数据加密技术及解决方案
来源:e-works 更新时间:2013-08-14
 
市场的需求、人的安全意识、环境的诸多因素促使着我国的信息安全高速发展,信息安全经历了从传统的单一防护如防火墙到信息安全整体解决方案、从传统的老三样防火墙、入侵检测、杀毒软件到多元化的信息安全防护、从传统的外部网络防护到内网安全、主机安全等。
    前言
    随着信息化的高速发展,人们对信息安全的需求接踵而至,人才竞争、市场竞争、金融危机、敌特机构等都给企事业单位的发展带来巨大风险,内部窃密、黑客攻击、无意识泄密等窃密手段成为了人与人之间、企业与企业之间、国与国之间的安全隐患。
    市场的需求、人的安全意识、环境的诸多因素促使着我国的信息安全高速发展,信息安全经历了从传统的单一防护如防火墙到信息安全整体解决方案、从传统的老三样防火墙、入侵检测、杀毒软件到多元化的信息安全防护、从传统的外部网络防护到内网安全、主机安全等。
    传统数据加密技术分析
    信息安全传统的老三样(防火墙、入侵检测、防病毒)成为了企事业单位网络建设的基础架构,已经远远不能满足用户的安全需求,新型的安全防护手段逐步成为了信息安全发展的主力军。例如主机监控、文档加密等技术。
    在新型安全产品的队列中,主机监控主要采用外围围追堵截的技术方案,虽然对信息安全有一定的提高,但是因为产品自身依赖于操作系统,对数据自身没有有效的安全防护,所以存在着诸多安全漏洞,例如:最基础的手段拆拔硬盘、winpe光盘引导、USB引导等方式即可将数据盗走,而且不留任何痕迹;此技术更多的可以理解为企业资产管理软件,单一的产品无法满足用户对信息安全的要求。
    文档加密是现今信息安全防护的主力军,采用透明加解密技术,对数据进行强制加密,不改变用户原有的使用习惯;此技术对数据自身加密,不管是脱离操作系统,还是非法脱离安全环境,用户数据自身都是安全的,对环境的依赖性比较小。市面上的文档加密主要的技术分为磁盘加密、应用层加密、驱动级加密等几种技术,应用层加密因为对应用程序的依赖性比较强,存在诸多兼容性和二次开发的问题,逐步被各信息安全厂商所淘汰。
    当今主流的两大数据加密技术
    我们所能常见到的主要就是磁盘加密和驱动级解密技术:
    全盘加密技术是主要是对磁盘进行全盘加密,并且采用主机监控、防水墙等其他防护手段进行整体防护,磁盘加密主要为用户提供一个安全的运行环境,数据自身未进行加密,操作系统一旦启动完毕,数据自身在硬盘上以明文形式存在,主要靠防水墙的围追堵截等方式进行保护。磁盘加密技术的主要弊端是对磁盘进行加密的时间周期较长,造成项目的实施周期也较长,用户一般无法忍耐;磁盘加密技术是对磁盘进行全盘加密,一旦操作系统出现问题。需要对数据进行恢复也是一件让用户比较头痛的事情,正常一块500G的硬盘解密一次所需时间需要3-4个小时;磁盘加密技术相对来讲真正要做到全盘加密目前还不是非常成熟,尤其是对系统盘的保护,目前市面上的主要做法是对系统盘不做加密防护,而是采用外围技术进行安全访问控制,大家知道操作系统的版本不断升级,微软自身的安全机制越来越高,人们对系统的控制力度越来越低,尤其黑客技术层层攀高,一旦防护体系被打破,所有一切将暴露无疑。另外,磁盘加密技术是对全盘的信息进行安全管控,其中包括系统文件,对系统的效率性能将大大影响。
    驱动级技术是目前信息加密的主流技术,采用进程+后缀的方式进行安全防护,用户可以根据企事业单位的实际情况灵活配置,对重要的数据进行强制加密,大大提高了系统的运行效率。驱动级加密技术与磁盘加密技术的最大区别就是驱动级技术会对用户的数据自身进行保护,驱动级加密采用透明加解密技术,用户感觉不到系统的存在,不改变用户的原有操作,数据一旦脱离安全环境,用户将无法使用,有效提高了数据的安全性;另外驱动级加密技术比磁盘加密技术管理可以更加细粒度,有效实现数据的全生命周期管理,可以控制文件的使用时间、次数、复制、截屏、录像等操作,并且可以对文件的内部进行细粒度的授权管理和数据的外出访问控制,做到数据的全方位管理。驱动级加密技术在给用户的数据带来安全的同时,也给用户的使用便利性带来一定的问题,驱动级加密采用进程加密技术,对同类文件进行全部加密,无法有效区别个人文件与企业文件数据的分类管理,个人电脑与企业办公的并行运行等问题。
    博睿勤数据加密技术完美解决方案:虚拟化沙盒技术+驱动加密
    随着人们对信息安全意识的不断提高,简单的驱动级加密技术已经无法满足用户的基本安全需求,如何解决个人文件与企事业单位文件的隔离,实现对部分数据加密,部分数据不加密,多人使用一台电脑,这就成了信息安全的一大难题,如何有效的解决用户的安全需要,同时满足用户的使用便利呢?博睿勤公司专注信息安全技术的研究,紧跟信息安全的发展脉搏,采用国际先进技术,开发完成了酷卫士数据安全综合管理平台,在满足企业对数据安全要求的同时,解决用户使用的便利性。
    酷卫士数据安全管理平台采用国际最先进的虚拟化技术、沙盒技术、驱动级加密等技术:
    首先平台采用虚拟化技术,虚拟化最接近用户的还是要算的上桌面虚拟化了桌面虚拟化主要功能是将分散的桌面环境集中保存并管理起来,包括桌面环境的集中下发,集中更新,集中管理。桌面虚拟化使得桌面管理变得简单,不用每台终端单独进行维护,每台终端进行更新。终端数据可以集中存储在中心机房里,安全性相对传统桌面应用要高很多。桌面虚拟化在用户原有的操作系统上虚拟出一个全新的安全桌面,这样用户就拥有一个电脑桌面与安全桌面,用户可以实现在电脑桌面进行个人文件操作,在安全桌面进行办公操作,用户只有在安全桌面才可以访问企业的业务系统,电脑桌面无法访问,两个桌面的操作具有无关性,用户可以在两个不同桌面同时处理个人文件与办公文件。同时在安全桌面的所有操作数据将保存在虚拟磁盘里,虚拟磁盘采用加密技术进行安全防护,用户一旦退出安全桌面,虚拟磁盘将自动退出,所有数据将不可见,有效保障了数据的安全性;
    沙盒技术可以算是虚拟机的一种发展,其技术原理似乎也和虚拟机大致相同,但它们仍有很大区别。沙盒是一种更深层的系统内核级技术,在一个程序运行时,沙盒会接管程序调用接口或函数的行为,并会在确认攻击行为后实行“回滚”机制,让系统复原。
    沙箱通过重定向技术,把安全桌面内应用程序生成和修改的文件,定向到自身文件夹中,这些数据的变更,包括注册表和一些系统的核心数据。通过加载自身的驱动来保护底层数据,属于驱动级别的保护。
    沙箱通过虚拟化技术创建的隔离系统环境。您可以在沙箱中运行包含风险程序的程序(如未知文件、病毒木马等),沙箱会记录程序运行过程中的各种操作行为。
    在沙箱中的程序有下列限制:不能运行任何本地的的可执行程序。不能从本地计算机文件系统中读取任何信息,也不能往本地计算机文件系统中写入任何信息。所有操作都是虚拟的,真实的文件和注册表不会被改动,这样可以确保病毒无法对系统关键部位进行改动破坏系统。
    沙箱内的文件操作,包括可执行文件和非可执行文件:安全桌面内的进程所对文件和系统的修改,全部被重定向。并且重定向后的文件是经过加密的,即使重定向的文件被泄露,也没有安全隐患。用户注销后,重定向文件全部被删除,即所有在安全桌面下进行的文件操作对于默认桌面没有任何改变。
    在安全桌面中,所有的通讯也被严格控制,安全桌面与电脑桌面之间通信也会被重新定向而进行控制,防止用户把资料泄露出去。包括Socket通讯、安全桌面内的进程与电脑桌面的进程通过本机IP进行通信,避免数据泄漏。