透明加密軟體

透明加密軟體

為了實現透明加密的目的,透明加密技術必須在程序讀寫文件時改變程序的讀寫方式。鉤子透明加密技術與應用程序密切相關,它是通過監控應用程序的啟動而啟動的。驅動加密技術與應用程序無關,他工作於win

基本介紹


透明加密技術是近年來針對企業文件保密需求應運而生的一種文件加密技術。所謂透明,是指對使用者來說是未知的。當使用者在打開或編輯指定文件時,系統將自動對未加密的文件進行加密,對已加密的文件自動解密。文件在硬碟上是密文,在內存中是明文。一旦離開使用環境,由於應用程序無法得到自動解密的服務而無法打開,從而起來保護文件內容的效果。
透明加密有以下特點:
自動強制加密:安裝系統后,所有指定類型文件都是強制加密的;
使用方便習慣:不影響原有操作習慣,不需要限止埠;
原有習慣保持:內部交流時不需要作任何處理便能交流;
對外嚴禁泄露:一旦文件離開使用環境,文件將自動失效,從而保護知識產權。
1、為什麼需要透明文件加密
每個單位都有很重要的數據文件;比如對企業來說財務報表、用戶名單、進貨渠道、設計圖紙、投標文件等等;那麼這些資料你允許別人隨意拿走嗎?
如果你不想被拿走,你可能部署了比如網路監控等方式,但遠遠不夠的,因為人是活的,既然你不想別人拿走,人家要拿的時候就千方百計的方式了;防不勝防;比如,壓縮后發個郵件出去,修改名字后你也看不懂這個是什麼再QQ傳輸出去;
那麼你就應加密,比如採用壓縮加密方式,或把文件夾加密,可是你會很快發現不現實也無什麼用;比如壓縮加密好了,你總是要打開的,要是你天天都要用的,你就煩了每天都加密解密;再比如假如你這個是設計的圖紙,你的員工設計的,他手裡還有一份呢,他抄走呢?再比如,一個大型的設計可能很多人需要參加,那你加密別人就無法參與了,可你解密后別人立即抄走了;也就是說你打開他們就抄走了,你不打開別人就無法工作了;這個時候,你就需要透明文件加密了;
2、什麼叫透明文件加密
透明文件加密區別於常見的文件密碼加密方式;對你想加密的機密文件進行保護時,系統在不改變用戶原有工作流程和文件使用習慣的前提下,對需要保護的進程生成的所有文件(無論該文件原來是明文還是密文)進行強制加密保護。簡單說:就是對你需要加密的文件自動加密又不改變原來的操作習慣,而能看的人又無法抄走(即使非法複製出去都是亂碼的無法看的加密格式的文件);這樣,你的員工可以像往常一樣工作和參與,但卻無法抄走(無論是網路方式、U盤方式、或改名轉存方式等等);除非獲得授權;
SecGateway是一款專用於企業數據中心與辦公網路有效隔離的嵌入式專用設備。採用鏈路加密的方式,實現客戶端的准入,從文件在企業的使用流程入手,將數據泄露防護與企業現有 OA 系統、文件服務系統、ERP 系統、CRM 系統等企業應用系統完美結合,對通過網關的文檔數據進行透明加解密工作,有效解決文檔在脫離企業應用系統環境后的安全問題。為企業部署的所有應用系統提供有效的安全保障。
3、透明加密的基本功能
(1)強制、自動、透明加密電子文檔,防止第一作者泄密;設置文檔閱讀許可權,防止越權讀取;
(2)自動備份加密文檔,防止惡意刪除;全程記錄文件操作行為;
(3)有效控制傳輸途徑:設備限制(USB存儲設備、光碟機/軟體只讀或禁用,印表機禁用);禁止截屏、拖拽;禁止內容複製;三重密鑰管理,安全可靠;靈活離線策略,在方便員工短期外出、在家辦公或長期出差的同時,仍防泄密;在線解密申請,授權高管解密後方可文件外發;
4、透明文件加密軟體的部署
一般安裝都很簡單,在管理端安裝一個引擎驅動,用於管理以及建立密鑰等;被加密電腦安裝工作站,然後就開始根據你管理端設置的規則自動加密了;剩餘的只是對管理過程(比如授權、加密規則等)
5、透明加密技術原理
透明加密技術是與windows緊密結合的一種技術,它工作於windows的底層。通過監控應用程序對文件的操作,在打開文件時自動對密文進行解密,在寫文件時自動將內存中的明文加密寫入存儲介質。從而保證存儲介質上的文件始終處於加密狀態。
監控windows打開(讀)、保存(寫)可以在windows操作文件的幾個層面上進行。現有的32位CPU定義了4種(0~3)特權級別,或稱環(ring),如圖1所示。其中0級為特權級,3級是最低級(用戶級)。運行在0級的代碼又稱內核模式,3級的為用戶模式。常用的應用程序都是運行在用戶模式下,用戶級程序無權直接訪問內核級的對象,需要通過API函數來訪問內核級的代碼,從而達到最終操作存儲在各種介質上文件的目的。
為了實現透明加密的目的,透明加密技術必須在程序讀寫文件時改變程序的讀寫方式。使密文在讀入內存時程序能夠識別,而在保存時又要將明文轉換成密文。Window 允許編程者在內核級和用戶級對文件的讀寫進行操作。內核級提供了虛擬驅動的方式,用戶級提供Hook API的方式。因此,透明加密技術也分為API HOOK廣度和VDM(Windows Driver Model)內核設備驅動方式兩種技術。API HOOK俗稱鉤子技術,VDM俗稱驅動技術;
6、鉤子透明加密技術簡介
所有Windosw應用程序都是通過windows API函數對文件進行讀寫的。程序在打開或新建一個文件時,一般要調用windows的CreateFile或OpenFile、ReadFile等Windows API函數;而在向磁碟寫文件時要調用WriteFile函數。
同時windows提供了一種叫鉤子(Hook)的消息處理機制,允許應用程序將自己安裝一個子程序到其它的程序中,以監視指定窗口某種類型的消息。當消息到達后,先處理安裝的子程序后再處理原程序。這就是鉤子。
鉤子透明加密技術就是將上述兩種技術組合而成的。通過windows的鉤子技術,監控應用程序對文件的打開和保存,當打開文件時,先將密文轉換后再讓程序讀入內存,保證程序讀到的是明文,而在保存時,又將內存中的明文加密后再寫入到磁碟中。
鉤子透明加密技術與應用程序密切相關,它是通過監控應用程序的啟動而啟動的。一旦應用程序名更改,則無法掛鉤。同時,由於不同應用程序在讀寫文件時所用的方式方法不盡相同,同一個軟體不同的版本在處理數據時也有變化,鉤子透明加密必須針對每種應用程序、甚至每個版本進行開發。
目前不少應用程序為了限止黑客入侵設置了反鉤子技術,這類程序在啟動時,一旦發現有鉤子入侵,將會自動停止運行。
7、驅動透明加密技術簡介
驅動加密技術基於windows的文件系統(過濾)驅動(IFS)技術,工作在windows的內核層。我們在安裝計算機硬體時,經常要安裝其驅動,如印表機、U盤的驅動。文件系統驅動就是把文件作為一種設備來處理的一種虛擬驅動。當應用程序對某種後綴文件進行操作時,文件驅動會監控到程序的操作,並改變其操作方式,從而達到透明加密的效果。
驅動加密技術與應用程序無關,他工作於windows API函數的下層。當API函數對指定類型文件進行讀操作時,系統自動將文件解密;當進入寫操作時,自動將明文進行加密。由於工作在受windows保護的內核層,運行速度更快,加解密操作更穩定。
但是,驅動加密要達到文件保密的目的,還必須與用戶層的應用程序打交道。通知系統哪些程序是合法的程序,哪些程序是非法的程序。驅動透明加密工作在內核層。驅動加密技術雖然有諸多的優點,但由於涉及到windows底層的諸多處理,開發難度很大。如果處理不好與其它驅動的衝突,應用程序白名單等問題,將難以成為一個好的透明加密產品。
8、鉤子透明加密技術與驅動透明加密技術比較
兩種加密技術由於工作在不同的層面,從應用效果、開發難度上各有特點。從幾個方面進行了簡單比較:
(1)工作層:鉤子透明加密工作在用戶層,驅動透明加密工作在內核層;
(2)工作方式:鉤子透明加密使用HOOK,驅動透明加密接受系統IRP;
(3)應用關聯性:鉤子透明加密直接和應用關聯,所以應用更新或新的加密類導致需要重新更新開發;驅動透明加密和應用無關,但要提供應用加密列表;
(4)加解密可靠性:鉤子透明加密由於應用層上所以速度慢容易死機等,特別是處理大文件或資源不足的時候;驅動透明加密採用內核加解密,受操作系統保護,穩定而且速度快;
(5)網路操作:鉤子透明加密沒有限制,驅動透明加密需要單獨編寫對應程序處理;
(6)開發難度:鉤子透明加密相對容易但容易被當成病毒誤殺或禁止;驅動透明加密開發難度大,開發驅動的過程可能連續一天反覆重新啟動100次電腦;
尾述:以上我們探討了信息安全的重要性,透明加密的適用情況,透明加密的基本功能、簡單通常部署說明、透明加密原理、加密軟體驅動技術、驅動技術的比較、鉤子技術在加密軟體中的運用等;鉤子透明加密技術開發容易,但存在技術缺陷,而且容易被反Hook所破解。正如殺毒軟體技術從Hook技術最終走向驅動技術一樣,相信透明加密技術也終將歸於越來越成熟應用的驅動技術,為廣大用戶開發出穩定、可靠的透明加密產品來;
9、透明加密最新原理——信息防泄漏三重保護
信息防泄漏三重保護,不僅為防止信息通過U盤、Email等泄露提供解決方法,更大的意義在於,它能夠幫助企業構建起完善的信息安全防護體系,使得企業可以實現“事前防禦—事中控制—事後審計”的完整的信息防泄漏流程,從而達到信息安全目標的透明性、可控性和不可否認性的要求。
信息防泄漏三重保護包括詳盡細緻的操作審計、全面嚴格的操作授權和安全可靠的透明加密三部分。
l 詳盡細緻的操作審計是三重保護體系的基礎,也是不可或缺的部分,它使得龐大複雜的信息系統變得透明,一切操作、行為都可見可查。
審計不僅可以用作事後審計以幫助追查責任,更能夠幫助洞察到可能的危險趨向,還能夠幫助發現未知的安全漏洞。
l 全面嚴格的操作授權從網路邊界、外設邊界以及桌面應用三方面實施全方位控制,達到信息安全目標中的“可控性”要求,防止對信息的不當使用和流傳,使得文檔不會輕易“看得到、改得了、發得出、帶得走”。
l 安全可靠的透明加密為重要信息提供最有力的保護,它能夠保證涉密信息無論何時何地都是加密狀態,可信環境內,加密文檔可正常使用,在非授信環境內則無法訪問加密文檔,在不改變用戶操作習慣的同時最大限度保護信息安全。
第一重保護:詳盡細緻的操作審計
詳細的審計是三重保護的基石,全面記錄包括文檔操作在內的一切程序操作,及時發現危險趨向,提供事後追蹤證據!
文檔全生命周期審計
完整而詳細地將文檔從創建之初到訪問、修改、移動、複製、直至刪除的全生命周期內的每一項操作信息記錄下來,同時,記錄共享文檔被其它計算機修改、刪除、改名等操作。
另外,對於修改、刪除、列印、外發、解密等可能造成文檔損失或外泄的相關操作,IP-guard可以在相關操作發生前及時備份,有效防範文檔被泄露、篡改和刪除的風險。
文檔傳播全過程審計
細緻記錄文檔通過印表機、外部設備、即時通訊工具、郵件等工具進行傳播的過程,有效警惕重要資料被隨意複製、移動造成外泄。
桌面行為全面審計
IP-guard還擁有屏幕監視功能,能夠對用戶的行為進行全面且直觀的審計。通過對屏幕進行監視,企業甚至可以了解到用戶在ERP系統或者財務系統等信息系統中執行了哪些操作。
第二重保護:全面嚴格的操作授權
通過全面嚴格的第二重保護管控應用程序操作,防止信息通過U盤、Email等一切方式泄露,全面封堵可能泄密漏洞!
文檔操作管控
控制用戶對本地、網路等各種位置的文件甚至文件夾的操作許可權,包括訪問、複製、修改、刪除等,防範非法的訪問和操作,企業可以根據用戶不同的部門和級別設置完善的文檔操作許可權。
移動存儲管控
IP-guard能夠授予移動存儲設備在企業內部的使用許可權。可以禁止外來U盤在企業內部使用,做到外盤外用;同時還可對內部的移動盤進行整盤加密,使其只能在企業內部使用,在外部則無法讀取,做到內盤內用。
終端設備規範
能夠限制USB設備、刻錄、藍牙等各類外部設備的使用,有效防止信息通過外部設備外泄出去。
網路通訊控制
能夠控制用戶經由QQ、MSN飛信等即時通訊工具和E-mail等網路應用發送機密文檔,同時還能防止通過上傳下載和非法外聯等方式泄露信息。
網路准入控制
及時檢測並阻斷外來計算機非法接入企業內網從而竊取內部信息,同時還能防止內網計算機脫離企業監管,避免信息外泄。
桌面安全管理
設置安全管理策略,關閉不必要的共享,禁止修改網路屬性,設定登錄用戶的密碼策略和賬戶策略。
第三重保護:安全可靠的透明加密
透明加密作為最後一道最強防護盾,對重要文檔自動加密,保證文檔無論何時何地都處在加密狀態,最大限度保護文檔安全!
強制透明加密
IP-guard能對電子文檔進行強制性的透明加密,授信環境下加密文檔可正常使用,非授信環境下加密文檔則無法使用。同時,鑒於內部用戶主動泄密的可能性,IP-guard會在加密文檔的使用過程中默認禁止截屏、列印,以及剪切、拖拽加密文檔內容到QQ、Email等可能造成泄密的應用。
內部許可權管理
對於多部門多層級的組織,IP-guard提供了分部門、分級別的許可權控制機制。IP-guard根據文檔所屬部門和涉密程度貼上標籤,擁有標籤許可權的用戶才能夠訪問加密文檔,控制涉密文檔的傳播範圍,降低泄密風險。
文檔外發管理
對於合作夥伴等需要訪問涉密文檔的外部用戶,IP-guard提供了加密文檔閱讀器,通過閱讀器企業可以控制外發加密文檔的閱讀者、有效訪問時間以及訪問次數,從而有效避免文檔外發后的二次泄密。
雙備防護機制
IP-guard採用備用伺服器機制以應對各種軟硬體及網路故障,保證加密系統持續不斷的穩定運行。加密文檔備份伺服器可以對修改的加密文檔實時備份,給客戶多一份的安心保證。