加密軟件

數據庫加密的應用透明技術

關係型數據庫所存儲的數據加密後，在前台應用程序訪問後台數據庫中的密文數據過程中，用於對關係型數據庫中的數據進行加密保護，防止信息被非法的竊取，在關係型數據庫通用的視圖和觸發器的基礎上，通過實現多級視圖並結合基於行標識的觸發器實現對敏感數據的自動加密和解密，達到對應用透明的目標，應用系統無需改造；通過多級視圖，實現對數據庫查詢行為的精確判定，從而可以針對不同種類的查詢行為，構建專門的基於LRU緩存管理機制的密文和明文數據緩存策略，構建對密文數據進行批量預解密處理的策略，實現高效的密文查詢。

數據庫加密的密文索引技術

數據庫所存儲的數據加密後，原來的明文數據索引必然失效，在查詢密文數據過程中，如果想提到查詢速度，首先要做密文索引提高查詢結果的命中率。一種基於無偏序關係的輕量級的密文索引結構的索引建立、檢索和維護方法，這種結構能夠表示索引中的節點關係，便於維護，維護代價低。索引中存儲的數據是密文的，由於不存在數據之間的偏序關係，也就無法進行分析了，保證了數據的安全。基於這種無偏序關係的密文索引的檢索方法，能夠對密文數據進行快速的檢索和定位；維護方法能夠有效的維護索引數據和節點關係，並保證索引數據在併發操作環境下的正確性。

驅動層加密的透明加密技術

市面上的透明加密軟件，基本上只支持Windows平台。透明加密的實現主要有兩種技術，一種是應用層（API）的透明加密技術，一種是核心層（Kernel，又叫驅動層）的透明加密技術(圖1)。應用層的開發難度低（Windows Hook技術），但對應用程序的適應性差，同時加密多種應用程序時相互干擾大，因此，有些廠商為適應不同程序加密要求開發出獨立針對某種軟件的加密軟件版本。

驅動層透明加密技術是通過Windows提供的可安裝文件系統（Installable File System）開發接口寫設計一個文件過濾驅動，通過此驅動實現透明加解密功能。由於驅動開發要與windows更核心層打交道，此方面的開發人才比較少，相對開發難度也高。驅動層的透明加密技術由於與操作系統的文件系統結合緊密，加解密效率更高，控制更加密靈活，運行更加穩定。但要充分考慮到與Windows及其它應用在驅動層軟件的兼容，如殺毒軟件，否則會導致windows藍屏。

對客户而言，透明加密軟件採用什麼技術並不是他們關心的重點，他們主要關心的是加密軟件產品本身的穩定性、安全性和使用方便性。應用層透明加密技術和驅動層加密技術的特點使得驅動層透明加密軟件有更多競爭上的優勢。

經過市場幾年的考驗，加密軟件廠商都逐步認識到，驅動層透明加密技術才是加密軟件可靠的技術。於是我們可以看到，新切入市場的加密軟件廠商的產品都是採用驅動透明加密技術，一些原來採用應用層透明加密技術的老牌加密軟件廠商也放棄最初的應用層技術，轉而從頭開始研發驅動層加密技術。

數據存儲是個複雜的過程。透明加密軟件對Windows操作系統的存儲和讀取進行干預，難免不會出現這樣那樣的問題，導致加解密過程失敗，甚對文件造成無法挽回的損失。加密軟件的其它bug客户可以接受，但對文件造成無法挽回的破壞、或經常出現需要對異常密文進行修復的情況，將直接影響客户的正常工作，客户是無法接受的。實際上，只要存在加密，就存在數據紊亂的風險。

加密技術在傳統應用領域――通訊加密――也沒有完全克服。但是通訊加密產品都會將報文以冗餘地方式進行發送。借鑑這一思路，文件加密也可以用冗餘地方式降低數據紊亂風險，這就是密文的自動備份。所謂的密文自動備份，是指當有密態文件寫入存儲介質時，系統會自動地在指定位置（可以是本地，也可以是遠程）中自動生成一份文件副本。一些有遠見的廠商在不斷加強自身軟件穩定性的同時，也學習其它軟件的自動備份功能，在密文保存過程中進行自動備份，以防不測。

自動備份可以看作是一項預防措施，或保險措施。作為與存儲密切相關的透明加密軟件產品，自動備份功能應該成為一種標準功能。參考其它如office、AutoCAD等傳統軟件，加密軟件應該還要有對異常密文自動修復的功能。

強制加密是控制單位內部敏感數據泄密的有力手段，但實際應用過程中，有些單位需要更加靈活的加密控制條件。例如，企業只需要對文件服務器上的歸檔文件進行加密，PC使用者新建文件不需要加密。又例如，僱主需要能打開員工加密的密文，但自已電腦上不加密。對加密控制條件如此，紛繁複雜的需求，促使加密軟件廠商對加密控制條件不能侷限於強制加密一種手段，而是要更加靈活地進行配製。

市場對加密軟件靈活的控制需求使得透明加密的內涵變得更加豐富。加密軟件靈活的加密控制方式使處於不同加密需求階段的客户有更多的選擇。客户也可以根據實際情況，分階段、分步驟部署加密軟件。

透明加密軟件產品通過控制不同用户的密鑰來控制密文只能內部交流。在一些單位，不但要求內部數據不能外傳，還要在部門間或項目組之間相互保密，而上級部門或領導又要能打開不同部門的密文，這就使得一個單位只有一個密鑰無法滿足需求。於是便出現了密文分級的需要。

密文分級管理，實際上就是加密軟件的密鑰管理。如果我們把不同部門看成是不同的房間，部門內人員只有部門房間的鑰匙，那麼，他們的上級領導就相當於有幾個部門的鑰匙。這樣，領導就可以按需打開每個部門房間的門。

這種密文分級管理的需求，只會出現在大型用户中。從中也可以看到，加密軟件也開始得到大型用户的青睞。

有些客户在部署加密軟件的同時，提出要對密文的操作權限進行控制。比如，某些人只能打開密文，某些人可以編輯密文，某些人可以打印密文等。某些廠商還“延伸”透明加密軟件的含義，提出所謂“企業權限管理（ERM）”的概念，以迎合客户對文件權限管理的需求。

筆者認為，對文件的權限控制的需求和對文件加密的需求，是兩個相互關聯但又相互獨立的需求。企業對文件進行權限控制需求，並不是在部署加密軟件之後才有的，即使不採用加密軟件，這種需求也是存在的。

實際上，對於文檔權限的控制，Windows已經有一套完整的定義，當然，定義起來非常複雜，並不太適合一般企業直接應用。另一方面，早在十幾年前就出現了專門的管理軟件—企業數據管理PDM或EDM，後來還發展成PLM。這些軟件都包含很強的文檔權限管理功能，是專門進行文檔權限管理的。

透明加密軟件之所以很多廠商願意投入，一個非常重要的原因它是一個工作於操作系統層的工具軟件，有着廣泛的應用面，不需要進行復雜的實施，容易實現產品化。如果在透明加密軟件這樣的工具軟件中整合文檔管理的功能，加密軟件就演變成為一個需要複雜實施的管理系統。將兩個相互獨立的需求整個成一個龐雜的系統，違背了專業精深的發展原則，間接給客户帶來了風險。不僅如此，項目型的軟件系統價格高、實施週期長、牽扯因素多，因而見效慢、風險高，成功率普遍低於工具型的軟件。這無疑對買賣雙方都是有害的。從兩年多來的實踐來看，多數此類系統的用户最終都只是用到了系統的核心功能――文件加密。至於文件權限管理模塊，多因定義過於複雜、使用過於繁瑣而處於廢棄或半廢棄狀態。

同樣因為複雜和繁瑣，某些加密軟件的自定義解密工作流的功能，也沒有得到充分應用。這不僅佔用了廠商大量的研發和維護資源，而且對客户而言也是一種投資的浪費。筆者認為，密文操作權限控制以及其他工作流類型的功能，將不會成為透明加密軟件發展的方向。而只有工具化才是透明加密軟件的未來。有些加密軟件中集成了如打印監控、行為監控等功能。當然，這並非是加密軟件客户提出的需求，而是因為這些廠商有做類似軟件的歷史背景，將這些功能強行捆綁到加密軟件中罷了。從市場角度來説，為客户創造更多的價值，提供更多的功能是無可厚非的，但在筆者看來，這種強行的捆綁只能滿足個別有這方面需求的客户，並不能代表加密軟件的發展方向。透明加密軟件介紹：功能表　透明加密是指在操作人員不知不覺的情況下達到的一種加密效果，這和加密模式運用比較方便、快捷基本不影響操作人員的工作效率，而且當文件保存關閉後，在第二次打開時，只要在分環境內文件會自動解密，如果將文件複製到環境外的其他計算機上文件就會以加密的形式存在，打開時為亂碼。

加密軟件應用的更高層次——數據泄露防護（DLP）隨着信息安全威脅的不斷增長，傳統的透明加密軟件產品已不能應對不斷增長的安全威脅。單純的透明加密手段已不可能解決所有的安全需求問題。特別是對一些源代碼之類的數據，加密並不是合適的安全保護手段。而大數據時代的來臨更是讓透明加密軟件直呼無可奈何，而DLP數據泄露防護正式是替代普通的加密軟件解決企業數據安全問題的更佳解決方案。

事實上，DLP是信息安全行業裏很火的一個概念，從深圳虹安推出中國第一款DLP產品開始，中國市場上的DLP廠家如雨後春筍般的冒了出來。當然，其產品可靠性、技術研發實力等等就需要各位自己去考證了。完整的DLP應該從文檔加密、環境隔離、虛擬安全桌面等核心層面，通過應用認證、加密、標籤、審計、內核驅動、沙箱、還原、訪問控制、應用防火牆等技術手段，對機密文檔、U盤外設、外發文件、瀏覽器應用、筆記本、應用系統等多方面進行控制與保護，是一個體系化的數據安全防護網絡。而文檔透明加密是一種直接運行在操作系統內核中，支持動態地加密文件，專門針對文檔進行保護的加密技術，它只是DLP（數據泄露防護）體系中的一部分。　 ^[1] 

涉密信息安全

針對秘密信息，通過網絡安全手段對這部分用户進行邏輯隔離，並對其傳輸的數據進行加密，使其他人員即便獲取到相關信息也無法使用。另外通過端點準人功能配合的訪問控制，確定用户訪問涉密的權限，利用加密技術確定訪問級別，確保對涉密信息的可控性。

在設立相關涉密安全信息保密系統，通過系統下發安全策略。在有傳輸秘密信息的終端用户安裝客户代理端，保證涉及秘密信息的終端與相關服務器數據時實現信息加密，同時在存有涉密信息的服務器端安裝監控加密程序，以實現對涉密服務器訪問的身份識別及對信息訪問的權限分配。

對於機密級單位，按照國家保密局相關規定，涉密單位網絡應物理隔離，不允許與其他非涉密網絡有連接。在機密單位內部建立可信網絡保密系統和可信桌面系統。通過設立可信網絡保密系統，控制內部信息不外泄，防止內部人員私自接人外網;利用可信桌面系統，保護涉密終端的安全，設置登錄權限，保護加密終端內部數據。同時在保密部門設置相關弱電保密產品，在保證網絡應用安全的同時確保涉密單位辦公環境也達到保密要求。

內網安全

通過安全平台下發主機監控與審計系統安全策略，保證內部網數據不被惡意盜取，防止外接設備隨意連接到終端，防止網絡內部通過嗅探器等非法手段獲取非授權信息，同時避免用户採用其它方式將內部網數據傳輸到外部網絡，杜絕終端用户在未經授權的情況下擅自使用各種I/0設備、計算機外設、移動設備等。 ^[2] 

加密軟件按照實現的方法可劃分為被動加密和主動加密。

被動加密指要加密的文件在使用前需首先解密得到明文，然後才能使用。這類軟件主要適用於個人電腦數據的加密，防止存儲介質的丟失（比如硬盤被盜）導致數據的泄密。

主動加密指在使用過程中系統自動對文件進行加密或解密操作，無需用户的干預，合法用户在使用加密文件前，不需要進行解密操作即可使用，表面看來，訪問加密的文件和訪問未加密的文件基本相同，對合法用户來説，這些加密文件是“透明的”，即好像沒有加密一樣，但對於沒有訪問權限的用户，即使通過其它非常規手段得到了這些文件，由於文件是加密的，因此也無法使用。由於動態加密技術不僅不改變用户的使用習慣，而且無需用户太多的干預操作即可實現文檔的安全，因而得到了廣泛的應用。針對企業的防泄密軟件（企業內部的文件可以自由流通、閲讀，一旦拷貝出去或者脱離企業網絡環境，將無法閲讀），大多采用主動加密技術。

由於主動加密要實時加密數據，必須動態跟蹤需要加密的數據流，而且其實現的層次一般位於系統內核中，因此，從實現的技術角度看，實現主動加密要比被動加密難的多，需要解決的技術難點也遠遠超過被動加密。這裏説的加密軟件就是採用主動加密技術的軟件。

同時，按照其手段的不同，加密軟件又可以分為以下幾類：

這種技術比較早，大約出現在2000年。早期硬盤加密的特點是控制硬盤，不控制硬盤裏的文件，不對硬盤裏的文件進行加密。這種加密方式比較簡單，不需要專人解密，即使硬盤被偷了，不知道用户名和密碼也打不開。

這兩年全盤加密技術有了大的發展，利用硬盤加密卡對硬盤全盤實時加密的同時，也對硬盤裏的文件進行管控，這種技術將引起企業數據的防泄密應用和知識產權保護應用上的革命。

U盤加密技術也屬於早期的技術，企業內部的機器上需要插一U盤讀取的協議才能打開。這種加密手段實際在企業內部不太使用，總是需要企業領導上班把U盤插到服務器上，下班拔走。如果丟掉了這個U盤，公司的資料徹底打不開了。再者，U盤裏的協議容易被破解，安全性較低，市場上很少再有人銷售這種技術了。

不少企業認為，如果上了PDM或圖文檔管理系統（EDM），公司內部的圖紙及電子文檔就可以控制了。其實這種想法是錯誤的，PDM或圖文檔管理系統管理的是產品數據，主要是對公司的流程、權限、版本、查詢、歷史記錄等進行管理，它一定程度的給企業的圖紙帶來了一定程度上的安全。但是如果想徹底控制，這些系統是無法做到的。PDM及EDM控制圖紙是通過權限的，如果有權限的人把圖紙拿出去，拿到外面照樣能夠使用。也就是説PDM或EDM系統是把圖紙一定程度的限制到了公司內部，但是如果圖紙出去了，它沒有任何保密性可言。

這是這幾年的新技術，也是最有效的控制手段，企業也比較認可這種加密手段。這種加密方式是把公司所有圖紙及文檔通過打開或保存自動加密，歷史數據批量掃描加密。它還可以控制打印機、U盤、筆記本外出、同行之間數據通過內部工程師外泄，以及郵件外發、QQ截屏等各種外泄途徑都被限制了。加密過的文件不經過專人解密，即使泄露出去了，也是無法打開的。即使硬盤被盜，離開公司徹底無法使用。因此市場上做文件加密的軟件公司較多，大小公司參差不齊。

市面上的企業用加密軟件主要分為兩類脱機版與網絡版

主要區別在於

脱機版不需要局域網支持，可以單獨安裝。

脱機版的加密程序受控設置，有改動都需要通過軟件商從新設置打包程序。並且每台電腦都需要提取硬件碼單獨註冊安裝。

網絡版的加密程序及所有配置都可以通過服務器來完成，並且更換電腦不需要重新註冊。 ^[3] 

客户需求永遠是產品發展的指南針，透明加密軟件市場也不例外。透明加密軟件市場興起之初，所有廠商都採用同樣的宣傳模式，更有甚者，一些廠商直接抄襲其他同行的宣傳資料。看來，當時大家都是在介紹透明加密的好處，並沒有體現自身產品的優勢。當然，當時各廠商對加密軟件市場需求不瞭解是主要的原因。隨着兩年多來與客户面對面的交流和碰撞，透明加密軟件產品廠商對市場有了更深入的認識，產品定位和發展也有了新的動向。

透明加密技術剛出現時，主要賣點就是強制加密，也可以説強制加密成了透明加密的代名詞，市場定位清一色定位於單位內部的強制加密。所有廠商不管是網絡版本還是離散授權使用版，都是衝着強制加密來的。因此，產品只有強制加密指定應用程序生成的敏感文件一種，預期的客户也基本上都是單一的局域網用户。其實，一方面客户不僅擔心文件從內部泄密，而且也必須考慮文件從外部泄密；另一方面，不但羣體客户有保密需求，一般的個人PC用户也存在大量的文件加密需求。因此，更多地透明加密產品也應運而生。

對於某些企業而言，其合作伙伴也是可以接觸到其敏感文件的。因此，企業需要對發放到外部（如供應商）的敏感文件進行控制。針對客户此類需求，部分廠商開發了控制外發文件時效、打印權限、打開次數等的外發文件控制版本，也有叫防二次擴散軟件的。

文件保密需求不但在企業有，對個人而言也是很有必要的，網上流傳的這樣那樣的文件、文件夾加密大王、大師就是很好的證據。透明加密很適合做成強制加密的企業版本，但透明加密決不等於強制加密，它同樣適合於個人加密的需要，甚至比現有的個人加密軟件技術更先進，使用更方便。因此，有些廠商也感覺到了這塊市場的存在，紛紛推出個人版本的透明加密軟件。

總之，市場需求的發展催進了透明加密技術在各個領域的應用。不僅是企業有着將安全延伸至整個供應鏈的需求，而且個人PC用户也期望着更多更好的透明加密技術產品。隨着市場的進一步發展，必將會有更多更優秀的產品/版本面市。