近期热点
·信息网络安全防范的几种措施
·企业网络安全的规划设计与实践
·网络安全之我见
·制造执行系统(MES)的应用与发展
·PDM与CAX、ERP集成技术研究
·微波EDA电磁仿真软件应用
 相关文章
·安全智能卡技术在企业信息安全中的应用
·国内数据安全的发展方向
·商业密码芯片的研究与开发
·PKI与PMI联合安全认证系统
·“IT资源管理与文档加密”守卫内网安全
·PDM系统安全架构中的加解密算法研究
 相关博客
·守好最后的防线 企业文档加密系统综述
·企业加密常用的加密算法介绍
·2007透明加密一览(4)-撰写中
·2007透明加密一览(3)-选择透明加密产品的方法以及市场准入条件
·2007透明加密一览(2) -透明加密原理和产品分类和关键评价指标
·2007透明加密一览(1)-企业为什么青睐透明加密?
 相关新闻
·
飞天诚信加密锁产品签约浪潮集团
·
加密技术专家称iPhone永远都没有安全可言
·
动态加密技术星火燎原 内网信息安全防患未然
·
飞天隆重推出ROCKEY SMART
·
调查显示:加密产品仍是国内信息安全市场主流
 相关热贴
·文件加密软件(协乐安全卫士)
·[分享][转帖]文件加密软件
·[讨论]文件加密问题
·[讨论]文件加密问题
·[讨论]文件加密问题
·XLSafeGurd协乐安全卫士文件透明加密、网络监控系统
 相关商城商品
 
 
当前位置:基础信息化 -> 数据加密
 
浅谈计算机文件数据保密方法
发表时间:2006-1-23 武汉风奥软件技术有限公司  张文华   来源:e-works
关键字:加密 
计算机的普及应用已经深化到企业的各个领域,信息化使得企业都存在大量电子数据。信息化使得企业对内对外信息交流更加方便快捷,同时也给数据安全带来了巨大的隐患。这种隐患不但来自于企业外部,更多来自于企业内部。

    前言

    计算机的普及应用已经深化到企业的各个领域,信息化使得企业都存在大量电子数据。信息化使得企业对内对外信息交流更加方便快捷,同时也给数据安全带来了巨大的隐患。这种隐患不但来自于企业外部,更多来自于企业内部。据FBI/CSI2003年对284家企业的网络安全检查统计,85%的数据威胁来自于企业内部。


    
    由于信息和资源共享,计算机文件数据泄密方式也非常之多,最常见的便是通过拷贝和网络泄密。因此,当前的计算机文件数据保密方法多是通过封堵接口、限止邮件发送等方式来实现的。目前市场上主要有以下三类保密系统。
   
    1.内网络行为监控与审计系统;
   
    2.文件权限集中管理系统;
   
    3.文件自动加解密系统;
   
    下面分别就这几种系统作简单的描述:
   
    内部网络行为监控与审计系统
   
    内部网络行为监控与审计系统的原理是,通过客户端软件来实时地监视计算机用户的各种行为,并以企业内部的安全保密规定为依据,来判断用户的行为是否可以被允许通过。对于违规的操作,系统会报警或拒绝执行。对于所有的操作,系统可以详细加以记录以便日后审计追查。这种系统的基本思想在于"堵漏洞"。
   
    这种系统的优点是在一定程度上可以约束计算机用户的网络行为,降低了内部人员对企业网络发起攻击(无意的误操作或有意的恶操作)的风险。由于基本思想是在于堵漏洞,而我们知道现在的计算机技术发展非常迅猛,并且各大软硬件厂商都强调信息共享,所以所谓"漏洞"几乎是层出不穷且日新月异。要想完全地将所有漏洞全部堵死,从现在的眼光来看已经实属不易;从发展的眼光来看,将防不胜防。所以这种系统具有一个非常明显的缺点,它将用户带到了一个两难的境地:用户要么为了必要的、正常的工作交流而留一些"口子",从而大大降低系统的可靠性;要么就堵死所有的"漏洞",以牺牲方便性为代价来换取严格的安全性。
   
    文件权限集中管理系统
   
    与内部网络行为监控与审计系统不一样的是,文件权限集中管理系统的管理重点从网络转移到了数据载体――文件的本身。这种系统的原理是:每一个涉密文件都加密,并且在加密的时候由文件的所有者来指定哪些人可以分别以哪些权限(只读、打印、编辑、复制等)打开这个文件,以及能够打开几次。这些文件权限被保存在用户自己的权限服务器上,而这些文件可以放心大胆地放出去。得到这些文件的人如果要打开文件,则需要连线到权限服务器上验证他的权限。
   
    这种系统的优点在于:①它的保护对象不再是抽象地网络,而是具体的文件;②每一个人针对文件的权限是受控制的,且可以随时更改。
   
    但是这种系统也有其自身的不足:
   
    由于权限服务器既需要向内网用户提供验证服务,也要向外网用户提供验证服务,所以它自身的安全需要严密保护。为此,用户需要更多地投资于该服务器及其周边安全子系统(例如防火墙、入侵检测、身份认证)。
   
    由于需要一个数据库来记录每一个人针对每一个文件的权限,所以这种系统通常都需要一个庞大的数据库作后台支持。这不仅增加了用户的软件投资,也增加了系统的维护难度。
   
    所有的用户必须要能够和权限服务器能够通讯,否则无论是谁都无法使用涉密文件。这给这种系统带来了很大的局限性。
   
    可以保护的文件类型有限。这种系统虽然可以保护常见类型的文件(例如Word的doc文件、AutoCAD的dwg文件),但是不是所有的文件都能够保护。
   
    效果有限。即便用户承受了上述所有的不足,保密效果依然是不严密的。这种系统却是在文件已经生成,已经作为明文可以被拷贝了之后,才会得到这种系统的保护。但是我们知道家贼难防,家贼们如果有所企图,早就在文件还没有被保护的时候下手了。所以,这种系统重于防外,轻于防内。
   
    文件自动加解密系统
   
    和文件权限集中管理系统一样,文件自动加解密系统也是将管理对象锁定在文件本身。但是这种系统极大地消除了前者的弊病。
   
    这种系统的原理是:只要硬盘上生成的文件符合用户涉密文件的特征,系统一概自动地、不受人工干预地予以强制加密。而这种加密文件(简称密文)在企业内部计算机(或称涉密机)上可以正常地识别打开,在系统监管范围以外的计算机上却无法正常打开。
   
    这种系统的有如下优点:
   
    具有非常可靠的严密性。一旦数据从内存到达硬盘成为有可能被复制的文件,系统就自动地、不受人工干预地予以强制加密。
   
    具有很高的方便性。密文在被应用软件调用的时候,系统可以自动地、无需人工干预地进行解密(并非解密到硬盘,而是解密到内存,而内存中的数据是足够安全的)。由于这一特性,用户在保存、打开、编辑这些涉密文件的时候,无需任何多余的操作,也无需记忆密码(或称"口令")。
   
    不限止计算机应用。与前两种保密方法相比,这种系统不需要对计算机接口、上网、发邮件等进行限止,即方便正常使用,又起到了保密的效果。
   
    小结
   
    文件保密软件市场目前正在成熟之中,各厂商也是各尽所能,不断推出各种保密软件产品。当然,大多数还是以个人和手动为主。对企业应用还缺乏深入的研究。2005年文件自动加解密市场如雨后春笋,涌现出不少开发厂商,产品各有千秋。这也预示着文件保密软件市场的崛起。

 责任编辑:张飞