“泄密”定義
“泄密” 指非法泄露國家機密或秘密,企業商業秘密或個人隱私的非法活動和行為。
“泄密”的歷史典故和現實案例:
“泄密”的歷史典故和現實案例:
1、《明史·李邦華傳》:“會帝召對羣臣,中允 李明睿 疏言南遷便,給事中 光時亨 以倡言洩密糾之。”
2、《魏書·畢義亮傳》:“ 天平 中,與舍人 韋鴻 坐泄密,賜盡於宅。” 馬識途
3、《老三姐》:“我很不願意她來看我寫東西,怕她泄密。”
4、東風飛彈泄密事件:
2008年11月27日,中國外交部發言人秦剛表示,中國生化學家伍維漢,因涉嫌為台灣蒐集情報被判決死刑。秦剛強調,伍維漢是中國公民,司法機關是依法審判。
59歲的伍維漢是中國籍生化學家及商人,曾旅居奧地利,2005年在北京被捕,理由是在1989年到2003年間,將中國軍事情報如飛彈計畫複印件等,提供給國民黨外圍組織「三民主義統一中國大同盟」,並收受約1220萬元台幣報酬。定罪的理由還包括了討論中國高層領導人的健康情況、傳送科學雜誌上的資訊,中國高層領導人的健康通常被看成是國家機密。2007年5月,被中國法院判處死刑。
伍維漢被控台諜事件:
2005年,伍維漢在北京遭逮捕,被控在1989年到2003年間將中國軍事情報提供給台灣
2007年5月,在不對外公開的審判中,伍維漢被判死刑
2008年2月,伍維漢抗訴被駁回,家人展開救援
2008年11月18日,法院通知伍的家人7天內申請探視,顯示最高人民法院已批准其死刑執行
2008年11月28日,伍維漢被處決,此前其女兒奧地利籍的陳然得到四年來唯一一次探視機會
“防泄密系統”定義:
一般指通過採用計算機系統、網路通訊、數據加密技術等手段而開發的用來防止國家機關或企業內部機密數據或商業秘密通過非法途徑如木馬入侵、黑客入侵、非法下載、隨身碟複製、郵件外發、QQ。MSN網路傳送、非法列印、截屏等泄露或擴散的計算機安全管理軟體。
“防泄密系統”產生的背景:在當今信息社會中,商業間諜、黑客、不良員工對企業的信息安全形成了巨大的威脅。而網路的普及和USB接口的大量使用給企業獲取和交換信息帶來巨大方便的同時,也給這些威脅大開方便之門。如何來管理這些情況呢?大多數企業是採用拆除光碟機軟碟機,封掉USB接口。限制上網等方法來儘可能的減少信息交換,以達到信息防泄密的目的。或者安裝一些監控軟體。監控員工的日常工作,使其不敢輕舉妄動。但這些方法都嚴重影響工作的方便性,並容易引起員工的牴觸情緒,甚至可能會帶來法律方面的問題。並且現在大量事實證明這種方法效果不是很好,重要的檔案往往依舊會泄漏。
2003 年,美國的執法機構FBI 和CSI對數百家企業進行了調查。該調查結果認為絕大多數泄密事件是由內部人員所為,或者由內外勾結造成的。IDC 的報告也得出了類似的結論:70%的安全損失是由內部造成的。這些都印證了中國的一句古話 “家賊難防”。由於內部人員熟悉檔案的存放,還可以接觸到密級高、範圍廣的檔案,所以一旦發生內部人員故意泄密事件,其危害程度是大大超過外部人員的盜取(例如黑客攻擊行為)。可見,從數據防泄密角度來講要內外兼防、甚至要防內終於防外。
防泄密系統採用的加密技術分類:
防泄密系統採用的加密技術分類:
1)基於套用程式外掛程式的主動加密
這類技術是最累的加密技術,其原理是為每一個應用程式寫一個外掛程式程式(也稱“外殼”),應用程式在載入時會自動載入外掛程式程式,外掛程式程式載入後會監視所有的數據輸出,必要時加密數據,如果一個操作不能主動加密,就強制取消對應的操作。
這種技術採用的是一對一的直觀思維,因此其支持的目標是以應用程式為單位的,而且一般和應用程式的版本還有關係,因為同一個應用程式未必能夠支持不同版本的外掛程式。也不是所有的應用程式都支持外掛程式技術。事實上,能夠支持外掛程式的應用程式僅限於Office、CAD等大型通用化套用軟體,專用軟體和一般的小型軟體都不支持外掛外掛程式。因此,這種技術套用環境受到諸多限制,而且由於從原理上不能保證受支持套用軟體之外的軟體的適用性,因此這種技術基本面臨淘汰。不過,現在國內一些加密軟體廠商還在使用,特點是用戶的文檔格式可以自定義,不需要廠家參與。
2)基於API攔截的主動加密
這種技術比起上面的技術來在通用性上有所進步,大部分“標準”的應用程式能夠得到支持,實現上也相當簡單,不需要考慮不同的應用程式。其缺點是API攔截是基於套用層的,不是所有的應用程式都使用標準的API運算元據,一旦應用程式的數據操作使用的驅動方式,或者直接使用VMM的記憶體映射檔案,這種方式就會出現不能正常解密或泄密漏洞。因此,這種技術也只能適用於已經測試通過的環境。另外,API攔截不是標準的系統開發技術,使用API攔截後系統性能下降明顯,與反病毒軟體和一些工具軟體往往也存在兼容性問題,這些都是API攔截技術的詬病。常見的涉密隨身碟類防泄密系統部分廠家還在採用本技術。特點是人手一盤,通過經過授權的隨身碟進行身份認證來訪問加密文檔。
3)基於檔案系統驅動技術的主動加密
這種技術是理論上最完美的技術。驅動技術是標準的系統開發技術,因此不存在兼容性問題(本身有程式BUG的下三濫驅動除外)。所有應用程式(包括作業系統本身)都必須通過檔案系統驅動獲取磁碟數據,因此在驅動中對數據進行控制幾乎無一漏網。另外,由於驅動運行於作業系統核心層,其效率、性能和抗攻擊性不是套用層的API攔截所能達到的。
基於檔案系統驅動技術的主動加密的最新技術是“智慧型透明加密技術”。
什麼是智慧型透明加密技術?
所謂透明,是指對使用者來說是未知的。當使用者在打開或編輯指定檔案時,系統將自動對未加密的檔案進行加密,對已加密的檔案自動解密。檔案在硬碟上是密文,在記憶體中是明文。一旦離開使用環境,由於應用程式無法得到自動解密的服務而無法打開,從而起來保護檔案內容的效果。
所謂智慧型,是指防泄密系統並不依賴可執行程式的名稱來確定是否是受控程式,而是有一套專用智慧型識別算法。智慧型識別技術,無論怎么改變程式的名稱,甚至用UPX等軟體壓縮可執行程式來改變MD5值,依舊不會逃過防泄密軟體的監測。只要檔案的內容是需要受控的話,無論將其保存成為什麼擴展名,都將被自動加密。
AES算法加密速度可達到幾百兆每秒,高於硬碟讀寫速度。從理論上說,讀檔案的解密操作與寫檔案的加密操作是一個流水線的過程,整個過程只增加0.8~8%的開銷,用戶主觀上感覺不到延遲。
對於網路異常斷線,機器異常斷電等突發異常,防泄密系統可確保文檔不被破壞。網路斷線時,採用客戶端記憶體數據驗證,斷線時間可以設定,能夠適應任何複雜的網路環境。
防泄密系統可用於政府及企業的各種敏感數據文檔,包括設計文檔、設計圖紙原始碼、行銷方案、財務報表及其他各種涉及國家機密和企業商業秘密的文檔,可以廣泛套用於政府研發、設計、製造等行業。
SecGateway智慧型透明加密,專用於企業數據中心與辦公網路有效隔離的嵌入式專用設備。採用鏈路加密的方式,實現客戶端的準入,從檔案在企業的使用流程入手,將數據泄露防護與企業現有OA系統、檔案服務系統、ERP系統、CRM系統等企業套用系統完美結合,對通過網關的文檔數據進行透明加解密工作,有效解決文檔在脫離企業套用系統環境後的安全問題。為企業部署的所有套用系統提供有效的安全保障。
防泄密系統採用的加密算法
防泄密軟體常用的加密算法有三種,IDEA算法、RSA算法、AES算法,加密強度來講,AES最好。IDEA算法
IDEA算法屬於對稱加密算法,對稱加密算法中,數據加密和解密採用的都是同一個密鑰,因而其安全性依賴於所持有密鑰的安全性。對稱加密算法的主要優點是加密和解密速度快,加密強度高,且算法公開.
缺點是實現密鑰的秘密分發困難,在大量用戶的情況下密鑰管理複雜,而且無法完成身份認證等功能,不便於套用在網路開放的環境中。
對稱加密算法的特點是算法公開、計算量小、加密速度快、加密效率高。
目前最著名的對稱加密算法有數據加密標準DES,但傳統的DES由於只有56位的密鑰,因此已經不適應當今分散式開放網路對數據加密安全性的要求。歐洲數據加密標準IDEA等,目前加密強度最高的對稱加密算法是高級加密標準AES,AES提供128位密鑰,128位AES的加密強度是56位DES加密強度的1021倍還多。。
對稱加密算法過程是將數據發
IDEA是InternationalDataEncryptionAlgorithm的縮寫,是1990年由瑞士聯邦技術學院來學嘉(X.J.Lai)和Massey提出的建議標準算法,稱作PES(ProposedEncryptionStandard).Lai和Massey在1992年進行了改進,強化了抗差分分析的能力,改稱為IDEA.它也是對64bit大小的數據塊加密的分組加密算法.密鑰長度為128位.它基於“相異代數群上的混合運算”設計思想,算法用硬體和軟體實現都很容易,它比DES在實現上快得多。
RSA算法
RSA算法是非對稱加密算法,非對稱加密算法的保密性比較好,它消除了最終用戶交換密鑰的需要,但加密和解密花費時間長、速度慢,它不適合於對檔案加密而只適用於對少量數據進行加密。對稱加密算法、非對稱加密算法和不可逆加密算法可以分別套用於數據加密、身份認證和數據安全傳輸。 RSA算法是建立在大數分解和素數檢測的理論基礎上。
RAS密鑰的產生過程:
獨立地選取兩個互異的大素數p和q(保密)。
計算n=p×q(公開),則ф(n)=(p-1)*(q-1)(保密)
隨機選取整數e,使得1<e<ф(n)並且gcd(ф(n),e)=1(公開)
計算d,d=e-1mod(ф(n))保密。
RAS私有密鑰由{d,n},公開密鑰由{e,n}組成
RAS的加密/解密過程:
首先把要求加密的明文信息M數位化,分塊;
然後,加密過程:C=Me(modn)
解密過程:M=Cd(modn)
非對稱密鑰加密體制的優點與缺點:
解決了密鑰管理問題,通過特有的密鑰發放體制,使得當用戶數大幅度增加時,密鑰也不會向外擴散;由於密鑰已事先分配,不需要在通信過程中傳輸密鑰,安全性大大提高;具有很高的加密強度。
與對稱加密體制相比,非對稱加密體制的加密、解密的速度較慢。
AES加密算法
AES加密算法屬於不可逆加密算法,不可逆加密算法的特徵是加密過程中不需要使用密鑰,輸入明文後由系統直接經過加密算法處理成密文,這種加密後的數據是無法被解密的,只有重新輸入明文,並再次經過同樣不可逆的加密算法處理,得到相同的加密密文並被系統重新識別後,才能真正解密。1997年4月15日,美國國家標準和技術研究所NIST發起了徵集AES算法的活動,並成立了專門的AES工作組,目的是為了確定一個非保密的,公開披露的,全球免費使用的分組密碼算,法用於保護下一世紀政府的敏感信息,並希望成為秘密和公開部門的數據加密標準.1997年9月12日,在聯邦登記處公布了徵集AES候選算法的通告.AES的基本要求是比三重DES快而且至少和三重DES一樣安全,分組長度128比特,密鑰長度為128/192/256比特.1998年8月20日,NIST召開了第一次候選大會,並公布了15個候選算法.1999年3月22日舉行了第二次AES候選會議,從中選出5個.AES將成為新的公開的聯邦信息處理標準(FIPS--FederalInformationProcessingStandard),用於美國政府組織保護敏感信息的一種特殊的加密算法.美國國家標準技術研究所(NIST)預測AES會被廣泛地套用於組織,學院及個人.入選AES的五種算法是MARS,RC6,Serpent,Twofish,Rijndael.2000年10月2日,美國商務部部長NormanY.Mineta宣布,經過三年來世界著名密碼專家之間的競爭,Rijndael數據加密算法最終獲勝. 為此而在全球範圍內角逐了數年的激烈競爭宣告結束.這一新加密標準的問世將取代DES數據加密標準,成為21世紀保護國家敏感信息的高級算法.
