柳曉霞

（大慶油田信息技術(shù)公司北京分公司，北京 100000）

透明加密技術(shù)對(duì)于企業(yè)數(shù)據(jù)安全的價(jià)值分析

柳曉霞

（大慶油田信息技術(shù)公司北京分公司，北京 100000）

在企業(yè)數(shù)據(jù)安全眾多保障技術(shù)之中，透明加密技術(shù)在應(yīng)用方面有著鮮明的特征。本文首先對(duì)于透明加密技術(shù)的概念以及應(yīng)用特征展開(kāi)必要分析，然后進(jìn)一步針對(duì)此種技術(shù)的原理和分類(lèi)加以剖析，有利于相關(guān)技術(shù)人員加深對(duì)此項(xiàng)技術(shù)的理解，妥善為其選擇應(yīng)用環(huán)境。

透明加密技術(shù)；企業(yè)；數(shù)據(jù)；安全

在當(dāng)前信息大潮中，為了能夠?qū)崿F(xiàn)更高效的工作方式，從信息技術(shù)應(yīng)用出現(xiàn)伊始，企業(yè)即開(kāi)始大力引入，從而形成了整個(gè)社會(huì)范圍內(nèi)進(jìn)行信息化建設(shè)的局面，推動(dòng)了經(jīng)濟(jì)的發(fā)展。而對(duì)于信息和數(shù)據(jù)的依賴，使數(shù)據(jù)安全問(wèn)題更加突出，尤其是對(duì)于工礦企業(yè)而言，數(shù)據(jù)的安全性甚至直接關(guān)系到企業(yè)生產(chǎn)運(yùn)營(yíng)的安全，例如，在油田工業(yè)環(huán)境中，數(shù)據(jù)安全還會(huì)影響到核心技術(shù)的安全，因此不容忽視。

1　透明加密技術(shù)的應(yīng)用特征

雖然在數(shù)據(jù)安全領(lǐng)域中，眾多技術(shù)層出不窮，相關(guān)管理方法同樣從各個(gè)層面不斷涌現(xiàn)。在這樣的環(huán)境之下，透明加密技術(shù)獨(dú)樹(shù)一幟。

透明加密技術(shù)是近年來(lái)針對(duì)企業(yè)文件保密需求研發(fā)的一種文件加密技術(shù)，其特征在于對(duì)數(shù)據(jù)用戶保持透明，無(wú)需給予特別關(guān)注即可自行完成數(shù)據(jù)保護(hù)任務(wù)。透明加密技術(shù)完全由系統(tǒng)自行實(shí)現(xiàn)，所有保存在硬盤(pán)環(huán)境中的文件均為加密狀態(tài)，只有在用戶讀寫(xiě)的過(guò)程中才會(huì)進(jìn)行解密，以明文形式呈現(xiàn)給用戶。從工作機(jī)制的角度看，透明加密是指在Windows操作系統(tǒng)的文件系統(tǒng)層面上工作的一個(gè)核心態(tài)軟件，向整個(gè)系統(tǒng)提供實(shí)時(shí)的、透明的、動(dòng)態(tài)的數(shù)據(jù)加解密服務(wù)。透明加密工作體系與操作系統(tǒng)緊密結(jié)合，位于應(yīng)用系統(tǒng)的底層位置，因此能夠?qū)崿F(xiàn)對(duì)于所有文件的加密操作。此種工作方式雖然能夠?qū)崿F(xiàn)有效數(shù)據(jù)保護(hù)，但是由于其面向所有的文件數(shù)據(jù)進(jìn)行加密，因此在一定程度上會(huì)影響到系統(tǒng)對(duì)于數(shù)據(jù)讀寫(xiě)操作的整體效率。同時(shí)，這種面向所有文件強(qiáng)制加密的工作方式，雖然能夠有效提升數(shù)據(jù)安全性，但是在傳輸?shù)倪^(guò)程中如何展開(kāi)有效的秘鑰保管，也成為該領(lǐng)域下另一個(gè)新的問(wèn)題。

為了能夠?qū)崿F(xiàn)透明加密的目標(biāo)，相關(guān)技術(shù)體系必須在程序讀寫(xiě)的過(guò)程中改變其具體的讀寫(xiě)方式，使密文在讀入內(nèi)存時(shí)能夠被程序識(shí)別，同時(shí)在存入硬盤(pán)時(shí)又可以有效加密。從Windows的角度看，支持編程者在內(nèi)核級(jí)和用戶級(jí)展開(kāi)對(duì)于文件的讀寫(xiě)操作，其中內(nèi)核級(jí)能夠提供虛擬驅(qū)動(dòng)的方式展開(kāi)工作，而用戶級(jí)則支持Hook API的工作方式。因此，透明加密技術(shù)也會(huì)受到對(duì)應(yīng)的影響，可以分為API HOOK技術(shù)（通常稱之為鉤子技術(shù)）與VDM技術(shù)（驅(qū)動(dòng)技術(shù)）兩種。

在使用過(guò)程中，透明加密技術(shù)能夠主動(dòng)對(duì)所有的指定類(lèi)型文件進(jìn)行加密，諸如dwg文件、doc文件等，對(duì)于其他未經(jīng)制定的文件則會(huì)直接放行存入硬盤(pán)空間。相對(duì)于單機(jī)操作系統(tǒng)而言，透明加密本身不影響用戶原有操作習(xí)慣，不需要輸入密碼，而主動(dòng)展開(kāi)加密操作。但是面對(duì)傳輸環(huán)境而言，透明加密技術(shù)就會(huì)形成一種信息溝通的阻礙。因?yàn)橄嚓P(guān)加密文件只能夠被本機(jī)讀取，一旦離開(kāi)使用環(huán)境，文件即無(wú)法打開(kāi)。此種加密方式能夠幫助企業(yè)有效防止用戶通過(guò)電子郵件、移動(dòng)硬盤(pán)、優(yōu)盤(pán)、USB接口等途徑泄密企業(yè)圖紙、數(shù)據(jù)、招投標(biāo)文件等重要文檔，但是對(duì)于某些共享性比較強(qiáng)的工作場(chǎng)合來(lái)說(shuō)，就會(huì)形成阻礙作用。就油田組織環(huán)境的數(shù)據(jù)體系而言，一方面對(duì)于不需要更多數(shù)據(jù)傳輸?shù)募夹g(shù)原始文件等可以采用透明加密技術(shù)，而對(duì)于實(shí)效性較強(qiáng)的油田工作以及設(shè)備狀態(tài)數(shù)據(jù)來(lái)說(shuō)，此種安全技術(shù)并不十分實(shí)用。對(duì)于需要小范圍內(nèi)共享的數(shù)據(jù)，可以考慮采用工作組服務(wù)器的方式實(shí)現(xiàn)數(shù)據(jù)共享，并且在同一個(gè)操作系統(tǒng)之下建立起加密技術(shù)體系便于實(shí)現(xiàn)數(shù)據(jù)安全保障。

2　透明加密技術(shù)的工作原理與分類(lèi)

透明加密技術(shù)屬于主動(dòng)加密技術(shù)的一種，傳統(tǒng)的主動(dòng)加密工作方式，通常需要由文件操作人員來(lái)展開(kāi)。此種工作方式雖然同樣相對(duì)安全，但是無(wú)法避免相關(guān)人員泄密問(wèn)題的發(fā)生。而進(jìn)行修正后的透明加密技術(shù)，會(huì)對(duì)于符合設(shè)置的所有文件展開(kāi)強(qiáng)制自動(dòng)加密。Windows在實(shí)際工作中以事件驅(qū)動(dòng)作為主要機(jī)制展開(kāi)，通過(guò)消息傳遞來(lái)實(shí)現(xiàn)對(duì)應(yīng)用的有效管理。其中監(jiān)控Windows在讀寫(xiě)方面的相關(guān)操作，即可確定透明加密是否運(yùn)作。下面進(jìn)一步對(duì)透明加密技術(shù)的兩種主要形式展開(kāi)分析。

鉤子加密技術(shù)，主要是考慮到Windows應(yīng)用程序均通過(guò)Windows API函數(shù)對(duì)文件展開(kāi)操作，因此程序在打開(kāi)或者創(chuàng)建文件的過(guò)程中，必然會(huì)調(diào)用Windows的Create File或者Open File、Read File以及Write File等相關(guān)函數(shù)。進(jìn)一步，Windows會(huì)提供對(duì)應(yīng)的Hook鉤子消息處理機(jī)制，允許應(yīng)用程序以內(nèi)嵌的方式進(jìn)行安裝，以實(shí)現(xiàn)對(duì)于消息類(lèi)型的監(jiān)視。而當(dāng)Windows消息到達(dá)之后，會(huì)先行處理安裝的內(nèi)嵌程序，然后才運(yùn)行原程序。而鉤子透明加密，通過(guò)Windows 的Hook技術(shù)，對(duì)應(yīng)用程序的相應(yīng)操作實(shí)現(xiàn)監(jiān)控，并且展開(kāi)對(duì)應(yīng)的加密與解密工作，將文件從硬盤(pán)中讀取到內(nèi)存中并進(jìn)行解密，然后呈現(xiàn)給用戶，或者將用戶寫(xiě)好的文件進(jìn)行加密并且存入硬盤(pán)。

相對(duì)于與應(yīng)用程序密切保持聯(lián)系的鉤子技術(shù)，驅(qū)動(dòng)加密技術(shù)與應(yīng)用程序保持相對(duì)獨(dú)立。此種加密工作方式位于Windows API函數(shù)的下層，當(dāng)API函數(shù)展開(kāi)對(duì)于指定類(lèi)型文件的相關(guān)操作時(shí)，系統(tǒng)會(huì)自動(dòng)面向文件執(zhí)行解密或者加密。此種工作方式位于Windows系統(tǒng)受到保護(hù)的內(nèi)核層，因此總體而言運(yùn)行效率更高，加密操作更為穩(wěn)定。

3　結(jié) 語(yǔ)

兩種常見(jiàn)的透明加密技術(shù)形式工作在不同的層面，因此從工作原理、效率及可靠性等方面都會(huì)呈現(xiàn)出若干差異，并且在需要實(shí)現(xiàn)共享和網(wǎng)絡(luò)傳輸時(shí)，方法也會(huì)有所不同。實(shí)際工作中，需要依據(jù)數(shù)據(jù)的安全敏感程度以及對(duì)于數(shù)據(jù)的處理效率需求，妥善選擇，才能獲取良好的效果。

主要參考文獻(xiàn)

［1］魏丕會(huì)，卿斯?jié)h，劉海峰.基于安全操作系統(tǒng)的透明加密文件系統(tǒng)的設(shè)計(jì)［J］.計(jì)算機(jī)科學(xué)，2003（7）.

［2］楊帆，王鋒.基于HOOK技術(shù)的網(wǎng)絡(luò)流透明加密系統(tǒng)的研究與實(shí)現(xiàn)［J］.科技情報(bào)開(kāi)發(fā)與經(jīng)濟(jì)，2007（25）.

10.3969/j.issn.1673 - 0194.2016.14.042

TP309.7

A

1673-0194（2016）14-0063-01

2016-06-08