某某公司 文档透明加密系统解决方案 二〇〇九年十月
目录 2 业务解决方案 (7) 2.1文档安全保护体系在企业活动中的作用 (7) 2.2文档安全保护体系管理架构 (8) 2.3体系及文档处理流程 (9) 2.4文档管控流程 (9) 2.5技术支撑流程 (10) 3 技术解决方案 (11) 3.1文档加密保护技术综述 (11) 3.2技术平台解决方案 (11) 3.2.1动态加解密解决方案 (12) 3.2.2移动办公解决方案 (13) 3.2.3对外业务支持解决方案 (14) 3.2.4网络单点故障解决方案 (14) 4 产品要求 (15) 4.1产品主要功能要求 (15) 4.1.1系统加密功能 (15) 4.1.2该系统对文档的保护应涵盖所有介质 (15) 4.1.4完善的日志审计功能 (15) 4.1.5客户端管理 (15) 4.1.6完善的离线管理功能 (16) 4.1.7系统灾难应急措施 (16) 4.2产品详细功能要求描述 (16) 4.2.1动态加解密 (16) 4.2.2文件格式支持要求 (16) 4.2.3禁止屏幕打印功能 (17) 4.2.4不受限制的文件存储方式 (17) 4.2.5PC绑定及USB锁绑定实现离线浏览 (18) 4.2.6系统审计日志管理 (19) 4.2.7更多文件保护功能 (20) 4.3 方案基本运行环境 (21)
1需求概述 Internet是一个开放的网络,当用户享受其高速发展所带来的大量的信息流通和前所未有的工作效率,可曾注意过伴随网络所产生的严重的网络安全问题。目前,各企业都拥有自己的品牌或各自的业务范围,都利用信息化手段进行高效管理。随着计算机、互联网的广泛应用,信息的交流和共享已经成为各企业自身发展必要的手段。企业内部竞争性情报信息也就自然成为广受关注、为企业所青睐的重要活动,成为企业进行无形资产管理的重要部分。俗话说“知己知彼,百战不殆”,如何保护企业自身重要情报不被竞争对手窃取,使企业在使用网络来提高工作效率的同时避免企业重要的知识产权遭受侵害,将是文档安全管理的一个重要课题。 企业内部竞争性情报类型主要有: ?企业的机密技术文件、产品研发资料 ?设计图稿 ?会计账目、财务报表资料 ?战略计划书 ?外购竞标信息和供应链合作伙伴信息 ?重要研究成果 ?研究论文 ?市场营销策划资料 ?其他:如董事会、投融资等方面管理类资料,客户资料 大中型企业一般有着完善的书面文档涉密管理制度,并且由单独的文控中心负责制订、监督、审计企业内部重要情报信息使用状况,亦达到了很好的效果。但是这些电子文档存储的方式为明文方式存储在计算机硬盘中,电子格式存储的重要情报信息却由于传播的便利性和快捷性,对分发出去的文档无法控制,极大的增加了管理的负责程度,这部分的资产极易于受到损害。 隐藏的安全漏洞主要有文档明文存放、粗放的权限控制、无限期的文件权限、不可靠的身份认证和无法追踪文件的使用情况等五类,下面一一阐述。
什么是Windows驱动层透明加密技术? 驱动层透明加密技术是通过Windows提供的可安装文件系统(Installable File System)开发接口写设计一个文件过滤驱动,通过此驱动实现透明加解密功能。由于驱动开发要与windows更核心层打交道,此方面的开发人才比较少,相对开发难度也高。驱动层的透明加密技术由于与操作系统的文件系统结合紧密,加解密效率更高,控制更加密灵活,运行更加稳定。 驱动层加密技术是基于windows的文件系统(过滤)驱动(IFS)技术,工作在windows的内核层。我们在安装计算机硬件时,经常要安装其驱动,如打印机、U盘的驱动。文件系统驱动就是把文件作为一种设备来处理的一种虚拟驱动。当应用程序对某种后缀文件进行操作时,文件驱动会监控到程序的操作,并改变其操作方式,从而达到透明加密的效果。 驱动加密技术与应用程序无关,他工作于windows API函数的下层。当API函数对指定类型文件进行读操作时,系统自动将文件解密;当进入写操作时,自动将明文进行加密。由于工作在受windows保护的内核层,运行速度更快,加解密操作更稳定。但是,驱动加密要达到文件保密的目的,还必须与用户层的应用程序打交道。通知系统哪些程序是合法的程序,哪些程序是非法的程序 金甲加密之Windows驱动层透明加密技术解析: 金甲企业数据保密系统是针对广大企业数据文件加密需求推出的一款网络版加密软件,可对Windows平台下任意格式的文件加密,特别适合对企业图纸,以及各类方案、合同等电子文件加密,并支持移动客户端。 保护数据的安全,同时兼顾数据使用时的效率。企业敏感数据,对内部人员是透明加密,如二战后期,美军招募印第安人担任各部队的通讯兵(时称“风语者”,“WindTalkers”)其所起的作用,对内之间的沟通是畅通的,对外是保密的 完整的内网行为审计,有效监督、管理保密文件的使用 可有效防范保密文件二次扩散,可对文件的打开机器、打开时间、次数进行限制、控制文件的编辑、复制、保存、打印、截屏等扩散性操作。 有效管理便携式计算机文件的安全使用,对离开局域网的便携式涉密计算机可制定具有时效的离线策略或通过授权Ukey的方式进行控制,既不会影响便携式计算机的正常使用,又可确保一旦发生计算机丢失,文件不会泄漏
数据保密之透明加密技术分析 透明加密技术是近年来针对企业数据保密需求应运而生的一种数据加密技术。所谓透明,是指对使用者来说是透明的,感觉不到加密存在,当使用者在打开或编辑指定文件时,系统将自动对加密的数据进行解密,让使用者看到的是明文。保存数据的时候,系统自动对数据进行加密,保存的是密文。而没有权限的人,无法读取保密数据,从而达到数据保密的效果。 自WindowsNT问世以来,微软提出的分层的概念,使透明加密有了实现的可能。自上而下, 应用软件,应用层APIhook(俗称钩子), 文件过滤驱动,卷过滤驱动,磁盘过滤驱动,另外还有网络过滤驱动,各种设备过滤驱动。其中应用软件和应用层apihook在应用层(R3),从文件过滤驱动开始,属于内核层(R0).数据透明加密技术,目前为止,发展了3代,分别为第一代APIHOOK应用层透明加密技术; 第二代文件过滤驱动层(内核)加密技术; 第三代内核级纵深加密技术; 第一代:APIHOOK应用层透明加密技术 技术及设计思路:应用层透明加密技术俗称钩子透明加密技术。这种技术就是将上述两种技术(应用层API和Hook)组合而成的。通过windows的钩子技术,监控应用程序对文件的打开和保存,当打开文件时,先将密文转换后再让程序读入内存,保证程序读到的是明文,而在保存时,又将内存中的明文加密后再写入到磁盘中。应用层APIHOOK加密技术,特点是实现简单,缺点是可靠性差,速度超级慢,因为需要临时文件,也容易破解。但由于直接对文件加密直观感觉非常好,对于当初空白的市场来讲,这一旗号确实打动了不少企业。 第二代:文件过滤驱动加密技术 驱动加密技术是基于windows的文件系统(过滤)驱动技术,工作在windows的内核层,处于应用层APIHook的下面,卷过滤和磁盘过滤的上面。设计思想是建立当应用程序(进程)和文件格式(后缀名)进行关联,当用户操作某种后缀文件时对该文件进行加密解密操作,从而达到加密的效果。 内核层文件过滤驱动技术,分IFS和Minifilter2类。IFS出现较早,Minfilter出现在xp 以后。两者的区别可以理解为VC++和MFC的区别,IFS很多事情需要自己处理,而Minifilter 是微软提供了很多成熟库,直接用。由于windows文件保存的时候,存在缓存,并不是立即写入文件,所以根据是否处理了双缓bug,后来做了些细分,但本质还是一样,都是问题的修正版本而已。但由于工作在受windows保护的内核层,运行速度比APIHOOK加密速度快,解决了很多问题和风险。 文件过滤驱动技术实现相对简单,但稳定性一直不太理想。 第三代:内核级纵深沙盒加密技术 之所以叫内核级纵深沙盒加密技术,主要原因是使用了磁盘过滤驱动技术,卷过滤驱动技术,文件过滤驱动技术,网络过滤驱动(NDIS/TDI)技术等一系列内核级驱动技术,从上到下,纵深防御加密。沙盒加密,是当使用者操作涉密数据的时候,对其过程进行控制,对其结果进行加密保存,每个模块只做自己最擅长的那块,所以非常稳定。加密的沙盒是个容器,
1引言 随着宽带网和多媒体技术的发展,图像数据的获取、传输、处理遍及数字时代的各个角落。安全问题也日益严重。很多图像数据需要进行保密传输和存储,例如军用卫星拍摄的图片、新型武器图纸、金融机构建筑图等,还有些图像信息根据法律必须要在网络上加密传输,例如在远程医疗系统中,患者的病历和医学影像等[1]。由于这些图像数据的特殊性,图像加密技术将它们处理为杂乱无章的类似噪音的图像,使未授权者无法浏览或修改这些信息。 近十年来,用光信息处理技术来进行数据加密和保障数据安全引起了相当的关注。Pefregier和Javidi最早发表了这个领域的研究论文[2]。由于光学信息处理系统的高度并行性和超快处理速度[3],光学安全(optical security)技术对信息安全技术的发展具有重要的理论意义和应用前景。光学加密技术提供了一个更加复杂的环境,并且和数字电子系统相比,他对于攻击更有抵抗力。另外,由于傅里叶光学信息处理系统具有读写复振幅的能力,而该复振幅信息由于其相位部分在普通光源下是无法看到的,故不能用仅对光强敏感的探测器,如CCD摄像机、显微镜等,进行读和写。因此利用光学信息处理对光学图像进行安全加密是一种行之有效的方法。 1995 年, Philippe Refregier 等[4]提出了双随机相位编码方法,这种方法具有较好的安全性和鲁棒性。从此光学加密技术进入快速发展时期。研究人员随后提出了基于分数傅里叶变换的加密方法、基于菲涅耳变换的加密方法、基于联合变换相关器的加密系统、利用离轴数字全息的加密系统和利用相移干涉技术的加密系统等大量新的或改进的加密系统,使得光学加密领域的研究异彩纷呈。虽然目前光学加密技术的发展方兴未艾,但其前景不可估量。总的来说,与电子手段相比,现有的光学加密系统还存在一些缺点:可实施性、灵活性与稳定性都有待提高。 以下将从基于傅里叶变换的双相位编码图像的加密原理入手,将其推广到分数阶傅里叶域,并介绍几种方法,以及基于分数阶傅里叶变换的其他图像加密方法。 2 基于傅里叶变换的双相位编码图像加密及解密[2][5] 2.1双相位编码图像加密的原理 双相位编码由一个4f系统和分别位于其输入平面和傅里叶频谱面的相位掩膜构成,如图1(a)所示。 图1(a)基于傅里叶变换的双向位编码加密的光学实现 两个相位掩膜分别处于输入平面和傅里叶频谱面,该方法可将图像加密为广义平稳
第二章传统加密技术 密码技术能够有效地解决网络安全中的信息机密性、完整性、真实性和不可否认性问题。 2.1基本知识 密码的历史极其久远,其起源可以追溯到远古时代。相传在古罗马的一次战役中,兵困城内的部队因多日无法与城外的大部队联络,不久便陷入弹尽粮绝、走投无路的困境。尽管城外的部队不断地发动猛烈的营救战役,但终因缺乏里应外合的配合而屡屡受挫。就在这万般无奈、近乎坐以待毙之际,一个想法实然浮现在一个官兵的脑海里。为何不利用稠密的头发作掩护呢?于是,一个被剃得光溜溜的士兵头上写上了里应外合的作战方案,几天后,打扮成农民模样的他顺利地闯出了重重包围(因为敌人没有发现他头发中的秘密),而后他们取得了战争的全面胜利。 二战时期的一些资料也表明,密码对于军事的重要性。德国、日本之所以在二 战中惨遭失败,其中一个重要的原因是其密码体制被英、美所破译。中国电视剧《长征》中也提到了共产党破解国民党密码本的一些细节。由此可见,自古以来,密码技术被广泛应用于军事、机要或间谍等工作中。然而,直至二次世界大战结束,密码技术对于公众而言始终处于一种未知的黑暗当中,让人在感到神秘之余,又有几分畏惧。 当今,密码应用无处不在:社交、电子商务…… 1918年,William F.Friedman发表论文“The Index of Coincidence and Its Applications in Cryptgraphy)(“重合指数及其在密码学中的应用”)。 1949年,Claude Shannon(香农)的论文“The Communication Theory of Secrecy Systems)(“保密系统的通信理论”)奠定了密码学的理论基础。 1967年,David Kahn(戴维.卡恩)收集整理了第一次世界大战和第二次世界大战的大量史料,创作出版了“The Codebreakers“(破译者),为密码技术公开化、大众化拉开了序幕。 20世纪70年代是密码学发展的重要时期,有两件重大事件发生。
文档加密技术和透明加密软件发展趋势研究 【摘要】随着企业信息化水平的提高,原来通过纸质存储的信息越来越多的采用数字化技术存储于电脑中,电子文档取代纸质文档已逐渐变成现实,但随着使用的频率不断增高和信息安全环境的日益恶化,如何保护这些电子文档的安全,保证其不被未授权用户访问和传播,成为文档所有者最为关心的话题;也是基于这种需求而生的信息加密技术得到快速发展,它主要使命就是通过数据加密来保护重要的电子文档资料,保证电子数据的安全。 【关键词】计算机信息安全;文件透明加密;文件过滤驱动;API hook技术 1.前言 随着计算机的普及和网络的发展,标志了人类社会进入了信息化时代,无纸化办公系统被越来越多的组织和个人所认可并得到广泛应用;但随之而来的一个问题就是:人们如何保护信息资源免受各种类型的威胁、干扰和破坏,即保证信息的安全性。 要解决这个问题方法有两种,一是封堵信息出口,使之不被泄露出去,阻止非法用户接触到信息资源;二是对信息进行加密,使之即使遭到泄露也将处于安全可控状态,不被非授权用户所读取。由于信息的传播和泄露途径众多,难以进行完全封堵,因此对信息进行加密存储是确保信息安全最重要的技术措施之一,是信息安全的关健核心技术[3]。 2.信息加密技术介绍 数据加密的基本过程就是对原来为明文的文件或数据采用某种算法进行处理,使其成为一段不可读的代码,通常称为“密文”,只能在输入相应的密钥之后才能显示出本来内容;该过程的逆过程为解密[1]。透明加解密技术是近年来针对企业文件保密需求应运而生的一种文件加密技术。所谓透明,是指对使用者来说是不可见的。当使用者在打开或编辑指定文件时,系统将自动对未加密的文件进行加密,对已加密的文件自动解密。文件在硬盘上是密文,在内存中是明文。一旦离开使用环境,由于应用程序无法获得自动解密的服务而无法打开,从而起到保护文件内容的效果。 透明加解密技术是与操作系统紧密结合的一种技术,它工作于操作系统底层,从技术角度看,可分为内核级加密和应用级加密两类。 2.1 应用层加密 应用层加密技术基于Windows操作系统的API hook技术开发,通过windows 的钩子技术,监控应用程序对文件的打开和保存,当打开文件时,先将密文转换
数字图像加密技术 1、引言 随着计算机网络的开放、共享性以及互联程度的日益扩大,Internet 得到了飞速的发展和应用,网络的重要性及其对社会的影响也越来越大。与此同时,网络的安全保密问题也已成为日益严重的现实问题。近年来,无论官方还是民间机构,都对信息的安全存储、保密传输、真伪验证等问题高度重视。 2、数字图像加密技术的背景知识 一幅二维平面图像可用一个二元函数I= f (x, y) 来表示,(x, y) 表示二维空间坐标系中一个坐标点的位置, 则f (x, y) 代表图像在这一点的灰度值, 与图像在这一点的亮度相对应。并且图像的亮度值是有限的, 因而函数I= f (x, y) 也是有界的。在图像数字化之后, I= f (x, y) 则相应于一个矩阵, 矩阵元素所在的行与列就是图像显示在计算机屏幕上诸像素点的坐标, 元素的数值就是该像素的灰度(通常有256 等级, 用整数0 至255 表示)。 常见的加密算法,如DES 、AES 、RSA 等都是针对文本、数据加密而提出的。对于在数字图像方面的加密来说,常见的也是采用这些文本加密技术的思想。但是,文本和图像也存在很多区别,主要是: (1)图像信息量非常大. (2) 相邻像素具有相关性. 由于图像的可视性,一定区域内色彩是相似的,因此相邻像素间有很强的相关性. 文本加密技术并没有考虑这种相关性,而是依次加密每个像素. (3) 加密图像在解密时常允许一定失真. 这种图像失真只要控制在人的视觉内是完全可以接受的.显然在加密和解密时,需要考虑图像的这种特点. 文本加密技术没有考虑失真度的问题. (4) 需要预处理. 数字图像一般以二维数组的数据格式存储,而文本加密技术都要求先将待加密的数据转换为二进制的数据流,如果图像很大的话,需要一定的图像预处理时间,降低了加密效率. 3、数字图像加密方法 1)基于Arnold 变换的图像加密算法 (1)基于二维Arnold 变换的图像加密算法 Arnold 变换是Arnold 在研究环面上的自同态时提出的一种变换,俗称猫脸变换。利用Arnold 变换的周期性,即当迭代到某一步时将重新得到原始图像,这使得很容易进行图像的加密与解密。基于Arnold 变换,可以通过置乱图像的位置空间或相空间两种方式对图像进行加密。 设有单位正方形上的点(x ,y ),将点(x ,y )变到另一点(x ’,y ’)的变换为???? ??''y x =()l y x mod 2111???? ?????? ? ?,此变换称为二维Arnold 变换。 将二维Arnold 变换应用在图像f (x ,y )上,可以通过像素坐标的改变而改变原始图像灰度值的布局。原始图像可以看作一个矩阵,经过Arnold 变换后的图像会变的“混乱不堪”,由于Arnold 变换的周期性,继续使用Arnold 变换,可以重现图像。利用Arnold 变换的这种特性,可实现图像的加密与解密。 (2)基于n 维Arnold 变换的图像相空间置乱 对于给定的正整数N ,下列变换称为n 维Arnold 变换:
好用的企业文档加密软件推荐,局域网内部电子文档透明加密方案,风奥科技 多途径,多领域的企业数据泄露事件,让互联网发展的企事业单位深刻的认识到了内部文档加密保护工作的重要性和必要性。因而,企业高度重视发展过程中有关数据文件的使用安全管控。伴随着对文档加密软件需求的不断提升,无论是上市企业还是发展中的中小型企业都力求一款能够从底层去保护自身企业环境下电子文件的使用安全软件,来保障数据在内部环境下以及外发出去使用的安全,底层根源去避免数据泄露事件的发生。 也正是因为企事业单位的加密需求的提升,国内的数据防泄漏产品也不断增多,对于企业来说如何去选择也成为了困难。那么企业面对繁多的数据安全产品又该如何去选型?作为数据安全的厂商---风奥科技给正在选型或者即将选型的企事业单位提示,在选择加密软件的时候,自身的需求是重点,其次就是了解产品的具体功能、售卖方式(是根据模块还是说功能全部可以使用?)、安全性以及稳定性,其次就是考察所选择厂商的实力背景(这里就比较推荐那种项目经验比较丰富的,以及在数据安全领域发展比较久的),毕竟经验是发展或者是为企事业单位提供文档加密软件方案的基础,只要有丰厚的经验,才能更好的去探测您企业的根本需求,给您提供更加专业安全全面的文档加密软件。 就对于数据安全市场的深度剖析以及市场调研,企业使用文档加密软件更多的采用的是驱动层透明加密技术,为什么这款技术能够受到企业如此的追捧和欢迎?驱动层透明加密就字面意思理解就是在操作系统底层进行的加密,透明加密就是可以在用户无任何感知的情况下对多类型电子文件进行加密,没有任何过多的操作,并且企业管理企业也比较方便和安全。
一、产品加密的三种模式: 1、透明加密(适用于研发部门) 按照需求设置规则加密相应的文档,所有文档被动加密,在加密环境内打开与编辑文档与正常状态使用相同。一旦离开公司,在外部打开加密文件会显示乱码。密文在离线后可以在离线时间允许范围之内打开 2、半透明加密(适用于业务部门和研发部门间交互) 业务部门需要频繁与外界沟通,文档不允许加密;但业务部门还需要查看研发部门的加密文档。采用半透明模式,业务部门本身产生或制作的相应文档不会被加密,也可以正常查看技术部门制作的加密文档,但如果对加密文档编辑或者复制就会对相应文档加密处理,以此保障业务畅通。 3、外发加密(适用于商业合作伙伴) 外发给别人使用,可限制外发文档的打开次数、是否使用密码、限制打开时间、限制文档失效时间、限制在某台硬件才能打开也可以同时限制复制、转发、编辑、打印、截图等操作,保证外发文件的可控性。(必须购买外放模块)。还可以设置邮件白名单功能,密文发给该白名单人员可以自动解密。(没有打印、复制、打开次数等限制功能)。
二、确定加密目标 1、我们需要加密符合哪些命名的文件。例如:商业计划、研究报 告、产品设计图等。 2、这些文件都是什么类型。例如:word、excel、pdf等 3、哪些人员需要安装加密客户端 4、哪些人员使用移动存储设备和电子邮件 5、企业是否有远程办公室,远程办公室和企业总部直接的远程链 接是否包含机密信息 上述所有机密信息和机密信息所在的位置都必须经过应用数据加密来保护数据的机密性。 三、风险和解决方案 1、审批流程是否高效 满足企业不同类型文件不同的审批流程,支持审批会签(多人通过,一票否决),审批托管(审批员不在线时,自动通过申请请求),所有流程执行及审核均可审计和追溯。 2、数据冗余 考虑到加密服务器一旦宕机会导致解密审批流程的停用,已加密文件的查阅(在离线时间范围内可以正常访问)。采取应用程序和文件存储分离在不同的物理机上。方案一、颐和国际一个服务器、纺织谷一台服务器,两边各装一台软件加密系统,数据存储集中在颐和国际。方案二,只在颐和国际装服务器,针对加密软件虚机做一个备份,
信息加密技术简介 随着互联网的快速发展,计算机信息的保密问题显得越来越重要。数据保密变换,或密码技术,是对计算机信息进行保护的最实用和最可靠的方法。 一、信息加密概述 密码学是一门古老而深奥的学科,它对一般人来说是陌生的,因为长期以来,它只在很少的范围内,如军事、外交、情报等部门使用。计算机密码学是研究计算机信息加密、解密及其变换的科学,是数学和计算机的交义学科,也是一门新兴的学科。随着计算机网络和计算机通讯技术的发展,计算机密码学得到前所未有的重视并迅速普及和发展起来。在国外,它已成为计算机安全主要的研究方向,也是计算机安全课程教学中的主要内容。 密码是实现秘密通讯的主要手段,是隐蔽语言、文字、图象的特种符号。凡是用特种符号按照通讯双方约定的方法把电文的原形隐蔽起来,不为第三者所识别的通讯方式称为密码通讯。在计算机通讯中,采用密码技术将信息隐蔽起来,再将隐蔽后的信息传输出去,使信息在传输过程中即使被窃取或载获,窃取者也不能了解信息的内容,从而保证信息传输的安全。 任何一个加密系统至少包括下面四个组成部分: (1)、未加密的报文,也称明文。 (2)、加密后的报文,也称密文。 (3)、加密解密设备或算法。 (4)、加密解密的密钥。
发送方用加密密钥,通过加密设备或算法,将信息加密后发送出去。接收方在收到密文后,用解密密钥将密文解密,恢复为明文。如果传输中有人窃取,他只能得到无法理解的密文,从而对信息起到保密作用。 二、密码的分类 从不同的角度根据不同的标准,可以把密码分成若干类。 (一)按应用技术或历史发展阶段划分: 1、手工密码。以手工完成加密作业,或者以简单器具辅助操作的密码,叫作手工密码。第一次世界大战前主要是这种作业形式。 2、机械密码。以机械密码机或电动密码机来完成加解密作业的密码,叫作机械密码。这种密码从第一次世界大战出现到第二次世界大战中得到普遍应用。 3、电子机内乱密码。通过电子电路,以严格的程序进行逻辑运算,以少量制乱元素生产大量的加密乱数,因为其制乱是在加解密过程中完成的而不需预先制作,所以称为电子机内乱密码。从五十年代末期出现到七十年代广泛应用。 4、计算机密码。是以计算机软件编程进行算法加密为特点,适用于计算机数据保护和网络通讯等广泛用途的密码。 (二)按保密程度划分: 1、理论上保密的密码。不管获取多少密文和有多大的计算能力,对明文始终不能得到唯一解的密码,叫作理论上保密的密码。也叫理论不可破的密码。如客观随机一次一密的密码就属于这种。 2、实际上保密的密码。在理论上可破,但在现有客观条件下,无法通过计算来确定唯一解的密码,叫作实际上保密的密码。
如何从技术层面防范员工泄露企业机密 人员的流动对于企业特别是中小企业来说也许是再平常不过的事情,但是,有调查显示,几乎有一半的各行各业的员工承认当他们跳槽时会带走资料,包括文件、销售协议和合同清单等各种资料,并将它们告诉下一个老板。调查还发现,85%的职员可以轻松地下载“有竞争力”的资料和信息,然后带到下一份工作中。 企业泄密有几种情形? 一是技术资料失窃,比如员工通过与同行企业串通或被同行企业收买,将公司技术资料泄露给同行企业,自己从中谋取高额回报,同行企业也节省了大批研发经费及研发时间,更重要的是抢占了市场先机。 二是经营商业机密被泄露,比如业务人员将公司经营多年积攒的客户信息带走或泄露给同行,同行只需通过价格或其它手段即可轻松获得这些客户,省去了客户开发的成本和时间。 员工泄密的动机都有哪些? 经常有遭受过商业机密泄露的企业主抱怨:”我对他们挺不错的,为什么会泄露我公司的机密呢“。很多企业认为给员工好的待遇他们就不会背叛公司,但是面对泄露商业机密可以获取的高额回报,还是会令很多无职业操守的员工铤而走险。 员工泄密的主要动机是非法获利,或者作为跳到同行企业谋取高职位高薪水的资本,当然也有极少数员工是因为对企业不满出于报复而泄露企业的机密。所以离职是员工泄密的高发点。 如何防范员工泄露公司机密呢? 首先,从内部管理上,制定完善的竞业限制制度及资料管理制度,如与员工签订竞业限制合同,对员工开展相关法律教育,公司资料的分级授权等等。 其次,从技术上进行防范。这也是最有效的办法,因为人的思想是很难控制的,如果一个员工有了泄露机密的主观动机,再多的制度对他来说都是形同虚设。对于企业来说,对终端设备进行加密部署很有必要,很多企业选择使用翼火蛇加密软件,它是对程序外壳进行透明加密,不影响日常办公。可加密的程序包括但不限于office(word、Excel、PPT等)、Adobe等,几乎所有的数据类型翼火蛇安
明加密技术是近年来针对企业文件保密需求应运而生的一种文件加密技术。应用透明加密技术,用户打开或编辑未加密的指定后缀文件时会自动加密;打开加密了的指定后缀文件时不需要输入密码会自动解密。因此,用户在环境内使用密文不影响原有的习惯,但文件已经始终处于加密状况。一旦离开环境,文件将得不到解密服务,将无法打开,从而起到保护电子文件知识产权的效果。本文将简要介绍目前市场上透明加密软件产品采用的透明加密技术。 透明加密技术 透明加密技术是近年来针对企业文件保密需求应运而生的一种文件加密技术。所谓透明,是指对使用者来说是未知的。当使用者在打开或编辑指定文件时,系统将自动对未加密的文件进行加密,对已加密的文件自动解密。文件在硬盘上是密文,在内存中是明文。一旦离开使用环境,由于应用程序无法得到自动解密的服务而无法打开,从而起来保护文件内容的效果。 透明加密有以下特点: 强制加密:安装系统后,所有指定类型文件都是强制加密的; 使用方便:不影响原有操作习惯,不需要限止端口; 于内无碍:内部交流时不需要作任何处理便能交流; 对外受阻:一旦文件离开使用环境,文件将自动失效,从而保护知识产权。 透明加密技术原理 透明加密技术是与windows紧密结合的一种技术,它工作于windows的底层。通过监控应用程序对文件的操作,在打开文件时自动对密文进行解密,在写文件时自动将内存中的明文加密写入存储介质。从而保证存储介质上的文件始终处于加密状态。 监控windows打开(读)、保存(写)可以在windows操作文件的几个层面上进行。现有的32位CPU定义了4种(0~3)特权级别,或称环(ring),如图1所示。其中0级为特权级,3级是最低级(用户级)。运行在0级的代码又称内核模式,3级的为用户模式。常用的应用程序都是运行在用户模式下,用户级程序无权直接访问内核级的对象,需要通过API 函数来访问内核级的代码,从而达到最终操作存储在各种介质上文件的目的。
《Network Security Technology》Experiment Guide Encryption Algorithm Lecture Code: 011184 Experiment Title:加密算法 KeyWords:MD5, PGP, RSA 实验目的: 1,通过对MD5加密和破解工具的使用,掌握MD5算法的作用并了解其安全性; 2,通过对PGP加密系统的使用,掌握PGP加密算法的作用并了解其安全性; 3,对比MD5和PGP两种加密算法,了解它们的优缺点,并总结对比方法。 实验环境: 2k3一台,XP一台,确保相互ping通; 实验工具:MD5V erify, MD5Crack, RSA-Tools,PGP8.1 MD5加密算法介绍 当前广泛存在有两种加密方式,单向加密和双向加密。双向加密是加密算法中最常用的,它将明文数据加密为密文数据,可以使用一定的算法将密文解密为明文。双向加密适合于隐秘通讯,比如,我们在网上购物的时候,需要向网站提交信用卡密码,我们当然不希望我们的数据直接在网上明文传送,因为这样很可能被别的用户“偷听”,我们希望我们的信用卡密码是通过加密以后,再在网络传送,这样,网站接受到我们的数据以后,通过解密算法就可以得到准确的信用卡账号。 单向加密刚好相反,只能对数据进行加密,也就是说,没有办法对加密以后的数据进行解密。这有什么用处?在实际中的一个应用就是数据库中的用户信息加密,当用户创建一个新的账号或者密码,他的信息不是直接保存到数据库,而是经过一次加密以后再保存,这样,即使这些信息被泄露,也不能立即理解这些信息的真正含义。
MD5就是采用单向加密的加密算法,对于MD5而言,有两个特性是很重要的,第一是任意两段明文数据,加密以后的密文不能是相同的;第二是任意一段明文数据,经过加密以后,其结果必须永远是不变的。前者的意思是不可能有任意两段明文加密以后得到相同的密文,后者的意思是如果我们加密特定的数据,得到的密文一定是相同的。不可恢复性是MD5算法的最大特点。 实验步骤- MD5加密与破解: 1,运行MD5Verify.exe,输入加密内容‘姓名(英字)’,生成MD5密文; 2,运行MD5Crack3.exe(破解器),将生成的密文copy到MD5破解器中破解,点击‘开始’; 3,字符‘dong’被破解出来,建议:加密字符不要超过6个。上图为本试验抓图样本1,要求加密自己姓名字符缩写,并能破译出来。
OKKRN文件透明加密系统 OSKRN File Transparent Encrypt System 技术白皮书 稳定就属OK https://www.doczj.com/doc/9b15783799.html, E_mail:oskrn@https://www.doczj.com/doc/9b15783799.html,
目录 第一部分概述 (1) 第二部分产品功能 (1) 第三部分系统结构 (2) 第四部分工作原理 (3) 第五部分技术特点 (3) 第六部分支持的操作系统 (4)
第一部分 概述 OSKRN文件透明加密系统(OKFCrypto)是基于IFS文件过滤驱动开发的透明加密软件,通过定义加密规则,对需要保密的资料进行实时高效的强制加密,即使存储介质甚至是电脑丢失,也能保证数据的安全;所有的加、解密操作都在操作系统的核心层进行,对上层的应用程序和用户来说都是完全透明的。 为了方便应用软件开发商开发基于OKFCrypto的应用软件,该软件提供了面向应用层的Win32API开发库,并支持多种开发语言的调用,例如VB、Delphi、VC等等;同时还提供了完善的开发指南、VC++示例程序,应用软件通过应用层的开发库可以操纵OKFCrypto内核,从而实现与第三方软件无缝整合。 第二部分 产品功能 1. 基于用户身份认证的加解密和强制访问策略。 采用文件标签的技术,将用户身份标识与涉密文档绑定,使授权的用户以指定的进程打开加密文档,这样不仅可以防止授权用户有意或无意泄漏机密信息,也可以防止非授权用户访问涉密文档。 2. 灵活的加密策略配置功能。 支持如下几种加密策略,也可以是如下加密策略的组合: z黑白进程名单 z文件扩展名 z文件全名 单项策略配置:如进程名白名单:Winword.exe;Notepad.exe等等 组合策略配置:进程+文件扩展、进程+文件扩展+文件全名。 3. 支持des、3des、aes、SMS4、RC4等多种加密算法。 用户可自主选择其中一种或多种算法对文件进行透明加解密。也可提供一套算法接口,供开发人员扩展软、硬件加密算法,便于二次开发。 4. 加密文件审计。 加密文件的读、写、删除、重命名审计及加密进程操作加密文件的审计。 5. 加密文档的防拷贝、防截屏、防打印(可选功能): z防拷贝:防止用户正常打开涉密文档后,利用复制/粘帖功能将文档内容拷贝出去。 z防截屏:防止用户正常打开涉密文档后,通过截屏的方式将文档内容外泄。 z防打印:防止用户非法打印涉密文档。 6. 为了便于二次开发,该产品主要提供如下API开发接口: z支持USB KEY、IC卡及用户指纹等用户身份载体进行用户身份认证。 z锁定加密文档的API接口。如用户拔走USB KEY或暂时离开,可以锁定加密文档,防止非法用户打开涉密文档。 z文件加密算法扩展接口,供开发人员扩展软、硬件加密算法。 z OKFCrypto透明加密软件暂停或重新生效的API接口。 z加密文件、进程审计接口。二次开发人员调用审计接口,可以获取当前系统加密文件信息。
透明加密技术简介 透明加密技术是近年来针对企业文件保密需求应运而生的一种文件加密技术。所谓透明,是指对使用者来说是未知的。当使用者在打开或编辑指定文件时,系统将自动对未加密的文件进行加密,对已加密的文件自动解密。文件在硬盘上是密文,在内存中是明文。一旦离开使用环境,由于应用程序无法得到自动解密的服务而无法打开,从而起来保护文件内容的效果。 透明加密有以下特点: 强制加密:安装系统后,所有指定类型文件都是强制加密的; 使用方便:不影响原有操作习惯,不需要限止端口; 于内无碍:内部交流时不需要作任何处理便能交流; 对外受阻:一旦文件离开使用环境,文件将自动失效,从而保护知识产权。 透明加密技术原理 透明加密技术是与Windows紧密结合的一种技术,它工作于Windows的底层。通过监控应用程序对文件的操作,在打开文件时自动对密文进行解密,在写文件时自动将内存中的明文加密写入存储介质。从而保证存储介质上的文件始终处于加密状态。 监控Windows打开(读)、保存(写)可以在Windows操作文件的几个层面上进行。现有的32位CPU定义了4种(0~3)特权级别,或称环(ring),如图1所示。其中0级为特权级,3级是最低级(用户级)。运行在0级的代码又称内核模式,3级的为用户模式。常用的应用程序都是运行在用户模式下,用户级程序无权直接访问内核级的对象,需要通过API 函数来访问内核级的代码,从而达到最终操作存储在各种介质上文件的目的。 环 3 环 2 环 1 环 0 图1
为了实现透明加密的目的,透明加密技术必须在程序读写文件时改变程序的读写方式。使密文在读入内存时程序能够识别,而在保存时又要将明文转换成密文。Window 允许编程者在内核级和用户级对文件的读写进行操作。内核级提供了虚拟驱动的方式,用户级提供Hook API 的方式。因此,透明加密技术也分为API HOOK 技术和VDM (Windows Driver Model )内核设备驱动方式两种技术。API HOOK 俗称钩子技术,VDM 俗称驱动技术。 钩子透明加密技术简介 所有Windosw 应用程序都是通过Windows API 函数对文件进行读写的。程序在打开或新建一个文件时,一般要调用Windows 的Create File 、Open File 或Read File 等Windows API 函数;而在向磁盘写文件时要调用Write File 函数。 同时Windows 支持这样一种消息处理机制:允许应用程序将自己安装一个子程序到其它的程序中,以监视指定窗口某种类型的消息。当消息到达后,先处理安装的子程序后再处理原程序。这就是钩子(Hook )技术。 钩子透明加密技术就是将上述两种技术组合而成的。通过Windows 的钩子技术,监控应用程序对文件的打开和保存,当打开文件时,先将密文转换后再让程序读入内存,保证程序读到的是明文,而在保存时,又将内存中的明文加密后再写入到磁盘中。其工作原理如图2所示。 应用程序内核层 Hook 读 写Hook 存储设备A P I 图2 钩子透明加密技术通过监控应用程序的读写操作,同时对文件进行自动加密与解密。由于不同应用程序在读写文件时所用的方式方法不尽相同,同一个软件不同的版本在处理数据时也有变化,钩子透明加密必须针对每种应用程序或程序的每个版本进行配置。
对内对外防止企业重要数据泄密,透明文件加密系统是企业需要使用的有效方案,风奥科技 为什么透明文件加密系统在如今的互联网发展中备受关注?在知识产权竞争如此激烈的时代,公司的重要数据文件、商业机密文件以及相关的日常办公所产生的电子文件等等,都是企业的核心资产也是企业发展中需要重点保护的。正是因为网络上频繁曝出的相关数据泄露事件,给企业用户以警示,由此让企业管理人员不断提升对数据安全意识,来加强企业的信息化安全管控。 针对如今的发展格局以及发展趋势,站在企业的角度而言,如何有针对性的为不同行业和性质的企事业单位提供文件透明加密系统来保证各个层面下,电子数据文件的使用安全呢? 首先,具体说明一下,什么是透明文件加密?这是目前国内市场上比较受欢迎的文件加密技术,它是再操作系统底层来实现对众多类型的电子文件进行加密的,让使用者感觉不到其存在,无法感知其加密。当使用者在新建、打开或编辑涉密类型文件时,系统将自动对文件加密,同时对于已存在的相关文件,在移动、打开等操作的时候可以对未加密的文件进行加密,所有涉密文件在操作过程中,文件都是全程加密的,加密的文件一旦离开使用环境,由于应用程序无法得到自动解密的服务而无法打开,从而起到保护电子文件的效果。 作为企业,如何应对员工离职造成的相关数据泄露问题?以及外发出去的相关电子文件的使用安全如何保障?对应企业需要对日常电子数据文件加密,例如:办公文档、研发文档、设计图纸、源代码等等电子文档加密的需求,风奥科技为企事业单位提供专业的数据发那个
泄露解决方案,防止电子数据文件通过聊天工具、移动U盘、电子邮件等泄露提供解决方法,经过金甲EDS加密后的电子文件,在指定的局域网环境下可以正常的访问和使用,未获得授权允许的情况下,通过任何外发出去,都是加密的,无法打开的。金甲EDS更大的意义在于,它能够帮助企业构建起完善的全方位的信息安全防护体系。通过日志管理、审批解密、明文邮箱、机密管理等等多重加密功能,保护企业的无形资产,实现有效的加密管理,真正做到底层防止泄露。 如何使用透明文件加密系统来保证数据文件的使用安全?加密环境如何进行部署?风奥金甲EDS在部署完成后,直接登录金甲服务器端,设定好相关的涉密类型的文件,然后进行策略下发,即可实现对客户端相关数据文件的加密管理。由于金甲EDS采用的是底层加密,对用户的日常操作没有任何影响。用户像往常一样正常的办公,而无需做额外的操作,文件在新建产生的时候就会被强制性加密。比如新建一个文件,编辑、保存、关闭,文件即被加密了。整个过程中,用户几乎感觉不到系统的存在。当内部有相关的文件需要外发出去的时候,如果是未授权的话,那么文件即使外发成功了,在外部环境下也是没办法打开的。加密过的文件可以在内部自由的流通,为企业提供全方位安全的透明文件加密方案。 同时针对企业经常有外发的需求,风奥金甲EDS提供审批解密的功能,对外发出去使用的加密文件进行有效管控。客户端用户在发出解密申请后,设置的每一环节的具有审批权限的人员在收到提示信息以后,可以点击进入审批,核对其审批原因,是否予以审批,审批的时候,可以控制该外发文件的打开机器、打开次数、是否允许拷贝、打印等等操作。根源保证数据文件的使用安全,金甲EDS在方便管理者和员工进行文档解密需求的沟通。灵活的,便于操作的文件透明加密工具,能够有效的保证内部电脑以及外出办公笔记本电脑文档安全使用的需求,同时可以对相关的使用或者外发文件可以禁止用户打印、截屏、复制等操作进行控制,防止机密资料通过这些途径泄密。
一透明加密 透明加密(又称为自动加密)技术是近年来针对企业文件保密需求应运而生的一种文件加密技术。所谓透明,是指对使用者来说是未知的。当使用者在打开或编辑指定文件时,系统将自动对未加密的文件加密,对已加密的文件自动解密。文件在硬盘上是密文,在内存中是明文。一旦离开使用环境,由于应用程序无法得到自动解密的服务而无法打开,从而起来保护文件内容的效果。 透明加密的特点: 强制加密:安装系统后,所有指定类型文件都是强制加密的; 使用方便:不影响原有操作习惯,不需要限止端口; 于内无碍:内部交流时不需要作任何处理便能交流; 对外受阻:一旦文件离开使用环境,文件显示乱码,从而保护知识产权。 透明加密的原理: 透明加密技术是与Windows 紧密结合的一种技术,它工作于Windows 的底层。通过监控应用程序对文件的操作,在打开文件时自动对密文进行解密,在写文件时自动将内存中的明文加密写入存储介质。从而保证存储介质上的文件始终处于加密状态。 监控Windows 打开(读)、保存(写)可以在Windows 操作文件的几个层面上进行。现有的32 位CPU 定义了4种(0~3)特权级别,或称环(ring)。其中0 级为特权级,3 级是最低级(用户级)。运行在0 级的代码又称内核模式,3级的为用户模式。常用的应用程序都是运行在用户模式下,用户级程序无权直接访问内核级的对象,需要通过API函数来访问内核级的代码,从而达到最终操作存储在各种介质上文件的目的。 为了实现透明加密的目的,透明加密技术必须在程序读写文件时改变程序的读写方式。使密文在读入内存时程序能够识别,而在保存时又要将明文转换成密文。Windows允许编程者在内核级和用户级对文件的读写进行操作。内核级提供了虚拟驱动的方式,用户级提供Hook API 的方式。因此,透明加密技术也分为API HOOK 广度和WDM(Windows Driver Model)内核设备驱动方式两种技术。API HOOK俗称钩子技术,WDM俗称驱动技术。 只要安装了透明加密软件,企业图纸办公文档在企业内部即可自动加密,而且对用户完全透明,丝毫不改变用户的工作习惯。在没有授权的情况下,文件即使流传到企业外部,也无法正常应用。就像一个防盗门,装上就能用,而且很管用。 如今,透明加密技术也在不断进步。就目前市面上的透明加密技术来看,主要分为两大类:即应用层透明加密技术和驱动层透明加密技术。 二应用层与驱动层加密区别 应用层透明加密技术 所有Windosw应用程序都是通过windows API函数对文件进行读写的。程序在打开或新建一个文件时,一般要调用windows的CreateFile或OpenFile、ReadFile等Windows API函数;而在向磁盘写文件时要调用WriteFile函数。 同时windows提供了一种叫钩子(Hook)的消息处理机制,允许应用程序将自己安装一个子程序到其它的程序中,以监视指定窗口某种类型的消息。当消息到达后,先处理安装的子程序后再处理原程序。这就是钩子。 应用层透明加密技术俗称钩子透明加密技术。这种技术就是将上述两种技术组合而成的。通过windows的钩子技术,监控应用程序对文件的打开和保存,当打开文件时,先将密文转换后再让程序读入内存,保证程序读到的是明文,而在保存时,又将内存中的明文加密后