專家剖析內(nèi)網(wǎng)安全數(shù)據(jù)加密技術(shù)優(yōu)缺點(diǎn)

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

1.內(nèi)網(wǎng)安全技術(shù)發(fā)展歷程

內(nèi)網(wǎng)安全的發(fā)展在國內(nèi)已經(jīng)發(fā)展了4年，從最初簡(jiǎn)單的終端監(jiān)控審計(jì)技術(shù)逐步發(fā)展的目前以終端安全管理和信息數(shù)據(jù)保密為主體的兩大應(yīng)用目標(biāo)。在內(nèi)網(wǎng)安全發(fā)展的過程中，一方面用戶和市場(chǎng)對(duì)用戶安全的理解不斷深入和擴(kuò)展，另一方面內(nèi)網(wǎng)安全技術(shù)也從簡(jiǎn)單到復(fù)雜得到了迅速的提升。國內(nèi)專業(yè)內(nèi)網(wǎng)安全廠商明朝萬達(dá)（http://www.wonder-soft.cn）的Chinasec（安元）內(nèi)網(wǎng)安全專家們，作為內(nèi)網(wǎng)安全領(lǐng)域的參與者與引領(lǐng)者，見證了內(nèi)網(wǎng)安全發(fā)展的整個(gè)過程。

內(nèi)網(wǎng)安全技術(shù)早期僅限于終端的監(jiān)控審計(jì)技術(shù)，對(duì)終端的外設(shè)、應(yīng)用程序和網(wǎng)絡(luò)資源等進(jìn)行簡(jiǎn)單控制和監(jiān)視，從目前看來，是治標(biāo)不治本的方法。在內(nèi)網(wǎng)安全的第二個(gè)階段，以數(shù)據(jù)保密為主要目標(biāo)，逐步認(rèn)識(shí)到加密技術(shù)是解決內(nèi)網(wǎng)安全的根本方法，是以出現(xiàn)了眾多的以加密技術(shù)為核心的內(nèi)網(wǎng)安全產(chǎn)品，這類內(nèi)網(wǎng)安全產(chǎn)品區(qū)別于監(jiān)控審計(jì)類，試圖從根本上解決內(nèi)網(wǎng)安全的數(shù)據(jù)保密問題。

總結(jié)目前內(nèi)網(wǎng)安全市場(chǎng)的數(shù)據(jù)加密技術(shù)，總體來說分成文件（文檔）加密技術(shù)和磁盤加密技術(shù)兩種，在本文中，Chinasec內(nèi)網(wǎng)安全專家對(duì)這兩種技術(shù)的優(yōu)缺點(diǎn)進(jìn)行分析和對(duì)比。

2.文檔加密技術(shù)

文檔加密技術(shù)是目前使用最為廣泛的內(nèi)網(wǎng)安全產(chǎn)品解密技術(shù)，之所以被廣泛采用，主要是因?yàn)槠渚哂屑夹g(shù)簡(jiǎn)單、開發(fā)周期短和用戶首次接受度高的特點(diǎn)。文檔加密技術(shù)的原理主要是通過建立應(yīng)用程序的進(jìn)程和相應(yīng)文件之間的關(guān)聯(lián)來達(dá)到對(duì)特定文件數(shù)據(jù)加密的目的。一個(gè)相對(duì)完整的文檔加密產(chǎn)品，采用的技術(shù)主要包括：

1）建立應(yīng)用程序進(jìn)程和其對(duì)應(yīng)文件的關(guān)聯(lián)，通常采用進(jìn)程名稱識(shí)別或者進(jìn)程特征摘要對(duì)比的方式來識(shí)別進(jìn)程，對(duì)文件則采用后綴名或者其他特征識(shí)別方式；
2）對(duì)需要加密的文件通過文件重定向技術(shù)采用臨時(shí)緩存文件方式，以獲得文件另存和加密的控制權(quán)；
3）通過對(duì)剪貼板、打印和屏幕拷貝等一些快捷鍵的控制，來實(shí)現(xiàn)對(duì)文件內(nèi)容級(jí)的復(fù)制進(jìn)行控制。
檢查前面的技術(shù)可以看出，文件（文檔）加密技術(shù)的核心是基于應(yīng)用進(jìn)程來實(shí)現(xiàn)加密控制，其優(yōu)點(diǎn)如下：
1）部署簡(jiǎn)單，不需要改變用戶操作習(xí)慣，也不需要改變用戶的應(yīng)用環(huán)境；
2）技術(shù)簡(jiǎn)單，僅涉及到進(jìn)程文件關(guān)聯(lián)技術(shù)、文件臨時(shí)重定向技術(shù)和上層Hook技術(shù)；
3）概念清晰，用戶理解和接受容易。
但是，由于文件（文檔）加密技術(shù)采用的技術(shù)路線，使得看起來很美的缺點(diǎn)下面隱藏著重重的安全隱患和穩(wěn)定性隱患，主要包括以下幾個(gè)方面：
1）由于文件是否加密主要基于應(yīng)用進(jìn)程和文件的關(guān)聯(lián)關(guān)系，安全系統(tǒng)與應(yīng)用程序密切相關(guān)，對(duì)于應(yīng)用復(fù)雜的環(huán)境，比如制作設(shè)計(jì)和軟件設(shè)計(jì)行業(yè)，安全系統(tǒng)的可部署性非常差，常常由于用戶應(yīng)用過于復(fù)雜、應(yīng)用程序的升級(jí)或者應(yīng)用的增加而導(dǎo)致該類內(nèi)網(wǎng)安全產(chǎn)品需要進(jìn)行重新進(jìn)行二次開發(fā)，從而給用戶環(huán)境帶來極大的限制和不穩(wěn)定隱患。
2）由于采用了文件重定向的臨時(shí)緩存文件技術(shù)，造成了安全漏洞和效率下降。一方面因?yàn)榕R時(shí)緩存文件在硬盤中是以明文狀態(tài)存在，很容易使用公開的文件監(jiān)視工具找到并復(fù)制該臨時(shí)文件造成加密機(jī)制的失效；另一方面因?yàn)槭褂门R時(shí)緩存文件后，相當(dāng)于文件要在硬盤中重復(fù)進(jìn)行兩次讀寫操作，造成效率明顯下降50%，這對(duì)于大的文件尤其不能接受。
3）由于在應(yīng)用進(jìn)程、剪貼板、打印控制和其他快捷鍵方面采用了眾多Hook技術(shù)，很容易造成和防病毒等軟件的沖突，造成系統(tǒng)不穩(wěn)定，影響用戶的正常使用，同時(shí)Hook技術(shù)也容易造成使用系統(tǒng)效率下降。

3.磁盤加密技術(shù)

磁盤加密技術(shù)相對(duì)于文檔加密技術(shù)，是在磁盤扇區(qū)級(jí)采用的加密技術(shù)，一般來說，該技術(shù)與上層應(yīng)用無關(guān)，只針對(duì)特點(diǎn)的磁盤區(qū)域進(jìn)行數(shù)據(jù)加密或者解密，其主要采用技術(shù)如下：

1)針對(duì)數(shù)據(jù)保密區(qū)域，對(duì)寫入磁盤的數(shù)據(jù)進(jìn)行加密或者解密操作；
2)對(duì)非保密區(qū)域，根據(jù)要求，允許或者禁止對(duì)磁盤原始數(shù)據(jù)進(jìn)行讀寫操作。
3)輔助其他系統(tǒng)控制技術(shù)，實(shí)現(xiàn)對(duì)涉密數(shù)據(jù)的加密保護(hù)。

從磁盤加密技術(shù)的核心內(nèi)容可以看出，因?yàn)槠鋬H對(duì)磁盤特定區(qū)域進(jìn)行加密操作，具有與應(yīng)用無關(guān)的特點(diǎn)，基于該磁盤加密技術(shù)的內(nèi)網(wǎng)安全系統(tǒng)具有以下優(yōu)點(diǎn)：

1）與應(yīng)用無關(guān)，能夠兼容各種復(fù)雜的應(yīng)用環(huán)境，支持應(yīng)用的升級(jí)和變更，無需針對(duì)具體應(yīng)用進(jìn)行產(chǎn)品級(jí)的二次開發(fā)，穩(wěn)定性和可用性得到保障；
2）由于不采用臨時(shí)文件技術(shù)，文件讀寫次數(shù)不會(huì)增加，確保了系統(tǒng)的使用效率不會(huì)明顯下降。
但是，由于磁盤加密技術(shù)僅針對(duì)特定的文件存儲(chǔ)區(qū)域進(jìn)行保護(hù)，缺乏對(duì)文件本身保密屬性的判斷能力，所以基于該技術(shù)開發(fā)的內(nèi)網(wǎng)安全產(chǎn)品，也具有以下特點(diǎn)：
1）因?yàn)榇疟P加密技術(shù)需要對(duì)文件的存儲(chǔ)區(qū)域進(jìn)行條件限制，所以必然對(duì)使用環(huán)境帶來一定的影響，需要部署的時(shí)候?qū)κ褂铆h(huán)境進(jìn)行調(diào)整；
2）單一的磁盤加密技術(shù)無法防止通過網(wǎng)絡(luò)和其他途徑的文件泄密行為，一個(gè)基于該技術(shù)的成熟內(nèi)網(wǎng)安全產(chǎn)品，需要綜合網(wǎng)絡(luò)控制等技術(shù)，內(nèi)網(wǎng)安全產(chǎn)品開發(fā)難度大、周期長(zhǎng)。

4.總結(jié)

綜上所述，文件（文檔）加密技術(shù)和磁盤加密技術(shù)作為目前內(nèi)網(wǎng)安全產(chǎn)品的主流加密技術(shù)，各有所長(zhǎng)。文檔加密技術(shù)的缺點(diǎn)是不能適應(yīng)復(fù)雜的應(yīng)用環(huán)境、存在無法彌補(bǔ)的安全漏洞和系統(tǒng)效率下降明顯；磁盤加密技術(shù)的缺點(diǎn)是需要調(diào)整用戶應(yīng)用環(huán)境。事實(shí)上，明朝萬達(dá)的Chinasec內(nèi)網(wǎng)安全專家在2002年就針對(duì)文檔加密技術(shù)進(jìn)行了研究，并申請(qǐng)了相關(guān)專利。但是，由于在開發(fā)過程中認(rèn)識(shí)到了文檔加密產(chǎn)品存在的可維護(hù)性差和安全性差等致命缺點(diǎn)，Chinasec內(nèi)網(wǎng)安全專家最終選擇了磁盤加密技術(shù)作為Chinasec（安元，原"中安源"）可信網(wǎng)絡(luò)安全平臺(tái)的核心加密技術(shù)，并綜合采用了身份認(rèn)證、授權(quán)管理和監(jiān)控審計(jì)技術(shù)，打造了Chinasec（安元）整體一致的內(nèi)網(wǎng)安全解決方案。(ccw)