《企业数据安全,防泄密解决方案.docx》由会员分享,可在线阅读,更多相关《企业数据安全,防泄密解决方案.docx(21页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、 (Secret Data Cage)机密数据保密系统技术白皮书技术白皮书苏州深信达2023 年 10 月1/20苏州深信达信息技术 cnsinda 目录第一章. 概述31.1 常见的机密电子文件泄密途径31.2 防泄密的现状31.3 深信达SDC 机密数据保密系统4其次章 SDC 系统介绍62.1 SDC 系统架构62.2 SDC 系统功能72.2.1 客户端涉密文件自动加密72.2.2 涉密网络内部通畅,隔离外来PC72.2.3 非涉密受限白名单82.2.4 涉密文件外发92.2.5 打印内容日志102.2.6 离线客户端102.2.7 客户端涉密文件自动备份102.2.8 涉密文件加密导
2、出导入112.2.9 效劳器端数据保护12第三章 SDC 系统特点133.1 沙盒加密是个容器,和软件类型无关,文件类型无关133.2 能和文件共享效劳器,应用效劳器无缝结合133.3 安全稳定,不破坏数据133.4 使用便利,操作机密数据的同时,可以上网143.5 超强的反截屏14第四章 推举运行环境154.1 治理端可以和机密端装在一起154.2 机密端可以和治理端装在一起154.3 外发审核效劳器可以和治理端装在一起154.4 客户端15第五章 关于深信达165.1 深信达介绍165.2 联系我们错误!未定义书签。附录一:透亮加密技术进展17附录二:SDC 沙盒资质及成功客户错误!未定义
3、书签。 (Secret Data Cage)机密数据保密系统技术白皮书第一章. 概述1.1 常见的机密电子文件泄密途径近年来,电脑以及互联网应用在中国的普及和进展,已经深入到社会每个角落, 政府,经济,军事,社会,文化和人们生活等各方面都越来越依靠于电脑和网络。电子政务,无纸办公、MIS、ERP、OA 等系统也在企事业单位中得到广泛应用。但在这个进展潮流中,网络信息安全隐患越来越突出,信息泄密大事时有发生。众所周知,电子文档极易复制,简洁通过邮件,光盘,U 盘,网络存贮等各种途径传播。企事业的机密文档,研发源代码,图纸等核心技术机密资料,很简洁经内部员工的主动泄密流转到外面,甚至落到竞争对手手
4、中,给单位造成极大的经济与声誉损失。常见的泄密的途径包括:- 内部人员将机密电子文件通过 U 盘等移动存储设备从电脑中拷出带出;- 内部人员将自带笔记本电脑接入公司网络,把机密电子文件复制走;- 内部人员通过互联网将机密电子文件通过电子邮件、QQ、MSN 等发送出去;- 内部人员将机密电子文件打印、复印后带出公司;- 内部人员通过将机密电子文件光盘刻录或屏幕截图带出公司;- 内部人员把含有机密电子文件的电脑或电脑硬盘带出公司;- 含有机密电子文件的电脑由于丧失,修理等缘由落到外部人员手中。- 外部电脑接入公司网络,访问公司机密资源盗取机密电子文件泄密- 内部人员将通过 Internet 网络存
5、储,进展保存。 。1.2 防泄密的现状为解决这些泄密风险问题,很多单位实行撤除光驱软驱,封掉USB 接口,限制上网等方法来进展限制;或者安装一些监控软件,监控员工的日常工作,使其不敢轻举妄动;或者安装各种网络信息安全防护产品,如防火墙,入侵检测,防病毒产品等来防范黑客攻击和病毒侵袭。但人们很快觉察,限制上网、封闭USB 接口、撤除光驱软驱、安装监控软件等等做法一方面严峻影响工作的便利性,并简洁引起员工的抵触心情,甚至可能会带来法律方面的问题;另一方面还是无法根本杜绝有意的内部泄密行为,同时存在因噎废食之嫌。大量事实也证明这些方法效果不是很好,主要存在的弊端为:- 影响员工工作心情甚至造成法律纠
6、纷;- 增加企业运营本钱,降低工作效率;- 无法防止软件研发人员泄密;- 精力都花在泄密后的事后追溯上;3/20苏州深信达信息技术 cnsinda (Secret Data Cage)机密数据保密系统技术白皮书1.3 深信达 SDC 机密数据保密系统技术处于国际领先的深信达公司研发的SDCSecret Data Cage机密数据保密系统,承受世界上最先进的第三代透亮加密技术-内核级纵深立体沙盒加密技术, 是特地为解决源代码,图纸,文档等机密数据泄密问题而设计的一套防泄密系统。现在的企业都有自己的局域网,一般主要核心机密数据存放于效劳器上,一部分存储在员工在自己的电脑上。SDC 的保密设计理念是
7、:当员工工作的时候,在员工电脑上虚拟出一个对外隔绝的加密的沙盒,该沙盒会主动和效劳器进展认证对接,然后形成效劳器-客户端沙盒 这样一个涉密的工作空间,员工在沙盒中工作,这样一来:-效劳器上的机密数据在使用过程中不落地,或落地即加密。-员工电脑上的全部开发的成果只能存放到效劳器上,或者本地的加密沙盒中。-沙盘是和外界隔绝的,所以不会泄密。SDC 加密的沙盒,是个容器,什么都能装;加密自身不关心个体是什么,所以和进程无关,和文件格式无关,和文件大小无关,不会去破坏文件。也不像其他的加密软件一样,修改文件自身内容。SDC 沙盒示意图客户端在接触涉密资源的时候,自动启动一个加密的沙盒,沙盒是个容器,把
8、涉密软件,文件扔到沙盒容器中加密。而这个容器是透亮的,使用者感觉不到它的存在。SDC 承受最先进的内核级纵深加密技术磁盘过滤驱动,文件过滤驱动,网络过滤驱动等进展开发设计的,充分考虑了扩展性,易用性。系统本身集成网络验4/20苏州深信达信息技术 cnsinda 证,文件加密,打印掌握,程序掌握,上网掌握,效劳器数据保护等,能有效防止外来 PC,移动存储,光盘刻录,截屏等泄密行为发生。其主要特点为:- 全透亮加密,不影响员工工作效率和习惯;- 可以保护全部文件格式,包括全部文档格式,全部源代码格式,图纸格式;- 安全稳定,不破坏文件;- 只保密机密数据(源代码,图纸)而不监控不泄密的上网,敬重了
9、员工隐私。- 外发文档审计,加密,防泄密处理;- 外发邮件申请,审计业务流。使用深信达 SDC 沙盒数据保密系统,可以切实保护企机密数据的安全。SDC 机密数据防泄密系统示意图适合的行业包括:- 软件、通讯、玩耍、制造、电力、金融等拥有研发设计部门的企事业单位;- 拥有自己的研发部门,具有肯定的技术优势企业;- PDM/ERP/文档治理/OA 等应用系统的开发商;- 全部需要对自己的机密信息保密的企事业单位。其次章 SDC 系统介绍2.1 SDC 系统架构深信达 SDC 机密数据保密系统分治理端,机密端,外发审核效劳器,客户端四局部。治理端是整个系统的掌握中心,系统中只有一个;机密端是存放机密
10、数据的效劳器,一个系统中允许有多台机密效劳器;外发审核效劳务器是对外发文件进展审核;客户端是安装在员工 PC 上的防泄密策略的执行程序。依据需要,治理端, 机密端,外发审核效劳器可以安装在同一台电脑上。SDC 防泄密系统架构图治理端:对系统中的机密端,客户端进展策略治理,组织治理;客户端日志收集;企业加密密钥治理;客户端卸载治理;机密效劳器,外发审核效劳器认证治理;机密端:保存机密数据的效劳器,对来访用户进展严格审计,加密认证。可以是文件共享效劳器,ERP,PDM 效劳器,文档治理系统。或者是VSS,CVS,SVN 文件版本治理效劳器。非客户端无法访问机密端。外发审核效劳器:对外发的邮件,文件
11、进展审核,对于涉密文件可自动加密。外发结果记录。客户端:透亮加密解密,真正和格式无关的加密。可信网络认证,机密资源认证。打印掌握,制止打印,指定打印机打印,打印内容日志回传。离线掌握;文档外发等2.2 SDC 系统功能2.2.1 客户端涉密文件自动加密SDC 承受内核级纵深加密技术,对全部涉密文件都进展透亮加密处理,真正做到不区分文件格式,不区分软件类型。只要是涉密信息,不管Office 系列,PDF 等常用文档,还是AutoCAD 等制图类软件,或者是Microsoft Visual Studio, Eclipse 等软件开发工具,一律自动加密,不但包括源代码,源图纸,而且编译中间文件等都自
12、动加密,关键的是不影响本地编译,不影响性能。对于需要提交效劳器进展编译的也能轻松适用。客户端透亮加密解密示意图加密的数据不能通过移动存储(如 U 盘),光盘,网络,邮件,文件另存,内容复制,截屏录屏等泄密途径泄密,甚至把硬盘拔走都不会造成泄密。2.2.2 涉密网络内部通畅,隔离外来 PC机密效劳器和进入涉密沙盒模式下的客户端,形成一个涉密地,安全的网络空间,在涉密网络内部,信息传输是透亮的,流畅的。传输方式包括文件共享, C/S客户端和治理端B/S扫瞄器/效劳器构架的应用,和布置 SDC 前比,没什么区分。涉密网络内,飞秋,IPMSG 等局域网内部谈天工具照常可以使用。但是,没有进入沙盒模式的
13、客户端,或者外来 PC 接入网络,由于无法通过认证,马上被隔离,成为孤岛,不能访问机密效劳器,不能访问其他涉密客户端,局域网通讯工具也无法和涉密的客户端进展对话。外来 PC 被隔离示意图2.2.3 非涉密受限白名单在策略允许前提下,客户端在涉密工作的同时,在保证不会泄密的前提下,允许安某些程序进展非涉密上网。在策略允许的前提下,上网可以进展的行为包括:-扫瞄互联网进展必要的资料查询;-QQ,MSN,飞信的使用;-非涉密邮件的使用,如WebMail 或者 OutLook/Foxmail 的非涉密收发邮件; 上述非涉密上网过程中,涉密的文件内容无法通过复制粘贴,文件上传,鼠标拖拽,屏幕截取等方式被
14、非涉密程序使用。举例说明:用户正在编辑涉密的一个 AutoCAD 图纸,此时可以通过 IE 上互联网查找资料,通过QQ 和业内人士争论,但是涉密AutoCAD 中的图片,文字,文件等都无法通过 IE 和 QQ 发送出去。QQ 的截屏等任何截屏软件,录屏软件都无法截去涉密 AutoCAD 画面。安全隔离非涉密受限上网示意图固然,假设觉得该员工上网会影响工作效率的话,通过策略设定,可以把外网完全断开。安全隔离上网功能,极大地提高了员工查找资料的便利性。 (Secret Data Cage)机密数据保密系统技术白皮书2.2.4 涉密文件外发当业务需要把涉密文件拿出涉密环境时,必需走 SDC 的外发审
15、核流程才能脱密。SDC 系统供给了明文外发,加密外发和邮件外发三种方式。下面简洁做下介绍。明文外发:当业务需要,需要把涉密的文件以明文的形式拿出涉密环境户时,需要走明文外发审批流程,经过审批后的涉密文件,可以通过邮件,QQ,U 盘等方式外发给客户。假设外发的文件格式为 PDF,审核时可以为该文档添加公司标识的水印。每个外发出的 PDF 格式文件都包含了签名,通过该签名,可以推断出该文件是谁什么时间申请外发的,谁什么时间审批的。审批支持多级审批,如组员-组长-经理-副总的多级审批模式加密外发:当业务需要,需要把涉密的文件发给客户,同时还期望掌握该文件的使用范围, 则可以使用加密外发业务流程。加密
16、外发的文件发到客户处,被客户使用时,需要 密码验证,并且可以设定使用次数,使用时间,能在哪台 PC 上翻开等,该文档是否允许修改,复制,打印等,也可以设定。邮件外发:为了提高效率,系统支持可信邮件地址列表和可信发件人。可信发件人向可信邮件地址列表中发送带有涉密文件的邮件,无需审核,直接发送。以上三种涉密文件外发审核流程,都是申请-审核-外发,并且日后有日志可以审核。总之,涉密数据依据需求需要离开机密环境时,需要走审核流程。固然,企业9/20苏州深信达信息技术 cnsinda (Secret Data Cage)机密数据保密系统技术白皮书治理者假设觉得流程麻烦,可以只看发送日志,简化审核流程。2
17、.2.5 打印内容日志系统默认策略是不允许打印,当需要打印时,可以指定打印机进展打印,但是打印的首页面内容将被记录并传会效劳器,以备日后审计。2.2.6 离线客户端对于需要出差或者带回家的笔记本电脑,可以设定为离线客户端,在规定的时间内,可以连续使用本地的涉密数据。离线使用时,全部涉密文件都还处于加密状态,工作人员可以连续正常作业。但假设超过设定的期限,全部涉隐秘数据都自动关闭,整个系统将处与保护状态,直到返回公司接入网络连接效劳器后,才能正常工作。假设万一笔记本电脑丧失或被盗,由于对方没有解密口令,全部涉密数据都处于保护状态,重安装系统,硬盘插拔等,都无法猎取电脑中的机密数据。当客户端策略过
18、期而又无法回公司时,系统治理员可以对其进展策略延长。2.2.7 客户端涉密文件自动备份依据策略,可以设定客户端的涉密文件自动向效劳器上进展备份。这样就能有10/20苏州深信达信息技术 cnsinda 效防止客户端使用人员恶意删除数据行为(如该员工离职,不作交接就把本地数据格式化了)。也能防止客户端特别造成的重要数据遗失。客户端涉密文件自动上传2.2.8 涉密文件加密导出导入客户端可以把某文件加密导出,然后发给另一个客户端,再解密导入,整个过程不泄密。应用场景一:2 个人出差到外地,这 2 个客户端都是离线的,通过这个加密导入导出功能,能实现这 2 个客户端之间涉密数据交换。应用场景二:一个人出
19、差外地,现场依据客户需求开发调试,调试好了的东西,需要提交给客户,假设直接让解密,无法掌握该人把其他涉密文件拷贝出去。所以这个时候, 出差人员把要给客户的文件加密导出,然后发回公司,公司审核后,解密,走审核流程,然后把明文发给客户,形成有效掌握。应用场景三:2 个独立的分支公司(跨互联网),其中一个公司要把一个涉密文件发给另一个分公司,然后导入。客户端涉密文件自动上传2.2.9 效劳器端数据保护对于存储在机密效劳器上的数据,如 SVN 的存储名目,也可以进展保护,防止有人非法直接登录效劳器,把数据从效劳器上拷贝走。效劳器端文件保护第三章 SDC 系统特点3.1 沙盒加密是个容器,和软件类型无关
20、,文件类型无关SDC 承受第三代透亮加密技术-内核级纵深加密技术,加密沙盒是个容器,和应用软件类型,以及文件格式无关,不破坏文件自身内容。并且抗破解力量强,完全能满足研发机构的源代码保密,和图纸保密需求。目前为止,SDC 已经实施的客户中,开发环境包括:-Microsoft Visual Studio 平台的 MFC/ATL C+,C#.NET, VB 等的编写代码,编译调试。-Java,JSP 等开发工具 Eclipse,JBuilder,Websphere 等环境下的代码编写,开发调试。-各种小工具进展 PHP,ASP,CGI,C 等开发,调试。-嵌入式开发工具:WindRiver, To
21、rnado, AVCMonitor,Source Insight/ComAssistant。 。图纸设计研发类支持:-支持 AutoCAD,SolidWorks,UG 等全部图纸设计工具的开发,调试,不区分文件类型,软件类型。3.2 能和文件共享效劳器,应用效劳器无缝结合深信达SDC 机密数据防泄密系统能和现有的文件共享效劳器,文档效劳器,ERP效劳器,PDM 效劳器,OA 等 B/S 架构系统,C/S 架构系统,VSS,CVS,SVN 版本效劳器等无缝结合。原有系统如是Windows 平台,则不需要任何修改。效劳器端支持Linux 平台。3.3 安全稳定,不破坏数据涉密文件在效劳器上是明文,
22、到达客户端自动加密。效劳器上的数据要备份的, 效劳器上存放的是明文数据,从根本上保证了数据的连续,稳定性,削减了对加密 软件的依靠性。另外,由于承受的是第三代透亮加密技术,所以不管文件多么大, 多么简单,不会由于 SDC 系统造成文件破坏破损。3.4 使用便利,操作机密数据的同时,可以上网SDC 系统承受的是立体型全方位防泄密方案,一旦进入涉密状态,不转变原来的操作习惯。在策略许可前提下,允许通过非涉密受限上网,实现可以上网查阅资料而不泄密,收发邮件而不泄密,QQ 谈天而不泄密。3.5 超强的反截屏SDC 系统对涉密文档的屏幕也做了保护,防止被截屏。截屏键,截屏软件,录屏软件都无法截取涉密文档
23、的屏幕图像,反截屏技术在业内公认第一。反截屏效果说明图第四章 推举运行环境4.1 治理端可以和机密端装在一起-Windwos 2023 Server/Windows2023 Server-CPU:P4 以上 内存 2G 以上-空余硬盘:10G 以上支持磁盘阵列,NAS 等存储-其他要求:微软补丁打到最,支持 64 位操作系统4.2 机密端可以和治理端装在一起-Windwos 2023 Server/Windows2023 Server-CPU:P4 以上 内存 2G 以上-空余硬盘:10G 以上支持磁盘阵列,NAS 等存储-其他要求:微软补丁打到最,支持 64 位操作系统4.3 外发审核效劳器
24、可以和治理端装在一起-Windwos 2023 Server/Windows2023 Server-CPU:P4 以上 内存 2G 以上-空余硬盘:10G 以上支持磁盘阵列,NAS 等存储-其他要求:微软补丁打到最,IIS,.Net Framework3.5 安装,支持 64 位操作系统4.4 客户端-Windows xp/Windows7 32bit/Windows7 64bit/WindowsVista/Windows2023-CPU:P4 以上-空余磁盘:2G 以上-其他要求:微软补丁打到最,支持 64 位操作系统第五章 关于深信达5.1 深信达介绍深信达信息技术是专注于信息安全领域研发
25、的高科技企业,在信息防 泄密,主动防范领域等领域,处于国际领先水平。公司拥有一支由全国最顶尖的安 全专家组成的开发团队,在数据保密,主动防范等方面,取得了一系列拥有独立知 识产权的争论成果。我们基于多年的信息安全领域的争论与开发阅历,为国内政府、电信、金融、制造、能源、教育等行业客户供给信息安全解决方案以及风险评估, 询问等效劳。公司目前的主要产品为:SDC 机密数据保密系统(Secret Data Cage 简称 SDC):该系统承受第三代透亮加密技术-内核级纵深防范架构,技术先进,保密到位,在源代码,图纸,文档的保密 市场中,优势明显,先后成功为国内数家大型企业(1000 终端以上)和国家
26、涉密机关(500 终端以上)实施了数据保密方案。效劳器机密数据防泄密保护组件(DLP):该插件适合作为 CRM,OA,ERP,PDM,文档治理系统等的防泄密组件,能有效防止涉密数据集中。企业 U 盘存储治理系统:企业内的 U 盘只能在企业内部使用,拿出单位马上为密文。外部 U 盘在企业内是只读的或者制止使用的。深信达文件保险箱:供给用来防止个人信息泄密的的系统,该系统免费,目前拥有数万用户。有偿技术支持: 1文件透亮加密驱动库以及源代码。本技术虽然属于其次代文件透亮加密技术(IFS 或 Minifilter),但运行稳定,目前国内数家透亮加密厂家正在使用中。2) 反截屏技术模块库,反截屏技术国
27、内业界公认第一,目前也正在为数家安全企 业做技术支持。演示视频 :/v.youku /v_show/id_XMjM2MjA5NzUy.html :/ tudou /programs/view/zMId0n4tFd0/ (Secret Data Cage)机密数据保密系统技术白皮书附录一:透亮加密技术进展透亮加密技术是近年来针对企业数据保密需求应运而生的一种数据加密技术。所谓透 明,是指对使用者来说是透亮的,感觉不到加密存在,当使用者在翻开或编辑指定文件时, 系统将自动对加密的数据进展解密,让使用者看到的是明文。保存数据的时候,系统自动对 数据进展加密,保存的是密文。而没有权限的人,无法读取保密
28、数据,从而到达数据保密的 效果。自 WindowsNT 问世以来,微软提出的分层的概念,使透亮加密有了实现的可能。自上而下,应用软件(Word,Excel,VC+)应用R3 层APIHOOK内核R0 层文件过滤驱动网络过滤驱动)卷过滤驱动磁盘过滤驱动磁盘设备(文件实体)网络设备应用软件,应用层 APIhook(俗称钩子), 文件过滤驱动,卷过滤驱动,磁盘过滤驱动, 另外还有网络过滤驱动,各种设备过滤驱动。其中应用软件和应用层 apihook 在应用层(R3), 从文件过滤驱动开头,属于内核层(R0).数据透亮加密技术,目前为止,进展了3 代,分别为第一代 APIHOOK 应用层透亮加密技术;其
29、次代文件过滤驱动层内核加密技术; 第三代内核级纵深加密技术;第一代:APIHOOK 应用层透亮加密技术应用层透亮加密技术俗称钩子透亮加密技术。这种技术起源于win98 时代,后来随着windows2023 而流行起来。就是将上述两种技术应用层 API 和 Hook组合而成的。通过 windows 的钩子技术,监控应用程序对文件的翻开和保存,当翻开文件时,先将密文转换后再让程序读入内存,保证程序读到的是明文,而在保存时,又将内存中的明文加密后17/20苏州深信达信息技术 cnsinda (Secret Data Cage)机密数据保密系统技术白皮书再写入到磁盘中。应用层APIHOOK 加密技术,
30、特点是实现简洁,缺点是牢靠性差,速度超级慢,由于需要临时文件,也简洁破解。但由于直接对文件加密直观感觉格外好,对于当时空白的市场来讲,这一旗号确实打动了不少企业。其次代:文件过滤驱动加密技术驱动加密技术是基于 windows 的文件系统过滤驱动技术,起源于 WindowsNT 公布之后,其工作在 windows 的内核层,处于应用层 APIHook 的下面,卷过滤和磁盘过滤的上面。设计思想是建立当应用程序(进程)和文件格式(后缀名)进展关联,当用户操作某种后缀文件时对该文件进展加密解密操作,从而到达加密的效果。内核层文件过滤驱动技术,分IFS 和 Minifilter2 类。IFS 消灭较早,
31、Minfilter 消灭在xp 以后。两者的区分可以理解为VC+和 MFC 的区分,IFS 很多事情需要自己处理,而 Minifilter是微软供给了很多成熟库,直接用。由于 windows 文件保存的时候,存在缓存,并不是马上写入文件,所以依据是否处理了双缓bug,后来做了些细分,但本质还是一样,都是问题的修正版本而已。但由于工作在受 windows 保护的内核层,运行速度比 APIHOOK 加密速度快,解决了很多问题和风险。文件过滤驱动技术实现相对简洁,但稳定性始终不太抱负。第三代:内核级纵深沙盒加密技术之所以叫内核级纵深沙盒加密技术,主要缘由是使用了磁盘过滤驱动技术,卷过滤驱动技术,文件
32、过滤驱动技术,网络过滤驱动(NDIS/TDI)技术等一系列内核级驱动技术,从上到下,纵深防范加密。该技术也起源于WindowsNT 之后,但由于技术简单,开发要求高,公开资料少,而进展较慢。但随着微软公布了局部 Windows 源代码之后,此技术开头渐渐成熟。内核级沙盒加密,是当使用者操作涉密数据的时候,对其存储过程进展掌握,对其结果 进展加密保存,每个模块只做自己最擅长的那块,所以格外稳定。加密的沙盒是个容器,把涉密软件,文件扔到容器中加密。而这个容器是透亮的,使用者感觉不到它的存在。,第三代透亮加密技术的特点是,涉密数据使用前,先初始化涉密沙盒,沙盒加密一旦成 功,之后全部的数据都是数据实
33、体,不针对文件个体,所以很多据破损等问题。特点是速度快,稳定。第一代,其次代本质都是承受的针对单个文件实体进展加密,如 a.txt 内容为 1234, 加密后变成#$% +标记。#$%是把原文 1234 进展加密之后的密文。而标记的用途是用来区分一个 a.txt 文件是否是已经被加密。当系统遇到一个文件的时候,首先推断这个标记是否存在,假设存在,说明是被系统加密过的,则走解密读取流程,假设不是加密的,就无需解密,直接显示给使用者,只是当保存的时候,再进展加密,使其成文密文+标记。这就带来一个巨大的风险:假设是一个较大文件,加密过程中发生特别,标记没加上, 那么下次读这个文件的时候,由于没有读到
34、表记,而承受原文读取,然后再加密,那么这个 文件就彻底毁坏了。这个现象在第一代 APIHOOK 透亮加密技术的产品中特别明显,在其次代文件过滤驱动产品中,由于速度变快了,使文件破损发生概率减低了很多,但并没有本质解决这个问题。另外,由于是进程和文件后缀名进展关联,也造成了一个缺陷 :很多编程类软件,简单制图软件的编译,晒图等操作,都是很多进程同时操作某个文件,这个时候进展进程和文18/20苏州深信达信息技术 cnsinda 件关联明显太牵强了,由于进程太多了。即使进展关联,多个进程交替访问文件,加密解密混在一起,极简洁造成特别。所以才会消灭VC 等环境下如不能编译,调试等。其他方面,版本治理无
35、法比照,效劳器上存放的是密文效劳器存密文,是个极大的风险,目前没有哪家大企业敢这么做,到底太依靠加密软件,持续性没有了,大文件速度慢等,一系列问题,无法解决。而第三代内核纵深加密技术是在前者2 个根底之上进展而来的,每个过滤层都只做自己最擅长的事情,所以特别稳定,速度快,性能牢靠,不存在第一代和其次代的问题。由于内核级纵深透亮加密技术要求高,涉及技术领域广,极其简单,开发周期长,所以国内的能做 开发的厂商不多。目前,深信达公司推出的 SDC 机密数据保密系统,给人一眼前一亮的感觉,其产品是第三代透亮加密保密技术的典型产品,其产品主要特点是: 1承受了磁盘过滤,卷过滤,文件过滤,网络过滤等一系列
36、纵深内核加密技术,承受沙盒 加密,和文件类型和软件无关,沙盒是个容器。 2在操作涉密数据的同时,不影响上外网,QQ,MSN 等。3) 保密彻底,包括网络上传,邮件发送,另存,复制粘贴,屏幕截取等,特别是屏幕保密, 做得格外炫。 4效劳上存放的是明文,客户端存放的是密文,文件上传效劳器自动解密,到达客户端自 动加密。效劳器上明文,削减了业务连续性对加密软件的依靠。5不但可以针对一般文档图纸数据进展保密需求,同时更是研发性质的软件公司(玩耍,通讯,嵌入式,各种 BS/CS 应用系统)源代码保密首选。第一代,其次代,第三代透亮加密技术比照:代次 名称:设计思路优点第一代APIHOOK 应用层透亮加密
37、技术应用层透亮加密技术俗称钩子透亮加密技术。这种技术就是将上述两 种技术应用层 API 和Hook组合而成的。通过 windows 的钩子技术,监控应用程序对文件的翻开和保存,当翻开文件时,先将密文转换后再让程序读入内存,保证程序读到的是明文,而在保存时,又将内存中的明文加密后再写入到磁盘中。直接对文件加密直观感 觉格外好,对于当时空白的市场来讲,这一旗号确其次代文件过滤驱动层内核加密技术驱 动 加 密 技 术 是 基 于windows 的文件系统过滤驱动IFS技术,工作在 windows 的内核层。我们在安装计算机硬件时, 常常要安装其驱动,如打印机、U 盘的驱动。文件系统驱动就是把文件作为
38、一种 设备来处理的一种虚拟驱 动。当应用程序对某种后缀文件进展操作时,文件驱动会监控到程序的操作,并转变其操作方式,从而到达加密的效果。由于工作在受 windows 保护的内核层,运行速度较 快。第三代内核级纵深加密技术客户端在涉密的场合,启动一个加密的沙盒,沙盒是个容器,把涉密软件, 文件扔到容器中加密。而这个容器是透亮的,使用者感觉不到它的存在。承受最先进的磁盘过滤驱 动,文件过滤驱动,网络过滤驱动等内核级纵深 加密防泄密技术,每个模块只做自己最擅长的那 块,所以格外稳定。单个文件,简单文件,大文件,源代码开发简单环境等,都特别适合。实打动了不少企业。缺陷 应用层透亮加密钩子透 1 简单软
39、件常常会很多进明加密技术与应用程序 程同时操作某个文件, 亲热相关,它是通过监控 假设这个时候,一个进应用程序的启动而启动 程加密,另一个进程不的。一旦应用程序名更 加密,交替访问文件, 改,则无法挂钩。同时, 极简洁造成特别。如不由于不同应用程序在读 能编译,调试等。写文件时所用的方式方2 涉及到 windows 底层法不尽一样,同一个软件的诸多处理,开发难度不同的版本在处理数据很大。假设处理不好与时也有变化,钩子透亮加其它驱动的冲突,应用密必需针对每种应用程程序白名单等问题。 序、甚至每个版本进展开发。无此类不稳定问题。进程关联 和进程绑定,简洁被冒充。另外很多软件进程格外多, 和进程无关
40、,无冒充问如 VC+的 MFC/ATL 的界面和 socket 编程,编译的时 题,由于都在容器中。候,关联进程格外多,无法对应。大文件破损源代码保密简单图纸软件保密200M 以上文件,极简洁破损。无文件破损问题。无法针对源代码开发人员保密,具体表现在,影响调试, 适合源代码开发。有大型影响版本治理,版本工具比照乱码等问题。成功案例。对于一般员工的操作有效,但无法针对源代码开发人员保密。简单图纸一般都是进程多,文件大,此产品问题太多了。 简单图纸适合DLP+软件版本升级破解难度当软件升级如VS2023-2023,AutoCAD 升级等,都需要重设置。格外简洁破解,网上工具太多了。不需要设置,由于和进程无关。很难破解,即使是懂电脑的程序员。