四、了解各种类型的加密软件优点及其局限性
现在市面上主要有以下所示的这几种类型的数据加密产品:
1.静态加密产品(文件/文件夹加密 )
文件/文件夹加密产品目前在市场上存在三种主要的方式,这三种主要方式包括:文件加密产品、文件夹加密产品和文件/文件夹加密产品。一些操作系统,例如应用NTFS文件系统后的Windows XP操作系统就可以使用EFS的加密文件系统来加密文件或文件夹。
这类产品基本上是免费的,但是除了这个“优点”之外,其他的缺陷也是显而易见的:文件/文件夹加密产品通常需要用户自己操作需要加密的文件或文件夹。需要用户参与,如果用户不注意就会造成遗漏,而且,这些产品并不能对临时文件夹和交换空间进行加密,这就造成了一些敏感信息的副本仍然没有被加密。这些软件安全性很低,部署之后形同虚设,很容易被破解,达不到企业的安全要求,不适合企业用于商业机密加密保护。
2.动态加密产品
动态加密(Encrypt on –the-fly)是指数据在使用过程中自动(动态)对数据进行加密或解密操作,无需用户干预,合法用户在使用加密的文件前,也不需要进行解密操作即可使用。表面看来,访问加密的文件和访问未加密的文件基本相同,对合法用户来说,这些加密文件是“透明的”,即好像没有加密一样,但对于没有访问权限的用户,即使通过其它非常规手段得到了这些文件,由于文件是加密的,因此也无法使用。由于动态加密技术不仅不改变用户的使用习惯,而且无需用户太多的干预操作即可实现文档的安全,因而近年来得到了广泛应用。
目前市面上动态加密产品有两种,一种是基于文档级的加密产品。这类产品很常见,也已经很成熟。通常被称为透明加密软件。以 SmartSec为代表的透明加密软件已经在中国得到广泛使用。包括政府、军队、军工、制造业、设计院所、通信等行业。另一种是基于磁盘级(数据级)的加密软件。基于磁盘级的加密软件,分为两类,一类是“虚拟磁盘加密”产品,另一类是全磁盘加密产品(FDE,Full Disk Encryption)。
虚拟磁盘加密产品通过虚拟一个空间,对虚拟空间内的文件自动加密解密。这一类产品通常衍生出文档保险柜等软件。由于只是对磁盘分区或者扇区进行加密,不能对C盘和操作系统加密,其安全性比较低,往往适合个人级的文档保护,不适合高度保密要求的企业。
全盘加密技术是一种非常成熟的技术,而且非常容易使用和配置,因为只需要用户决定哪个磁盘或扇区需要加密即可。而且除了需要用户记住加密密码之外,其它的操作都不需要用户参与。它还能保护操作系统、临时文件夹、交换空间,以及所有可以被加密保护的敏感信息。全磁盘加密(FDE)产品对磁盘上所有数据进行动态加解密,包括操作系统,在关机和休眠状态下,磁盘上的数据处于加密状态,有效地防止了泄密。这一类产品在国际上发展10多年,已经相当成熟。一些主要的安全厂商都推出自己的全盘加密产品,例如赛门铁克推出的Endpoint Encryption 6.0全盘版,以及McAfee的Total Protection for Data.PGP全盘加密和北京亿赛通公司的DiskSec。
值得一说的是硬盘芯片级的FDE。一些大牌的硬盘生产厂商,例如希捷、西部数据和富士通等都支持全盘加密技术,将全盘加密技术直接集成到硬盘的相关芯片当中,并且与可信计算机组(TCG)发布的加密标准相兼容。计算机厂商例如联想和DELL等都在生产使用这种加密硬盘或加密芯片技术的安全计算机。由于硬件级的加密软件成本高昂,不能被多数用户所接受,所以一直没有得到广泛推广。
还有一些开源免费的软件,比如TrueCrypt 5.1a、7-Zip、FreeOTFE 3.00等,号称具备整体磁盘加密的功能,但是经过分析,这些免费软件本性安全性低,很容易导致加密后数据丢失、无法使用等病状,而且因为免费没有售后支持和维护,许多采用这些免费软件的用户加密之后数据大量损坏无法修复,苦不堪言。这些免费软件不适合推荐给企业级的用户。
我们应当要根据自身的实际数据加密需求来选择相应的全盘加密产品。通常,像笔记本电脑.U盘等可移动存储设备应当选择全盘加密产品来加密整个磁盘或扇区。
五、选择加密软件技术和产品
在全面了解企业商业机密和市面上的保护手段之后,就可以采用对应的产品来对商业机密进行保护。笔者对市面上的各种加密保护软件进行归纳总结,对其保护对象和应用范围进行梳理之后,列表如下:
参照上表,我们可以根据企业自身的需求,很轻松地找到企业所需要选用的加密软件类型。比如,某企业属于研发类企业,需要对研发部门的源代码、电路设计图进行保护,部分员工出差需要带走笔记本电脑,重要文档集中存放在服务器上。根据上表可以得知,需要对研发部的各个终端进行保护,可以采用文档透明加密系统SmartSec,针对需要保护的文档类型,进行强制加密。对外出办公的笔记本电脑可以采用全磁盘加密(FDE)——磁盘全盘加密系统DiskSec,对服务器上的文档进行保护,可以采用文档安全网关系统DNetSec。
基于分域安全理论,处于不同的安全域的信息,可以采用不同的信息安全保护技术和产品。企业结合自身的需求和特点,都能找到适合自己的加密软件产品。