萬盛學電腦網

 萬盛學電腦網 >> 加密技術 >> 專家剖析內網安全數據加密技術的優缺點

專家剖析內網安全數據加密技術的優缺點

1.內網安全技術發展歷程

內網安全的發展在國內已經發展了4年,從最初簡單的終端監控審計技術逐步發展的目前以終端安全管理和信息數據保密為主體的兩大應用目標。在內網安全發展的過程中,一方面用戶和市場對用戶安全的理解不斷深入和擴展,另一方面內網安全技術也從簡單到復雜得到了迅速的提升。明朝萬達的Chinasec(安元)內網安全專家們,作為內網安全領域的參與者與引領者,見證了內網安全發展的整個過程。

內網安全技術早期僅限於終端的監控審計技術,對終端的外設、應用程序和網絡資源等進行簡單控制和監視,從目前看來,是治標不治本的方法。在內網安全的第二個階段,以數據保密為主要目標,逐步認識到加密技術是解決內網安全的根本方法,是以出現了眾多的以加密技術為核心的內網安全產品,這類內網安全產品區別於監控審計類,試圖從根本上解決內網安全的數據保密問題。

總結目前內網安全市場的數據加密技術,總體來說分成文件(文檔)加密技術和磁盤加密技術兩種,在本文中,Chinasec內網安全專家對這兩種技術的優缺點進行分析和對比。

2.文檔加密技術

文檔加密技術是目前使用最為廣泛的內網安全產品解密技術,之所以被廣泛采用,主要是因為其具有技術簡單、開發周期短和用戶首次接受度高的特點。文檔加密技術的原理主要是通過建立應用程序的進程和相應文件之間的關聯來達到對特定文件數據加密的目的。一個相對完整的文檔加密產品,采用的技術主要包括:

1)建立應用程序進程和其對應文件的關聯,通常采用進程名稱識別或者進程特征摘要對比的方式來識別進程,對文件則采用後綴名或者其他特征識別方式;

2)對需要加密的文件通過文件重定向技術采用臨時緩存文件方式,以獲得文件另存和加密的控制權;

3)通過對剪貼板、打印和屏幕拷貝等一些快捷鍵的控制,來實現對文件內容級的復制進行控制。

檢查前面的技術可以看出,文件(文檔)加密技術的核心是基於應用進程來實現加密控制,其優點如下:

1)部署簡單,不需要改變用戶操作習慣,也不需要改變用戶的應用環境;

2)技術簡單,僅涉及到進程文件關聯技術、文件臨時重定向技術和上層Hook技術;

3)概念清晰,用戶理解和接受容易。

但是,由於文件(文檔)加密技術采用的技術路線,使得看起來很美的缺點下面隱藏著重重的安全隱患和穩定性隱患,主要包括以下幾個方面:

1)由於文件是否加密主要基於應用進程和文件的關聯關系,安全系統與應用程序密切相關,對於應用復雜的環境,比如制作設計和軟件設計行業,安全系統的可部署性非常差,常常由於用戶應用過於復雜、應用程序的升級或者應用的增加而導致該類內網安全產品需要進行重新進行二次開發,從而給用戶環境帶來極大的限制和不穩定隱患。

2)由於采用了文件重定向的臨時緩存文件技術,造成了安全漏洞和效率下降。一方面因為臨時緩存文件在硬盤中是以明文狀態存在,很容易使用公開的文件監視工具找到並復制該臨時文件造成加密機制的失效;另一方面因為使用臨時緩存文件後,相當於文件要在硬盤中重復進行兩次讀寫操作,造成效率明顯下降50%,這對於大的文件尤其不能接受。

3)由於在應用進程、剪貼板、打印控制和其他快捷鍵方面采用了眾多Hook技術,很容易造成和防病毒等軟件的沖突,造成系統不穩定,影響用戶的正常使用,同時Hook技術也容易造成使用系統效率下降。

3.磁盤加密技術

磁盤加密技術相對於文檔加密技術,是在磁盤扇區級采用的加密技術,一般來說,該技術與上層應用無關,只針對特點的磁盤區域進行數據加密或者解密,其主要采用技術如下:

1)針對數據保密區域,對寫入磁盤的數據進行加密或者解密操作;

2)對非保密區域,根據要求,允許或者禁止對磁盤原始數據進行讀寫操作。

3)輔助其他系統控制技術,實現對涉密數據的加密保護。

從磁盤加密技術的核心內容可以看出,因為其僅對磁盤特定區域進行加密操作,具有與應用無關的特點,基於該磁盤加密技術的內網安全系統具有以下優點:

1)與應用無關,能夠兼容各種復雜的應用環境,支持應用的升級和變更,無需針對具體應用進行產品級的二次開發,穩定性和可用性得到保障;

2)由於不采用臨時文件技術,文件讀寫次數不會增加,確保了系統的使用效率不會明顯下降。

但是,由於磁盤加密技術僅針對特定的文件存儲區域進行保護,缺乏對文件本身保密屬性的判斷能力,所以基於該技術開發的內網安全產品,也具有以下特點:

1)因為磁盤加密技術需要對文件的存儲區域進行條件限制,所以必然對使用環境帶來一定的影響,需要部署的時候對使用環境進行調整;

2)單一的磁盤加密技術無法防止通過網絡和其他途徑的文件洩密行為,一個基於該技術的成熟內網安全產品,需要綜合網絡控制等技術,內網安全產品開發難度大、周期長。

4.總結

綜上所述,文件(文檔)加密技術和磁盤加密技術作為目前內網安全產品的主流加密技術,各有所長。文檔加密技術的缺點是不能適應復雜的應用環境、存在無法彌補的安全漏洞和系統效率下降明顯;磁盤加密技術的缺點是需要調整用戶應用環境。事實上,明朝萬達的Chinasec內網安全專家在2002年就針對文檔加密技術進行了研究,並申請了相關專利。但是,由於在開發過程中認識到了文檔加密產品存在的可維護性差和安全性差等致命缺點,Chinasec內網安全專家最終選擇了磁盤加密技術作為Chinasec(安元,原“中安源)可信網絡安全平台的核心加密技術,並綜合采用了身份認證、授權管理和監控審計技術,打造了Chinasec(安元)整體一致的內網安全解決方案。

copyright © 萬盛學電腦網 all rights reserved