒误杀或禁止;驱动透明加密开发难度大,开发驱动的过程可能连续一天反复重新启动100次电脑; 尾述:以上我们探讨了信息安全的重要性,透明加密的适用情况,透明加密的基本功能、简单通常部署说明、透明加密原理、加密软件驱动技术、驱动技术的比较、钩子技术在加密软件中的运用等;钩子透明加密技术开发容易,但存在技术缺陷,而且容易被反Hook所破解。正如杀毒软件技术从Hook技术最终走向驱动技术一样,相信透明加密技术也终将归于越来越成熟应用的驱动技术,为广大用户开发出稳定、可靠的透明加密产品来; 9、透明加密最新原理——信息防泄漏三重保护 信息防泄漏三重保护,不仅为防止信息通过U盘、Email等泄露提供解决方法,更大的意义在于,它能够帮助企业构建起完善的信息安全防护体系,使得企业可以实现“事前防御—事中控制—事后审计”的完整的信息防泄漏流程,从而达到信息安全目标的透明性、可控性和不可否认性的要求。 信息防泄漏三重保护包括详尽细致的操作审计、全面严格的操作授权和安全可靠的透明加密三部分。 l 详尽细致的操作审计是三重保护体系的基础,也是不可或缺的部分,它使得庞大复杂的信息系统变得透明,一切操作、行为都可见可查。 审计不仅可以用作事后审计以帮助追查责任,更能够帮助洞察到可能的危险趋向,还能够帮助发现未知的安全漏洞。 l 全面严格的操作授权从网络边界、外设边界以及桌面应用三方面实施全方位控制,达到信息安全目标中的“可控性”要求,防止对信息的不当使用和流传,使得文档不会轻易“看得到、改得了、发得出、带得走”。 l 安全可靠的透明加密为重要信息提供最有力的保护,它能够保证涉密信息无论何时何地都是加密状态,可信环境内,加密文档可正常使用,在非授信环境内则无法访问加密文档,在不改变用户操作习惯的同时最大限度保护信息安全。 第一重保护:详尽细致的操作审计 详细的审计是三重保护的基石,全面记录包括文档操作在内的一切程序操作,及时发现危险趋向,提供事后追踪证据! 文档全生命周期审计 完整而详细地将文档从创建之初到访问、修改、移动、复制、直至删除的全生命周期内的每一项操作信息记录下来,同时,记录共享文档被其它计算机修改、删除、改名等操作。 另外,对于修改、删除、打印、外发、解密等可能造成文档损失或外泄的相关操作,IP-guard可以在相关操作发生前及时备份,有效防范文档被泄露、篡改和删除的风险。 文档传播全过程审计 细致记录文档通过打印机、外部设备、即时通讯工具、邮件等工具进行传播的过程,有效警惕重要资料被随意复制、移动造成外泄。 桌面行为全面审计 IP-guard还拥有屏幕监视功能,能够对用户的行为进行全面且直观的审计。通过对屏幕进行监视,企业甚至可以了解到用户在ERP系统或者财务系统等信息系统中执行了哪些操作。 第二重保护:全面严格的操作授权 通过全面严格的第二重保护管控应用程序操作,防止信息通过U盘、Email等一切方式泄露,全面封堵可能泄密漏洞! 文档操作管控 控制用户对本地、网络等各种位置的文件甚至文件夹的操作权限,包括访问、复制、修改、删除等,防范非法的访问和操作,企业可以根据用户不同的部门和级别设置完善的文档操作权限。 移动存储管控 IP-guard能够授予移动存储设备在企业内部的使用权限。可以禁止外来U盘在企业内部使用,做到外盘外用;同时还可对内部的移动盘进行整盘加密,使其只能在企业内部使用,在外部则无法读取,做到内盘内用。 终端设备规范 能够限制USB设备、刻录、蓝牙等各类外部设备的使用,有效防止信息通过外部设备外泄出去。 网络通讯控制 能够控制用户经由QQ、MSN、飞信等即时通讯工具和E-mail等网络应用发送机密文档,同时还能防止通过上传下载和非法外联等方式泄露信息。 网络准入控制 及时检测并阻断外来计算机非法接入企业内网从而窃取内部信息,同时还能防止内网计算机脱离企业监管,避免信息外泄。 桌面安全管理 设置安全管理策略,关闭不必要的共享,禁止修改网络属性,设定登录用户的密码策略和账户策略。 第三重保护:安全可靠的透明加密 透明加密作为最后一道最强防护盾,对重要文档自动加密,保证文档无论何时何地都处在加密状态,最大限度保护文档安全! 强制透明加密 IP-guard能对电子文档进行强制性的透明加密,授信环境下加密文档可正常使用,非授信环境下加密文档则无法使用。同时,鉴于内部用户主动泄密的可能性,IP-guard会在加密文档的使用过程中默认禁止截屏、打印,以及剪切、拖拽加密文档内容到QQ、Email等可能造成泄密的应用。 内部权限管理 对于多部门多层级的组织,IP-guard提供了分部门、分级别的权限控制机制。IP-guard根据文档所属部门和涉密程度贴上标签,拥有标签权限的用户才能够访问加密文档,控制涉密文档的传播范围,降低泄密风险。 文档外发管理 对于合作伙伴等需要访问涉密文档的外部用户,IP-guard提供了加密文档阅读器,通过阅读器企业可以控制外发加密文档的阅读者、有效访问时间以及访问次数,从而有效避免文档外发后的二次泄密。 双备防护机制 IP-guard采用备用服务器机制以应对各种软硬件及网络故障,保证加密系统持续不断的稳定运行。加密文档备份服务器可以对修改的加密文档实时备份,给客户多一份的安心保证。 |
随便看 |
|
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。