数据防泄露的技术变革

透明加密技术是近年来针对企业数据保密需求应运而生的一种数据加密技术。所谓透明，是指对使用者来说是透明的，感觉不到加密存在，当使用者在打开或编辑指定文件时，系统将自动对加密的数据进行解密，让使用者看到的是明文。保存数据的时候，系统自动对数据进行加密，保存的是密文。而没有权限的人，无法读取保密数据，从而达到数据保密的效果。

自WindowsNT问世以来，微软提出的分层的概念，使透明加密有了实现的可能。自上而下，

应用软件，应用层APIhook(俗称钩子), 文件过滤驱动，卷过滤驱动，磁盘过滤驱动，另外还有网络过滤驱动，各种设备过滤驱动。其中应用软件和应用层apihook在应用层(R3), 从文件过滤驱动开始，属于内核层(R0).

数据透明加密技术，目前为止，发展了3代，分别为

第一代APIHOOK应用层透明加密技术；

第二代文件过滤驱动层（内核）加密技术；

第三代内核级纵深加密技术 ；

第一代：APIHOOK应用层透明加密技术

应用层透明加密技术俗称钩子透明加密技术。这种技术起源于win98时代，后来随着windows2000而流行起来。就是将上述两种技术（应用层API和Hook）组合而成的。通过windows的钩子技术，监控应用程序对文件的打开和保存，当打开文件时，先将密文转换后再让程序读入内存，保证程序读到的是明文，而在保存时，又将内存中的明文加密后再写入到磁盘中。应用层APIHOOK加密技术，特点是实现简单，缺点是可靠性差，速度超级慢，因为需要临时文件，也容易破解。但由于直接对文件加密直观感觉非常好，对于当初空白的市场来讲，这一旗号确实打动了不少企业。

第二代：文件过滤驱动加密技术

驱动加密技术是基于windows的文件系统（过滤）驱动技术，起源于WindowsNT发布之后，其工作在windows的内核层，处于应用层APIHook的下面，卷过滤和磁盘过滤的上面。设计思想是建立当应用程序(进程)和文件格式(后缀名)进行关联，当用户 *** 作某种后缀文件时对该文件进行加密解密 *** 作，从而达到加密的效果。

内核层文件过滤驱动技术，分IFS和Minifilter2类。IFS出现较早，Minfilter出现在xp以后。两者的区别可以理解为VC++和MFC的区别，IFS很多事情需要自己处理，而Minifilter是微软提供了很多成熟库，直接用。由于windows文件保存的时候，存在缓存，并不是立即写入文件，所以根据是否处理了双缓bug，后来做了些细分，但本质还是一样，都是问题的修正版本而已。但由于工作在受windows保护的内核层，运行速度比APIHOOK加密速度快，解决了很多问题和风险。

文件过滤驱动技术实现相对简单，但稳定性一直不太理想。

第三代：内核级纵深沙盒加密技术

之所以叫内核级纵深沙盒加密技术，主要原因是使用了磁盘过滤驱动技术，卷过滤驱动技术，文件过滤驱动技术，网络过滤驱动(NDIS/TDI)技术等一系列内核级驱动技术，从上到下，纵深防御加密。该技术也起源于WindowsNT之后，但由于技术复杂，开发要求高，公开资料少，而发展较慢。但随着微软公布了部分Windows源代码之后，此技术开始逐渐成熟。内核级沙盒加密，是当使用者 *** 作涉密数据的时候，对其存储过程进行控制，对其结果进行加密保存，每个模块只做自己最擅长的那块，所以非常稳定。加密的沙盒是个容器，把涉密软件，文件扔到容器中加密。而这个容器是透明的，使用者感觉不到它的存在。，

第三代透明加密技术的特点是，涉密数据使用前，先初始化涉密沙盒，沙盒加密一旦成功，之后所有的数据都是数据实体，不针对文件个体，所以无数据破损等问题。特点是速度快，稳定。

第一代，第二代本质都是采用的针对单个文件实体进行加密，如a.txt内容为1234, 加密后变成@#$%% +标记。@#$%%是把原文1234进行加密之后的密文。而标记的用途是用来区分一个a.txt文件是否是已经被加密。当系统遇到一个文件的时候，首先判断这个标记是否存在，如果存在，表明是被系统加密过的，则走解密读取流程，如果不是加密的，就无需解密，直接显示给使用者，只是当保存的时候，再进行加密，使其成文密文+标记。

这就带来一个巨大的风险 ：如果是一个较大文件，加密过程中发生异常，标记没加上，那么下次读这个文件的时候，因为没有读到表记，而采用原文读取，然后再加密，那么这个文件就彻底毁坏了。这个现象在第一代APIHOOK透明加密技术的产品中特别明显，在第二代文件过滤驱动产品中，因为速度变快了，使文件破损发生概率减低了很多，但并没有本质解决这个问题。

另外， 由于是进程和文件后缀名进行关联，也造成了一个缺陷 ：很多编程类软件，复杂制图软件的编译，晒图等 *** 作，都是很多进程同时 *** 作某个文件，这个时候进行进程和文件关联显然太牵强了，因为进程太多了。即使进行关联，多个进程交替访问文件，加密解密混在一起，极容易造成异常。所以才会出现VC等环境下如不能编译，调试等。

其他方面，版本管理无法对比，服务器上存放的是密文（服务器存密文，是个极大的风险，目前没有哪家大企业敢这么做，毕竟太依赖加密软件，持续性没有了），大文件速度慢等，一系列问题，无法解决。

而第三代内核纵深加密技术是在前者2个基础之上发展而来的，每个过滤层都只做自己最擅长的事情，所以特别稳定，速度快，性能可靠，不存在第一代和第二代的问题。由于内核级纵深透明加密技术要求高，涉及技术领域广，极其复杂，开发周期长，所以国内的能做开发的厂商不多。目前， 深信达公司推出的SDC机密数据保密系统， 给人一眼前一亮的感觉，其产品是第三代透明加密保密技术的典型产品，其产品主要特点是：

1）采用了磁盘过滤，卷过滤，文件过滤，网络过滤等一系列纵深内核加密技术，采用沙盒加密，和文件类型和软件无关，沙盒是个容器。

2）在 *** 作涉密数据的同时，不影响上外网，QQ,MSN等。

3）保密彻底，包括网络上传，邮件发送，另存，复制粘贴，屏幕截取等，特别是屏幕保密，做得非常炫。

4）服务上存放的是明文，客户端存放的是密文，文件上传服务器自动解密，到达客户端自动加密。服务器上明文，减少了业务连续性对加密软件的依赖。

5）不但可以针对普通文档图纸数据进行保密需求，同时更是研发性质的软件公司( 游戏 ，通讯，嵌入式，各种BS/CS应用系统)源代码保密首选。

例如我目前使用的天锐绿盾文件加密，有以下几种加密方式：

透明加密：通过文件过滤驱动透明加解密技术，对核心部门文档进行强制加密处理，从文档创建开始即可自动加密保护，文件的保存加密、打开解密完全由后台加解密驱动内核自动完成，对用户而言完全透明、无感知。

半透明加密：只对重要文档进行加密保护，也可手动加密指定文档，加密文档编辑、保存、另存后保持加密状态；普通文档无需加密，可以和加密文档同时打开使用，编辑、保存、另存后保存后保持明文状态。

智能加密：系统可根据事先设置的敏感数据特征（关键字对、正则表达式），对正在编辑保存的终端文档进行扫描，当系统检测到文件中包含此类敏感数据时则自动加密，重点防护企业敏感数据。

落地加密：文档通过网络下载或其他方式落地到终端时立即加密，保证从网络平台或其他渠道接收、下载数据的安全。

信息时代的高速发展，简易的信息防护已经无法满足企业对信息保护要求。对企业而言，使用企业加密软件应是最正确的选择，今天为大家带来几点关于企业对加密软件选型的建议。

由于加密软件的安全性是由其算法和密钥来决定的，一般的加密算法都是采用国际标准流行的高安全性算法，而这些算法都是公开的，所以对密钥的选型才更加重要。

软件的密钥是否安全可从以下几点判断:

一、要保证不能够搭建出两套一样的软件环境，也就是要保证不同企业能有不同的加密密钥，确保不同的企业即使安装相同的加密软件，也无法打开彼此加密后的文件。同时要保证厂商即使获取到密文也无法解密。市面上有很多加密软件，在厂商拿到了密文后，只要根据软件本身的特征就可以进行破解，这样子的安全防护形同虚设，无法真正保护企业的数据安全，因此要选择能够支持企业能够自主设置、更改密钥的软件。

二、泄密途径控制的好坏，也是加密软件的一个重要考查点。购买后的软件必须对泄密的途径进行管理，禁止终端使用指定的设备，包括USB存储设备限制、光盘驱动器限制、软盘驱动器限制和打印机限制。

三、考虑解密方案是否完整。企业文档因为业务来往需要发送给客户时，就需要员工向管理人员进行申请审批解密。这就要求软件可以提供完备灵活的审批流程，支持各种形式的审批，如支持大文件审批、目录审批等，这样才不会不影响工作的效率。

天锐绿盾加密软件拥有强大的加密技术，通过文件过滤驱动透明加解密技术进行文件加密，为重要数据的安全提供有力保障；其行为审计功能可以全程跟踪、记录员工的 *** 作，为事后的追踪提供强有力的依据，并且与企业内部应用系统无缝结合，效率与安全兼顾。

---