企业该如何选择加密软件-几点建议

选择加密软件的几点建议随着信息化的普及，企业数据的安全越来越受到重视，目前国内已有不少加密软件，如何选择加密软件呢？这里参考一些厂家提供的文档并结合自己的经验，提供一些建议供大家参考。加密软件按照实现的方法可划分为被动加密和主动加密。被动加密：是指被加密的文件，在使用前需首先解密得到明文，然后才能使用。这类软件主要适用于个人电脑数据的加密，防止存储介质的丢失（比如硬盘被盗）导致数据的泄密；主动加密（或者说透明加密、自动加密）：是指在使用过程中自动对文件进行加密或解密操作，无需用户的干预，合法用户在使用加密文件前，不需要进行解密操作即可使用，表面看来，访问加密的文件和访问未加密的文件基本相同，对合法用户来说，这些加密文件是“透明的”，即好像没有加密一样，但对于没有访问权限的用户，即使通过其它非常规手段得到了这些文件，由于文件是加密的，因此也无法使用。由于动态加密技术不仅不改变用户的使用习惯，而且无需用户太多的干预操作即可实现文档的安全，因而近年来得到了广泛的应用。目前针对企业的防泄密软件（企业内部的文件可以自由流通、阅读，一旦拷贝出去或者脱离企业网络环境，将无法阅读），大多采用主动加密技术。由于主动加密要实时加密数据，必须动态跟踪需要加密的数据流，而且其实现的层次一般位于系统内核中，因此，从实现的技术角度看，实现主动加密要比被动加密难的多，需要解决的技术难点也远远超过被动加密。这里说的加密软件就是采用主动加密技术的软件。下面说说在选择加密软件的时候，建议考查的几个方面：加密软件是否自动透明加密？何谓“透明”？“透明”应该就是指加密的动作不需要人工干预，是软件自动完成的。比如：用WORD建立一个文档的时候，软件应该能自动把这个新建的文件加密，对用户完全透明，不影响用户的操作习惯。大部分加密软件都是透明加密的，但是也有区别。很多应用软件在编辑数据文件时，都会生成临时文件。比如Word在编辑文档时，会在同目录下出现以“~$”开头的文件和一个以“~”开头并以tmp为后缀的文件。这些临时文件在相应的数据文件被正常关闭后，会被删除。由于这些临时文件也存储有企业的机密数据，因而这些临时文件也应该是要能自动加密的。在测试的时候要特别注意。有些品牌的加密软件，为了给自己图方便，放弃对中间过程的文件进行加密。例如，业界有一个老牌的厂商便采取了这样一种做法：①拦截程序对文件的打开操作；②把打开的文件隐蔽地解密到一个“秘密”的地方；③在后台把应用程序对数据文件操作指针指向位于“秘密”之处的明文；④在关闭数据文件时，把隐藏的明文加密并替换原有的文件。这样的设计，让用户看起来是能够打开编辑密文，编辑保存后得到的还是密文。但是实际上应用软件真实编辑的对象是一个不加密的明文文件。如果这个“秘密的地方”被知道了，完全可以打开密文时到那个“秘密的地方”去获得明文。加密的算法及密钥的安全性对于一个脱离了企业环境的密文来说，安全完全由算法和密钥来决定。所以选择加密软件的时候，对其采用的算法和密钥的安全性一定要了解。一般来说，加密算法基本都采用国际流行的算法：比如RSA、DES、RC、AES等，这些算法虽然是公开的，但根据现代密码学的理论，加密算法的公开与否并不影响其安全性，一个好的加密算法的安全性只依赖于密钥。因此对于脱离了企业环境的密文来说，密文的安全主要靠密钥的安全来保证。一个加密软件的密钥是否安全应该主要要解决如下几个问题：加密软件的厂家如果获取到企业的密文，厂家应该是不能解密的。很多加密软件，密钥是根据计算机的某些特征值由程序生成的，企业自己无法设置，这样只要知道了硬件的特征码，厂家就能轻松获取到用户的密钥，那么企业的文件对厂家来说就是没有保密可言了；还有些加密软件的密钥就是系统固定的，这样厂家只要拿到密文，就能解密；企业内部的密文，拿到另外一个企业里面，应该是不能解密的：现在很多加密软件的控制端都由企业的网络管理人员在使用，那么一旦网管人员离职，重新安装相同的加密软件，应该保证原单位的文档即使拷贝过去也不能阅读。也就是要保证不同企业能有不同的加密密钥。在使用过程中，如果密钥泄露，应该要有补救措施：比如说密钥能支持更改，这样密钥泄露了，企业可以方便的更换。加密软件是如何判断一个文件是否需要加密的不同的企业，甚至同一个企业的不同部门，所要加密的文件有可能是不相同的。例如设计部需要对产品图纸进行加密，办公室需要对Office类文档进行加密。所以，如何判断某个文件是否应该加密，是加密软件一个很重要的考查指标。一般来说，如何判断某个文件是否需要加密，有两种选择方式：（1）指定受控路径（目录或者盘符）：即保存在指定目录或者指定盘符中的文件一律加密。管理员可以为每一个客户机指定一个或多个需要加密的受控路径。用户如果将文件保存到这个路径下，那么文件就会被加密。这种方式带来的问题就是：客户端有可能将机密文件保存到非受控路径下。厂商们为了应对这个问题，通常会向用户提供这样的解决方案：①将所有的应用软件全部安装在C盘，然后对C盘做一个镜像，其他盘（无论是逻辑盘还是物理盘）都只允许存放数据文件；②将除C盘以外的所有盘符都设定为受控路径，以确保所有的数据文件都是密文存储；③每次Windows启动时，或者Windows关闭前，都会对C盘进行自动还原（这一点很像网吧和部分企业中采用的还原技术）。（2）指定受控程序和受控后缀方式：即由指定的应用软件生成的指定后缀文件（或者所有文件）一律加密。系统管理员可以为每一个客户机指定一个或多个受控程序。客户端如果用这些受控程序保存文件，那么文件就会被加密。例如，前文所列举的例子，管理员就可以将CAD设置（同时CAD生成的所有文件设置为受控后缀）为设计部的受控程序，将Office设置为办公室部门的受控程序。这两种方式，各有优缺点。第一种方式的优点是易于实现，且不关心应用软件是什么。但是弊端也非常明显。主要表现为：①给日常的IT维护工作造成了很大的不便：杀毒软件的特征库升级、安装新的应用软件等工作，都会随着C盘的还原而还原，除非先解除对C盘的保护，升级或者安装结束后再恢复保护；②有着明显的安全漏洞：普通用户完全可以将文件先保存到C盘，然后关闭Windows，甚至强行突然断电，使得C盘的还原机制还没有来得及发挥作用就将硬盘拆卸带走，从而将文件的明态数据带走了。由于明显地弊大于利，所以这种方式只被少数的厂商所采用。第二种方式的比较符合实际应用，因为用户最关心的还是“由特定程序生成的文件”。这种方式易于用户制定和维护规则。一般来说，采用了这种方式的加密软件都会限定：只有受控程序才可以打开密文，非受控程序是不允许打开密文的。（这一限制很容易理解：如果非受控程序也能够打开密文，那么它再将文件另存或者通过网络传送出去，密文就变成了明文了。）有些企业会有自己的业务系统，有可能需要阅读加密文件，而且这些业务系统并不在加密软件自带的受控程序列表中，针对这个问题有些厂商提供了让用户自定义受控程序或者受控后缀的功能；有些厂商的解决方法就是让客户提供业务系统软件，然后再帮助客户加入。泄密途径没有通过授权，就可以获取密文中的内容的方法，称之为泄密途径。加密软件中如果不对这些途径加以控制，那么加密软件就形同虚设。泄密途径众多，每种途径的控制是加密软件的一个重要功能。泄密途径控制的好坏，也是选择加密软件的一个重要考查点。1、网络发送使用QQ、Foxmail、Outlook等网络软件把一个密文发送到没有安装加密软件的电脑上，查看是否可以看到文件的内容。如果可以查看，说明存在泄密危险。在Office软件里面，比如WORD，打开加密的文件，然后在WORD菜单中选择“文件”－“发送”－“邮件接收人（以附件形式）”，此时如果安装了Outlook，会使用Outlook发送邮件，如果没有安装Outlook，会打开OutlookExpress发送邮件。然后到一个没有安装加密软件的电脑上，接收这个邮件，看是否可以打开附件，如果可以，说明存在泄密危险。2、剪贴板 查看是否可以使用Windows提供的复制-粘贴功能把密文内容发送出去。测试方法：用WORD打开一个密文，用鼠标选择一些文字，复制（或CTRL+C），切换到QQ聊天窗口中，粘贴(或者CTRL+V)，查看是否可以粘贴出明文。剪贴板是个非常常用的功能，禁止使用剪贴板会使客户端的使用者受到很多限制。加密软件不应该只使用禁止的方法来控制剪贴板。比较好的处理办法是将剪贴板的内容加密，使得复制的内容在受控程序（如WORD）上可以粘贴出明文，而在非受控程序（如QQ）上贴出的就是乱码。另外还应注意一点，就是剪贴板的控制在360保险箱下是否生效。因为360保险箱是免费软件安装量非常大，如果360保险箱下就会使剪贴板控制失效，那么就存在非常大的漏洞。测试方法很简单：安装360保险箱，将WORD用保险箱保护，然后在有360保险箱保护下开启WORD，查看是否可以打开密文，是否可以把内容复制到QQ的聊天窗口上。3、屏幕拷贝查看是否可以通过屏幕拷贝的方法将文档内容泄露。屏幕拷贝有两种常用方法，一种是使用Windows快捷键PrtScr或者ALT+PrtScr，另一种是使用一些可以捕捉屏幕的软件，比如QQ。测试方法：针对第一种方法：用WORD打开一个密文，打开看到明文后，按一次PrtScr键，打开Windows自带的画图软件（开始所有程序附件画图），按CTRL+V，查看是否可以贴出带有文件内容的图片。针对第二种方法：使用QQ作为测试软件，查看QQ屏幕截图功能是否可以使用。另外，QQ也是360保险箱默认保护的软件之一，所以应该测试一下，用360保险箱保护QQ的情况下，禁止截屏是否生效。4、OLE插入OLE插入是打开密文的另一种方法。支持OLE插入技术的软件有很多，比如Windows自带的写字板（可执行文件名为wordpad.exe）。测试方法：打开一个写字板，将一个加密的WORD文档用鼠标拖动到写字板内（或者在写字板菜单“插入”“对象”，并选择“由文件创建”，选择加密的WORD文档），如果可以以明文方式打开，那么说明存在OLE泄密的漏洞。也应该测试一下在360保险箱保护写字板的情况下，是否存在这个漏洞。5、拖拽用WORD打开一个密文，拖动鼠标左键选中一些文字，在选中的文字上用鼠标拖动数据，查看是否可以将这些文件拖动到QQ聊天窗口上。如果可以，就存在拖拽泄密的风险。同样也应该测试一下在360保险箱保护WORD的情况下，打开加密文件，然后拖动选中的文字，看是否存在泄密风险。6、进程识别大多加密软件都是根据程序名和文件的后缀（扩展名）来决定哪个文件需要加密的。比如使用WORD生成的扩展名为“.DOC”的文档会被自动加密，而用WORD打开密文可以自动解密。如果有其他程序可以冒充是WORD，那么就可以打开加密的Doc文档了。所以，加密软件都需要有一套机制来识别受控程序，防止非受控程序假冒。非受控程序冒充受控程序最简单的办法就是修改可执行文件名。比如把FoxMail的文件名（foxmail.exe）修改成winword.exe，就用Foxmail冒充了WORD。把Foxmail.exe修改成Winword.exe，然后执行，写邮件并选择一个加密的WORD文件作为附件，从另一个没有安装加密软件的电脑接收下这个邮件，如果可以看到明文，那么说明进程识别上存在漏洞。进程识别的另一个问题是，将可信进程冒充不可信进程。比如WORD生成的文档是需要加密的，如果把Winword.exe修改成111.exe，执行这个111.exe可以创建明文的文档的话，那么存在漏加密的情况。极端情况下，所有安装了加密系统的人把电脑上的Winword.exe都修改成111.exe，那么所有人的DOC文档都不会被加密了，那么加密软件就跟没有安装一样了。在进程识别上，大部分加密软件都解决的不是很好。有些用文件指纹库；有些用可执行文件名+窗口标题结合来识别进程；还有些厂家干脆就禁止修改受控程序的文件名，甚至有些厂家不仅禁止修改受控程序名，也禁止拷贝新建与受控程序文件名一样的文件。但采用禁止改名的方法本身也存在很大的漏洞，比如先把受控程序的可执行文件改名，然后再安装受控程序，或者从网络共享执行运行改名后的假冒程序，都可能导致密文的泄露。7、打印 使用WORD打开密文后，使用打印机可以把文档打印出来，这就存在泄密的危险。所以加密系统都应提供可以控制打印的功能，应该可以控制那些人可以打印，哪些人不能打印。以上这些方法都是只需要简单操作就有可能导致密文泄露的途径，选择加密软件的时候，这些途径都应该有效的被阻止。离线策略1、服务器电脑故障，或者网络故障的处理方法服务器电脑故障或者网络故障，此时所有的客户端电脑或者网络故障的客户机都处于离线状态，而且是不可预知的，被迫处于离线状态。加密系统应提供一种措施，在突发这种情况时，客户机应可以像正常离线一样工作一段时间，以等待服务器或者网络的恢复。2、笔记本电脑脱机的处理方法一些企业的员工上班时使用的是笔记本电脑，尤其中高层管理者。这部分员工大多晚上或者周末需要把电脑带回家，有时要在家里加班。加密软件应该有办法让这些电脑可以在离开网络的情况下依然能使用被加密的文档。对于有这种情况的客户，因为这种情况非常经常发生，基本上每天都发生，所以在选择加密软件的时候也应该考虑加密软件在处理这种情况的方法应该非常便捷才行。最好可以做到客户机不需要任何操作，和平常一样，拔下电脑网线直接带走，回家后开机即可使用。另外使用公司电脑出差的员工，首先出差离开公司前，肯定要设置好出差天数等。出差的天数一般是由出差者的上级直接指定。所以出差应该可以向直接上级申请，直接上级同意即可完成离线的设置。一些加密系统的实现方式是让管理员来设置出差的天数，这是比较不妥的实现方式。因为出差者被批准出差后，还需要到管理员处让管理员设置一下加密系统，操作上麻烦很多。其次应该考虑出差有可能会超过预定天数。比如出差前设置离线15天，结果15天后发现还不能回来，还要继续呆一段时间。这个时候应该有一种措施，能在不把电脑搬回公司设置的情况下，延长出差的天数。离线策略有些厂家采用USBKey的方式，有些采用导入离线文件的方式。相比之下，USBKey安全性更好，但使用比较不方便，而且需要在采购加密软件的同时还需要额外采购USBKey。解密文件的方法由于企业的运转大部分都难免与其他关联企业有文档交互（比如报价单、项目投标书等），而这些关联企业没有安装加密软件或者没有安装相同的加密软件，这就意味着密文需要解密才能外发。解密管理上，不同加密软件采用的方法不同。所有需要解密的文件，要拷贝到特定的电脑上，使用特定的解密工具进行解密；可以向管理员或者有权解密的操作员申请解密。这两种方法都可以满足日常应用，相对来说，第二种方法在实际使用会更为方便些。当然不管哪种办法，对解密的文档都应该有日志记录。除了上面说的申请解密外，加密软件还应该提供一种可以让终端操作员自由解密的方法，称为授权解密。授权解密应是一种权限，这种权限可以由管理员灵活地授予客户端。客户端拥有这个权限后，可以自由解密自己电脑上的加密文件。一般这种权限被授予高级管理人员，比如企业的总经理等。这些人员可以自由地决定自己电脑上的文件哪些需要密文方式存放，哪些需要明文方式存放。文件权限文件权限指可以指定加密文档谁可以阅读，谁不能阅读等。文件权限的设置有可能会给内部的文档交流带来一些不便，所以该设置应该具有很高的灵活性。加密软件起码应该可以实现相同部门的人编写的文档可以无障碍交流；部门与部门之间的文档交流可以通过一些权限的设置了进行受控的交流。日志记录日志记录是一个必不可少的功能，无论哪个应用系统都有一套自己的日志记录功能。对于加密软件而言，包含两种日志：（1）操作员的文件操作日志，比如新建文件、删除文件、编辑文件、解密文件、外发文件等；（2）管理员的日志审计，比如什么时间设置了什么规则等。日志应该能准确无误地记录哪个管理员什么时候做了什么操作。日志记录上，不同加密软件各不相同，根据自己需要进行选择。扩展功能：文件备份由于透明加密需要涉及文件的读写操作，这样就带来一个基本问题：就是加密文件时有可能导致文件的损坏，虽然一个成熟的软件，损坏文件的概率会很低，但对这种极端情况的处理也是应该考虑的。导致这种极端情况出现的原因还是有很多，比如操作系统受到干扰、内存数据被篡改，这些可能