1. 内网安全技术发展历程
内网安全的发展在国内已经发展了4年,从最初简单的终端监控审计技术逐步发展的目前以终端安全管理和信息数据保密为主体的两大应用目标。在内网安全发展的过程中,一方面用户和市场对用户安全的理解不断深入和扩展,另一方面内网安全技术也从简单到复杂得到了迅速的提升。国内专业内网安全厂商明朝万达(http://www.wonder-soft.cn)的Chinasec(安元)内网安全专家们,作为内网安全领域的参与者与引领者,见证了内网安全发展的整个过程。
内网安全技术早期仅限于终端的监控审计技术,对终端的外设、应用程序和网络资源等进行简单控制和监视,从目前看来,是治标不治本的方法。在内网安全的第二个阶段,以数据保密为主要目标,逐步认识到加密技术是解决内网安全的根本方法,是以出现了众多的以加密技术为核心的内网安全产品,这类内网安全产品区别于监控审计类,试图从根本上解决内网安全的数据保密问题。
总结目前内网安全市场的数据加密技术,总体来说分成文件(文档)加密技术和磁盘加密技术两种,在本文中,Chinasec内网安全专家对这两种技术的优缺点进行分析和对比。
2. 文档加密技术
文档加密技术是目前使用最为广泛的内网安全产品解密技术,之所以被广泛采用,主要是因为其具有技术简单、开发周期短和用户首次接受度高的特点。文档加密技术的原理主要是通过建立应用程序的进程和相应文件之间的关联来达到对特定文件数据加密的目的。一个相对完整的文档加密产品,采用的技术主要包括:
1) 建立应用程序进程和其对应文件的关联,通常采用进程名称识别或者进程特征摘要对比的方式来识别进程,对文件则采用后缀名或者其他特征识别方式;
2) 对需要加密的文件通过文件重定向技术采用临时缓存文件方式,以获得文件另存和加密的控制权;
3) 通过对剪贴板、打印和屏幕拷贝等一些快捷键的控制,来实现对文件内容级的复制进行控制。
检查前面的技术可以看出,文件(文档)加密技术的核心是基于应用进程来实现加密控制,其优点如下:
1) 部署简单,不需要改变用户操作习惯,也不需要改变用户的应用环境;
2) 技术简单,仅涉及到进程文件关联技术、文件临时重定向技术和上层Hook技术;
3) 概念清晰,用户理解和接受容易。
但是,由于文件(文档)加密技术采用的技术路线,使得看起来很美的缺点下面隐藏着重重的安全隐患和稳定性隐患,主要包括以下几个方面:
1) 由于文件是否加密主要基于应用进程和文件的关联关系,安全系统与应用程序密切相关,对于应用复杂的环境,比如制作设计和软件设计行业,安全系统的可部署性非常差,常常由于用户应用过于复杂、应用程序的升级或者应用的增加而导致该类内网安全产品需要进行重新进行二次开发,从而给用户环境带来极大的限制和不稳定隐患。
2) 由于采用了文件重定向的临时缓存文件技术,造成了安全漏洞和效率下降。一方面因为临时缓存文件在硬盘中是以明文状态存在,很容易使用公开的文件监视工具找到并复制该临时文件造成加密机制的失效;另一方面因为使用临时缓存文件后,相当于文件要在硬盘中重复进行两次读写操作,造成效率明显下降50%,这对于大的文件尤其不能接受。
3) 由于在应用进程、剪贴板、打印控制和其他快捷键方面采用了众多Hook技术,很容易造成和防病毒等软件的冲突,造成系统不稳定,影响用户的正常使用,同时Hook技术也容易造成使用系统效率下降。
3. 磁盘加密技术
磁盘加密技术相对于文档加密技术,是在磁盘扇区级采用的加密技术,一般来说,该技术与上层应用无关,只针对特点的磁盘区域进行数据加密或者解密,其主要采用技术如下:
1) 针对数据保密区域,对写入磁盘的数据进行加密或者解密操作;
2) 对非保密区域,根据要求,允许或者禁止对磁盘原始数据进行读写操作。
3) 辅助其他系统控制技术,实现对涉密数据的加密保护。
从磁盘加密技术的核心内容可以看出,因为其仅对磁盘特定区域进行加密操作,具有与应用无关的特点,基于该磁盘加密技术的内网安全系统具有以下优点:
1) 与应用无关,能够兼容各种复杂的应用环境,支持应用的升级和变更,无需针对具体应用进行产品级的二次开发,稳定性和可用性得到保障;
2) 由于不采用临时文件技术,文件读写次数不会增加,确保了系统的使用效率不会明显下降。
但是,由于磁盘加密技术仅针对特定的文件存储区域进行保护,缺乏对文件本身保密属性的判断能力,所以基于该技术开发的内网安全产品,也具有以下特点:
1) 因为磁盘加密技术需要对文件的存储区域进行条件限制,所以必然对使用环境带来一定的影响,需要部署的时候对使用环境进行调整;
2) 单一的磁盘加密技术无法防止通过网络和其他途径的文件泄密行为,一个基于该技术的成熟内网安全产品,需要综合网络控制等技术,内网安全产品开发难度大、周期长。
4. 总结
综上所述,文件(文档)加密技术和磁盘加密技术作为目前内网安全产品的主流加密技术,各有所长。文档加密技术的缺点是不能适应复杂的应用环境、存在无法弥补的安全漏洞和系统效率下降明显;磁盘加密技术的缺点是需要调整用户应用环境。事实上,明朝万达的Chinasec内网安全专家在2002年就针对文档加密技术进行了研究,并申请了相关专利。但是,由于在开发过程中认识到了文档加密产品存在的可维护性差和安全性差等致命缺点,Chinasec内网安全专家最终选择了磁盘加密技术作为Chinasec(安元,原“中安源”)可信网络安全平台的核心加密技术,并综合采用了身份认证、授权管理和监控审计技术,打造了Chinasec(安元)整体一致的内网安全解决方案。