四、了解各種類型的加密軟件優(yōu)點(diǎn)及其局限性

現(xiàn)在市面上主要有以下所示的這幾種類型的數(shù)據(jù)加密產(chǎn)品：

1.靜態(tài)加密產(chǎn)品（文件/文件夾加密 ）

文件/文件夾加密產(chǎn)品目前在市場上存在三種主要的方式，這三種主要方式包括：文件加密產(chǎn)品、文件夾加密產(chǎn)品和文件/文件夾加密產(chǎn)品。一些操作系統(tǒng)，例如應(yīng)用NTFS文件系統(tǒng)后的Windows XP操作系統(tǒng)就可以使用EFS的加密文件系統(tǒng)來加密文件或文件夾。

這類產(chǎn)品基本上是免費(fèi)的，但是除了這個“優(yōu)點(diǎn)”之外，其他的缺陷也是顯而易見的：文件/文件夾加密產(chǎn)品通常需要用戶自己操作需要加密的文件或文件夾。需要用戶參與，如果用戶不注意就會造成遺漏，而且，這些產(chǎn)品并不能對臨時文件夾和交換空間進(jìn)行加密，這就造成了一些敏感信息的副本仍然沒有被加密。這些軟件安全性很低，部署之后形同虛設(shè)，很容易被破解，達(dá)不到企業(yè)的安全要求，不適合企業(yè)用于商業(yè)機(jī)密加密保護(hù)。

2.動態(tài)加密產(chǎn)品

動態(tài)加密（Encrypt on –the-fly）是指數(shù)據(jù)在使用過程中自動(動態(tài))對數(shù)據(jù)進(jìn)行加密或解密操作，無需用戶干預(yù)，合法用戶在使用加密的文件前，也不需要進(jìn)行解密操作即可使用。表面看來，訪問加密的文件和訪問未加密的文件基本相同，對合法用戶來說，這些加密文件是“透明的”，即好像沒有加密一樣，但對于沒有訪問權(quán)限的用戶，即使通過其它非常規(guī)手段得到了這些文件，由于文件是加密的，因此也無法使用。由于動態(tài)加密技術(shù)不僅不改變用戶的使用習(xí)慣，而且無需用戶太多的干預(yù)操作即可實(shí)現(xiàn)文檔的安全，因而近年來得到了廣泛應(yīng)用。

目前市面上動態(tài)加密產(chǎn)品有兩種，一種是基于文檔級的加密產(chǎn)品。這類產(chǎn)品很常見，也已經(jīng)很成熟。通常被稱為透明加密軟件。以 SmartSec為代表的透明加密軟件已經(jīng)在中國得到廣泛使用。包括政府、軍隊、軍工、制造業(yè)、設(shè)計院所、通信等行業(yè)。另一種是基于磁盤級（數(shù)據(jù)級）的加密軟件。基于磁盤級的加密軟件，分為兩類，一類是“虛擬磁盤加密”產(chǎn)品，另一類是全磁盤加密產(chǎn)品（FDE，F(xiàn)ull Disk Encryption）。

虛擬磁盤加密產(chǎn)品通過虛擬一個空間，對虛擬空間內(nèi)的文件自動加密解密。這一類產(chǎn)品通常衍生出文檔保險柜等軟件。由于只是對磁盤分區(qū)或者扇區(qū)進(jìn)行加密，不能對C盤和操作系統(tǒng)加密，其安全性比較低，往往適合個人級的文檔保護(hù)，不適合高度保密要求的企業(yè)。

全盤加密技術(shù)是一種非常成熟的技術(shù)，而且非常容易使用和配置，因為只需要用戶決定哪個磁盤或扇區(qū)需要加密即可。而且除了需要用戶記住加密密碼之外，其它的操作都不需要用戶參與。它還能保護(hù)操作系統(tǒng)、臨時文件夾、交換空間，以及所有可以被加密保護(hù)的敏感信息。全磁盤加密（FDE）產(chǎn)品對磁盤上所有數(shù)據(jù)進(jìn)行動態(tài)加解密，包括操作系統(tǒng)，在關(guān)機(jī)和休眠狀態(tài)下，磁盤上的數(shù)據(jù)處于加密狀態(tài)，有效地防止了泄密。這一類產(chǎn)品在國際上發(fā)展10多年，已經(jīng)相當(dāng)成熟。一些主要的安全廠商都推出自己的全盤加密產(chǎn)品，例如賽門鐵克推出的Endpoint Encryption 6.0全盤版，以及McAfee的Total Protection for Data.PGP全盤加密和北京億賽通公司的DiskSec。

值得一說的是硬盤芯片級的FDE。一些大牌的硬盤生產(chǎn)廠商，例如希捷、西部數(shù)據(jù)和富士通等都支持全盤加密技術(shù)，將全盤加密技術(shù)直接集成到硬盤的相關(guān)芯片當(dāng)中，并且與可信計算機(jī)組（TCG）發(fā)布的加密標(biāo)準(zhǔn)相兼容。計算機(jī)廠商例如聯(lián)想和DELL等都在生產(chǎn)使用這種加密硬盤或加密芯片技術(shù)的安全計算機(jī)。由于硬件級的加密軟件成本高昂，不能被多數(shù)用戶所接受，所以一直沒有得到廣泛推廣。

還有一些開源免費(fèi)的軟件，比如TrueCrypt 5.1a、7-Zip、FreeOTFE 3.00等，號稱具備整體磁盤加密的功能，但是經(jīng)過分析，這些免費(fèi)軟件本性安全性低，很容易導(dǎo)致加密后數(shù)據(jù)丟失、無法使用等病狀，而且因為免費(fèi)沒有售后支持和維護(hù)，許多采用這些免費(fèi)軟件的用戶加密之后數(shù)據(jù)大量損壞無法修復(fù)，苦不堪言。這些免費(fèi)軟件不適合推薦給企業(yè)級的用戶。

我們應(yīng)當(dāng)要根據(jù)自身的實(shí)際數(shù)據(jù)加密需求來選擇相應(yīng)的全盤加密產(chǎn)品。通常，像筆記本電腦.U盤等可移動存儲設(shè)備應(yīng)當(dāng)選擇全盤加密產(chǎn)品來加密整個磁盤或扇區(qū)。

五、選擇加密軟件技術(shù)和產(chǎn)品

在全面了解企業(yè)商業(yè)機(jī)密和市面上的保護(hù)手段之后，就可以采用對應(yīng)的產(chǎn)品來對商業(yè)機(jī)密進(jìn)行保護(hù)。筆者對市面上的各種加密保護(hù)軟件進(jìn)行歸納總結(jié)，對其保護(hù)對象和應(yīng)用范圍進(jìn)行梳理之后，列表如下：

參照上表，我們可以根據(jù)企業(yè)自身的需求，很輕松地找到企業(yè)所需要選用的加密軟件類型。比如，某企業(yè)屬于研發(fā)類企業(yè)，需要對研發(fā)部門的源代碼、電路設(shè)計圖進(jìn)行保護(hù)，部分員工出差需要帶走筆記本電腦，重要文檔集中存放在服務(wù)器上。根據(jù)上表可以得知，需要對研發(fā)部的各個終端進(jìn)行保護(hù)，可以采用文檔透明加密系統(tǒng)SmartSec，針對需要保護(hù)的文檔類型，進(jìn)行強(qiáng)制加密。對外出辦公的筆記本電腦可以采用全磁盤加密（FDE）——磁盤全盤加密系統(tǒng)DiskSec，對服務(wù)器上的文檔進(jìn)行保護(hù)，可以采用文檔安全網(wǎng)關(guān)系統(tǒng)DNetSec。

基于分域安全理論，處于不同的安全域的信息，可以采用不同的信息安全保護(hù)技術(shù)和產(chǎn)品。企業(yè)結(jié)合自身的需求和特點(diǎn)，都能找到適合自己的加密軟件產(chǎn)品。

admin

收藏 海報分享