加密軟件:計算機術語-中文百科頻道

發展方向

密文自動備份成為必備功能

數據存儲是個複雜的過程。透明加密軟件對Windows操作系統的存儲和讀取進行幹預，難免不會出現這樣那樣的問題，導緻加解密過程失敗，甚對文件造成無法挽回的損失。加密軟件的其它bug客戶可以接受，但對文件造成無法挽回的破壞、或經常出現需要對異常密文進行修複的情況，将直接影響客戶的正常工作，客戶是無法接受的。實際上，隻要存在加密，就存在數據紊亂的風險。

加密技術在傳統應用領域――通訊加密――至今也沒有完全克服。但是通訊加密産品都會将報文以冗餘地方式進行發送。借鑒這一思路，文件加密也可以用冗餘地方式降低數據紊亂風險，這就是密文的自動備份。所謂的密文自動備份，是指當有密态文件寫入存儲介質時，系統會自動地在指定位置（可以是本地，也可以是遠程）中自動生成一份文件副本。一些有遠見的廠商在不斷加強自身軟件穩定性的同時，也學習其它軟件的自動備份功能，在密文保存過程中進行自動備份，以防不測。

自動備份可以看作是一項預防措施，或保險措施。作為與存儲密切相關的透明加密軟件産品，自動備份功能應該成為一種标準功能。參考其它如office、AutoCAD等傳統軟件，加密軟件應該還要有對異常密文自動修複的功能。

更加靈活的加密控制條件可以防止過度加密

強制加密是控制單位内部敏感數據洩密的有力手段，但實際應用過程中，有些單位需要更加靈活的加密控制條件。例如，企業隻需要對文件服務器上的歸檔文件進行加密，PC使用者新建文件不需要加密。又例如，雇主需要能打開員工加密的密文，但自已電腦上不加密。對加密控制條件如此，紛繁複雜的需求，促使加密軟件廠商對加密控制條件不能局限于強制加密一種手段，而是要更加靈活地進行配制。

市場對加密軟件靈活的控制需求使得透明加密的内涵變得更加豐富。加密軟件靈活的加密控制方式使處于不同加密需求階段的客戶有更多的選擇。客戶也可以根據實際情況，分階段、分步驟部署加密軟件。

密文分級管理将是大型用戶應用趨勢

透明加密軟件産品通過控制不同用戶的密鑰來控制密文隻能内部交流。在一些單位，不但要求内部數據不能外傳，還要在部門間或項目組之間相互保密，而上級部門或領導又要能打開不同部門的密文，這就使得一個單位隻有一個密鑰無法滿足需求。于是便出現了密文分級的需要。

密文分級管理，實際上就是加密軟件的密鑰管理。如果我們把不同部門看成是不同的房間，部門内人員隻有部門房間的鑰匙，那麼，他們的上級領導就相當于有幾個部門的鑰匙。這樣，領導就可以按需打開每個部門房間的門。

這種密文分級管理的需求，隻會出現在大型用戶中。從中也可以看到，加密軟件也開始得到大型用戶的青睐。

工具化和專業化是加密系統的發展方向

有些客戶在部署加密軟件的同時，提出要對密文的操作權限進行控制。比如，某些人隻能打開密文，某些人可以編輯密文，某些人可以打印密文等。某些廠商還“延伸”透明加密軟件的含義，提出所謂“企業權限管理（ERM）”的概念，以迎合客戶對文件權限管理的需求。

筆者認為，對文件的權限控制的需求和對文件加密的需求，是兩個相互關聯但又相互獨立的需求。企業對文件進行權限控制需求，并不是在部署加密軟件之後才有的，即使不采用加密軟件，這種需求也是存在的。

實際上，對于文檔權限的控制，Windows已經有一套完整的定義，當然，定義起來非常複雜，并不太适合一般企業直接應用。另一方面，早在十幾年前就出現了專門的管理軟件—企業數據管理PDM或EDM，後來還發展成PLM。這些軟件都包含很強的文檔權限管理功能，是專門進行文檔權限管理的。

透明加密軟件之所以很多廠商願意投入，一個非常重要的原因它是一個工作于操作系統層的工具軟件，有着廣泛的應用面，不需要進行複雜的實施，容易實現産品化。

如果在透明加密軟件這樣的工具軟件中整合文檔管理的功能，加密軟件就演變成為一個需要複雜實施的管理系統。将兩個相互獨立的需求整個成一個龐雜的系統，違背了專業精深的發展原則，間接給客戶帶來了風險。不僅如此，項目型的軟件系統價格高、實施周期長、牽扯因素多，因而見效慢、風險高，成功率普遍低于工具型的軟件。這無疑對買賣雙方都是有害的。從兩年多來的實踐來看，多數此類系統的用戶最終都隻是用到了系統的核心功能――文件加密。至于文件權限管理模塊，多因定義過于複雜、使用過于繁瑣而處于廢棄或半廢棄狀态。

同樣因為複雜和繁瑣，某些加密軟件的自定義解密工作流的功能，也沒有得到充分應用。這不僅占用了廠商大量的研發和維護資源，而且對客戶而言也是一種投資的浪費。筆者認為，密文操作權限控制以及其他工作流類型的功能，将不會成為透明加密軟件發展的方向。而隻有工具化才是透明加密軟件的未來。

有些加密軟件中集成了如打印監控、行為監控等功能。當然，這并非是加密軟件客戶提出的需求，而是因為這些廠商有做類似軟件的曆史背景，将這些功能強行捆綁到加密軟件中罷了。從市場角度來說，為客戶創造更多的價值，提供更多的功能是無可厚非的，但在筆者看來，這種強行的捆綁隻能滿足個别有這方面需求的客戶，并不能代表加密軟件的發展方向。透明加密軟件介紹：功能表透明加密是指在操作人員不知不覺的情況下達到的一種加密效果，這和加密模式運用比較方便、快捷基本不影響操作人員的工作效率，而且當文件保存關閉後，在第二次打開時，隻要在分環境内文件會自動解密，如果将文件複制到環境外的其他計算機上文件就會以加密的形式存在，打開時為亂碼。

加密軟件應用的更高層次——數據洩露防護（DLP）随着信息安全威脅的不斷增長，傳統的透明加密軟件産品已不能應對不斷增長的安全威脅。單純的透明加密手段已不可能解決所有的安全需求問題。特别是對一些源代碼之類的數據，加密并不是合适的安全保護手段。而大數據時代的來臨更是讓透明加密軟件直呼無可奈何，而DLP數據洩露防護正式是替代普通的加密軟件解決企業數據安全問題的更佳解決方案。

事實上，DLP是信息安全行業裡很火的一個概念，從深圳虹安推出中國第一款DLP産品開始，中國市場上的DLP廠家如雨後春筍般的冒了出來。當然，其産品可靠性、技術研發實力等等就需要各位自己去考證了。完整的DLP應該從文檔加密、環境隔離、虛拟安全桌面等核心層面，通過應用認證、加密、标簽、審計、内核驅動、沙箱、還原、訪問控制、應用防火牆等技術手段，對機密文檔、U盤外設、外發文件、浏覽器應用、筆記本、應用系統等多方面進行控制與保護，是一個體系化的數據安全防護網絡。而文檔透明加密是一種直接運行在操作系統内核中，支持動态地加密文件，專門針對文檔進行保護的加密技術，它隻是DLP（數據洩露防護）體系中的一部分。

涉密信息安全

針對秘密信息，通過網絡安全手段對這部分用戶進行邏輯隔離，并對其傳輸的數據進行加密，使其他人員即便獲取到相關信息也無法使用。另外通過端點準人功能配合的訪問控制，确定用戶訪問涉密的權限，利用加密技術确定訪問級别，确保對涉密信息的可控性。

在設立相關涉密安全信息保密系統，通過系統下發安全策略。在有傳輸秘密信息的終端用戶安裝客戶代理端，保證涉及秘密信息的終端與相關服務器數據時實現信息加密，同時在存有涉密信息的服務器端安裝監控加密程序，以實現對涉密服務器訪問的身份識别及對信息訪問的權限分配。

對于機密級單位，按照國家保密局相關規定，涉密單位網絡應物理隔離，不允許與其他非涉密網絡有連接。在機密單位内部建立可信網絡保密系統和可信桌面系統。通過設立可信網絡保密系統，控制内部信息不外洩，防止内部人員私自接人外網;利用可信桌面系統，保護涉密終端的安全，設置登錄權限，保護加密終端内部數據。同時在保密部門設置相關弱電保密産品，在保證網絡應用安全的同時确保涉密單位辦公環境也達到保密要求。

内網安全

通過安全平台下發主機監控與審計系統安全策略，保證内部網數據不被惡意盜取，防止外接設備随意連接到終端，防止網絡内部通過嗅探器等非法手段獲取非授權信息，同時避免用戶采用其它方式将内部網數據傳輸到外部網絡，杜絕終端用戶在未經授權的情況下擅自使用各種I/0設備、計算機外設、移動設備等。

技術分類

加密軟件按照實現的方法可劃分為被動加密和主動加密。

被動加密

被動加密指要加密的文件在使用前需首先解密得到明文，然後才能使用。這類軟件主要适用于個人電腦數據的加密，防止存儲介質的丢失（比如硬盤被盜）導緻數據的洩密；

主動加密

（透明加密/自動加密）

主動加密指在使用過程中系統自動對文件進行加密或解密操作，無需用戶的幹預，合法用戶在使用加密文件前，不需要進行解密操作即可使用，表面看來，訪問加密的文件和訪問未加密的文件基本相同，對合法用戶來說，這些加密文件是“透明的”，即好像沒有加密一樣，但對于沒有訪問權限的用戶，即使通過其它非常規手段得到了這些文件，由于文件是加密的，因此也無法使用。由于動态加密技術不僅不改變用戶的使用習慣，而且無需用戶太多的幹預操作即可實現文檔的安全，因而得到了廣泛的應用。針對企業的防洩密軟件（企業内部的文件可以自由流通、閱讀，一旦拷貝出去或者脫離企業網絡環境，将無法閱讀），大多采用主動加密技術。

由于主動加密要實時加密數據，必須動态跟蹤需要加密的數據流，而且其實現的層次一般位于系統内核中，因此，從實現的技術角度看，實現主動加密要比被動加密難的多，需要解決的技術難點也遠遠超過被動加密。這裡說的加密軟件就是采用主動加密技術的軟件。

同時，按照其手段的不同，加密軟件又可以分為以下幾類：

全硬盤加密

這種技術比較早，大約出現在2000年。早期硬盤加密的特點是控制硬盤，不控制硬盤裡的文件，不對硬盤裡的文件進行加密。這種加密方式比較簡單，不需要專人解密，即使硬盤被偷了，不知道用戶名和密碼也打不開。

這兩年全盤加密技術有了大的發展，利用硬盤加密卡對硬盤全盤實時加密的同時，也對硬盤裡的文件進行管控，這種技術将引起企業數據的防洩密應用和知識産權保護應用上的革命。

U盤加密

U盤加密技術也屬于早期的技術，企業内部的機器上需要插一U盤讀取的協議才能打開。這種加密手段實際在企業内部不太使用，總是需要企業領導上班把U盤插到服務器上，下班拔走。如果丢掉了這個U盤，公司的資料徹底打不開了。再者，U盤裡的協議容易被破解，安全性較低，市場上很少再有人銷售這種技術了。

PDM

或圖文檔管理系統

不少企業認為，如果上了PDM或圖文檔管理系統（EDM），公司内部的圖紙及電子文檔就可以控制了。其實這種想法是錯誤的，PDM或圖文檔管理系統管理的是産品數據，主要是對公司的流程、權限、版本、查詢、曆史記錄等進行管理，它一定程度的給企業的圖紙帶來了一定程度上的安全。但是如果想徹底控制，這些系統是無法做到的。PDM及EDM控制圖紙是通過權限的，如果有權限的人把圖紙拿出去，拿到外面照樣能夠使用。也就是說PDM或EDM系統是把圖紙一定程度的限制到了公司内部，但是如果圖紙出去了，它沒有任何保密性可言。

文件加密

這是這幾年的新技術，也是最有效的控制手段，企業也比較認可這種加密手段。這種加密方式是把公司所有圖紙及文檔通過打開或保存自動加密，曆史數據批量掃描加密。它還可以控制打印機、U盤、筆記本外出、同行之間數據通過内部工程師外洩，以及郵件外發、QQ截屏等各種外洩途徑都被限制了。加密過的文件不經過專人解密，即使洩露出去了，也是無法打開的。即使硬盤被盜，離開公司徹底無法使用。因此市場上做文件加密的軟件公司較多，大小公司參差不齊。