計算機技術(shù)的不斷發(fā)展和硬件價格的不斷下降,使得計算機迅速普及,企業(yè)信息化程度也不斷的提高,企業(yè)中使用計算機辦公早已司空見慣。同時,信息化水平的提高給企業(yè)數(shù)據(jù)的安全性帶來了巨大的威脅,黑客攻擊、病毒感染等等已經(jīng)使越來越多的企業(yè)開始重視企業(yè)機密數(shù)據(jù)的保護。數(shù)據(jù)加密是保證數(shù)據(jù)安全的有效手段之一, 但是傳統(tǒng)加密手段需要人工參與,加密和解密過程需要手動進行,操作上較為繁瑣且文件在操作修改的過程中以明文形式存在,存在很大的安全隱患。另外,加密軟件的使用有一定的學(xué)習(xí)曲線,這也給企業(yè)數(shù)據(jù)安全帶來一定困擾。
1、企業(yè)數(shù)據(jù)安全現(xiàn)狀
1.1內(nèi)網(wǎng)安全無法保障
企業(yè)常用的病毒防護軟件、防火墻、VPN等防護手段僅僅能夠保證外網(wǎng)的安全,不能夠保證企業(yè)自身內(nèi)部網(wǎng)數(shù)據(jù)的安全性以及遠程辦公的數(shù)據(jù)的安全性。
1.2企業(yè)內(nèi)部泄密是數(shù)據(jù)外泄主因
據(jù)IDC報告顯示,70%的安全損失是由企業(yè)內(nèi)部原因造成的,員工不當?shù)纳暇W(wǎng)行為,導(dǎo)致了企業(yè)機密數(shù)據(jù)資料被竊;FBI和CSI調(diào)查顯示,超過85%的安全威脅來自企業(yè)內(nèi)部,威脅包括內(nèi)部未授權(quán)的存取、專利信息被竊取、內(nèi)部人員的財務(wù)欺騙等。企業(yè)機密數(shù)據(jù)的外泄給企業(yè)自身造成了非常嚴重的經(jīng)濟損失。
1.3網(wǎng)絡(luò)入侵
企業(yè)計算機系統(tǒng)的漏洞以及員工的操作不當都可以帶給黑客或惡意攻擊者入侵企業(yè)網(wǎng)絡(luò)的機會。黑客或惡意攻擊者一旦侵入企業(yè)計算機,盜取企業(yè)機密數(shù)據(jù),導(dǎo)致商業(yè)機密外泄,就會給企業(yè)造成巨大的經(jīng)濟損失。
1.4為安全犧牲效率
由于企業(yè)數(shù)據(jù)安全存在上述威脅,部分企業(yè)為了保證數(shù)據(jù)的安全性,采用斷網(wǎng)、禁用U盤等封堵措施,這樣帶來的后果往往是員工工作效率的下降和使用便利性的降低,得不償失。
2、透明加解密技術(shù)簡介
透明加解密技術(shù)是針對企業(yè)文件保密安全需求應(yīng)運而生的一種文件加密技術(shù),也是近幾年來炙手可熱的一門技術(shù)。該技術(shù)與操作系統(tǒng)中的文件系統(tǒng)部分緊密結(jié)合,能夠增強文件系統(tǒng)的某些功能,或改變和監(jiān)控某些系統(tǒng)行為。
透明加解密技術(shù)通常工作于系統(tǒng)的底層,根據(jù)使用技術(shù)的不同,可分為內(nèi)核層加解密和應(yīng)用層加解密兩種。內(nèi)核層加解密一般采用文件系統(tǒng)過濾驅(qū)動技術(shù),通過編寫文件系統(tǒng)過濾驅(qū)動,在內(nèi)核層過濾并處理來自應(yīng)用層的讀寫請求,達到加解密的目的。應(yīng)用層加解密則通常采用API HOOK技術(shù),接管文件讀寫操作,監(jiān)視文件讀寫,從而實現(xiàn)文件的加解密。
透明加解密技術(shù)通常具有強制性和透明性。所謂強制性是指機密文件的加密和解密過程是自動強制進行的,用戶無法干預(yù)。而透明性則是指加密和解密的過程是對用戶不可見的,用戶幾乎感受不到加密和解密的進行,也就是對用戶來說是透明的;用戶不需要改變原有的操作習(xí)慣,也不需要學(xué)習(xí)如何使用透明加密系統(tǒng)。
此外,透明加解密技術(shù)通常采用動態(tài)加解密方式。相對于靜態(tài)加解密的方式,動態(tài)加解密效率更高,用戶幾乎感覺不到速度上的損失。
3、透明加解密技術(shù)在企業(yè)數(shù)據(jù)安全中的應(yīng)用方案
透明加解密技術(shù)是針對企業(yè)文件保密安全需求應(yīng)運而生的文件加密技術(shù),用在企業(yè)數(shù)據(jù)安全防護中是自然而然的選擇。內(nèi)核層的過濾驅(qū)動技術(shù)實現(xiàn)的透明加解密相對于應(yīng)用層的加解密在效率、安全性和穩(wěn)定性上有著更突出的優(yōu)勢,功能也更加強大,因此對于推動網(wǎng)絡(luò)安全技術(shù)的發(fā)展有著很重要的意義,是國內(nèi)外安全廠商和研究者主推的技術(shù)。
3.1企業(yè)數(shù)據(jù)透明加解密方案的模型
文件系統(tǒng)過濾驅(qū)動技術(shù)在企業(yè)數(shù)據(jù)安全中的應(yīng)用方案一般包括以下功能模塊:
3.1.1內(nèi)核層過濾驅(qū)動模塊
該模塊是數(shù)據(jù)安全方案的核心模塊。其主要功能是與應(yīng)用層的控制模塊進行通信,接受來自應(yīng)用層的控制指令或加解密密鑰;讀取安全策略,根據(jù)安全策略實現(xiàn)文件的透明加解密;進行訪問控制,拒絕非法訪問;向應(yīng)用層的控制模塊提供功能調(diào)用接口。
3.1.2應(yīng)用層控制模塊
也可以稱之為應(yīng)用層交互模塊。本模塊主要與密鑰管理模塊進行交互,從密鑰管理模塊獲取加解密密鑰,需要更新密鑰時通知密鑰管理模塊更新密鑰;控制內(nèi)核層過濾驅(qū)動的啟動和停止;與內(nèi)核層通信,向內(nèi)核層過濾驅(qū)動發(fā)送控制指令或加解密密鑰,接收內(nèi)核層返回的操作結(jié)果;與用戶進行交互,并根據(jù)用戶安全需求制定相應(yīng)的安全策略,如需要加密的磁盤分區(qū)或目錄,受監(jiān)控的進程和文件類型等。另外,必要情況下還要向身份認證模塊發(fā)送身份認證信息,接收認證結(jié)果以檢查用戶身份是否合法。
3.1.3密鑰管理模塊
圖1 企業(yè)數(shù)據(jù)透明加解密方案模型示意圖
密鑰管理模塊是企業(yè)數(shù)據(jù)安全方案中至關(guān)重要的一環(huán),它是整個加密方案的關(guān)鍵。該模塊負責密鑰的分發(fā)、存儲、密鑰的分級管理以及密鑰更新等等。
3.1.4 身份認證模塊
有時還需要身份認證模塊,以防止非法用戶登錄使用透明加解密系統(tǒng)。驗證用戶身份的合法性,并將認證結(jié)果返回應(yīng)用層控制模塊。只有用戶身份合法時,應(yīng)用層控制模塊才能夠從密鑰管理模塊獲得加解密密鑰。
3.4.5離線應(yīng)用模塊
對于企業(yè)員工因出差而無法接入企業(yè)內(nèi)部網(wǎng)等類似情況,企業(yè)數(shù)據(jù)透明加解密方案還應(yīng)提供離線應(yīng)用模塊,來應(yīng)對離線辦公的情況。該模塊可以控制文件的拷貝 打印等權(quán)限,甚至還可以限制離線辦公的有效時間長短。
3.2透明加解密方案關(guān)鍵技術(shù)
3.2.1文件透明加解密的實現(xiàn)
過濾驅(qū)動技術(shù)需要對windows系統(tǒng)內(nèi)核及文件系統(tǒng)部分有充分的了解,因此技術(shù)門檻較高,實現(xiàn)難度較大。本方案文件透明加解密采用文件系統(tǒng)過濾驅(qū)動技術(shù),數(shù)據(jù)的加密和解密過程主要是通過攔截系統(tǒng)IRP讀寫請求,然后操作讀寫請求對應(yīng)的數(shù)據(jù)緩沖區(qū)中的數(shù)據(jù)來實現(xiàn)的。
3.2.2文件加密標志
加密標識是一個數(shù)據(jù)結(jié)構(gòu),它一般由幾部分組成,可存放加密算法類型、文件實際長度、公司名等標識信息。其作用主要是區(qū)分是否加密文件。加密標識的保存位置分為保存在文件外和保存在文件本身兩種方式。文件標識保存在文件外存在同步問題、拷貝問題、文件標識丟失后加密文件無法解密等問題。因此,將加密標識保存在文件本身是較穩(wěn)妥的方式。
將加密標識保存在文件本身一般有兩種選擇,保存在文件頭或添加一個文件尾。這兩種方案各有其優(yōu)點,添加文件頭的方式好處是穩(wěn)定可靠,位置是固定的,不會因文件長度的變化受影響,但是實現(xiàn)比較困難,需要隱藏加密標識文件頭;而保存在文件尾的方式比較容易實現(xiàn),但文件尾不是一個固定的位置,一旦文件長度發(fā)生改變,需要重寫文件尾。
3.2.3 內(nèi)核層與應(yīng)用層的通信
在整個透明加解密方案中,應(yīng)用層和內(nèi)核層是交互最頻繁的兩個模塊,因此內(nèi)核層與應(yīng)用層彼此之間需要進行數(shù)據(jù)交換,內(nèi)核層與應(yīng)用層的通信是較為關(guān)鍵的技術(shù)之一。
4、結(jié)語
計算機技術(shù)的不斷發(fā)展使得計算機辦公成為企業(yè)不可或缺的一部分,數(shù)據(jù)安全問題也越來越突出,企業(yè)應(yīng)根據(jù)自身實際需要建立合適的數(shù)據(jù)安全防護系統(tǒng)。文章介紹了一種當前流行的數(shù)據(jù)安全加密技術(shù),為企業(yè)數(shù)據(jù)的安全提供借鑒。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標題:透明加解密技術(shù)在企業(yè)數(shù)據(jù)安全中的應(yīng)用探討
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/1083953387.html