请输入您要查询的百科知识:

 

词条 加密软件
释义

加密软件发展很快,目前最常见的是透明加密,透明加密是一种根据要求在操作系统层自动地对写入存储介美化质的数据进行加密的技术。透明加密软件作为一种新的数据保密手段,自2005年上市以来,得到许多软件公司特别是制造业软件公司和传统安全软件公司的热捧,也为广大需要对敏感数据进行保密的客户带来了希望。加密软件上市以来,市场份额逐年上升,同时,经过几年的实践,客户对软件开发商提出了更多的要求。与加密软件产品刚上市时前一两年各软件厂商各持一词不同,经过市场的几番磨炼,客户和厂商对透明加密软件有了更加统一的认识。

加密软件分类

加密软件按照实现的方法可划分为被动加密和主动加密。

被动加密

指被加密的文件,在使用前需首先解密得到明文,然后才能使用。这类软件主要适用于个人电脑数据的加密,防止存储介质的丢失(比如硬盘被盗)导致数据的泄密;

主动加密(透明加密/自动加密)

指在使用过程中自动对文件进行加密或解密操作,无需用户的干预,合法用户在使用加密文件前,不需要进行解密操作即可使用,表面看来,访问加密的文件和访问未加密的文件基本相同,对合法用户来说,这些加密文件是“透明的”,即好像没有加密一样,但对于没有访问权限的用户,即使通过其它非常规手段得到了这些文件,由于文件是加密的,因此也无法使用。由于动态加密技术不仅不改变用户的使用习惯,而且无需用户太多的干预操作即可实现文档的安全,因而近年来得到了广泛的应用。目前针对企业的防泄密软件(企业内部的文件可以自由流通、阅读,一旦拷贝出去或者脱离企业网络环境,将无法阅读),大多采用主动加密技术。

由于主动加密要实时加密数据,必须动态跟踪需要加密的数据流,而且其实现的层次一般位于系统内核中,因此,从实现的技术角度看,实现主动加密要比被动加密难的多,需要解决的技术难点也远远超过被动加密。这里说的加密软件就是采用主动加密技术的软件。

同时,按照其手段的不同,加密软件又可以分为以下几类:

全硬盘加密

这种技术比较早,大约出现在2000年。硬盘加密的特点是控制硬盘,不控制硬盘里的文件,不对硬盘里的文件进行加密。这种加密方式比较简单,不需要专人解密,即使硬盘被偷了,不知道用户名和密码也打不开。但是这种加密手段最大的漏洞如果把硬盘挂到同样配置的计算机上所有硬盘的资料就不存在加密的问题了,加密的意思彻底失去。再者,硬盘加密不但加密了公司的资料,把个人的资料也被限制在公司内部,如果个人的照片放在公司的机器上也被控制了,想拿走自己的东西只有找一个同样配置的机器。目前这种技术已经被淘汰,已经跟不上软件的发展了。

U盘加密

U盘加密技术也属于早期的技术,企业内部的机器上需要插一U盘读取的协议才能打开。这种加密手段实际在企业内部不太使用,总是需要企业领导上班把U盘插到服务器上,下班拔走。如果丢掉了这个U盘,公司的资料彻底打不开了。再者,U盘里的协议容易被破解,安全性较低。目前市场上很少再有人销售这种技术了。

PDM或图文档管理系统

不少企业认为,如果上了PDM或图文档管理系统(EDM),公司内部的图纸及电子文档就可以控制了。其实这种想法是错误的,PDM或图文档管理系统管理的是产品数据,主要是对公司的流程、权限、版本、查询、历史记录等进行管理,它一定程度的给企业的图纸带来了一定程度上的安全。但是如果想彻底控制,这些系统是无法做到的。PDM及EDM控制图纸是通过权限的,如果有权限的人把图纸拿出去,拿到外面照样能够使用。也就是说PDM或EDM系统是把图纸一定程度的限制到了公司内部,但是如果图纸出去了,它没有任何保密性可言。

文件加密

这是这几年的新技术,也是最有效的控制手段,企业也比较认可这种加密手段。这种加密方式是把公司所有图纸及文档通过打开或保存自动加密,历史数据批量扫描加密。它还可以控制打印机、U盘、笔记本外出、同行之间数据通过内部工程师外泄,以及邮件外发、QQ截屏等各种外泄途径都被限制了。加密过的文件不经过专人解密,即使泄露出去了,也是无法打开的。即使硬盘被盗,离开公司彻底无法使用。因此目前市场上做文件加密的软件公司较多,大小公司参差不齐。

驱动层加密技术成为透明加密的主流技术

目前市面上的透明加密软件,基本上只支持Windows平台。透明加密的实现主要有两种技术,一种是应用层(API)的透明加密技术,一种是核心层(Kernel,又叫驱动层)的透明加密技术(图1)。应用层的开发难度低(Windows Hook技术),但对应用程序的适应性差,同时加密多种应用程序时相互干扰大,因此,有些厂商为适应不同程序加密要求开发出独立针对某种软件的加密软件版本。

驱动层透明加密技术是通过Windows提供的可安装文件系统(Installable File System)开发接口写设计一个文件过滤驱动,通过此驱动实现透明加解密功能。由于驱动开发要与windows更核心层打交道,此方面的开发人才比较少,相对开发难度也高。驱动层的透明加密技术由于与操作系统的文件系统结合紧密,加解密效率更高,控制更加密灵活,运行更加稳定。但要充分考虑到与Windows及其它应用在驱动层软件的兼容,如杀毒软件,否则会导致windows蓝屏。

对客户而言,透明加密软件采用什么技术并不是他们关心的重点,他们主要关心的是加密软件产品本身的稳定性、安全性和使用方便性。应用层透明加密技术和驱动层加密技术的特点使得驱动层透明加密软件有更多竞争上的优势。

经过市场几年的考验,加密软件厂商都逐步认识到,驱动层透明加密技术才是加密软件可靠的技术。于是我们可以看到,新切入市场的加密软件厂商的产品都是采用驱动透明加密技术,一些原来采用应用层透明加密技术的老牌加密软件厂商也放弃最初的应用层技术,转而从头开始研发驱动层加密技术。

透明加密软件产品市场开始细分

丰富的加密软件产品线

客户需求永远是产品发展的指南针,透明加密软件市场也不例外。透明加密软件市场兴起之初,所有厂商都采用同样的宣传模式,更有甚者,一些厂商直接抄袭其他同行的宣传资料。现在看来,当时大家都是在介绍透明加密的好处,并没有体现自身产品的优势。当然,当时各厂商对加密软件市场需求不了解是主要的原因。随着两年多来与客户面对面的交流和碰撞,透明加密软件产品厂商对市场有了更深入的认识,产品定位和发展也有了新的动向。

透明加密技术刚出现

透明加密技术刚出现时,主要卖点就是强制加密,也可以说强制加密成了透明加密的代名词,市场定位清一色定位于单位内部的强制加密。所有厂商不管是网络版本还是离散授权使用版,都是冲着强制加密来的。因此,产品只有强制加密指定应用程序生成的敏感文件一种,预期的客户也基本上都是单一的局域网用户。其实,一方面客户不仅担心文件从内部泄密,而且也必须考虑文件从外部泄密;另一方面,不但群体客户有保密需求,一般的个人PC用户也存在大量的文件加密需求。因此,更多地透明加密产品也应运而生。

对于某些企业而言,其合作伙伴也是可以接触到其敏感文件的。因此,企业需要对发放到外部(如供应商)的敏感文件进行控制。针对客户此类需求,部分厂商开发了控制外发文件时效、打印权限等的外发文件控制版本,也有叫防二次扩散软件的。

有保密需要用户

文件保密需求不但在企业有,对个人而言也是很有必要的,网上流传的这样那样的文件、文件夹加密大王、大师就是很好的证据。透明加密很适合做成强制加密的企业版本,但透明加密决不等于强制加密,它同样适合于个人加密的需要,甚至比现有的个人加密软件技术更先进,使用更方便。因此,有些厂商也感觉到了这块市场的存在,纷纷推出个人版本的透明加密软件。

总之,市场需求的发展催进了透明加密技术在各个领域的应用。不仅是企业有着将安全延伸至整个供应链的需求,而且个人PC用户也期望着更多更好的透明加密技术产品。随着市场的进一步发展,必将会有更多更优秀的产品/版本面市。

密文自动备份成为必备功能

数据存储是个复杂的过程。透明加密软件对Windows操作系统的存储和读取进行干预,难免不会出现这样那样的问题,导致加解密过程失败,甚对文件造成无法挽回的损失。加密软件的其它bug客户可以接受,但对文件造成无法挽回的破坏、或经常出现需要对异常密文进行修复的情况,将直接影响客户的正常工作,客户是无法接受的。实际上,只要存在加密,就存在数据紊乱的风险。

加密技术在传统应用领域――通讯加密――至今也没有完全克服。但是通讯加密产品都会将报文以冗余地方式进行发送。借鉴这一思路,文件加密也可以用冗余地方式降低数据紊乱风险,这就是密文的自动备份。所谓的密文自动备份,是指当有密态文件写入存储介质时,系统会自动地在指定位置(可以是本地,也可以是远程)中自动生成一份文件副本。一些有远见的厂商在不断加强自身软件稳定性的同时,也学习其它软件的自动备份功能,在密文保存过程中进行自动备份,以防不测。

自动备份可以看作是一项预防措施,或保险措施。作为与存储密切相关的透明加密软件产品,自动备份功能应该成为一种标准功能。参考其它如office、AutoCAD等传统软件,加密软件应该还要有对异常密文自动修复的功能。

更加灵活的加密控制条件可以防止过度加密

强制加密是控制单位内部敏感数据泄密的有力手段,但实际应用过程中,有些单位需要更加灵活的加密控制条件。例如,企业只需要对文件服务器上的归档文件进行加密,PC使用者新建文件不需要加密。又例如,雇主需要能打开员工加密的密文,但自已电脑上不加密。对加密控制条件如此,纷繁复杂的需求,促使加密软件厂商对加密控制条件不能局限于强制加密一种手段,而是要更加灵活地进行配制。

市场对加密软件灵活的控制需求使得透明加密的内涵变得更加丰富。加密软件灵活的加密控制方式使处于不同加密需求阶段的客户有更多的选择。客户也可以根据实际情况,分阶段、分步骤部署加密软件。

密文分级管理将是大型用户应用趋势

透明加密软件产品通过控制不同用户的密钥来控制密文只能内部交流。在一些单位,不但要求内部数据不能外传,还要在部门间或项目组之间相互保密,而上级部门或领导又要能打开不同部门的密文,这就使得一个单位只有一个密钥无法满足需求。于是便出现了密文分级的需要。

密文分级管理,实际上就是加密软件的密钥管理。如果我们把不同部门看成是不同的房间,部门内人员只有部门房间的钥匙,那么,他们的上级领导就相当于有几个部门的钥匙。这样,领导就可以按需打开每个部门房间的门。

这种密文分级管理的需求,只会出现在大型用户中。从中也可以看到,加密软件也开始得到大型用户的青睐。

工具化和专业化是加密系统的发展方向

有些客户在部署加密软件的同时,提出要对密文的操作权限进行控制。比如,某些人只能打开密文,某些人可以编辑密文,某些人可以打印密文等。某些厂商还“延伸”透明加密软件的含义,提出所谓“企业权限管理(ERM)”的概念,以迎合客户对文件权限管理的需求。

笔者认为,对文件的权限控制的需求和对文件加密的需求,是两个相互关联但又相互独立的需求。企业对文件进行权限控制需求,并不是在部署加密软件之后才有的,即使不采用加密软件,这种需求也是存在的。

实际上,对于文档权限的控制,Windows已经有一套完整的定义,当然,定义起来非常复杂,并不太适合一般企业直接应用。另一方面,早在十几年前就出现了专门的管理软件—企业数据管理PDM或EDM,后来还发展成PLM。这些软件都包含很强的文档权限管理功能,是专门进行文档权限管理的。

透明加密软件之所以很多厂商愿意投入,一个非常重要的原因它是一个工作于操作系统层的工具软件,有着广泛的应用面,不需要进行复杂的实施,容易实现产品化。如果在透明加密软件这样的工具软件中整合文档管理的功能,加密软件就演变成为一个需要复杂实施的管理系统。将两个相互独立的需求整个成一个庞杂的系统,违背了专业精深的发展原则,间接给客户带来了风险。不仅如此,项目型的软件系统价格高、实施周期长、牵扯因素多,因而见效慢、风险高,成功率普遍低于工具型的软件。这无疑对买卖双方都是有害的。从两年多来的实践来看,多数此类系统的用户最终都只是用到了系统的核心功能――文件加密。至于文件权限管理模块,多因定义过于复杂、使用过于繁琐而处于废弃或半废弃状态。

同样因为复杂和繁琐,某些加密软件的自定义解密工作流的功能,也没有得到充分应用。这不仅占用了厂商大量的研发和维护资源,而且对客户而言也是一种投资的浪费。笔者认为,密文操作权限控制以及其他工作流类型的功能,将不会成为透明加密软件发展的方向。而只有工具化才是透明加密软件的未来。有些加密软件中集成了如打印监控、行为监控等功能。当然,这并非是加密软件客户提出的需求,而是因为这些厂商有做类似软件的历史背景,将这些功能强行捆绑到加密软件中罢了。从市场角度来说,为客户创造更多的价值,提供更多的功能是无可厚非的,但在笔者看来,这种强行的捆绑只能满足个别有这方面需求的客户,并不能代表加密软件的发展方向。透明加密软件介绍:功能表 透明加密是指在操作人员不知不觉的情况下达到的一种加密效果,这和加密模式运用比较方便、快捷基本不影响操作人员的工作效率,而且当文件保存关闭后,在第二次打开时,只要在分环境内文件会自动解密,如果将文件复制到环境外的其他计算机上文件就会以加密的形式存在,打开时为乱码。

随便看

 

百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2024/12/23 15:34:03