企业该如何选择加密软件几点注意事项.docx
- 文档编号:2204871
- 上传时间:2022-10-27
- 格式:DOCX
- 页数:15
- 大小:715.20KB
企业该如何选择加密软件几点注意事项.docx
《企业该如何选择加密软件几点注意事项.docx》由会员分享,可在线阅读,更多相关《企业该如何选择加密软件几点注意事项.docx(15页珍藏版)》请在冰豆网上搜索。
企业该如何选择加密软件几点注意事项
选择加密软件的几点建议
概述
随着信息化的普及,企业数据的安全越来越受到重视,目前国内已有不少加密软件,如何选择加密软件呢?
这里参考一些厂家提供的文档并结合自己的经验,提供一些建议供大家参考。
加密软件按照实现的方法可划分为被动加密和主动加密。
(1)被动加密:
是指被加密的文件,在使用前需首先解密得到明文,然后才能使用。
这类软件主要适用于个人电脑数据的加密,防止存储介质的丢失(比如硬盘被盗)导致数据的泄密;
(2)主动加密(或者说透明加密、自动加密):
是指在使用过程中自动对文件进行加密或解密操作,无需用户的干预,合法用户在使用加密文件前,不需要进行解密操作即可使用,表面看来,访问加密的文件和访问未加密的文件基本相同,对合法用户来说,这些加密文件是“透明的”,即好像没有加密一样,但对于没有访问权限的用户,即使通过其它非常规手段得到了这些文件,由于文件是加密的,因此也无法使用。
由于动态加密技术不仅不改变用户的使用习惯,而且无需用户太多的干预操作即可实现文档的安全,因而近年来得到了广泛的应用。
目前针对企业的防泄密软件(企业内部的文件可以自由流通、阅读,一旦拷贝出去或者脱离企业网络环境,将无法阅读),大多采用主动加密技术。
由于主动加密要实时加密数据,必须动态跟踪需要加密的数据流,而且其实现的层次一般位于系统内核中,因此,从实现的技术角度看,实现主动加密要比被动加密难的多,需要解决的技术难点也远远超过被动加密。
上海迅软的防泄密软件DSE使用驱动级的主动加密技术的软件,快速高效,稳定性强,可以参考一下.
下面说说在选择加密软件的时候,建议考查的几个方面:
一、加密软件是否自动透明加密?
何谓“透明”?
“透明”应该就是指加密的动作不需要人工干预,是软件自动完成的。
比如:
用WORD建立一个文档的时候,软件应该能自动把这个新建的文件加密,对用户完全透明,不影响用户的操作习惯。
大部分加密软件都是透明加密的,但是也有区别。
很多应用软件在编辑数据文件时,都会生成临时文件。
比如Word在编辑文档时,会在同目录下出现以“~$”开头的文件和一个以“~”开头并以tmp为后缀的文件。
这些临时文件在相应的数据文件被正常关闭后,会被删除。
由于这些临时文件也存储有企业的机密数据,因而这些临时文件也应该是要能自动加密的。
迅软数据防泄密软件DSE从最安全的角度出发,对编辑数据中产生的临时文件也做了自动加解密处理。
在测试的时候要特别注意。
有些品牌的加密软件,为了给自己图方便,放弃对中间过程的文件进行加密。
例如,业界有一个老牌的厂商便采取了这样一种做法:
①拦截程序对文件的打开操作;②把打开的文件隐蔽地解密到一个“秘密”的地方;③在后台把应用程序对数据文件操作指针指向位于“秘密”之处的明文;④在关闭数据文件时,把隐藏的明文加密并替换原有的文件。
这样的设计,让用户看起来是能够打开编辑密文,编辑保存后得到的还是密文。
但是实际上应用软件真实编辑的对象是一个不加密的明文文件。
如果这个“秘密的地方”被知道了,完全可以打开密文时到那个“秘密的地方”去获得明文,比如打开文件以后,强制将系统关机,然后进入安全模式,就可以将这种文件(明文)复制出来。
。
二、加密的算法及密钥的安全性
对于一个脱离了企业环境的密文来说,安全完全由算法和密钥来决定。
所以选择加密软件的时候,对其采用的算法和密钥的安全性一定要了解。
一般来说,加密算法基本都采用国际流行的算法:
比如RSA、DES、RC、AES等,这些算法虽然是公开的,但根据现代密码学的理论,加密算法的公开与否并不影响其安全性,一个好的加密算法的安全性只依赖于密钥。
因此对于脱离了企业环境的密文来说,密文的安全主要靠密钥的安全来保证。
一个加密软件的密钥是否安全应该主要要解决如下几个问题:
(1)加密软件的厂家如果获取到企业的密文,厂家应该是不能解密的,迅软的数据防泄密软件DSE密钥是妥善保管的,即使迅软获取到客户的加密文件,也无法将加密文件解密。
很多加密软件,密钥是根据计算机的某些特征值由程序生成的,企业自己无法设置,这样只要知道了硬件的特征码,厂家就能轻松获取到用户的密钥,那么企业的文件对厂家来说就是没有保密可言了;还有些加密软件的密钥就是系统固定的,这样厂家只要拿到密文,就能解密;
(2)企业内部的密文,拿到另外一个企业里面,应该是不能解密的:
现在很多加密软件的控制端都由企业的网络管理人员在使用,那么一旦网管人员离职,重新安装相同的加密软件,应该保证原单位的文档即使拷贝过去也不能阅读。
也就是要保证不同企业能有不同的加密密钥。
迅软数据防泄密软件DSE正是考虑到这方面的安全隐患,部署一套DSE软件都会生成一个全球唯一的加密文件秘钥,即使都安装了DSE的两个企业,加密文件完全隔离,无法相互访问。
(3)在使用过程中,如果密钥泄露,应该要有补救措施:
比如说密钥能支持更改,这样密钥泄露了,企业可以方便的更换。
DSE支持密钥更改,具体修改需要厂家指导
三、加密软件是如何判断一个文件是否需要加密的
不同的企业,甚至同一个企业的不同部门,所要加密的文件有可能是不相同的。
例如设计部需要对产品图纸进行加密,办公室需要对Office类文档进行加密。
所以,如何判断某个文件是否应该加密,是加密软件一个很重要的考查指标。
一般来说,如何判断某个文件是否需要加密,有两种选择方式:
(1)指定受控路径(目录或者盘符):
即保存在指定目录或者指定盘符中的文件一律加密。
管理员可以为每一个客户机指定一个或多个需要加密的受控路径。
用户如果将文件保存到这个路径下,那么文件就会被加密。
这种方式带来的问题就是:
客户端有可能将机密文件保存到非受控路径下。
厂商们为了应对这个问题,通常会向用户提供这样的解决方案:
①将所有的应用软件全部安装在C盘,然后对C盘做一个镜像,其他盘(无论是逻辑盘还是物理盘)都只允许存放数据文件;②将除C盘以外的所有盘符都设定为受控路径,以确保所有的数据文件都是密文存储;③每次Windows启动时,或者Windows关闭前,都会对C盘进行自动还原(这一点很像网吧和部分企业中采用的还原技术)。
(2)指定受控程序和受控后缀方式:
即由指定的应用软件生成的指定后缀文件(或者所有文件)一律加密。
系统管理员可以为每一个客户机指定一个或多个受控程序。
客户端如果用这些受控程序保存文件,那么文件就会被加密。
例如,前文所列举的例子,管理员就可以将CAD设置(同时CAD生成的所有文件设置为受控后缀)为设计部的受控程序,将Office设置为办公室部门的受控程序。
这两种方式,各有优缺点。
第一种方式的优点是易于实现,且不关心应用软件是什么。
但是弊端也非常明显。
主要表现为:
①给日常的IT维护工作造成了很大的不便:
杀毒软件的特征库升级、安装新的应用软件等工作,都会随着C盘的还原而还原,除非先解除对C盘的保护,升级或者安装结束后再恢复保护;②有着明显的安全漏洞:
普通用户完全可以将文件先保存到C盘,然后关闭Windows,甚至强行突然断电,使得C盘的还原机制还没有来得及发挥作用就将硬盘拆卸带走,从而将文件的明态数据带走了。
由于明显地弊大于利,所以这种方式只被少数的厂商所采用。
第二种方式的比较符合实际应用,因为用户最关心的还是“由特定程序生成的文件”。
这种方式易于用户制定和维护规则。
一般来说,采用了这种方式的加密软件都会限定:
只有受控程序才可以打开密文,非受控程序是不允许打开密文的。
(这一限制很容易理解:
如果非受控程序也能够打开密文,那么它再将文件另存或者通过网络传送出去,密文就变成了明文了。
)现在知名的加密软件都是采用这种方式的,如上海迅软的防泄密软件DSE。
有些企业会有自己的业务系统,有可能需要阅读加密文件,而且这些业务系统并不在加密软件自带的受控程序列表中,针对这个问题有些厂商提供了让用户自定义受控程序或者受控后缀的功能;有些厂商的解决方法就是让客户提供业务系统软件,然后再帮助客户加入。
四、泄密途径
没有通过授权,就可以获取密文中的内容的方法,称之为泄密途径。
加密软件中如果不对这些途径加以控制,那么加密软件就形同虚设。
泄密途径众多,每种途径的控制是加密软件的一个重要功能。
泄密途径控制的好坏,也是选择加密软件的一个重要考查点。
1、网络发送
使用QQ、Foxmail、Outlook等网络软件把一个密文发送到没有安装加密软件的电脑上,查看是否可以看到文件的内容。
如果可以查看,说明存在泄密危险。
某盾加密软件通过修改Foxmail的EXE程序名,防冒充加密进程,将加密文件发送出去直接变成明文,造成严重泄密,如下图所示:
将foxmail的进程名改成了notepad。
在Office软件里面,比如WORD,打开加密的文件,然后在WORD菜单中选择“文件”-“发送”-“邮件接收人(以附件形式)”,此时如果安装了Outlook,会使用Outlook发送邮件,如果没有安装Outlook,会打开OutlookExpress发送邮件。
然后到一个没有安装加密软件的电脑上,接收这个邮件,看是否可以打开附件,如果可以,说明存在泄密危险。
2、剪贴板
查看是否可以使用Windows提供的复制-粘贴功能把密文内容发送出去。
测试方法:
用WORD打开一个密文,用鼠标选择一些文字,复制(或CTRL+C),切换到QQ聊天窗口中,粘贴(或者CTRL+V),查看是否可以粘贴出明文。
剪贴板是个非常常用的功能,禁止使用剪贴板会使客户端的使用者受到很多限制。
加密软件不应该只使用禁止的方法来控制剪贴板。
比较好的处理办法是将剪贴板的内容加密,使得复制的内容在受控程序(如WORD)上可以粘贴出明文,而在非受控程序(如QQ)上贴出的就是乱码。
上海迅软的防泄密软件DSE对剪贴板的控制做到最合理,最安全,如下图所示:
在受控程序之间,文件内容可以通过剪贴板相互拷贝,方便员工对受控文件内容的相互流转。
基于安全角度出发,合法进程文件内容无法黏贴到非法进程(如QQ),杜绝加密内容外泄。
另外还应注意一点,就是剪贴板的控制在360保险箱下是否生效。
因为360保险箱是免费软件安装量非常大,如果360保险箱下就会使剪贴板控制失效,那么就存在非常大的漏洞。
测试方法很简单:
安装360保险箱,将WORD用保险箱保护,然后在有360保险箱保护下开启WORD,查看是否可以打开密文,是否可以把内容复制到QQ的聊天窗口上。
3、屏幕拷贝
查看是否可以通过屏幕拷贝的方法将文档内容泄露。
屏幕拷贝有两种常用方法,一种是使用Windows快捷键PrtScr或者ALT+PrtScr,另一种是使用一些可以捕捉屏幕的软件,比如QQ。
测试方法:
针对第一种方法:
用WORD打开一个密文,打开看到明文后,按一次PrtScr键,打开Windows自带的画图软件(开始所有程序附件画图),按CTRL+V,查看是否可以贴出带有文件内容的图片。
针对第二种方法:
使用QQ作为测试软件,查看QQ屏幕截图功能是否可以使用。
另外,QQ也是360保险箱默认保护的软件之一,所以应该测试一下,用360保险箱保护QQ的情况下,禁止截屏是否生效。
迅软防泄密软件DSE对所有常用截屏软件、windows自带截屏键均做了控制,加密程序打开时,尝试截屏操作,屏幕变黑,hypersnap为例,如下图所示:
4、OLE插入
OLE插入是打开密文的另一种方法。
支持OLE插入技术的软件有很多,比如Windows自带的写字板(可执行文件名为wordpad.exe)。
测试方法:
打开一个写字板,将一个加密的WORD文档用鼠标拖动到写字板内(或者在写字板菜单“插入”“对象”,并选择“由文件创建”,选择加密的WORD文档),如果可以以明文方式打开,那么说明存在OLE泄密的漏洞。
也应该测试一下在360保险箱保护写字板的情况下,是否存在这个漏洞。
5、拖拽
用WORD打开一个密文,拖动鼠标左键选中一些文字,在选中的文字上用鼠标拖动数据,查看是否可
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 企业 如何 选择 加密 软件 注意事项
![提示](https://static.bdocx.com/images/bang_tan.gif)