防泄密系統

在當今信息社會中，商業間諜、黑客、不良員工對企業的信息安全形成了巨大的威脅。而網路的普及和USB接口的大量使用給企業獲取和交換信息帶來巨大方便的同時，也給這些威脅大開方便之門。如何來管理這些情況呢？大多數企業是採用拆除光碟機軟碟機，封掉USB接口。限制上網等方法來儘可能的減少信息交換，以達到信息防泄密的目的。或者安裝一些監控軟體。監控員工的日常工作，使其不敢輕舉妄動。但這些方法都嚴重影響工作的方便性，並容易引起員工的牴觸情緒，甚至可能會帶來法律方面的問題。並且現在大量事實證明這種方法效果不是很好，重要的檔案往往依舊會泄漏。

2003 年，美國的執法機構FBI 和CSI對數百家企業進行了調查。該調查結果認為絕大多數泄密事件是由內部人員所為，或者由內外勾結造成的。IDC 的報告也得出了類似的結論：70%的安全損失是由內部造成的。這些都印證了中國的一句古話 “家賊難防”。由於內部人員熟悉檔案的存放，還可以接觸到密級高、範圍廣的檔案，所以一旦發生內部人員故意泄密事件，其危害程度是大大超過外部人員的盜取（例如黑客攻擊行為）。可見，從數據防泄密角度來講要內外兼防、甚至要防內終於防外。

合力天下防泄密系統(HL-dataAS)用於保護企業的智慧財產權、客戶資料、財務數據、技術圖紙、套用系統等一切機密信息化數據不外泄。簡單地說，”合力天下”防泄密系統讓企業機密數據和套用系統的重要資料“拷不走”、“螢幕截取不走”、“另外儲存不走”、“列印不走” 、“內容複製不走”、“MSN、QQ、郵件傳送不走”。
一、支持各種檔案格式加密（CAD、OFFICE、PDF、圖紙、電腦程式、遊戲、數碼照片、視頻…..），用戶也可以根據自己的需要定製；支持出差人員管理；支持文檔外發管理；杜絕涉密文檔非法擴散。
二、 支持區域網路部署和網際網路部署模式，支持總部和異地分支機構分別部署；支持單機部署模式；確保公司內部資料的相互流通。
三、支持各種套用系統：支持基於Windows的B/S、C/S的各種業務套用軟體加密，如PDM、PLM、ERP、OA、CRM、CAM、HR、采編軟體、流程管理軟體、電子商務軟體、財務軟體、文檔管理軟體、網站系統。
四、 支持任意格式文檔類型：Office、Open office、Wps、PDF、outlook、FOXMAIL、ARM、ANSYS、Easypro、OA系統、ERP、MSVISIO、 AutoCAD、Autodesk Inveator、Autovue、ACDSee、Pro/E、Inventor、CAXA、CAJviewer、Protel、PReS、Keil、Quartus、AVR Studio、 ARM Studio、Siemens Wicc、Xtcapp55、TurboCAD、開目CAD、TwinCAD、CATIA、Solid Edge、UG、PowerDraft、Photoline、清華天河CAD 、中望CAD、英泰CAD、浩辰CAD、凱思CAD、JEwelCAD、Code Wright、ULTRAEdit、Solidworks、SVN、ZDDS、IAR、PowerDesigner、FPWIN GR、FX-PCS-DU-WIN-C、FXGPWIN、PhptoShop、DreamWeaver、MTcardEdit、CorelDraw、Fireworks、Flash、ACDSee、ZineMarker、 HITACHI Embedded workshop、HIGH-Performance Embedded workshop、Embedded workshop、CAM350、Matlab、 Labview、Illustrator、 MAYA、3D MAX、realplay、media player、Cakewalk、Flash、LRC Editor、Lightscape、Beyond Compare、Java、Delphi、VS. C、 VB、VC、C++、Java虛擬機、Source Insight、WINRAR、EDITplus、IBM ClearCase、PowerBuilder、PowerPCB、Powerlogic、Power mill 、數控傳輸軟體、視頻檔案、編程ICC、打標機（票據列印）、CAMtastic、DELcam-Exchange、cimatron、Macrumedia、Microchip、 MasterCAM、MyEclipse、Eclipse、Tomcat、MultiGen Creator、FoxPro、Access、MSSQL、Oracle、WinMerge、XOREAX、InCrediBuid、 ZBrush3、JDPaint、BodyPaint 3D、安卓手機源碼等各種文檔格式，即可自定義加密任意檔案格式。
五、支持作業系統：支持Windows 2000、XP、2003、2008、Vista、win7、win8(32 64)、linux等。

六、 支持中文、英文、日文、德文、韓文、法文、西班牙文等各種語言網路環境，支持中文、英文、日文、德文、韓文、法文、西班牙文等世界各種語言文檔加密。

這類技術是最累的加密技術，其原理是為每一個應用程式寫一個外掛程式程式（也稱“外殼”），應用程式在載入時會自動載入外掛程式程式，外掛程式程式載入後會監視所有的數據輸出，必要時加密數據，如果一個操作不能主動加密，就強制取消對應的操作。

這種技術採用的是一對一的直觀思維，因此其支持的目標是以應用程式為單位的，而且一般和應用程式的版本還有關係，因為同一個應用程式未必能夠支持不同版本的外掛程式。也不是所有的應用程式都支持外掛程式技術。事實上，能夠支持外掛程式的應用程式僅限於Office、CAD等大型通用化套用軟體，專用軟體和一般的小型軟體都不支持外掛外掛程式。因此，這種技術套用環境受到諸多限制，而且由於從原理上不能保證受支持套用軟體之外的軟體的適用性，因此這種技術基本面臨淘汰。不過，現在國內一些加密軟體廠商還在使用，特點是用戶的文檔格式可以自定義，不需要廠家參與。

這種技術比起上面的技術來在通用性上有所進步，大部分“標準”的應用程式能夠得到支持，實現上也相當簡單，不需要考慮不同的應用程式。其缺點是API攔截是基於套用層的，不是所有的應用程式都使用標準的API運算元據，一旦應用程式的數據操作使用的驅動方式，或者直接使用VMM的記憶體映射檔案，這種方式就會出現不能正常解密或泄密漏洞。因此，這種技術也只能適用於已經測試通過的環境。另外，API攔截不是標準的系統開發技術，使用API攔截後系統性能下降明顯，與反病毒軟體和一些工具軟體往往也存在兼容性問題，這些都是API攔截技術的詬病。常見的涉密隨身碟類防泄密系統部分廠家還在採用本技術。特點是人手一盤，通過經過授權的隨身碟進行身份認證來訪問加密文檔。

這種技術是理論上最完美的技術。驅動技術是標準的系統開發技術，因此不存在兼容性問題（本身有程式BUG的下三濫驅動除外）。所有應用程式（包括作業系統本身）都必須通過檔案系統驅動獲取磁碟數據，因此在驅動中對數據進行控制幾乎無一漏網。另外，由於驅動運行於作業系統核心層，其效率、性能和抗攻擊性不是套用層的API攔截所能達到的。

所謂透明，是指對使用者來說是未知的。當使用者在打開或編輯指定檔案時，系統將自動對未加密的檔案進行加密，對已加密的檔案自動解密。檔案在硬碟上是密文，在記憶體中是明文。一旦離開使用環境，由於應用程式無法得到自動解密的服務而無法打開，從而起來保護檔案內容的效果。

所謂智慧型，是指防泄密系統並不依賴可執行程式的名稱來確定是否是受控程式，而是有一套專用智慧型識別算法。智慧型識別技術，無論怎么改變程式的名稱，甚至用UPX等軟體壓縮可執行程式來改變MD5值，依舊不會逃過防泄密軟體的監測。只要檔案的內容是需要受控的話，無論將其保存成為什麼擴展名，都將被自動加密。

AES算法加密速度可達到幾百兆每秒，高於硬碟讀寫速度。從理論上說，讀檔案的解密操作與寫檔案的加密操作是一個流水線的過程，整個過程只增加0.8~8%的開銷，用戶主觀上感覺不到延遲。

對於網路異常斷線，機器異常斷電等突發異常，防泄密系統可確保文檔不被破壞。網路斷線時，採用客戶端記憶體數據驗證，斷線時間可以設定，能夠適應任何複雜的網路環境。

防泄密軟體常用的加密算法有三種，IDEA 算法、RSA算法、AES算法，加密強度來講，AES最好。

IDEA算法屬於對稱加密算法， 對稱加密算法中，數據加密和解密採用的都是同一個密鑰，因而其安全性依賴於所持有密鑰的安全性。

對稱加密算法的主要優點是加密和解密速度快，加密強度高，且算法公開.

缺點是實現密鑰的秘密分發困難，在大量用戶的情況下密鑰管理複雜，而且無法完成身份認證等功能，不便於套用在網路開放的環境中。

對稱加密算法的特點是算法公開、計算量小、加密速度快、加密效率高。

對稱加密算法過程是將數據發

IDEA是International Data Encryption Algorithm的縮寫,是1990年由瑞士聯邦技術學院來學嘉(X.J.Lai)和Massey提出的建議標準算法,稱作PES(Proposed Encryption Standard).Lai和Massey在1992年進行了改進,強化了抗差分分析的能力,改稱為IDEA.它也是對64bit大小的數據塊加密的分組加密算法.密鑰長度為128位.它基於“相異代數群上的混合運算”設計思想,算法用硬體和軟體實現都很容易,它比DES在實現上快得多 。

RSA算法是非對稱加密算法，非對稱加密算法的保密性比較好，它消除了最終用戶交換密鑰的需要，但加密和解密花費時間長、速度慢，它不適合於對檔案加密而只適用於對少量數據進行加密。

對稱加密算法、非對稱加密算法和不可逆加密算法可以分別套用於數據加密、身份認證和數據安全傳輸。　RSA算法是建立在大數分解和素數檢測的理論基礎上。

RAS密鑰的產生過程：

獨立地選取兩個互異的大素數p和q（保密）。

計算n=p×q（公開），則ф(n)=（p－1）*（q－1）(保密)

隨機選取整數e，使得1<e<ф(n)並且gcd(ф(n),e)=1（公開）

計算d，d=e-1mod(ф(n))保密。

RAS私有密鑰由{d，n}，公開密鑰由{e，n}組成

RAS的加密/解密過程：

首先把要求加密的明文信息M數位化，分塊；

然後，加密過程：C=Me(mod n)

解密過程：M=Cd(mod n)

非對稱密鑰加密體制的優點與缺點：

解決了密鑰管理問題，通過特有的密鑰發放體制，使得當用戶數大幅度增加時，密鑰也不會向外擴散；由於密鑰已事先分配，不需要在通信過程中傳輸密鑰，安全性大大提高；具有很高的加密強度。

與對稱加密體制相比，非對稱加密體制的加密、解密的速度較慢。

AES加密算法屬於不可逆加密算法，不可逆加密算法的特徵是加密過程中不需要使用密鑰，輸入明文後由系統直接經過加密算法處理成密文，這種加密後的數據是無法被解密的，只有重新輸入明文，並再次經過同樣不可逆的加密算法處理，得到相同的加密密文並被系統重新識別後，才能真正解密。

1997年4月15日,美國國家標準和技術研究所NIST發起了徵集AES算法的活動,並成立了專門的AES工作組,目的是為了確定一個非保密的,公開披露的,全球免費使用的分組密碼算,法用於保護下一世紀政府的敏感信息,並希望成為秘密和公開部門的數據加密標準.1997年9月12日,在聯邦登記處公布了徵集AES候選算法的通告.AES的基本要求是比三重DES快而且至少和三重DES一樣安全,分組長度128比特,密鑰長度為128/192/256比特.1998年8月20日,NIST召開了第一次候選大會,並公布了15個候選算法.1999年3月22日舉行了第二次AES候選會議,從中選出5個.AES將成為新的公開的聯邦信息處理標準(FIPS--Federal Information Processing Standard),用於美國政府組織保護敏感信息的一種特殊的加密算法.美國國家標準技術研究所(NIST)預測AES會被廣泛地套用於組織,學院及個人.入選AES的五種算法是MARS,RC6,Serpent,Twofish,Rijndael.2000年10月2日,美國商務部部長Norman Y. Mineta宣布,經過三年來世界著名密碼專家之間的競爭,Rijndael數據加密算法最終獲勝.　為此而在全球範圍內角逐了數年的激烈競爭宣告結束.這一新加密標準的問世將取代DES數據加密標準,成為21世紀保護國家敏感信息的高級算法.