如今,加密软件已经是现代企业工作中不可缺少的一项工具,国内比较流行且技术成熟加密软件的是“透明加密软件”。“只要安装了透明加密软件,企业图纸,办公文档在企业内部即可自动加密,而且对用户完全透明,丝毫不改变用户的工作习惯。文件即使流传到企业外部,也无法正常应用。”这是2006年透明加密在开辟市场时打出的宣传旗号。对于当时空白的市场来讲,这一旗号确实打动了不少企业。如今,透明加密技术也在不断进步。就目前市面上的透明加密技术来看,大多数加密软件都是采用应用层透明加密技术。
应用层透明加密技术俗称钩子(HOOK)透明加密技术。windows提供了一种叫钩子(Hook)的消息处理机制,Hook允许应用程序将自己安装一个子程序到其它的程序中,以监视指定窗口某种类型的消息。当消息到达后,先处理安装的子程序后再处理原程序,这就是钩子。通过windows的钩子技术,监控应用程序对文件的打开和保存,当打开文件时,先将密文转换后再让程序读入内存,保证程序读到的是明文,而在保存时,又将内存中的明文加密后再写入到磁盘中。
如图1所示。
图1
应用层透明加密技术与文件格式密切相关,它是通过监控应用程序的启动而启动的。一旦应用程序名更改,则无法挂钩。同时,由于不同应用程序在读写文件时所用的方式方法不尽相同,同一个软件不同的版本在处理数据时也有变化,钩子透明加密必须针对每种应用程序、甚至每个版本进行开发。目前不少应用程序为了限止黑客入侵设置了反钩子技术,这类程序在启动时,一旦发现有钩子入侵,将会自动停止运行。所以应用层透明加密风险大,速度慢,且容易对文件造成伤害。单纯的应用型加密已经无法满足市场的需求。那么,怎么样的加密技术更能适应市场,提高数据文档的安全性?
随着信息技术的不断发展,和广大企业不断更新的需求,全盘加密模式的概念孕育而生。目前市场上,说到全盘加密,大家都是会想到针对磁盘加密。磁盘加密这种方式的加密实际上被加密的数据在磁盘盘上都是明文,只是在将数据复制到U盘等其他盘里面的时候才进行一个加密处理。如北京以Y和M开头的两家知名安全厂商,那他们的产品保存在本地非系统盘上为何看起来又是加密的呢?这只是公司的技术人员用了个取巧的方法:引导区域加密,这样做的结果就是,不用他们公司的产品就无法读取数据,引导区域本生就是不可识别的,也起到了一定的防范作用。可惜的是这些数据在数据区域依旧是明文。这样对真正的需要电脑操作的企业来说没什么好处。
新型的全盘加密概念是指与格式无关,即所有文件都可以加密的加密技术。它采用驱动层加密技术,驱动层加密技术是基于windows的文件系统(过滤)驱动(IFS)技术,工作在windows的内核层。我们在安装计算机硬件时,经常要安装驱动,如打印机、U盘的驱动。文件系统驱动就是把文件作为一种设备来处理的一种虚拟驱动。当应用程序对某种后缀文件进行操作时,文件驱动会监控到程序的操作,并改变其操作方式,从而达到透明加密的效果。由于工作在受windows保护的内核层,运行速度更快,加解密操作更稳定
驱动层透明加密技术工作在内核层。如图2所示
图2
全盘加密模式,这是种模式最严格,一般应用于研究员和设计人员,这些人员的研发成果对企业的发展具有举足轻重的作用,又有是为了平衡使用者的心理,有些管理人员也主动采用这种模式进行防护。全盘加密技术虽然有诸多的优点,但由于涉及到windows底层的诸多处理,开发难度很大。因此,目前市面上有全盘加密功能的软件寥寥无几。
在国内也有几家信息安全厂商声称能做到全盘加密,但是也只是研发上刚起步,技术尚未成熟,只有做到对称加密与分对称加密的结合才造就了全盘加密的神话。来看看市面上最出名的几家加密软件商的加密技术对比。
全盘加密技术对比
区别 | 山丽网安 | M-C-W-D | Y-S-T |
加密方法 | 同时支持全盘加密和用户自行设置的文件加密 文件内容均加密 | 磁盘加密(引导区加密) 文件内容不加密 | 文件格式加密 文件内容加密 |
加密策略 | 支持: 全盘加密 目录加密 格式加密 等8种加密策略 支持绿色软件加密 | 支持除系统盘之外的引导区加密 支持绿色软件加密 | 支持特定格式加密 不能穷尽格式,存在无法加密格式 不支持绿色软件加密 |
从上面的对比可知,目前山丽网安自主研发的山丽防水墙系统就是真正做到驱动层透明加密技术应用的典范。
山丽网安是从很早就进行全盘加密的开发,研发技术在业内已非常成熟。山丽防水墙主要采用的是操作系统内核处理技术,目前为止可以支持所有格式的加密(包括所有数据库加密,绿色软件加密,未知程序加密)可以设置具体目录的加密。山丽防水墙是唯一可以支持绿色软件加密的,这是其他加密软件商无可比拟的。所以说山丽网安的全盘加密是普通透明加密技术的升华,山丽防水墙是更能适应市场需要和时代发展的全面加密软件。
