透明加密軟體

為了實現透明加密的目的,透明加密技術必須在程式讀寫檔案時改變程式的讀寫方式。 鉤子透明加密技術與應用程式密切相關,它是通過監控應用程式的啟動而啟動的。 驅動加密技術與應用程式無關,他工作於win

明加密技術是近年來針對企業檔案保密需求應運而生的一種檔案加密技術。所謂透明,是指對使用者來說是未知的。當使用者在打開或編輯指定檔案時,系統將自動對未加密的檔案進行加密,對已加密的檔案自動解密。檔案在硬碟上是密文,在記憶體中是明文。一旦離開使用環境,由於應用程式無法得到自動解密的服務而無法打開,從而起來保護檔案內容的效果。
透明加密有以下特點:
自動強制加密:安裝系統後,所有指定類型檔案都是強制加密的;
使用方便習慣:不影響原有操作習慣,不需要限止連線埠;
原有習慣保持:內部交流時不需要作任何處理便能交流;
對外嚴禁泄露:一旦檔案離開使用環境,檔案將自動失效,從而保護智慧財產權。
1、為什麼需要透明檔案加密
每個單位都有很重要的數據檔案;比如對企業來說財務報表、用戶名單、進貨渠道、設計圖紙、投標檔案等等;那么這些資料你允許別人隨意拿走嗎?
如果你不想被拿走,你可能部署了比如網路監控等方式,但遠遠不夠的,因為人是活的,既然你不想別人拿走,人家要拿的時候就千方百計的方式了;防不勝防;比如,壓縮後發個郵件出去,修改名字後你也看不懂這個是什麼再QQ傳輸出去;
那么你就應加密,比如採用壓縮加密方式,或把資料夾加密,可是你會很快發現不現實也無什麼用;比如壓縮加密好了,你總是要打開的,要是你天天都要用的,你就煩了每天都加密解密;再比如假如你這個是設計的圖紙,你的員工設計的,他手裡還有一份呢,他抄走呢?再比如,一個大型的設計可能很多人需要參加,那你加密別人就無法參與了,可你解密後別人立即抄走了;也就是說你打開他們就抄走了,你不打開別人就無法工作了;這個時候,你就需要透明檔案加密了;
2、什麼叫透明檔案加密
透明檔案加密區別於常見的檔案密碼加密方式;對你想加密的機密檔案進行保護時,系統在不改變用戶原有工作流程和檔案使用習慣的前提下,對需要保護的進程生成的所有檔案(無論該檔案原來是明文還是密文)進行強制加密保護。簡單說:就是對你需要加密的檔案自動加密又不改變原來的操作習慣,而能看的人又無法抄走(即使非法複製出去都是亂碼的無法看的加密格式的檔案);這樣,你的員工可以像往常一樣工作和參與,但卻無法抄走(無論是網路方式、隨身碟方式、或改名轉存方式等等);除非獲得授權;
SecGateway是一款專用於企業數據中心與辦公網路有效隔離的嵌入式專用設備。採用鏈路加密的方式,實現客戶端的準入,從檔案在企業的使用流程入手,將數據泄露防護與企業現有OA系統、檔案服務系統、ERP系統、CRM系統等企業套用系統完美結合,對通過網關的文檔數據進行透明加解密工作,有效解決文檔在脫離企業套用系統環境後的安全問題。為企業部署的所有套用系統提供有效的安全保障。
3、透明加密的基本功能
(1)強制、自動、透明加密電子文檔,防止第一作者泄密; 設定文檔閱讀許可權,防止越權讀取;
(2)自動備份加密文檔,防止惡意刪除; 全程記錄檔案操作行為;
(3)有效控制傳輸途徑:設備限制(USB存儲設備、光碟機/軟體唯讀或禁用,印表機禁用);禁止截屏、拖拽;禁止內容複製; 三重密鑰管理,安全可靠; 靈活離線策略,在方便員工短期外出、在家辦公或長期出差的同時,仍防泄密;線上解密申請,授權高管解密後方可檔案外發;
4、透明檔案加密軟體的部署
一般安裝都很簡單,在管理端安裝一個引擎驅動,用於管理以及建立密鑰等;被加密電腦安裝工作站,然後就開始根據你管理端設定的規則自動加密了;剩餘的只是對管理過程(比如授權、加密規則等)
5、透明加密技術原理
透明加密技術是與windows緊密結合的一種技術,它工作於windows的底層。通過監控應用程式對檔案的操作,在打開檔案時自動對密文進行解密,在寫檔案時自動將記憶體中的明文加密寫入存儲介質。從而保證存儲介質上的檔案始終處於加密狀態。
監控windows打開(讀)、保存(寫)可以在windows操作檔案的幾個層面上進行。現有的32位CPU定義了4種(0~3)特權級別,或稱環(ring),如圖1所示。其中0級為特權級,3級是最低級(用戶級)。運行在0級的代碼又稱核心模式,3級的為用戶模式。常用的應用程式都是運行在用戶模式下,用戶級程式無權直接訪問核心級的對象,需要通過API函式來訪問核心級的代碼,從而達到最終操作存儲在各種介質上檔案的目的。
為了實現透明加密的目的,透明加密技術必須在程式讀寫檔案時改變程式的讀寫方式。使密文在讀入記憶體時程式能夠識別,而在保存時又要將明文轉換成密文。Window 允許編程者在核心級和用戶級對檔案的讀寫進行操作。核心級提供了虛擬驅動的方式,用戶級提供Hook API的方式。因此,透明加密技術也分為API HOOK廣度和VDM(Windows Driver Model)核心設備驅動方式兩種技術。API HOOK俗稱鉤子技術,VDM俗稱驅動技術;
6、鉤子透明加密技術簡介
所有Windosw應用程式都是通過windows API函式對檔案進行讀寫的。程式在打開或新建一個檔案時,一般要調用windows的CreateFileOpenFile、ReadFile等Windows API函式;而在向磁碟寫檔案時要調用WriteFile函式。
同時windows提供了一種叫鉤子(Hook)的訊息處理機制,允許應用程式將自己安裝一個子程式到其它的程式中,以監視指定視窗某種類型的訊息。當訊息到達後,先處理安裝的子程式後再處理原程式。這就是鉤子。
鉤子透明加密技術就是將上述兩種技術組合而成的。通過windows的鉤子技術,監控應用程式對檔案的打開和保存,當打開檔案時,先將密文轉換後再讓程式讀入記憶體,保證程式讀到的是明文,而在保存時,又將記憶體中的明文加密後再寫入到磁碟中。
鉤子透明加密技術與應用程式密切相關,它是通過監控應用程式的啟動而啟動的。一旦應用程式名更改,則無法掛鈎。同時,由於不同應用程式在讀寫檔案時所用的方式方法不盡相同,同一個軟體不同的版本在處理數據時也有變化,鉤子透明加密必須針對每種應用程式、甚至每個版本進行開發。
目前不少應用程式為了限止黑客入侵設定了反鉤子技術,這類程式在啟動時,一旦發現有鉤子入侵,將會自動停止運行。
7、驅動透明加密技術簡介
驅動加密技術基於windows的檔案系統(過濾)驅動(IFS)技術,工作在windows的核心層。我們在安裝計算機硬體時,經常要安裝其驅動,如印表機、隨身碟的驅動。檔案系統驅動就是把檔案作為一種設備來處理的一種虛擬驅動。當應用程式對某種後綴檔案進行操作時,檔案驅動會監控到程式的操作,並改變其操作方式,從而達到透明加密的效果。
驅動加密技術與應用程式無關,他工作於windows API函式的下層。當API函式對指定類型檔案進行讀操作時,系統自動將檔案解密;當進入寫操作時,自動將明文進行加密。由於工作在受windows保護的核心層,運行速度更快,加解密操作更穩定。
但是,驅動加密要達到檔案保密的目的,還必須與用戶層的應用程式打交道。通知系統哪些程式是合法的程式,哪些程式是非法的程式。驅動透明加密工作在核心層。驅動加密技術雖然有諸多的優點,但由於涉及到windows底層的諸多處理,開發難度很大。如果處理不好與其它驅動的衝突,應用程式白名單等問題,將難以成為一個好的透明加密產品。
8、鉤子透明加密技術與驅動透明加密技術比較
兩種加密技術由於工作在不同的層面,從套用效果、開發難度上各有特點。從幾個方面進行了簡單比較:
(1)工作層:鉤子透明加密工作在用戶層,驅動透明加密工作在核心層;
(2)工作方式:鉤子透明加密使用HOOK,驅動透明加密接受系統IRP;
(3)套用關聯性:鉤子透明加密直接和套用關聯,所以套用更新或新的加密類導致需要重新更新開發;驅動透明加密和套用無關,但要提供套用加密列表;
(4)加解密可靠性:鉤子透明加密由於套用層上所以速度慢容易當機等,特別是處理大檔案或資源不足的時候;驅動透明加密採用核心加解密,受作業系統保護,穩定而且速度快;
(5)網路操作:鉤子透明加密沒有限制,驅動透明加密需要單獨編寫對應程式處理;
(6)開發難度:鉤子透明加密相對容易但容易被當成病毒誤殺或禁止;驅動透明加密開發難度大,開發驅動的過程可能連續一天反覆重新啟動100次電腦;
尾述:以上我們探討了信息安全的重要性,透明加密的適用情況,透明加密的基本功能、簡單通常部署說明、透明加密原理、加密軟體驅動技術、驅動技術的比較、鉤子技術在加密軟體中的運用等;鉤子透明加密技術開發容易,但存在技術缺陷,而且容易被反Hook所破解。正如防毒軟體技術從Hook技術最終走向驅動技術一樣,相信透明加密技術也終將歸於越來越成熟套用的驅動技術,為廣大用戶開發出穩定、可靠的透明加密產品來;
9、透明加密最新原理——信息防泄漏三重保護
信息防泄漏三重保護
,不僅為防止信息通過隨身碟、Email等泄露提供解決方法,更大的意義在於,它能夠幫助企業構建起完善的信息安全防護體系,使得企業可以實現“事前防禦—事中控制—事後審計”的完整的信息防泄漏流程,從而達到信息安全目標的透明性、可控性和不可否認性的要求。
信息防泄漏三重保護包括詳盡細緻的操作審計、全面嚴格的操作授權和安全可靠的透明加密三部分。
l 詳盡細緻的操作審計是三重保護體系的基礎,也是不可或缺的部分,它使得龐大複雜的信息系統變得透明,一切操作、行為都可見可查。
審計不僅可以用作事後審計以幫助追查責任,更能夠幫助洞察到可能的危險趨向,還能夠幫助發現未知的安全漏洞。
l 全面嚴格的操作授權從網路邊界、外設邊界以及桌面套用三方面實施全方位控制,達到信息安全目標中的“可控性”要求,防止對信息的不當使用和流傳,使得文檔不會輕易“看得到、改得了、發得出、帶得走”。
l 安全可靠的透明加密為重要信息提供最有力的保護,它能夠保證涉密信息無論何時何地都是加密狀態,可信環境內,加密文檔可正常使用,在非授信環境內則無法訪問加密文檔,在不改變用戶操作習慣的同時最大限度保護信息安全。
第一重保護:詳盡細緻的操作審計
詳細的審計是三重保護的基石,全面記錄包括文檔操作在內的一切程式操作,及時發現危險趨向,提供事後追蹤證據!
文檔全生命周期審計

完整而詳細地將文檔從創建之初到訪問、修改、移動、複製、直至刪除的全生命周期內的每一項操作信息記錄下來,同時,記錄共享文檔被其它計算機修改、刪除、改名等操作。
另外,對於修改、刪除、列印、外發、解密等可能造成文檔損失或外泄的相關操作,IP-guard可以在相關操作發生前及時備份,有效防範文檔被泄露、篡改和刪除的風險。
文檔傳播全過程審計
細緻記錄文檔通過印表機、外部設備、即時通訊工具、郵件等工具進行傳播的過程,有效警惕重要資料被隨意複製、移動造成外泄。
桌面行為全面審計
IP-guard還擁有螢幕監視功能,能夠對用戶的行為進行全面且直觀的審計。通過對螢幕進行監視,企業甚至可以了解到用戶在ERP系統或者財務系統等信息系統中執行了哪些操作。
第二重保護:全面嚴格的操作授權
通過全面嚴格的第二重保護管控應用程式操作,防止信息通過隨身碟、Email等一切方式泄露,全面封堵可能泄密漏洞!
文檔操作管控

控制用戶對本地、網路等各種位置的檔案甚至資料夾的操作許可權,包括訪問、複製、修改、刪除等,防範非法的訪問和操作,企業可以根據用戶不同的部門和級別設定完善的文檔操作許可權。
移動存儲管控
IP-guard能夠授予移動存儲設備在企業內部的使用許可權。可以禁止外來隨身碟在企業內部使用,做到外盤外用;同時還可對內部的移動盤進行整盤加密,使其只能在企業內部使用,在外部則無法讀取,做到內盤內用。
終端設備規範
能夠限制USB設備、刻錄、藍牙等各類外部設備的使用,有效防止信息通過外部設備外泄出去。
網路通訊控制
能夠控制用戶經由QQ、MSN、飛信等即時通訊工具和E-mail等網路套用傳送機密文檔,同時還能防止通過上傳下載和非法外聯等方式泄露信息。
網路準入控制
及時檢測並阻斷外來計算機非法接入企業區域網路從而竊取內部信息,同時還能防止區域網路計算機脫離企業監管,避免信息外泄。
桌面安全管理
設定安全管理策略,關閉不必要的共享,禁止修改網路屬性,設定登錄用戶的密碼策略和賬戶策略。
第三重保護:安全可靠的透明加密
透明加密作為最後一道最強防護盾,對重要文檔自動加密,保證文檔無論何時何地都處在加密狀態,最大限度保護文檔安全!
強制透明加密

IP-guard能對電子文檔進行強制性的透明加密,授信環境下加密文檔可正常使用,非授信環境下加密文檔則無法使用。同時,鑒於內部用戶主動泄密的可能性,IP-guard會在加密文檔的使用過程中默認禁止截屏、列印,以及剪下、拖拽加密文檔內容到QQ、Email等可能造成泄密的套用。
內部許可權管理
對於多部門多層級的組織,IP-guard提供了分部門、分級別的許可權控制機制。IP-guard根據文檔所屬部門和涉密程度貼上標籤,擁有標籤許可權的用戶才能夠訪問加密文檔,控制涉密文檔的傳播範圍,降低泄密風險。
文檔外發管理
對於合作夥伴等需要訪問涉密文檔的外部用戶,IP-guard提供了加密文檔閱讀器,通過閱讀器企業可以控制外發加密文檔的閱讀者、有效訪問時間以及訪問次數,從而有效避免文檔外發後的二次泄密。
雙備防護機制
IP-guard採用備用伺服器機制以應對各種軟硬體及網路故障,保證加密系統持續不斷的穩定運行。加密文檔備份伺服器可以對修改的加密文檔實時備份,給客戶多一份的安心保證。

相關詞條

相關搜尋

熱門詞條

聯絡我們