如何正确选择数据加密软件!!!

2018-10-16 15:24:45

一、前言

当前,在企事业单位局域网中,由于员工日常工作大都是通过计算机网络进行,工作中积累的重要文件,如客户资料、技术秘密、源代码、大量的图纸、技术文档等资料,这些资料对是公司的命脉和竞争砝码,如果这些资料被非法流出,将会对公司的稳健经营造成重大的损失,甚至会使某些新产品的研制计划夭折,因此加强对图文档的保密就变得非常重要了。

近几年,因为企业机密被泄露而导致严重损失的例子经常见诸报端、网络。很多单位已经意识到通过部署专门的电脑文件加密软件来保护单位内部的重要资料。一方面可以防止通过各种管道将单位的机密信息泄露出去,另一方面对重要文件进行高强度加密,即便泄露出去也无法解密打开。 


二、当前国内加密软件的总体现状
 

透明加解密产品从实现的技术来说,分为两种,一种是应用层加密,一种是驱动层加密。在下面的文字里,我们尽可能的用通俗易懂的语言把这两种加密方式阐述清楚,但请您注意,这仅仅是介绍性的文字,它并不是技术性文档,它的描述并不一定非常精确,请您谅解。 

windows平台上,所有应用软件不管是word,excel还是solidedge,autocad它们都是运行在windows之上的。任何一个应用软件保存数据的流程都可以用以下简化模型来描述:应用软件需要保存数据→将数据告诉windows→windows将数据告诉磁盘(或是其他介质)的驱动程序→驱动程序将数据真正写到磁盘上(或其他存储介质)。那么,如果我们需要对该应用程序保存的数据进行透明加密,我们有两个时间点可以选择:

在应用程序将数据交给windows之前,即windows收到的数据就是加密的数据。在windows将数据交给磁盘驱动程序之前。     

1、应用层加密

应用层加密是基于操作系统之上的加密方式。这样做的好处是,它完全不需要理会windows底层无比复杂足以让人崩溃的处理方式,它仅仅需要关心应用软件的行为。

应用层加密必须为每个应用程序都去开发一个加解密模块。这是因为,每种应用软件读写数据的行为多多少少会有点差异。同样的软件升级,例如word从2003升级到2007,该子模块必须重新开发。现在各种专业软件层出不穷,很多软件仅仅应用在特定的领域,为每种软件开发加密模块也是不现实的,开发成本,测试成本巨大。而且您愿意接受在购买了加密软件之后每年还需要支付二次开发费用吗?从技术上说,HOOK技术是基于应用层加密的软件的技术基础。鉴于HOOK技术被绝大多数病毒和流氓软件所应用。微软明确的表示在64位机器的操作系统上不再支持现有的绝大多数HOOK。也就是说,目前基于应用层加密的防泄密软件在64位平台上必须重新开发。所以我们认为,基于应用层加密在可扩展性,可持续性方面的劣势决定了它不是一个好的选择对象。 
2、驱动层加密

驱动层加密是在操作系统的内核底层驱动完成加密动作的。这样做的好处是,无论是哪种应用程序,加密模块都可以捕获到它的读写行为,但是它为此付出的代价是必须去处理好windows底层那种非常复杂的处理方式,并且与之结合,浑然一体。众所周知的是windows不像Linux公开所有代码,关于其底层处理的技术文档非常少。因此很多驱动层加密程序往往没有办法处理好,造成一种值得大家警惕的现象:演示的时候,非常完美,测试的时候仅仅有点小问题,等正式使用的时候,问题不断--文件损坏, 与杀毒软件冲突--频繁蓝屏。虽然说应用层加密也会损坏文件,但是客观的说,驱动层加密造成文件损坏的概率要大于应用层加密。 

驱动层加密的典型流程示意图,从技术上说,驱动层绝对是领先应用层的。从企业的应用成本上来说,驱动层加密的优越性也是远远大于应用层的。因为您一旦选购了驱动层加密产品,无论是你企业采用什么样的应用软件,驱动层加密都可以应付自如而不需要二次开发,其可扩展性、优越性是显而易见的。但是驱动层容易和其他底层软件冲突,容易造成文件损坏却是不争的事实!我们经过无数次痛苦的折磨之后发现,原来造成文件损坏和与底层加密软件冲突的根源并不是驱动层这个技术架构的问题,而是windows的缓存机制。文件缓存一定会带来文件经常会被二次加密或部分加密,甚至不可逆转的损坏这类问题。具体的技术原理可以写一本书,就不在这里赘述。可以确信的是:目前没有任何方法可以彻底的清除缓存。退一万步说,即便是有这样的方法,你知道彻底清除缓存意味着什么吗?意味着每次读文件都要从物理磁盘去读,意味着你运行软件的速度会比目前慢10倍以上。 

以上的文字大致的帮您分析了一下如何选择一款透明加密软件,我们希望您明确的是:如果您选择了应用层加密,您就必须意识到您可能没有办法对所有的应用软件做透密加解密处理,您可能继续需要为这个产品的二次开发投入金钱,同时偶尔还会坏几个文件。如果您选择了驱动层加密,请您一定要严密的测试,考察,看这个产品是否会损坏文件。

三、如何选择适合单位需要的文件加密软件? 

加密软件以其透明强制加密之显著特性,已经成为广大企业的电子文档保密方案之首选。越来越多的企业正在准备或已经着手对加密软件产品的选型。但如何选择一个适合企业的加密软件呢?

同时,当前国内加密软件厂家众多,推出的产品也大同小异,厂家销售人员也常常讲的天花乱坠,让人感觉无所不能。面对市场上众多,宣传上类似的产品,企业一旦着手开始选型工作时,选型人员往往会不知所措。笔者以自己的实践经验,这里总结了以下几个方面供用户参考,可以将用户选型的风险降低很多。具体如下:

1、加密软件产品的稳定性

基于驱动级架构的加密软件,虽然加密强度很高,不容易被破解。这种产品做起来不容易,开发出稳定的产品难度极高。这就需要用户在选型之前,尽量在各个使用场景进行全方位、充分的测试,以确保加密后的电脑文件可以顺利解密,防止因为加密软件自身的bug而导致加密后的文件破坏、无法解密的情况出现。

此外,判断加密软件产品的稳定性如何?还可以从两个方面着眼:一看产品有多少用户,二看用户有多大规模,三看企业的同行业是否有该产品的典型用户,其应用的效果如何。

2、厂家的技术服务能力

加密软件不同于其他软件,一旦出现问题轻则导致无法实时解密和还原加密的文件,重则导致加密软件丢失、破坏。为此,我们就需要厂家可以提供实时的、切实有效的售后服务,包括在一定条件下的上门服务。

3、结合企业保密需求来选加密软件

在加密软件的选项过程中,由于网络管理人员往往缺乏专业的加密软件技术知识,容易被厂家的销售人员忽悠;同时,很多选项人员,往往贪大求全,倾向于选择一些功能较为全面、加密程度较高的加密产品,而往往忽视了或者不太清楚单位真实的加密软件需要。由此经常导致企业选型的加密软件不能满足企业具体的加密需求,或者往往只是用到其中很少的一些功能,造成了投资的浪费。

因此,企业选型加密软件,必须满足企业当前的文件加密需求以及长远的文件加密需求,在保证加密功能可以满足企业需求的前提下,寻求成本较优的加密产品。

4、研究具体指标,不盲信偏听

很多加密软件厂家处于经济利益和市场宣传的需要,常常宣称自己是“行业领导者”、“业界较早”、“第N代技术”等等,其实加密软件厂商目前规模大多不大,目前并没有形成绝对领先的厂家。只能说各家的产品各有特色,企业应坚持“只选对的,不选贵的”选型原则。在加密软件还未出现绝对优势品牌之前,选择稳重、扎实、贴近客户的公司更可靠。即使是号称“大公司”的产品,也要看其公司的主业,如果他的主业是卖硬件的,现在做加密软件,这种公司不一定可靠,因为加密软件是其副业,投入这个市场的目的就是为了赚钱,万一无法赚到钱,其后果可能是战略转型,用户的风险未必会减小。

5、选型电脑加密软件前后要有备选方案

无论选型过程中如何认真仔细,始终还是存在选型不当的风险。这就需要用户要有后路,事先规划备选方案。比如,所选软件一定要提供扫描解密所有加密文件的功能。较好在选型时就用软件实际验证一下。当然,如果能在上加密软件之后,建立进行定期明文备份制度更好。

6、购买之前充分测试、试用

要不要试用,取决于企业本身是否有相应的技术人员,如果没有比较懂软件的人试用,是没有什么效果的。因此试用不能简单的安装,一定要真正的应用,做好复杂情况下的压力测试,充分考虑硬件的兼容性。

如果通过前面介绍的几点方法,能够立马分出高下,试用更多的是验证软件能否满足需求;但当出现两家接近的情况,则需要通过试用进一步验证哪一家产品更优。此时,试用的重点不仅在于透明加解密的功效,同样要验证该软件是否与企业的管理相符,以及是否与厂家的宣传相符,也是考验厂家是否诚实的重要标准。

 


免费体验