前言

当前,在企事业单位局域网中,由于员工日常工作大都是通过计算机网络进行,工作中积累的重要文件,如客户资料、技术秘密、源代码、大量的图纸、技术文档等资料,这些资料对是公司的命脉和竞争砝码,如果这些资料被非法流出,将会对公司的稳健经营造成重大的损失,甚至会使某些新产品的研制计划夭折,因此加强对图文档的保密就变得非常重要了。

而由于员工日常工作都是通过计算机网络进行,并且处于工作需要而大都接入了网络,公司的电脑也没有做加强的防护,因此现在的泄密途径很多,比如用笔记本电脑、U盘、USB硬盘等移动存储设备就可以将图纸全部拷贝带出,或者用邮件也可以将资料外送,或者通过互联网都可以将资料发送到外部。

除了研发资料外,公司其他一些资料也是机密的,比如我们的财务报表、供应商资料、客户资料、项目资料、成本及价格资料等等都是需要保密的。

近几年,因为企业机密被泄露而导致严重损失的例子经常见诸报端、网络。很多单位已经意识到通过部署专门的电脑文件加密软件来保护单位内部的重要资料。一方面可以防止通过各种管道将单位的机密信息泄露出去,另一方面对重要文件进行高强度加密,即便泄露出去也无法解密打开。 


当前国内加密软件的总体现状

透明加解密产品从实现的技术来说,分为两种,一种是应用层加密,一种是驱动层加密。在下面的文字里,我们尽可能的用通俗易懂的语言把这两种加密方式阐述清楚,但请您注意,这仅仅是介绍性的文字,它并不是技术性文档,它的描述并不一定非常精确,请您谅解。 

在windows平台上,所有应用软件不管是word,excel还是solidedge,autocad它们都是运行在windows之上的。任何一个应用软件保存数据的流程都可以用以下简化模型来描述:应用软件需要保存数据→将数据告诉windows→windows将数据告诉磁盘(或是其他介质)的驱动程序→驱动程序将数据真正写到磁盘上(或其他存储介质)。那么,如果我们需要对该应用程序保存的数据进行透明加密,我们有两个时间点可以选择:

在应用程序将数据交给windows之前,即windows收到的数据就是加密的数据。在windows将数据交给磁盘驱动程序之前。     

应用层加密是基于操作系统之上的加密方式。这样做的好处是,它完全不需要理会windows底层无比复杂足以让人崩溃的处理方式,它仅仅需要关心应用软件的行为。如下图:

短信数据库.png

图:应用层加密示意图

应用层加密必须为每个应用程序都去开发一个加解密模块。这是因为,每种应用软件读写数据的行为多多少少会有点差异。同样的软件升级,例如word从2003升级到2007,该子模块必须重新开发。现在各种专业软件层出不穷,很多软件仅仅应用在特定的领域,为每种软件开发加密模块也是不现实的,开发成本,测试成本巨大。而且您愿意接受在购买了加密软件之后每年还需要支付二次开发费用吗?从技术上说,HOOK技术是基于应用层加密的软件的技术基础。鉴于HOOK技术被绝大多数病毒和流氓软件所应用。微软明确的表示在64位机器的操作系统上不再支持现有的绝大多数HOOK。也就是说,目前基于应用层加密的防泄密软件在64位平台上必须重新开发。所以我们认为,基于应用层加密在可扩展性,可持续性方面的劣势决定了它不是一个好的选择对象。 

驱动层加密是在操作系统的内核底层驱动完成加密动作的。这样做的好处是,无论是哪种应用程序,加密模块都可以捕获到它的读写行为,但是它为此付出的代价是必须去处理好windows底层那种非常复杂的处理方式,并且与之结合,浑然一体。众所周知的是windows不像Linux公开所有代码,关于其底层处理的技术文档非常少。因此很多驱动层加密程序往往没有办法处理好,造成一种值得大家警惕的现象:演示的时候,非常完美,测试的时候仅仅有点小问题,等正式使用的时候,问题不断--文件损坏, 与杀毒软件冲突--频繁蓝屏。虽然说应用层加密也会损坏文件,但是客观的说,驱动层加密造成文件损坏的概率要大于应用层加密。 

存储介质.png

图:驱动层加密示意图

驱动层加密的典型流程示意图,从技术上说,驱动层绝对是领先应用层的。从企业的应用成本上来说,驱动层加密的优越性也是远远大于应用层的。因为您一旦选购了驱动层加密产品,无论是你企业采用什么样的应用软件,驱动层加密都可以应付自如而不需要二次开发,其可扩展性、优越性是显而易见的。但是驱动层容易和其他底层软件冲突,容易造成文件损坏却是不争的事实!我们经过无数次痛苦的折磨之后发现,原来造成文件损坏和与底层加密软件冲突的根源并不是驱动层这个技术架构的问题,而是windows的缓存机制。文件缓存一定会带来文件经常会被二次加密或部分加密,甚至不可逆转的损坏这类问题。具体的技术原理可以写一本书,就不在这里赘述。可以确信的是:目前没有任何方法可以彻底的清除缓存。退一万步说,即便是有这样的方法,你知道彻底清除缓存意味着什么吗?意味着每次读文件都要从物理磁盘去读,意味着你运行软件的速度会比目前慢10倍以上。 

以上的文字大致的帮您分析了一下如何选择一款透明加密软件,我们希望您明确的是:如果您选择了应用层加密,您就必须意识到您可能没有办法对所有的应用软件做透密加解密处理,您可能继续需要为这个产品的二次开发投入金钱,同时偶尔还会坏几个文件。如果您选择了驱动层加密,请您一定要严密的测试,考察,看这个产品是否会损坏文件。


如何选择适合单位需要的文件加密软件?

加密软件以其透明强制加密之显著特性,已经成为广大企业的电子文档保密方案之首选。越来越多的企业正在准备或已经着手对加密软件产品的选型。但如何选择一个适合企业的加密软件呢?

同时,当前国内加密软件厂家众多,推出的产品也大同小异,厂家销售人员也常常讲的天花乱坠,让人感觉无所不能。面对市场上众多,宣传上类似的产品,企业一旦着手开始选型工作时,选型人员往往会不知所措。笔者以自己的实践经验,这里总结了以下几个方面供用户参考,可以将用户选型的风险降低很多。具体如下:

1、加密软件产品的稳定性

基于驱动级架构的加密软件,虽然加密强度很高,不容易被破解。这种产品做起来不容易,开发出稳定的产品难度极高。这就需要用户在选型之前,尽量在各个使用场景进行全方位、充分的测试,以确保加密后的电脑文件可以顺利解密,防止因为加密软件自身的bug而导致加密后的文件破坏、无法解密的情况出现。

此外,判断加密软件产品的稳定性如何?还可以从两个方面着眼:一看产品有多少用户,二看用户有多大规模,三看企业的同行业是否有该产品的典型用户,其应用的效果如何。

2、厂家的技术服务能力

加密软件不同于其他软件,一旦出现问题轻则导致无法实时解密和还原加密的文件,重则导致加密软件丢失、破坏。为此,我们就需要厂家可以提供实时的、切实有效的售后服务,包括在一定条件下的上门服务。

3、结合企业保密需求来选加密软件

在加密软件的选项过程中,由于网络管理人员往往缺乏专业的加密软件技术知识,容易被厂家的销售人员忽悠;同时,很多选项人员,往往贪大求全,倾向于选择一些功能较为全面、加密程度较高的加密产品,而往往忽视了或者不太清楚单位真实的加密软件需要。由此经常导致企业选型的加密软件不能满足企业具体的加密需求,或者往往只是用到其中很少的一些功能,造成了投资的浪费。

因此,企业选型加密软件,必须满足企业当前的文件加密需求以及长远的文件加密需求,在保证加密功能可以满足企业需求的前提下,寻求成本最优的加密产品。

4、研究具体指标,不盲信偏听

很多加密软件厂家处于经济利益和市场宣传的需要,常常宣称自己是“行业领导者”、“业界第一”、“第N代技术”等等,其实加密软件厂商目前规模大多不大,目前并没有形成绝对领先的厂家。只能说各家的产品各有特色,企业应坚持“只选对的,不选贵的”选型原则。在加密软件还未出现绝对优势品牌之前,选择稳重、扎实、贴近客户的公司更可靠。即使是号称“大公司”的产品,也要看其公司的主业,如果他的主业是卖硬件的,现在做加密软件,这种公司不一定可靠,因为加密软件是其副业,投入这个市场的目的就是为了赚钱,万一无法赚到钱,其后果可能是战略转型,用户的风险未必会减小。

5、选型电脑加密软件前后要有备选方案

无论选型过程中如何认真仔细,始终还是存在选型不当的风险。这就需要用户要有后路,事先规划备选方案。比如,所选软件一定要提供扫描解密所有加密文件的功能。最好在选型时就用软件实际验证一下。当然,如果能在上加密软件之后,建立进行定期明文备份制度更好。

6、购买之前充分测试、试用

要不要试用,取决于企业本身是否有相应的技术人员,如果没有比较懂软件的人试用,是没有什么效果的。因此试用不能简单的安装,一定要真正的应用,做好复杂情况下的压力测试,充分考虑硬件的兼容性。

如果通过前面介绍的几点方法,能够立马分出高下,试用更多的是验证软件能否满足需求;但当出现两家接近的情况,则需要通过试用进一步验证哪一家产品更优。此时,试用的重点不仅在于透明加解密的功效,同样要验证该软件是否与企业的管理相符,以及是否与厂家的宣传相符,也是考验厂家是否诚实的重要标准。

7、结束语

加密软件的选型,很多企业都是从技术出发,比拼各家算法强度。加密软件厂商也是各自宣称自己的技术优势,比如钩子技术、驱动技术、第三代、双缓冲技术…… 抛开这些的技术名词,笔者认为加密软件选型重在十六个字:“功能稳定,强度适中,使用方便,服务到位”,希望用户在选型过程中可以参考。


大势至电脑文件加密软件的领先优势

大势至电脑文件加密软件基于全球最强的椭圆曲线算法构建的电脑文件加密技术,不仅可以加密电脑磁盘文件,而且还可以对移动存储设备进行高强度加密,所有加密文件不可以通过任何方式逆向或解密。同时,不同于同类加密软件解密后无法再次控制其访问权限,即便通过大势至电脑文件加密软件界面后,依然还可以控制解密后的文件访问权限,实现了文件的全程操作控制,最大限度了保护了被加密文件的安全。

1、大势至电脑文件加密软件的功能

1)泄密途径的全面控制:常见的泄密途径包括U盘拷贝、QQ等聊天工具的剪贴及文件传输、webmail发邮件、打印、截屏工具的使用等。U盘拷贝、QQ传文件及webmail的文件发送在加密软件得到运用后,传输的应该都是密文,如果经过测试(将文件传输到未装加密软件的电脑,显示为密文)后功能正常,则应该重点考察通过剪贴板能否拷贝、通过屏幕拷贝(一种是使用Windows快捷键PrtScr或者ALT+PrtScr,另一种是使用一些可以捕捉屏幕的软件,比如QQ等)显示是否是密文、是否禁止打印等。此外,针对OLE插入、拖拽、文件修改进程名等较少用的泄密方法也要进行测试。如果泄密途径无法得到有效控制,信息安全就无从谈起。

2)文件权限的灵活管理:为了提高文件的安全,大势至电脑文件加密软件同时具有文件的权限管理功能,即在企业内部,各个部门之前的文件可以有选择的进行流通,这样,可以防止机密信息在企业内部之间的扩散。同时还可以独家实现不解密而单独打开加密软件的功能,阅读后自动“返回”到加密文件里面;同时还可以实现对解密文件的二次访问权限控制功能,独家实现只让读取解密文件而禁止复制解密文件、只让修改解密文件而禁止删除解密文件以及只让打开解密文件而禁止另存为、打印或拖拽解密文件的行为,极大地保护了解密后文件的安全。

3)重要文档的自动备份:大势至电脑文件加密软件可以实时、自动备份重要的电脑文件,有效地防止重要文档被人为破坏或恶意删除。

4)电脑文件操作的记录的功能:本系统可以对文件打开、复制、拷入拷出、解密、备份的情况进行记录,并可以形成详细的文件操作访问日志。因为技术不可能解决100%的泄密问题,这样可以做到事后有迹可查,可第一时间作出有效措施,减少损失。

5)文件离线的管理:本系统在员工短期办公或外出出差、出差天数变更时能提供方便、安全的解决方案,发挥加密软件的最大效用。

6)电脑文件外发/解密的管理:本系统对外部门因工作需要将公司内部文档进行外发时,具有安全的外发方案:外发/解密得到授权并保存记录、最好能控制外发文件的阅读次数及有效阅读期以防止二次扩散。

7)企业的特殊需求:大势至研发团队可以根据用户的需要随时定制开发各种电脑文件防泄漏、电脑文件加密功能,最大限度满足用户个性化的电脑文件安全管理需要。

2、大势至电脑文件加密领先优势如下

1)强大的防脱机加密方式,只要文件被加密过,即便转移到其他存储设备上也会依然保持加密状态。

2)如果不希望重要的文件夹被发现,使用本系统的超强深度隐藏功能,即可瞬间隐藏整个文件夹。

3)对于本系统的管理员账户,访问加密文件夹无需输入任何密码,深度隐藏的文件也可以顺利发现。

4)软件本身具备强大的自我保护功能,防止删除、病毒干扰,防破解。

5)军工级别的加密算法,确保文件夹被严格加密,目前技术条件下没有任何办法可以破解。

6)软件设置简单、应用简便,新手也可以在短时间内尽快上手。

7)本加密软件适用于电脑加密文件夹/万能文件加密/移动硬盘加密/U盘深度加密/各类文档设计方案加密。

8)独家实现不解密查看加密文件的功能,并且用户查看后无需再次进行加密,方便了用户的读取和使用,又保护了加密文件的安全。

9)独家实现对解密后的文件访问权限控制功能,可以只让读取解密后的文件而禁止复制内容、只让修改解密后的文件而禁止删除、只让打开解密后的文件而禁止另存为本地磁盘,同时还可以防止拖拽、打印解密文件的行为。

10)独家实现对加密、解密文件的防泄漏功能,可以严防通过U盘、移动硬盘等USB存储设备和通过邮件、网盘、FTP文件上传以及聊天软件发送文件的方式将电脑文件泄漏出去,从而实现了对电脑文件安全的二次防护。

总之,大势至电脑文件加密系统是当前国内首家的专业电脑文件防泄密和电脑文件加密相结合的文件安全管理软件,通过对电脑文件泄密管道和电脑文件高强度、不可逆向的加密技术,使得大势至电脑文件加密系统可以最大限度地保护电脑文件安全,保护单位无形资产和商业机密的安全。

同时,大势至公司研发团队也会密切关注用户的需要,并可以为用户定制开发各种个性化的电脑文件防泄密、电脑文件加密功能,从而可以确保用户可以实现真正有效的电脑文件保护的目的,为单位创造良好的管理收益和经济效益。