IP-guard 浅析对透明加密的认识误区

随着透明加密产品在市场上的热销，各种理念的产品层出不穷，采用何种技术手段也一直争论不休。事实上，任何技术都存在现实的两面性，只有科学合理的应用，才能发挥最大的功效。国内领先的内网安全产品IP-guard在透明加密技术方面开展了积极的探索，并对目前争论较大的技术趋势问题提出了建设性的意见。一：应用何种加密算法最好？目前透明加密产品采用的各种密码技术，根据密钥类型不同可分为两类：对称加密算法、非对称加密算法。常见的对称加密算法包括：DES、3DES、AES；非对称加密算法包括RSA、 DSA、ECC。某些透明加密产品一直鼓吹自己采用的加密算法难度大、安全性高。实际上，高级的算法能增加破解的难度，但算法类型并不是安全的关键因素，因为算法是公开的，专业人士都知道怎样实现，所以安全的关键在于对密钥的管理，绝不能随意泄漏。以成熟的透明加密产品IP-guard V+为例，V+采用两种密钥管理方式：一种是系统内部密钥，即根据不同企业进行独立绑定，企业的信息资产安全能得到最大保障；另外一种是用户自定义密钥，安全性更完全掌握在用户手中。二、驱动层加密将取代应用层加密？透明加解密技术是与操作系统紧密结合的一种技术，它工作于操作系统底层，从技术角度看，分为驱动层加密和应用层加密。驱动层加密通常采用文件过滤驱动技术，应用层加密通常采用 API HOOK（俗称钩子）技术，其基本原理都是要接管文件 IO（读写）操作，通过监视涉密进程（受保护程序）的磁盘读写，对保密文档进行动态的加密和解密。驱动层加密在操作系统层级进行加密操作，兼容性好，但由于涉及到操作系统最底层，很难处理跟底层驱动的关系，稳定性差。应用层加密在操作系统之上进行加密操作，虽然可能跟其他产品发生冲突，但稳定性高。因此，现有产品中采用驱动层加密的较少，因为稳定性差对安全产品来说是致命的缺点。多数产品都采用应用层加密辅以驱动级技术来兼得系统稳定性和兼容性。另外，认为驱动层加密能支持所有程序，对其进行加密的想法也不正确，驱动层加密和应用层加密都需要对指定的程序进行开发才能支持。因此，驱动层加密和应用层加密不能说谁取代谁，两者各有优劣，关键看哪一种方式能更好满足客户的需求。三、透明加密=绝对安全？“只要上了透明加密，就能保证文档万无一失”这种想法是错误的。虽然直接破解透明加密的可能性微乎其微，但仍然存在绕过透明加密而窃取信息的方法。因此，透明加密产品还要采取其他封堵方式，防止信息外泄。透明加密就是从文档创建那一刻就自动生成加密。由于文档在任何储存状态下都是加密的，因此要防止文档在使用中泄密，特别是防止冒充合法应用的伪造行为来获取信息。这就需要透明加密系统进行授权软件的识别，甄别各种伪装软件。IP-guard V+能够采用先进软件识别技术，识别假冒行为，抵御新的攻击，防止加密文档在使用中被泄露。另外，当授权用户合法地打开文件后，可能会通过复制、粘贴、打印等方式泄密，因此，加密产品还需要对剪切板、打印、截屏进行控制。IP-guard V+能够对受保护的加密文档设置禁止复制、粘贴、剪切，防止用户通过这些方式窃取文档内容。四、透明加密产品的兼容性、稳定性不足？透明加密产品被攻击的最多的地方就是稳定性、兼容性不足。透明加密技术进行了实时加解密，采取了必要的Hook技术，跟杀毒软件或第三方软件有冲突的可能性，这就需要透明加密厂商及时跟杀毒软件和第三方软件的厂商进行沟通协调，确保能够合理兼容、正常运行。目前，的确存在着用户因部署加密系统而导致业务中断甚至文档破坏的情况，因此，透明加密产品必须采用多种先进技术，保证文档的安全和系统的稳定运行。针对这一情况，IP-guard V+采用了虚拟计算技术，把临时缓存文件保存在虚拟盘中，保证文档不会因为系统崩溃等意外情况而受到破坏；同时采用备用服务器和紧急授权模式，确保在硬件或网络故障的时候，加密系统仍然运行顺畅。