下载文档原格式
如何实现软件的安全和保密背景介绍在当前数字化时代,软件的安全和保密变得尤为重要。
保护软件的安全性和保密性可以防止未经授权的访问和数据泄露,同时保护用户隐私和公司利益。
本文将介绍一些实现软件安全和保密的方法和策略。
1. 加密数据数据加密是一种常见的保护软件安全和保密性的方法。
通过使用加密算法,将敏感数据转化为无法被理解的形式,防止未经授权的访问者获取敏感信息。
在软件开发过程中,应使用可靠的加密算法来保护用户数据、访问凭证和其他敏感信息。
2. 访问控制实施严格的访问控制机制是保护软件安全的关键。
通过限制对软件系统的访问权限,可以防止未经授权的用户或恶意攻击者进入系统,并获取、修改或删除敏感数据。
访问控制机制应该根据用户角色和权限来进行细分,只允许授权用户执行特定的操作。
3. 定期安全审查定期的安全审查是确保软件安全性和保密性的重要步骤。
通过对软件系统进行安全审查,可以及时发现潜在的安全漏洞和风险,并采取相应的措施加以修复。
安全审查应包括代码审查、漏洞扫描和渗透测试等,以确保软件系统的整体安全性。
4. 员工培训与意识员工是软件安全的薄弱环节之一。
因此,培训员工并提高其安全意识是确保软件安全和保密性的关键。
员工应该接受有关安全最佳实践、数据保护和信息安全的培训,了解安全策略和措施,并知晓如何避免常见的安全风险和威胁。
5. 安全漏洞管理及时修复软件中的安全漏洞是保护软件安全和保密性的重要措施。
软件开发团队应建立一个漏洞管理流程,及时接收、评估和修复安全漏洞。
这包括对软件系统进行定期的安全更新和补丁管理,以确保软件系统的安全性和稳定性。
结论实现软件的安全和保密性是一项重要的任务,需要采取多种策略和措施来确保软件系统的安全性。
通过加密数据、实施访问控制、定期安全审查、员工培训与意识以及安全漏洞管理,可以提高软件的安全性和保密性,保护用户隐私和公司利益。
企业文件加密方案随着数据泄露事件的不断增加,企业对于数据安全的关注也越来越高。
作为企业最重要的资产之一,文件的保护和加密变得尤为重要。
本文将讨论企业文件加密方案,探讨如何确保企业文件的安全性。
一、加密的必要性对于企业而言,文件的机密性至关重要。
无论是财务报表、营销计划,还是合同和客户名单,这些文件都包含了敏感信息,一旦落入错误的人手中,将造成巨大的损失。
因此,加密文件成为了企业的首要任务。
加密文件可以保护企业的核心数据不被未经授权的人访问。
即使文件被盗窃、遗失或者意外泄露,即便流入了黑客手中,也无法被解密。
这一点对于企业来说至关重要,可以防止敏感信息的滥用,维护企业的声誉和信誉。
二、企业文件加密的挑战然而,企业文件加密并不是一项简单的任务。
首先,企业文件的种类繁多,形式各异,从电子文档到纸质档案,从文本文件到多媒体文件,无所不包。
因此,企业需要一个全面的加密方案,能够覆盖各类文件形式。
其次,企业需要确保加密方案能够适应不同的工作环境和工作流程。
员工可能使用不同的设备,如台式电脑、笔记本电脑、平板电脑和智能手机来处理文件。
在不同的终端设备上实现文件加密以保护数据的安全成为了一项挑战。
此外,企业还需要解决密钥管理的问题。
加密文件需要使用密钥进行加解密操作,因此,企业需要有效地管理和保护密钥。
而密钥管理往往是一个复杂的过程,需要专业的技术人员进行管理。
三、企业文件加密方案的实施为了解决企业文件加密面临的挑战,可以采用以下的方案。
1. 统一的加密策略企业需要制定统一的加密策略,明确哪些文件需要加密,加密的标准和方法。
不同的文件可能涉及不同的密级,从而可以有针对性地进行加密处理。
同时,还需要明确权限管理,即只有经过授权的人才可以解密文件。
2. 强大的加密工具选择一款强大的加密工具对于企业来说是十分重要的。
这款工具应该支持不同的文件格式和设备,能够灵活地应对各种工作环境和工作需求。
同时,加密工具应该有友好的用户界面和操作方式,让员工能够方便地进行加密操作。
企业加密软件管理规定 The final edition was revised on December 14th, 2020.加密软件管理规定1 目的和范围规范公司加密软件的使用,通过文件外发解密管理,防止公司商密电子文件非正常外泄,保障公司经营信息安全。
本标准适用于集团公司下属各单位。
2 引用(相关)标准和文件《信息系统账号管理办法》(PD/WG06)《商业秘密管理办法》(PD/IP05)3 定义加密软件指集团使用的IPguard加密软件系统。
4 职责审核人员对已发起解密申请流程的文件和人员,审核解密申请的合理性、必要性。
对不清楚的或有疑问的,不得审核通过。
解密人员对已审核通过的解密申请流程,复核是否符合相应使用管理规定,符合后进行解密。
对有疑问的,应质疑解密申请流程的申请人、审核人,要求给予明确说明,清楚后才能解密。
质量管理部负责加密软件服务器端升级、日常维护。
负责各部门加密软件的安装、管理,以及加密软件策略设置、权限分配。
总经理合理配置内部审核人员、解密人员,保障解密流程顺畅、管理控制有效。
5 管理流程权限申请流程活动描述解密申请流程活动描述6 管理内容加密软件权限申请规定加密软件策略类别有截屏类、人力资源类、图片处理类、文档类、U盘禁用类、服务器类等,另外可根据使用、管理需要,增加加密策略类别。
申请权限按照权限申请流程在OA系统中发起流程(质-网络作业申请单),由各级领导审核通过。
质量管理部按照申请单批准的内容,开通相应权限。
质量管理部根据人员换岗或离职文件通知,或相应部门人力资源管理主管的通知,及时关闭相应权限。
文件解密规定申请人发起解密流程时,需写清楚文档名称,保证文档名称能基本反映文档内容,并在发起解密流程界面的“描述”一栏,详细完整填写申请解密事由。
无申请理由或描述模糊的、不符的,审核人员不得审核通过。
对技术类相关文件,选择审核人员时,不得自己发起申请,自己审核。
审核人员只能审核本部门人员或管理范围内人员发出的解密流程申请,不得跨部门、跨范围审核。
第一章总则第一条为加强公司软件安全管理,确保公司信息安全,防止信息泄露和非法访问,特制定本制度。
第二条本制度适用于公司所有使用软件的用户,包括但不限于内部员工、合作伙伴、客户等。
第三条本制度旨在规范公司软件密码的设置、使用、管理和监督,确保密码的安全性。
第二章密码设置与使用第四条密码设置要求:1. 密码长度不得少于8位,建议使用大小写字母、数字和特殊字符的组合。
2. 密码不得使用用户名、姓名、生日、电话号码等容易被猜测的信息。
3. 避免使用常见的密码,如“123456”、“password”等。
4. 定期更换密码,建议每3个月更换一次。
第五条密码使用要求:1. 用户应妥善保管自己的密码,不得泄露给他人。
2. 用户不得使用他人的密码登录软件。
3. 如发现密码被盗用,应立即通知技术部门,并更改密码。
第六条密码找回与修改:1. 用户可通过手机短信、邮箱等方式找回密码。
2. 用户可自行修改密码,修改后需确保新密码符合设置要求。
第三章密码管理与监督第七条技术部门负责密码管理,包括:1. 制定和更新密码管理制度。
2. 监督用户遵守密码管理制度。
3. 定期对密码进行安全评估。
4. 对密码泄露、违规使用等情况进行处理。
第八条各部门负责人应加强对本部门员工密码使用的监督,确保以下要求:1. 定期组织员工学习密码管理制度。
2. 发现员工违规使用密码,及时制止并上报技术部门。
3. 加强员工信息安全意识教育。
第四章违规处理第九条违反本制度,有下列行为之一的,将依法依规进行处理:1. 泄露密码,导致信息泄露或非法访问。
2. 非法使用他人密码。
3. 故意破坏密码管理系统。
4. 其他违反本制度的行为。
第五章附则第十条本制度由公司技术部门负责解释。
第十一条本制度自发布之日起施行。
通过以上制度,旨在提高公司软件密码的安全性,确保公司信息安全,为公司的稳健发展提供有力保障。
公司保密体系建设及要求措施保密体系是指一系列的管理制度、技术手段和组织措施,旨在保护公司的机密信息和资产免受泄露、盗用或未经授权使用。
一个完善的保密体系可以帮助公司降低风险,确保公司的竞争优势和商业利益。
下面是公司建设保密体系及要求措施的一些建议:1.建立保密政策:公司应制定明确的保密政策和规章制度,并向全体员工进行培训和宣传,确保员工了解相关的保密要求和责任。
2.信息分类和标记:公司应对各类信息进行分类和标记,根据信息的重要性和敏感程度确定合适的保密级别,并制定相应的访问权限。
3.强化安全意识:公司应定期进行安全意识培训,提高员工对保密工作的重要性和危害性的认识,确保员工能够正确处理和保护公司的机密信息。
4.设立保密管理部门:公司可以设立专门的保密管理部门,负责制定和实施公司的保密政策和措施,监督和检查保密工作的执行情况。
5.确立保密责任制:公司应明确每个员工的保密责任,制定保密承诺书或保密协议,并要求员工签署,明确保密要求及责任。
6.控制访问权限:公司应根据员工的工作职责和需要,设置合适的访问权限,确保只有授权人员能够获取和处理机密信息。
7.数据加密和备份:公司应采用加密技术对重要的机密信息进行加密,确保即使在数据泄露的情况下,也能保持信息的安全性。
同时,还应定期进行数据备份,以防止数据丢失和灾难恢复。
8.建立审计和监测机制:公司应建立审计和监测机制,定期对员工的保密行为进行检查和审计,发现异常情况及时采取相应的措施。
9.物理安全措施:公司应加强对重要设施和办公区域的物理安全,采取严格的门禁控制和监控设备,防止未经授权人员进入。
10.建立举报渠道和奖惩机制:公司应建立举报渠道,鼓励员工发现和举报泄漏行为,并对举报提供保护。
同时,还应建立相应的奖惩机制,对违反保密规定的员工进行惩罚,以起到威慑作用。
综上所述,公司建设保密体系是确保公司安全和竞争优势的关键之一、通过建立明确的保密政策、加强员工安全意识培训,控制访问权限,加强物理安全措施等多种措施的综合应用,能够有效保护公司的机密信息和资产。
企业文件加密方案维护公司机密和保护信息安全对于企业的可持续发展至为重要。
针对公司的机密文件,需要选择适合企业的文件加密方案来保证信息安全。
一、了解文件加密方案的基本概念文件加密是指使用加密算法对文件或资料进行转换,使之成为只有合法用户才能读取的一段代码或字符。
加密方式可以是对称加密或非对称加密。
常见的对称加密算法有DES、3DES、AES等;非对称加密算法有RSA、DSA等。
加密后的文件需要解密后才能恢复成原文。
除了加密算法,文件加密方案还需要考虑安全管理、密钥管理、访问控制等因素。
二、企业文件加密方案的应用场景企业使用文件加密方案可以保护机密信息。
比如:财务报表、工艺流程、专利文献等。
此外,文件加密方案还可以应用于知识产权保护、网络传输和备份数据加密等场景。
相比于其他安全控制技术如防火墙、入侵检测系统等,文件加密方案可以用于精细控制信息的访问和使用。
三、实施企业文件加密方案的建议1、确定加密策略。
企业需要评估信息安全风险和需要加密的文件类型及级别。
例如,有些文件可能要求只有部分人员才能访问,需要考虑约束访问控制。
2、选择加密算法。
尽管AES已经成为最流行的对称加密算法,企业还是需要根据实际需求选择不同的加密算法。
3、管理加密密钥。
企业需要根据加密策略和企业实际需求,制定合适的密钥管理策略。
密钥需要保存到安全的存储设备中以保证安全。
4、使用加密解密工具进行文件加密解密。
严格控制加密解密工具的使用权限,防止机密信息泄漏。
5、制定加密规范并进行培训。
企业需要将加密策略和管理规范进行文档化,进行相应的培训和普及,以便员工能够遵守企业加密规定和加密管理权。
四、结语企业文件加密方案是维护企业信息安全的重要保障,需要从多个方面考虑方案制定及实施。
企业才能更加有效地保护自身机密信息。
了解密码管理软件的设置和应用场景一、密码管理软件的基本概念和作用密码管理软件是一种专门用于存储和管理用户各类密码的工具。
随着互联网的普及和信息化程度的提高,我们不可避免地需要注册和使用越来越多的账号和密码,如各种社交媒体、电子邮件、网上购物等等。
这样的情况下,如何更好地管理和保护这些密码就成为了一个重要的问题。
密码管理软件的作用是集中存储用户的用户名和密码,并通过加密技术来保护用户的隐私信息。
用户只需要记住一个主密码,即可轻松地访问软件中存储的所有账号密码,极大地方便了用户的日常操作。
二、密码管理软件的设置与使用1. 安装和注册在使用密码管理软件之前,首先需要下载并安装合适的软件。
市面上有很多不同的密码管理软件可供选择,如LastPass、1Password等。
安装完成后,用户需要注册一个账号,输入个人信息并设置一个强密码作为主密码。
2. 密码输入和生成登录密码管理软件后,用户可以开始添加各类账号和密码。
每个账号都需要输入用户名和密码,并可选择添加其他额外信息,如网站地址、安全问题等。
对于已有的密码,用户可以手动输入或通过导入功能进行批量导入。
密码管理软件还提供了密码生成工具,可以自动生成符合安全标准的强密码,确保密码的复杂度和安全性。
3. 分类和标签为了方便管理账号和密码,密码管理软件通常支持分类和标签功能。
用户可以将不同类型的账号分别归类,如社交媒体、邮件、网购等,以便更好地进行查找和管理。
同时,用户还可以添加标签,比如个人、工作、家庭等,以进一步细分和组织账号。
4. 自动填充和快捷键密码管理软件通常会在浏览器中安装插件或扩展,以便在登录网站时自动填充用户名和密码。
这样,用户无需手动输入信息,大大提高了登录速度和便捷性。
另外,密码管理软件还会提供快捷键操作,方便用户快速复制、粘贴和修改密码。
5. 密码同步和备份为了防止密码丢失和数据泄露,密码管理软件通常会提供同步和备份功能。
通过云端服务,用户可以将密码数据同步到多个设备,确保在任何设备上都能访问到最新的数据。
一、总则为加强公司信息安全,防止信息泄露,保障公司合法权益,根据《中华人民共和国信息安全法》等相关法律法规,结合公司实际情况,特制定本制度。
二、适用范围本制度适用于公司内部所有使用加密软件系统的员工,包括但不限于办公室工作人员、研发人员、销售人员等。
三、职责与权限1. 公司信息安全管理员负责加密软件系统的安装、配置、维护和监督执行。
2. 各部门负责人负责本部门员工的加密软件系统使用培训、日常管理和监督检查。
3. 员工应按照本制度规定使用加密软件系统,自觉保护公司信息安全。
四、加密软件系统管理1. 加密软件系统应具备以下功能:(1)文件加密:对敏感文件进行加密,防止未经授权的访问。
(2)访问控制:设置用户权限,限制用户对加密文件的访问。
(3)审计日志:记录用户对加密文件的访问、操作等信息。
(4)应急响应:在发生信息泄露事件时,及时采取措施进行处置。
2. 加密软件系统使用:(1)员工需经过培训,掌握加密软件系统的使用方法。
(2)员工在使用加密软件系统时,应遵循以下原则:①在传输、存储、使用敏感信息时,必须使用加密软件系统进行加密。
②不得将加密软件系统破解、破解工具、密钥等非法传播。
③不得将加密文件泄露给无关人员。
3. 加密软件系统维护:(1)信息安全管理员定期对加密软件系统进行更新、升级。
(2)信息安全管理员定期检查加密软件系统的运行状态,确保系统正常运行。
(3)信息安全管理员定期备份加密软件系统数据,防止数据丢失。
五、信息泄露处理1. 发现信息泄露事件,应及时向信息安全管理员报告。
2. 信息安全管理员接到报告后,应立即进行调查,分析原因,采取相应措施。
3. 对泄露信息进行整改,防止类似事件再次发生。
六、奖励与处罚1. 对在信息安全管理工作中表现突出的员工,给予表彰和奖励。
2. 对违反本制度,造成信息泄露的员工,给予警告、通报批评、扣发奖金等处罚。
3. 对情节严重,构成犯罪的,依法追究刑事责任。
七、附则1. 本制度由公司信息安全管理员负责解释。
使用密码管理软件的安全建议随着网络的普及和互联网应用的广泛应用,个人账户密码的管理变得越来越重要。
为了提高密码的安全性和方便性,越来越多的人开始使用密码管理软件来管理他们的密码。
密码管理软件可以帮助我们生成强密码、存储密码并自动填充登录信息,但同时也带来了一定的安全风险。
本文将介绍一些使用密码管理软件时的安全建议,以确保您的密码和个人信息安全。
首先,选择可信赖的密码管理软件是保证密码安全的关键。
在选择密码管理软件时,我们应该考虑以下因素:1. 信誉度:选择那些有良好口碑和较高用户评价的密码管理软件。
可以通过搜索和阅读软件评论、了解软件的开发者和公司背景等方式来判断软件的信誉度。
2. 安全性:密码管理软件需要在存储和传输密码时保证数据的安全。
因此,我们应该选择那些采用安全加密算法、具有端到端加密和多层次验证等安全措施的密码管理软件。
其次,密码管理软件的主密码安全性至关重要。
主密码是登录密码管理软件所需的密码,也是您所有密码的重要保护层。
以下是几项主密码的安全建议:1. 使用长且复杂的密码:主密码应该足够长,并包含大写字母、小写字母、数字和特殊字符等各种类型的字符。
避免使用常见的字典词汇、个人信息和连续数字等容易被猜测的密码。
2. 定期更改主密码:定期更改主密码可以增加密码的安全性,防止密码长期被滥用。
3. 不要共享主密码:主密码是访问密码管理软件的通行证,不要与他人共享主密码,以免密码泄露。
使用密码管理软件时,我们还应注意以下几点以提高密码和个人信息的安全:1. 多重身份验证:启用密码管理软件提供的多重身份验证功能,如双因素身份验证、指纹识别等,可以进一步增强账户的安全性。
2. 避免在公共设备上使用:避免在公共设备上使用密码管理软件进行登录操作,以免受到键盘记录器和恶意软件的攻击。
3. 定期备份数据:定期备份密码管理软件中的数据,以防止数据意外丢失或被损坏。
4. 定期检查软件更新:密码管理软件通常会发布更新修复已知漏洞和提供更好的安全性能。
选择加密软件的几点建议随着信息化的普及,企业数据的安全越来越受到重视,目前国内已有不少加密软件,如何选择加密软件呢?这里参考一些厂家提供的文档并结合自己的经验,提供一些建议供大家参考。
加密软件按照实现的方法可划分为被动加密和主动加密。
(1)被动加密:是指被加密的文件,在使用前需首先解密得到明文,然后才能使用。
这类软件主要适用于个人电脑数据的加密,防止存储介质的丢失(比如硬盘被盗)导致数据的泄密;(2)主动加密(或者说透明加密、自动加密):是指在使用过程中自动对文件进行加密或解密操作,无需用户的干预,合法用户在使用加密文件前,不需要进行解密操作即可使用,表面看来,访问加密的文件和访问未加密的文件基本相同,对合法用户来说,这些加密文件是“透明的”,即好像没有加密一样,但对于没有访问权限的用户,即使通过其它非常规手段得到了这些文件,由于文件是加密的,因此也无法使用。
由于动态加密技术不仅不改变用户的使用习惯,而且无需用户太多的干预操作即可实现文档的安全,因而近年来得到了广泛的应用。
目前针对企业的防泄密软件(企业内部的文件可以自由流通、阅读,一旦拷贝出去或者脱离企业网络环境,将无法阅读),大多采用主动加密技术。
由于主动加密要实时加密数据,必须动态跟踪需要加密的数据流,而且其实现的层次一般位于系统内核中,因此,从实现的技术角度看,实现主动加密要比被动加密难的多,需要解决的技术难点也远远超过被动加密。
这里说的加密软件就是采用主动加密技术的软件。
下面说说在选择加密软件的时候,建议考查的几个方面:一、加密软件是否自动透明加密?何谓“透明”?“透明”应该就是指加密的动作不需要人工干预,是软件自动完成的。
比如:用WORD建立一个文档的时候,软件应该能自动把这个新建的文件加密,对用户完全透明,不影响用户的操作习惯。
大部分加密软件都是透明加密的,但是也有区别。
很多应用软件在编辑数据文件时,都会生成临时文件。
比如Word在编辑文档时,会在同目录下出现以“~$”开头的文件和一个以“~”开头并以tmp 为后缀的文件。
这些临时文件在相应的数据文件被正常关闭后,会被删除。
由于这些临时文件也存储有企业的机密数据,因而这些临时文件也应该是要能自动加密的。
在测试的时候要特别注意。
有些品牌的加密软件,为了给自己图方便,放弃对中间过程的文件进行加密。
例如,业界有一个老牌的厂商便采取了这样一种做法:①拦截程序对文件的打开操作;②把打开的文件隐蔽地解密到一个“秘密”的地方;③在后台把应用程序对数据文件操作指针指向位于“秘密”之处的明文;④在关闭数据文件时,把隐藏的明文加密并替换原有的文件。
这样的设计,让用户看起来是能够打开编辑密文,编辑保存后得到的还是密文。
但是实际上应用软件真实编辑的对象是一个不加密的明文文件。
如果这个“秘密的地方”被知道了,完全可以打开密文时到那个“秘密的地方”去获得明文。
二、加密的算法及密钥的安全性对于一个脱离了企业环境的密文来说,安全完全由算法和密钥来决定。
所以选择加密软件的时候,对其采用的算法和密钥的安全性一定要了解。
一般来说,加密算法基本都采用国际流行的算法:比如RSA、DES、RC、AES等,这些算法虽然是公开的,但根据现代密码学的理论,加密算法的公开与否并不影响其安全性,一个好的加密算法的安全性只依赖于密钥。
因此对于脱离了企业环境的密文来说,密文的安全主要靠密钥的安全来保证。
一个加密软件的密钥是否安全应该主要要解决如下几个问题:(1)加密软件的厂家如果获取到企业的密文,厂家应该是不能解密的。
很多加密软件,密钥是根据计算机的某些特征值由程序生成的,企业自己无法设置,这样只要知道了硬件的特征码,厂家就能轻松获取到用户的密钥,那么企业的文件对厂家来说就是没有保密可言了;还有些加密软件的密钥就是系统固定的,这样厂家只要拿到密文,就能解密;(2)企业内部的密文,拿到另外一个企业里面,应该是不能解密的:现在很多加密软件的控制端都由企业的网络管理人员在使用,那么一旦网管人员离职,重新安装相同的加密软件,应该保证原单位的文档即使拷贝过去也不能阅读。
也就是要保证不同企业能有不同的加密密钥。
(3)在使用过程中,如果密钥泄露,应该要有补救措施:比如说密钥能支持更改,这样密钥泄露了,企业可以方便的更换。
三、加密软件是如何判断一个文件是否需要加密的不同的企业,甚至同一个企业的不同部门,所要加密的文件有可能是不相同的。
例如设计部需要对产品图纸进行加密,办公室需要对Office类文档进行加密。
所以,如何判断某个文件是否应该加密,是加密软件一个很重要的考查指标。
一般来说,如何判断某个文件是否需要加密,有两种选择方式:(1)指定受控路径(目录或者盘符):即保存在指定目录或者指定盘符中的文件一律加密。
管理员可以为每一个客户机指定一个或多个需要加密的受控路径。
用户如果将文件保存到这个路径下,那么文件就会被加密。
这种方式带来的问题就是:客户端有可能将机密文件保存到非受控路径下。
厂商们为了应对这个问题,通常会向用户提供这样的解决方案:①将所有的应用软件全部安装在C盘,然后对C 盘做一个镜像,其他盘(无论是逻辑盘还是物理盘)都只允许存放数据文件;②将除C盘以外的所有盘符都设定为受控路径,以确保所有的数据文件都是密文存储;③每次Windows启动时,或者Windows 关闭前,都会对C盘进行自动还原(这一点很像网吧和部分企业中采用的还原技术)。
(2)指定受控程序和受控后缀方式:即由指定的应用软件生成的指定后缀文件(或者所有文件)一律加密。
系统管理员可以为每一个客户机指定一个或多个受控程序。
客户端如果用这些受控程序保存文件,那么文件就会被加密。
例如,前文所列举的例子,管理员就可以将CAD设置(同时CAD生成的所有文件设置为受控后缀)为设计部的受控程序,将Office设置为办公室部门的受控程序。
这两种方式,各有优缺点。
第一种方式的优点是易于实现,且不关心应用软件是什么。
但是弊端也非常明显。
主要表现为:①给日常的IT维护工作造成了很大的不便:杀毒软件的特征库升级、安装新的应用软件等工作,都会随着C盘的还原而还原,除非先解除对C盘的保护,升级或者安装结束后再恢复保护;②有着明显的安全漏洞:普通用户完全可以将文件先保存到C盘,然后关闭Windows,甚至强行突然断电,使得C 盘的还原机制还没有来得及发挥作用就将硬盘拆卸带走,从而将文件的明态数据带走了。
由于明显地弊大于利,所以这种方式只被少数的厂商所采用。
第二种方式的比较符合实际应用,因为用户最关心的还是“由特定程序生成的文件”。
这种方式易于用户制定和维护规则。
一般来说,采用了这种方式的加密软件都会限定:只有受控程序才可以打开密文,非受控程序是不允许打开密文的。
(这一限制很容易理解:如果非受控程序也能够打开密文,那么它再将文件另存或者通过网络传送出去,密文就变成了明文了。
)有些企业会有自己的业务系统,有可能需要阅读加密文件,而且这些业务系统并不在加密软件自带的受控程序列表中,针对这个问题有些厂商提供了让用户自定义受控程序或者受控后缀的功能;有些厂商的解决方法就是让客户提供业务系统软件,然后再帮助客户加入。
四、泄密途径没有通过授权,就可以获取密文中的内容的方法,称之为泄密途径。
加密软件中如果不对这些途径加以控制,那么加密软件就形同虚设。
泄密途径众多,每种途径的控制是加密软件的一个重要功能。
泄密途径控制的好坏,也是选择加密软件的一个重要考查点。
1、网络发送使用QQ、Foxmail、Outlook等网络软件把一个密文发送到没有安装加密软件的电脑上,查看是否可以看到文件的内容。
如果可以查看,说明存在泄密危险。
在Office软件里面,比如WORD,打开加密的文件,然后在WORD 菜单中选择“文件”-“发送”-“邮件接收人(以附件形式)”,此时如果安装了Outlook,会使用Outlook发送邮件,如果没有安装Outlook,会打开Outlook Express发送邮件。
然后到一个没有安装加密软件的电脑上,接收这个邮件,看是否可以打开附件,如果可以,说明存在泄密危险。
2、剪贴板查看是否可以使用Windows提供的复制-粘贴功能把密文内容发送出去。
测试方法:用WORD打开一个密文,用鼠标选择一些文字,复制(或CTRL+C),切换到QQ聊天窗口中,粘贴(或者CTRL+V),查看是否可以粘贴出明文。
剪贴板是个非常常用的功能,禁止使用剪贴板会使客户端的使用者受到很多限制。
加密软件不应该只使用禁止的方法来控制剪贴板。
比较好的处理办法是将剪贴板的内容加密,使得复制的内容在受控程序(如WORD)上可以粘贴出明文,而在非受控程序(如QQ)上贴出的就是乱码。
另外还应注意一点,就是剪贴板的控制在360保险箱下是否生效。
因为360保险箱是免费软件安装量非常大,如果360保险箱下就会使剪贴板控制失效,那么就存在非常大的漏洞。
测试方法很简单:安装360保险箱,将WORD用保险箱保护,然后在有360保险箱保护下开启WORD,查看是否可以打开密文,是否可以把内容复制到QQ的聊天窗口上。
3、屏幕拷贝查看是否可以通过屏幕拷贝的方法将文档内容泄露。
屏幕拷贝有两种常用方法,一种是使用Windows快捷键PrtScr或者ALT+PrtScr,另一种是使用一些可以捕捉屏幕的软件,比如QQ。
测试方法:针对第一种方法:用WORD打开一个密文,打开看到明文后,按一次PrtScr键,打开Windows自带的画图软件(开始→所有程序→附件→画图),按CTRL+V,查看是否可以贴出带有文件内容的图片。
针对第二种方法:使用QQ作为测试软件,查看QQ屏幕截图功能是否可以使用。
另外,QQ也是360保险箱默认保护的软件之一,所以应该测试一下,用360保险箱保护QQ的情况下,禁止截屏是否生效。
4、OLE插入OLE插入是打开密文的另一种方法。
支持OLE插入技术的软件有很多,比如Windows自带的写字板(可执行文件名为wordpad.exe)。
测试方法:打开一个写字板,将一个加密的WORD文档用鼠标拖动到写字板内(或者在写字板菜单“插入” “对象”,并选择“由文件创建”,选择加密的WORD文档),如果可以以明文方式打开,那么说明存在OLE泄密的漏洞。
也应该测试一下在360保险箱保护写字板的情况下,是否存在这个漏洞。
5、拖拽用WORD打开一个密文,拖动鼠标左键选中一些文字,在选中的文字上用鼠标拖动数据,查看是否可以将这些文件拖动到QQ聊天窗口上。
如果可以,就存在拖拽泄密的风险。
同样也应该测试一下在360保险箱保护WORD的情况下,打开加密文件,然后拖动选中的文字,看是否存在泄密风险。
6、进程识别大多加密软件都是根据程序名和文件的后缀(扩展名)来决定哪个文件需要加密的。
