围绕如何在21世纪企业实现数据电子化、业务信息化、流程网络化的条件下对电子数据进行安全保护,已经诞生了一批针对电子数据的透明加密技术,这些技术目前已被引入到各个不同的行业中,用来保护企业的电子数据安全。
经过我们对市场多种数据加密产品的研究与实践,目前电子数据透明加密技术从大的方面来分,有文件级的数据加密技术、系统级的数据加密技术、结合文件及系统级加密技术的高速加密磁盘缓存数据加密技术等。这些加密技术各有自己的特点,如何选择一款适合传统制造业企业的加密系统?首先要从各个文档加密技术的特点入手进行选择。
所谓透明加密技术,主要针对使用者而言。当使用者在打开或编辑指定文件时,系统将自动对未加密的文件进行加密,对已加密的文件自动解密。文件在硬盘上是密文,在内存中是明文。一旦离开使用环境,由于应用程序无法得到自动解密的服务而无法打开,从而起到保护文件内容的作用。此种加密技术拥有强制性、使用方便、加密高效和不影响用户使用习惯等优点。
一、各种电子数据加密技术的介绍
1.文件级的毅据加密扶术
(1)文件级的数据加密技术的基本原理。
文件级的数据加密技术指针对特定类型的文档或者文件,利用进程或者驱动HOOK技术拦截程序对文件的读写操作。在向磁盘上写文件时,加密写入数据;在读文件数据时,在内存中解密数据(图1)。
文件级的数据加密技术必须对特定类型的文件格式和操作进行研究,如研究PDF和Word复制、粘贴和保存等操作的特性,从而针对不同类型的文件编写相应的技术方案。
·文件级的数据加密技术是以HOOK技术通过相应文件的进程为出入口,对文件进行加密存写及解密读取工作。
·文件级的数据加密技术为了保护原文件的安全性,通常是采用建立临时或影子文件的方式来对正在编辑的文件进行编写操作。
·为了防止应用进程的另存、复制和粘贴等内存操作导致的数据泄密风险,文件级加密技术还需要针对应用进程的另存、复制和粘贴等内存操作行为进行控制,从而达到实现文件保密的目标。
图1 文件级数据加密技术的基本原理图
(2)文件级数据加密技术的优缺点。
文件级的数据加密技术的优点如下。
·可以单独针对某种类型的文件进行保密控制,具有较强的灵活性,也能够有区别地进行复制、粘贴、另存和打印等权限的灵活控制。
·原理简单,操作简便,对用户要求水平较低。用户只需要根据加密需求,在加密系统软件上勾取相应的加密策略即可。所以文件级的数据加密技术要求用户有一定的计算机操作水平即可。
文件级的数据加密技术的缺点如下。
·安全性较差,容易破解。由于此种数据加密方式是通过进程把关的方式,用户只要使用一些工具进行一定的进程欺骗便可避开这个进程,进而破解加密电子数据。
·针对文件的版本有限,当制作文件的软件版本升级时(如CA02000升级为CA02008)需要对加密程序进行开发。
·效率低,稳定性较差。若加密时采用影子文件技术,则会导致文件的读写操作增加一次,一方面导致效率至少降低50%以上;另一方面也将导致文件转存之间由于系统掉电等原因造成文件损坏或者丢失的风险增大。事实上也的确有许多文件级保密产品常常发生文件被破坏的情况。
·对于一些超大文件(如十几个GB以上的文件)进行加解密时,容易破坏该文件。
2.系统级的数据加密技术
(1)系统级的数据加密技术原理。
系统级的数据加密技术不针对具体文件进行加密操作,而是通过存储系统、网络系统以及辅助授权等手段实现对数据保密的目标。其特点是通过对用户工作数据流的范围进行分析,构建针对整个数据使用范围的安全保密控制环境(图2)。
·不分文件类型,只区分文件控制的程度与加密程度。其磁盘加密使得在加密磁盘上的所有文件全部处于加密控制状态。
·在网络应用方面,对不同的网络区域分不同的加密层次,同一文件在不同的区域,其加密控制程度不同。
·驱动加密技术基于windows的文件系统(过滤)驱动(IFS)技术,工作在windows的内核层。
图2 系统级的数据加密技术的基本原理图
(2)系统级的数据加密技术优缺点。
系统级的数据加密技术的优点如下。
·加密彻底,安全性高。系统级的数据加密技术从底层驱动级进行数据加密,因此加密彻底。
·兼容性良好。由于系统级数据加密技术与应用无关,不需要分析应用的具体行为,所以不存在与应用的兼容问题,其兼容性良好。
·手段丰富。根据不同的应用可划分不同的安全控制等级,文件解密授权的方式也有U盘和软件包等多种方式。
系统级的数据加密技术的缺点如下。
·实施前期准备要求高。因为系统级数据加密技术需要根据单位业务数据流向来确定其数据保密的范围,所以要求实施单位的业务流程管理较规范,业务流程清晰,通常在实施前要求实施单位进行充分的调研和调整等准备工作。
·驱动级加密技术风险高、调试困难,一旦出错就会出现整个windows操作系统蓝屏、崩溃甚至导致磁盘文件无法读取的可怕后果。
·软件价格高昂或应用成本高昂。基于驱动级的数据加密技术涉及到windows底层的诸多处理,开发难度很大。所以基于此种加密技术开发的数据加密软件大多价格高昂。
·功能复杂,对使用人员要求较高。基于驱动级的加密技术软件涉及到多种操作,如不同安全区域的IP网段的划分、不同网段策略的设定以及离网的授权设定等。其操作相当复杂,需要有较高计算机操作能力及网络规划能力的人员来进行操作。
3高速加密磁盘缓存毅据加密技术
(1)高速加密磁盘缓存数据加密技术原理。
该技术从文件级的数据加密技术发展而来,但针对文件级加密技术的缺点(文件容易遭到突发关机破坏,或加密容易破解)做了技术改进,采用了相对文件级加密技术相对更底层、稳定的数据驱动和磁盘驱动技术,并且构建了独特的高速加密磁盘缓存机制(图3)。
·通过建立虚拟加密磁盘,在内存区对数据文件进行加密,使加密文件被破解的可能性降低。该技术采用相对更底层的数据驱动技术来对文件进行加密,使文件通过对方以进程欺骗的方式破解加解密的可能性大大减小。
·其建立的虚拟加密磁盘,相当于将系统级数据加密技术的加密磁盘从物理形式电子化,虚拟为计算机上的电子加密磁盘。
·有效消除了在突发关机情况下文件损坏的情况。该技术采用高速缓存技术,即建立虚拟磁盘将要加密的文件放到虚拟磁盘里面进行加解密,这样以来就大大提高了文件加密的效率,消除了突发关机情况下文件损坏的可能。
图3 高速加密滋盘缓存数据加密技术的基本原理图
(2)高速加密磁盘缓存数据加密技术优缺点。
高速加密磁盘缓存数据加密技术的优点如下。
·提高了加密文件的安全性。弥补了传统文件级数扼保密技术容易被破解的缺点,相对难以破解。
·提高了加密效率。相对采用影子文件方式来保护力「密原文件的文件级加密方式,其高速缓存技术大大提高了文件加密的适时性,尤其是对大文件加密的适时性。
·成本较低。该技术从文件级加密技术发展升级而来,成本相对系统级的数据加密技术要低很多。
·有效避免突发关机情况下文件损坏的缺点。其建立的虚拟加密磁盘技术,使文件得到有效保护。
·灵活性较高。借鉴了文件级加密技术的优点,可对特定文件进行加密控制,也可对加密文件的复制、粘贴、外发与打印等权限进行设定。
·操作简便。该加密技术继承了文件级加密技术操作简便的优点,使用者可以在短时间掌握该技术特点。
高速缓存数据加密技术的缺点如下。
·占用磁盘空间较大。高速加密磁盘缓存数据加密技术需要在计算机上建立虚拟加密磁盘以对文件进行加解密,该虚拟磁盘的大小一般在1-4GB。
·针对文件的版本有限。高速缓存电子数据加密技术相当于文件级电子数据加密技术的改进升级版,因此还是存在着针对文件版本支持受限的缺点。当制作文件的软件其版本升级或引入新的加密策略支持范围外的软件时,需要重新进行开发。
·加密文件的大小受限于虚拟缓存磁盘空间的大小。
·虚拟磁盘容易遭到破坏。其高速加密磁盘缓存技术建立的虚拟磁盘虽然有效保护了文件加密时的安全性,但其虚拟磁盘却容易受突发关机等情况的破坏,往往这个时候需要重新部署加密软件以建立新的虚拟磁盘。
二、技术选型
以上各种数据加密技术,各有优缺点,如何选择一款适合我公司的数据加密技术呢,首先要从我公司本身特点进行分析。
1.公司生产特点
(1)我公司核心技术机密文件大多集中于研发部,而研发部电子数据制作及存储特点为C/S架构,即服务器与客户端机器都存储着重要的技术资料文件。
(2)我公司引进了大批先进机车及发动机技术。
(3)我公司对数据安全保密程度要求较高,但不如军工科研单位那样对数据安全的要求处于绝对重要的地位。
(4)我公司对人员的监控、工作流程的控制、工作职责的限定也不像军工科研单位那样严格与明确,也无法达到像军工企业那样严格与明确。
(5)我公司研发部门的硬件配置较为先进,个人工作站硬盘空间平均已过100GB/人。
(6)我公司生产组织结构较为复杂、松散,总公司与 各分公司之间距离较大。
(7)作为一个制造业企业,信息部门属于为制造、研发部门服务的二线部门。信息部门中优秀的、有经验的人力资源全投入到涉及公司层面的PDM, ERP等大型系统中,其他从事信息服务的人员能力不是很高。
2、比较筛选
我公司作为大型机车制造企业,其生产技术实力雄厚,如何保住我们自己引进与独创的先进技术不流失,上马一个安全可靠、成本合理、操作简便的加密系统成了当务之急。我们本着有效、稳定、安全的原则,结合我公司生产经营特点对以上数据加密技术进行了细致谨慎的筛选,并在领导组织安排下,与兄弟公司进行调研交流,最终选择了技术特点较为符合我们企业的“高速缓存数据加密技术”。
文件级和系统级数据加密技术淘汰原因有以下几点。
(1)文件级数据加密技术无法满足我公司数据安全的需要。文件级数据加密技术存在着易破解的缺点。这个缺点是无法满足我公司对数据安全保密需要的,该缺点被发现后便立即被弃用。
(2)系统级的加密技术对我公司而言应用风险大,成本过高。系统级的数据加密技术尽管加密彻底,但是其基于低层的磁盘加密技术,难以调整,我们在测试的时候发生了系统崩溃,加密磁盘内文件无法恢复的情况。这对于我们研发部门C/S的数据存储结构来说,风险太大。且作为制造业行业,我公司需要经常面对根据市场需求进行职能与部门调整的情况,而系统级的数据加密技术要求公司有着清晰的生产作业流程与明确的生产结构,如果上马系统级的加密技术则周期太长,难度过大,风险太高。
(3)系统级加密技术对实施人员的水平要求较高,而制造企业信息部门优秀的信息管理服务人员资源有限,很难为一个影响力仅可能是部门级的系统软件而配备专门的人才来服务这一业务。
高速加密磁盘缓存数据加密技术入选原因有以下几点。
(1)高速加密磁盘缓存数据加密技术有效克服了文件级加密技术加密数据容易被破解的缺点,且因其技术由文件级加密技术发展而来,技术较为成熟,成本也较为低廉。
(2)高速加密磁盘缓存数据加密技术占用磁盘空间大的缺点对我公司研发部门不造成影响。数据加密系统主要在我公司研发部门实施,而我公司研发部门的硬件配置先进,硬盘空间较大,因此高速加密磁盘缓存数据加密技术的磁盘空间占用较大的缺点对我研发部门影响不大。
(3)高速加密磁盘缓存数据加密技术的缺点之一:即 “加密文件的大小受限于虚拟缓存磁盘空间的大小”,这在我研发部门不会发生。我研发部门制作的文件为图档文件,大小最多不超过1GB,而高速加密磁盘缓存数据加密技术可支持大小达4GB文件的加密。
(4)关于高速加密磁盘缓存数据加密技术的虚拟磁盘容易遭到破坏的缺点,此项缺点只是加密磁盘遭到损坏,而文件不受任何损失,所需要做的补救工作只是计算机维护人员重新部署加密系统即可(重新部署方便简单,费时不多),且因技术中心研发部门有着严格的计算机管理制度及新型工作站有UPS保护等原因,此项缺点造成的人工增加因素并不突出。具体来讲,我公司研发部门约有164台机器,每月只有2-5台机器出现加密磁盘损坏需要重新部署加密系统的情况。
(5)高速加密磁盘缓存技术实施难度小。相对系统级加密技术部门网段的划分和高细粒度的管理而言,高速加密缓存技术只有客户端自动加密、手动加密与手动解密软件功能的部属,操作简单,维护方便。
3.系统在公司应用情况
自高速加密磁盘缓存数据加密技术产品引进公司用以保护数据以来,在研发部门计算机成功部署了加密系统。通过对服务器及设计用计算机120余万个。WG. IDW, IPT重要图档文件进行加密,其系统的离线功能,控制打印功能已成功应用于公司出差人员及与玉柴合作项目开发人员。目前该系统运行稳定,并在发动机研发部得到了更加深入的应用。
总之,高速加密磁盘缓存数据加密技术对我公司这类有一定研发能力、技术保密程度不像军工企业要求那样高的企业来说,风险低成本适中,而数据安全性又得到充分保证,是一项较为合适的数据安全技术。
三、结语
通过以上对文件级、系统级以及高速加密磁盘缓存数据加密技术的比较,以及我企业的选型依据可以看出,不同的数据加密技术有着不同的优缺点。企业要根据自己的实际情况来选择适合自己情况的数据加密技术。
如对于生产环境简单,应用软件并不复杂的办公室环境(只用到OA或Word等办公软件及系统)或小企业来说,文件级的数据加密技术就可满足其使用。而系统级的数据加密技术往往应用在管理严格、业务流程标准,研发、生产规模庞大,工作环境复杂,对文件加密程度要求彻底的大型企业,尤其是军工企业。而若在办公室环境或非研发生产型小企业,实施系统级的数据加密技术,则显得技术过于复杂。高速加密磁盘缓存数据加密技术则通常应用于一些拥有一定实力,管理较为松散,只针对部分文件有加密需求的一些大中型民用企业。
转载请注明出处:拓步ERP资讯网http://www.toberp.com/
本文标题:数据透明加密技术类型的比较及选型
本文网址:http://www.toberp.com/html/consultation/10839310272.html
相关文章
