透明加密软件发展动向

    前言

    透明加密是一种根据要求在操作系统层自动地对写入存储介质的数据进行加密的技术。透明加密软件作为一种新的数据保密手段，自2005年上市以来，得到许多软件公司特别是制造业软件公司和传统安全软件公司的热捧，也为广大需要对敏感数据进行保密的客户带来了希望。加密软件上市以来，市场份额逐年上升，同时，经过几年的实践，客户对软件开发商提出了更多的要求。与加密软件产品刚上市时前一两年各软件厂商各持一词不同，经过市场的几番磨炼，客户和厂商对透明加密软件有了更加统一的认识。本文就六个方面对透明加密软件的发展动向进行了简要的分析。

    1. 驱动层加密技术成为透明加密的主流技术

    目前市面上的透明加密软件，基本上只支持Windows平台。透明加密的实现主要有两种技术，一种是应用层（API）的透明加密技术，一种是核心层（Kernel，又叫驱动层）的透明加密技术(图1)。应用层的开发难度低（Windows Hook技术），但对应用程序的适应性差，同时加密多种应用程序时相互干扰大，因此，有些厂商为适应不同程序加密要求开发出独立针对某种软件的加密软件版本。驱动层透明加密技术是通过Windows提供的可安装文件系统（Installable File System）开发接口写设计一个文件过滤驱动，通过此驱动实现透明加解密功能。由于驱动开发要与windows更核心层打交道，此方面的开发人才比较少，相对开发难度也高。驱动层的透明加密技术由于与操作系统的文件系统结合紧密，加解密效率更高，控制更加密灵活，运行更加稳定。但要充分考虑到与Windows及其它应用在驱动层软件的兼容，如杀毒软件，否则会导致windows蓝屏。

图 1

    对客户而言，透明加密软件采用什么技术并不是他们关心的重点，他们主要关心的是加密软件产品本身的稳定性、安全性和使用方便性。应用层透明加密技术和驱动层加密技术的特点使得驱动层透明加密软件有更多竞争上的优势。经过市场几年的考验，加密软件厂商都逐步认识到，驱动层透明加密技术才是加密软件可靠的技术。于是我们可以看到，新切入市场的加密软件厂商的产品都是采用驱动透明加密技术，一些原来采用应用层透明加密技术的老牌加密软件厂商也放弃最初的应用层技术，转而从头开始研发驱动层加密技术。

    2. 透明加密软件产品市场开始细分，加密软件产品线更丰富

    客户需求永远是产品发展的指南针，透明加密软件市场也不例外。透明加密软件市场兴起之初，所有厂商都采用同样的宣传模式，更有甚者，一些厂商直接抄袭其他同行的宣传资料。现在看来，当时大家都是在介绍透明加密的好处，并没有体现自身产品的优势。当然，当时各厂商对加密软件市场需求不了解是主要的原因。随着两年多来与客户面对面的交流和碰撞，透明加密软件产品厂商对市场有了更深入的认识，产品定位和发展也有了新的动向。

    透明加密技术刚出现时，主要卖点就是强制加密，也可以说强制加密成了透明加密的代名词，市场定位清一色定位于单位内部的强制加密。所有厂商不管是网络版本还是离散授权使用版，都是冲着强制加密来的。因此，产品只有强制加密指定应用程序生成的敏感文件一种，预期的客户也基本上都是单一的局域网用户。其实，一方面客户不仅担心文件从内部泄密，而且也必须考虑文件从外部泄密；另一方面，不但群体客户有保密需求，一般的个人PC用户也存在大量的文件加密需求。因此，更多地透明加密产品也应运而生。

    对于某些企业而言，其合作伙伴也是可以接触到其敏感文件的。因此，企业需要对发放到外部（如供应商）的敏感文件进行控制。针对客户此类需求，部分厂商开发了控制外发文件时效、打印权限等的外发文件控制版本，也有叫防二次扩散软件的。

    文件保密需求不但在企业有，对个人而言也是很有必要的，网上流传的这样那样的文件、文件夹加密大王、大师就是很好的证据。透明加密很适合做成强制加密的企业版本，但透明加密决不等于强制加密，它同样适合于个人加密的需要，甚至比现有的个人加密软件技术更先进，使用更方便。因此，有些厂商也感觉到了这块市场的存在，纷纷推出个人版本的透明加密软件。

    总之，市场需求的发展催进了透明加密技术在各个领域的应用。不仅是企业有着将安全延伸至整个供应链的需求，而且个人PC用户也期望着更多更好的透明加密技术产品。随着市场的进一步发展，必将会有更多更优秀的产品/版本面市。

    3. 密文自动备份成为必备功能

    数据存储是个复杂的过程。透明加密软件对Windows操作系统的存储和读取进行干预，难免不会出现这样那样的问题，导致加解密过程失败，甚对文件造成无法挽回的损失。加密软件的其它bug客户可以接受，但对文件造成无法挽回的破坏、或经常出现需要对异常密文进行修复的情况，将直接影响客户的正常工作，客户是无法接受的。实际上，只要存在加密，就存在数据紊乱的风险。加密技术在传统应用领域――通讯加密――至今也没有完全克服。但是通讯加密产品都会将报文以冗余地方式进行发送。借鉴这一思路，文件加密也可以用冗余地方式降低数据紊乱风险，这就是密文的自动备份。所谓的密文自动备份，是指当有密态文件写入存储介质时，系统会自动地在指定位置（可以是本地，也可以是远程）中自动生成一份文件副本。一些有远见的厂商在不断加强自身软件稳定性的同时，也学习其它软件的自动备份功能，在密文保存过程中进行自动备份，以防不测。

    自动备份可以看作是一项预防措施，或保险措施。作为与存储密切相关的透明加密软件产品，自动备份功能应该成为一种标准功能。参考其它如office、AutoCAD等传统软件，加密软件应该还要有对异常密文自动修复的功能。