加密軟體

加密軟體

加密軟體發展很快,目前最常見的是透明加密,透明加密是一種根據要求在操作系統層自動地對寫入存儲介質的數據進行加密的技術。透明加密軟體作為一種新的數據保密手段,自2005年上市以來,得到許多軟體公司特別是製造業軟體公司和傳統安全軟體公司的熱捧,也為廣大需要對敏感數據進行保密的客戶帶來了希望。加密軟體上市以來,市場份額逐年上升,同時,經過幾年的實踐,客戶對軟體開發商提出了更多的要求。與加密軟體產品剛上市時前一兩年各軟體廠商各持一詞不同,經過市場的幾番磨鍊,客戶和廠商對透明加密軟體有了更加統一的認識。

主流技術


資料庫加密的應用透明技術
關係型資料庫所存儲的數據加密后,在前台應用程序訪問後台資料庫中的密文數據過程中,用於對關係型資料庫中的數據進行加密保護,防止信息被非法的竊取,在關係型資料庫通用的視圖和觸發器的基礎上,通過實現多級視圖並結合基於行標識的觸發器實現對敏感數據的自動加密和解密,達到對應用透明的目標,應用系統無需改造;通過多級視圖,實現對資料庫查詢行為的精確判定,從而可以針對不同種類的查詢行為,構建專門的基於LRU緩存管理機制的密文和明文數據緩存策略,構建對密文數據進行批量預解密處理的策略,實現高效的密文查詢。
資料庫加密的密文索引技術
資料庫所存儲的數據加密后,原來的明文數據索引必然失效,在查詢密文數據過程中,如果想提到查詢速度,首先要做密文索引提高查詢結果的命中率。一種基於無偏序關係的輕量級的密文索引結構的索引建立、檢索和維護方法,這種結構能夠表示索引中的節點關係,便於維護,維護代價低。索引中存儲的數據是密文的,由於不存在數據之間的偏序關係,也就無法進行分析了,保證了數據的安全。基於這種無偏序關係的密文索引的檢索方法,能夠對密文數據進行快速的檢索和定位;維護方法能夠有效的維護索引數據和節點關係,並保證索引數據在併發操作環境下的正確性。
驅動層加密的透明加密技術
市面上的透明加密軟體,基本上只支持Windows平台。透明加密的實現主要有兩種技術,一種是應用層(API)的透明加密技術,一種是核心層(Kernel,又叫驅動層)的透明加密技術(圖1)。應用層的開發難度低(Windows Hook技術),但對應用程序的適應性差,同時加密多種應用程序時相互干擾大,因此,有些廠商為適應不同程序加密要求開發出獨立針對某種軟體的加密軟體版本。
驅動層透明加密技術是通過Windows提供的可安裝文件系統(Installable File System)開發介面寫設計一個文件過濾驅動,通過此驅動實現透明加解密功能。由於驅動開發要與windows更核心層打交道,此方面的開發人才比較少,相對開發難度也高。驅動層的透明加密技術由於與操作系統的文件系統結合緊密,加解密效率更高,控制更加密靈活,運行更加穩定。但要充分考慮到與Windows及其它應用在驅動層軟體的兼容,如殺毒軟體,否則會導致windows藍屏。
對客戶而言,透明加密軟體採用什麼技術並不是他們關心的重點,他們主要關心的是加密軟體產品本身的穩定性、安全性和使用方便性。應用層透明加密技術和驅動層加密技術的特點使得驅動層透明加密軟體有更多競爭上的優勢。
經過市場幾年的考驗,加密軟體廠商都逐步認識到,驅動層透明加密技術才是加密軟體可靠的技術。於是我們可以看到,新切入市場的加密軟體廠商的產品都是採用驅動透明加密技術,一些原來採用應用層透明加密技術的老牌加密軟體廠商也放棄最初的應用層技術,轉而從頭開始研發驅動層加密技術。

發展方向


密文自動備份成為必備功能
數據存儲是個複雜的過程。透明加密軟體對Windows操作系統的存儲和讀取進行干預,難免不會出現這樣那樣的問題,導致加解密過程失敗,甚對文件造成無法挽回的損失。加密軟體的其它bug客戶可以接受,但對文件造成無法挽回的破壞、或經常出現需要對異常密文進行修復的情況,將直接影響客戶的正常工作,客戶是無法接受的。實際上,只要存在加密,就存在數據紊亂的風險。
加密技術在傳統應用領域――通訊加密――至今也沒有完全克服。但是通訊加密產品都會將報文以冗餘地方式進行發送。借鑒這一思路,文件加密也可以用冗餘地方式降低數據紊亂風險,這就是密文的自動備份。所謂的密文自動備份,是指當有密態文件寫入存儲介質時,系統會自動地在指定位置(可以是本地,也可以是遠程)中自動生成一份文件副本。一些有遠見的廠商在不斷加強自身軟體穩定性的同時,也學習其它軟體的自動備份功能,在密文保存過程中進行自動備份,以防不測。
自動備份可以看作是一項預防措施,或保險措施。作為與存儲密切相關的透明加密軟體產品,自動備份功能應該成為一種標準功能。參考其它如office、AutoCAD等傳統軟體,加密軟體應該還要有對異常密文自動修復的功能。
更加靈活的加密控制條件可以防止過度加密
強制加密是控制單位內部敏感數據泄密的有力手段,但實際應用過程中,有些單位需要更加靈活的加密控制條件。例如,企業只需要對文件伺服器上的歸檔文件進行加密,PC使用者新建文件不需要加密。又例如,僱主需要能打開員工加密的密文,但自已電腦上不加密。對加密控制條件如此,紛繁複雜的需求,促使加密軟體廠商對加密控制條件不能局限於強制加密一種手段,而是要更加靈活地進行配製。
市場對加密軟體靈活的控制需求使得透明加密的內涵變得更加豐富。加密軟體靈活的加密控制方式使處於不同加密需求階段的客戶有更多的選擇。客戶也可以根據實際情況,分階段、分步驟部署加密軟體。
密文分級管理將是大型用戶應用趨勢
透明加密軟體產品通過控制不同用戶的密鑰來控制密文只能內部交流。在一些單位,不但要求內部數據不能外傳,還要在部門間或項目組之間相互保密,而上級部門或領導又要能打開不同部門的密文,這就使得一個單位只有一個密鑰無法滿足需求。於是便出現了密文分級的需要。
密文分級管理,實際上就是加密軟體的密鑰管理。如果我們把不同部門看成是不同的房間,部門內人員只有部門房間的鑰匙,那麼,他們的上級領導就相當於有幾個部門的鑰匙。這樣,領導就可以按需打開每個部門房間的門。
這種密文分級管理的需求,只會出現在大型用戶中。從中也可以看到,加密軟體也開始得到大型用戶的青睞。
工具化和專業化是加密系統的發展方向
有些客戶在部署加密軟體的同時,提出要對密文的操作許可權進行控制。比如,某些人只能打開密文,某些人可以編輯密文,某些人可以列印密文等。某些廠商還“延伸”透明加密軟體的含義,提出所謂“企業許可權管理(ERM)”的概念,以迎合客戶對文件許可權管理的需求。
筆者認為,對文件的許可權控制的需求和對文件加密的需求,是兩個相互關聯但又相互獨立的需求。企業對文件進行許可權控制需求,並不是在部署加密軟體之後才有的,即使不採用加密軟體,這種需求也是存在的。
實際上,對於文檔許可權的控制,Windows已經有一套完整的定義,當然,定義起來非常複雜,並不太適合一般企業直接應用。另一方面,早在十幾年前就出現了專門的管理軟體—企業數據管理PDM或EDM,後來還發展成PLM。這些軟體都包含很強的文檔許可權管理功能,是專門進行文檔許可權管理的。
透明加密軟體之所以很多廠商願意投入,一個非常重要的原因它是一個工作於操作系統層的工具軟體,有著廣泛的應用面,不需要進行複雜的實施,容易實現產品化。如果在透明加密軟體這樣的工具軟體中整合文檔管理的功能,加密軟體就演變成為一個需要複雜實施的管理系統。將兩個相互獨立的需求整個成一個龐雜的系統,違背了專業精深的發展原則,間接給客戶帶來了風險。不僅如此,項目型的軟體系統價格高、實施周期長、牽扯因素多,因而見效慢、風險高,成功率普遍低於工具型的軟體。這無疑對買賣雙方都是有害的。從兩年多來的實踐來看,多數此類系統的用戶最終都只是用到了系統的核心功能――文件加密。至於文件許可權管理模塊,多因定義過於複雜、使用過於繁瑣而處於廢棄或半廢棄狀態。
加密軟體
加密軟體
同樣因為複雜和繁瑣,某些加密軟體的自定義解密工作流的功能,也沒有得到充分應用。這不僅佔用了廠商大量的研發和維護資源,而且對客戶而言也是一種投資的浪費。筆者認為,密文操作許可權控制以及其他工作流類型的功能,將不會成為透明加密軟體發展的方向。而只有工具化才是透明加密軟體的未來。有些加密軟體中集成了如列印監控、行為監控等功能。當然,這並非是加密軟體客戶提出的需求,而是因為這些廠商有做類似軟體的歷史背景,將這些功能強行捆綁到加密軟體中罷了。從市場角度來說,為客戶創造更多的價值,提供更多的功能是無可厚非的,但在筆者看來,這種強行的捆綁只能滿足個別有這方面需求的客戶,並不能代表加密軟體的發展方向。透明加密軟體介紹:功能表 透明加密是指在操作人員不知不覺的情況下達到的一種加密效果,這和加密模式運用比較方便、快捷基本不影響操作人員的工作效率,而且當文件保存關閉后,在第二次打開時,只要在分環境內文件會自動解密,如果將文件複製到環境外的其他計算機上文件就會以加密的形式存在,打開時為亂碼。
加密軟體應用的更高層次——數據泄露防護(DLP)隨著信息安全威脅的不斷增長,傳統的透明加密軟體產品已不能應對不斷增長的安全威脅。單純的透明加密手段已不可能解決所有的安全需求問題。特別是對一些源代碼之類的數據,加密並不是合適的安全保護手段。而大數據時代的來臨更是讓透明加密軟體直呼無可奈何,而DLP數據泄露防護正式是替代普通的加密軟體解決企業數據安全問題的更佳解決方案。
事實上,DLP是信息安全行業里很火的一個概念,從深圳虹安推出中國第一款DLP產品開始,中國市場上的DLP廠家如雨後春筍般的冒了出來。當然,其產品可靠性、技術研發實力等等就需要各位自己去考證了。完整的DLP應該從文檔加密、環境隔離、虛擬安全桌面等核心層面,通過應用認證、加密、標籤、審計、內核驅動、沙箱、還原、訪問控制、應用防火牆等技術手段,對機密文檔、U盤外設、外發文件、瀏覽器應用、筆記本、應用系統等多方面進行控制與保護,是一個體系化的數據安全防護網路。而文檔透明加密是一種直接運行在操作系統內核中,支持動態地加密文件,專門針對文檔進行保護的加密技術,它只是DLP(數據泄露防護)體系中的一部分。
涉密信息安全
針對秘密信息,通過網路安全手段對這部分用戶進行邏輯隔離,並對其傳輸的數據進行加密,使其他人員即便獲取到相關信息也無法使用。另外通過端點准人功能配合的訪問控制,確定用戶訪問涉密的許可權,利用加密技術確定訪問級別,確保對涉密信息的可控性。
在設立相關涉密安全信息保密系統,通過系統下發安全策略。在有傳輸秘密信息的終端用戶安裝客戶代理端,保證涉及秘密信息的終端與相關伺服器數據時實現信息加密,同時在存有涉密信息的伺服器端安裝監控加密程序,以實現對涉密伺服器訪問的身份識別及對信息訪問的許可權分配。
對於機密級單位,按照國家保密局相關規定,涉密單位網路應物理隔離,不允許與其他非涉密網路有連接。在機密單位內部建立可信網路保密系統和可信桌面系統。通過設立可信網路保密系統,控制內部信息不外泄,防止內部人員私自接人外網;利用可信桌面系統,保護涉密終端的安全,設置登錄許可權,保護加密終端內部數據。同時在保密部門設置相關弱電保密產品,在保證網路應用安全的同時確保涉密單位辦公環境也達到保密要求。
內網安全
通過安全平台下發主機監控與審計系統安全策略,保證內部網數據不被惡意盜取,防止外接設備隨意連接到終端,防止網路內部通過嗅探器等非法手段獲取非授權信息,同時避免用戶採用其它方式將內部網數據傳輸到外部網路,杜絕終端用戶在未經授權的情況下擅自使用各種I/0設備、計算機外設、移動設備等。

技術分類


加密軟體按照實現的方法可劃分為被動加密和主動加密。

被動加密

被動加密指要加密的文件在使用前需首先解密得到明文,然後才能使用。這類軟體主要適用於個人電腦數據的加密,防止存儲介質的丟失(比如硬碟被盜)導致數據的泄密。

主動加密

(透明加密/自動加密)
主動加密指在使用過程中系統自動對文件進行加密或解密操作,無需用戶的干預,合法用戶在使用加密文件前,不需要進行解密操作即可使用,表面看來,訪問加密的文件和訪問未加密的文件基本相同,對合法用戶來說,這些加密文件是“透明的”,即好像沒有加密一樣,但對於沒有訪問許可權的用戶,即使通過其它非常規手段得到了這些文件,由於文件是加密的,因此也無法使用。由於動態加密技術不僅不改變用戶的使用習慣,而且無需用戶太多的干預操作即可實現文檔的安全,因而得到了廣泛的應用。針對企業的防泄密軟體(企業內部的文件可以自由流通、閱讀,一旦拷貝出去或者脫離企業網路環境,將無法閱讀),大多採用主動加密技術。
由於主動加密要實時加密數據,必須動態跟蹤需要加密的數據流,而且其實現的層次一般位於系統內核中,因此,從實現的技術角度看,實現主動加密要比被動加密難的多,需要解決的技術難點也遠遠超過被動加密。這裡說的加密軟體就是採用主動加密技術的軟體。
同時,按照其手段的不同,加密軟體又可以分為以下幾類:

全硬碟加密

這種技術比較早,大約出現在2000年。早期硬碟加密的特點是控制硬碟,不控制硬碟里的文件,不對硬碟里的文件進行加密。這種加密方式比較簡單,不需要專人解密,即使硬碟被偷了,不知道用戶名和密碼也打不開。
這兩年全盤加密技術有了大的發展,利用硬碟加密卡對硬碟全盤實時加密的同時,也對硬碟里的文件進行管控,這種技術將引起企業數據的防泄密應用和知識產權保護應用上的革命。

U盤加密

U盤加密技術也屬於早期的技術,企業內部的機器上需要插一U盤讀取的協議才能打開。這種加密手段實際在企業內部不太使用,總是需要企業領導上班把U盤插到伺服器上,下班拔走。如果丟掉了這個U盤,公司的資料徹底打不開了。再者,U盤裡的協議容易被破解,安全性較低,市場上很少再有人銷售這種技術了。

PDM

或圖文檔管理系統
不少企業認為,如果上了PDM或圖文檔管理系統(EDM),公司內部的圖紙及電子文檔就可以控制了。其實這種想法是錯誤的,PDM或圖文檔管理系統管理的是產品數據,主要是對公司的流程、許可權、版本、查詢、歷史記錄等進行管理,它一定程度的給企業的圖紙帶來了一定程度上的安全。但是如果想徹底控制,這些系統是無法做到的。PDM及EDM控制圖紙是通過許可權的,如果有許可權的人把圖紙拿出去,拿到外面照樣能夠使用。也就是說PDM或EDM系統是把圖紙一定程度的限制到了公司內部,但是如果圖紙出去了,它沒有任何保密性可言。

文件加密

這是這幾年的新技術,也是最有效的控制手段,企業也比較認可這種加密手段。這種加密方式是把公司所有圖紙及文檔通過打開或保存自動加密,歷史數據批量掃描加密。它還可以控制印表機、U盤、筆記本外出、同行之間數據通過內部工程師外泄,以及郵件外發、QQ截屏等各種外泄途徑都被限制了。加密過的文件不經過專人解密,即使泄露出去了,也是無法打開的。即使硬碟被盜,離開公司徹底無法使用。因此市場上做文件加密的軟體公司較多,大小公司參差不齊。

商用分類


市面上的企業用加密軟體主要分為兩類離線版與網路版
主要區別在於
離線版不需要區域網支持,可以單獨安裝。
離線版的加密程序受控設置,有改動都需要通過軟體商從新設置打包程序。並且每台電腦都需要提取硬體碼單獨註冊安裝。
網路版的加密程序及所有配置都可以通過伺服器來完成,並且更換電腦不需要重新註冊。

市場細分


豐富的加密軟體產品線
客戶需求永遠是產品發展的指南針,透明加密軟體市場也不例外。透明加密軟體市場興起之初,所有廠商都採用同樣的宣傳模式,更有甚者,一些廠商直接抄襲其他同行的宣傳資料。現在看來,當時大家都是在介紹透明加密的好處,並沒有體現自身產品的優勢。當然,當時各廠商對加密軟體市場需求不了解是主要的原因。隨著兩年多來與客戶面對面的交流和碰撞,透明加密軟體產品廠商對市場有了更深入的認識,產品定位和發展也有了新的動向。
透明加密技術剛出現
透明加密技術剛出現時,主要賣點就是強制加密,也可以說強制加密成了透明加密的代名詞,市場定位清一色定位於單位內部的強制加密。所有廠商不管是網路版本還是離散授權使用版,都是沖著強制加密來的。因此,產品只有強制加密指定應用程序生成的敏感文件一種,預期的客戶也基本上都是單一的區域網用戶。其實,一方面客戶不僅擔心文件從內部泄密,而且也必須考慮文件從外部泄密;另一方面,不但群體客戶有保密需求,一般的個人PC用戶也存在大量的文件加密需求。因此,更多地透明加密產品也應運而生。
對於某些企業而言,其合作夥伴也是可以接觸到其敏感文件的。因此,企業需要對發放到外部(如供應商)的敏感文件進行控制。針對客戶此類需求,部分廠商開發了控制外發文件時效、列印許可權、打開次數等的外發文件控制版本,也有叫防二次擴散軟體的。
有保密需要用戶
文件保密需求不但在企業有,對個人而言也是很有必要的,網上流傳的這樣那樣的文件、文件夾加密大王、大師就是很好的證據。透明加密很適合做成強制加密的企業版本,但透明加密決不等於強制加密,它同樣適合於個人加密的需要,甚至比現有的個人加密軟體技術更先進,使用更方便。因此,有些廠商也感覺到了這塊市場的存在,紛紛推出個人版本的透明加密軟體。
總之,市場需求的發展催進了透明加密技術在各個領域的應用。不僅是企業有著將安全延伸至整個供應鏈的需求,而且個人PC用戶也期望著更多更好的透明加密技術產品。隨著市場的進一步發展,必將會有更多更優秀的產品/版本面市。