防信息泄密系統軟體

“防信息泄密系統”產生的背景：在當今信息社會中，商業間諜、黑客、不良員工對企業的信息安全形成了巨大的威脅。而網路的普及和USB接口的大量使用給企業獲取和交換信息帶來巨大方便的同時，也給這些威脅大開方便之門。如何來管理這些情況呢？大多數企業是採用拆除光碟機軟碟機，封掉USB接口。限制上網等方法來儘可能的減少信息交換，以達到信息防泄密的目的。或者安裝一些監控軟體。監控員工的日常工作，使其不敢輕舉妄動。但這些方法都嚴重影響工作的方便性，並容易引起員工的牴觸情緒，甚至可能會帶來法律方面的問題。並且現在大量事實證明這種方法效果不是很好，重要的檔案往往依舊會泄漏。 　2003 年，美國的執法機構FBI 和CSI對數百家企業進行了調查。該調查結果認為絕大多數泄密事件是由內部人員所為，或者由內外勾結造成的。IDC 的報告也得出了類似的結論：70%的安全損失是由內部造成的。這些都印證了中國的一句古話 “家賊難防”。由於內部人員熟悉檔案的存放，還可以接觸到密級高、範圍廣的檔案，所以一旦發生內部人員故意泄密事件，其危害程度是大大超過外部人員的盜取（例如黑客攻擊行為）。可見，從數據防泄密角度來講要內外兼防、甚至要防內終於防外。[編輯本段]防信息泄密系統採用的加密技術分類：　防信息泄密系統採用的加密技術分類： 　1）基於應用程式外掛程式的主動加密 　這類技術是最累的加密技術，其原理是為每一個應用程式寫一個外掛程式程式（也稱“外殼”），應用程式在載入時會自動載入外掛程式程式，外掛程式程式載入後會監視所有的數據輸出，必要時加密數據，如果一個操作不能主動加密，就強制取消對應的操作。 　這種技術採用的是一對一的直觀思維，因此其支持的目標是以應用程式為單位的，而且一般和應用程式的版本還有關係，因為同一個應用程式未必能夠支持不同版本的外掛程式。也不是所有的應用程式都支持外掛程式技術。事實上，能夠支持外掛程式的應用程式僅限於Office、CAD等大型通用化套用軟體，專用軟體和一般的小型軟體都不支持外掛外掛程式。因此，這種技術套用環境受到諸多限制，而且由於從原理上不能保證受支持套用軟體之外的軟體的適用性，因此這種技術基本面臨淘汰。不過，現在國內一些加密軟體廠商還在使用，特點是用戶的文檔格式可以自定義，不需要廠家參與。 　2）基於API攔截的主動加密 　這種技術比起上面的技術來在通用性上有所進步，大部分“標準”的應用程式能夠得到支持，實現上也相當簡單，不需要考慮不同的應用程式。其缺點是API攔截是基於套用層的，不是所有的應用程式都使用標準的API運算元據，一旦應用程式的數據操作使用的驅動方式，或者直接使用VMM的記憶體映射檔案，這種方式就會出現不能正常解密或泄密漏洞。因此，這種技術也只能適用於已經測試通過的環境。另外，API攔截不是標準的系統開發技術，使用API攔截後系統性能下降明顯，與反病毒軟體和一些工具軟體往往也存在兼容性問題，這些都是API攔截技術的詬病。常見的涉密隨身碟類防泄密系統部分廠家還在採用本技術。特點是人手一盤，通過經過授權的隨身碟進行身份認證來訪問加密文檔。 　3）基於檔案系統驅動技術的主動加密 　這種技術是理論上最完美的技術。驅動技術是標準的系統開發技術，因此不存在兼容性問題（本身有程式BUG的下三濫驅動除外）。所有應用程式（包括作業系統本身）都必須通過檔案系統驅動獲取磁碟數據，因此在驅動中對數據進行控制幾乎無一漏網。另外，由於驅動運行於作業系統核心層，其效率、性能和抗攻擊性不是套用層的API攔截所能達到的。 　基於檔案系統驅動技術的主動加密的最新技術是“智慧型透明加密技術”。 　什麼是智慧型透明加密技術？ 　所謂透明，是指對使用者來說是未知的。當使用者在打開或編輯指定檔案時，系統將自動對未加密的檔案進行加密，對已加密的檔案自動解密。檔案在硬碟上是密文，在記憶體中是明文。一旦離開使用環境，由於應用程式無法得到自動解密的服務而無法打開，從而起來保護檔案內容的效果。 　所謂智慧型，是指防泄密系統並不依賴可執行程式的名稱來確定是否是受控程式，而是有一套專用智慧型識別算法。智慧型識別技術，無論怎么改變程式的名稱，甚至用UPX等軟體壓縮可執行程式來改變MD5值，依舊不會逃過防泄密軟體的監測。只要檔案的內容是需要受控的話，無論將其保存成為什麼擴展名，都將被自動加密。 　AES算法加密速度可達到幾百兆每秒，高於硬碟讀寫速度。從理論上說，讀檔案的解密操作與寫檔案的加密操作是一個流水線的過程，整個過程只增加0.8~8%的開銷，用戶主觀上感覺不到延遲。 　對於網路異常斷線，機器異常斷電等突發異常，防泄密系統可確保文檔不被破壞。網路斷線時，採用客戶端記憶體數據驗證，斷線時間可以設定，能夠適應任何複雜的網路環境。