公司新闻 您当前位置:>>网站首页 > 新闻动态 > 公司新闻
如何选择一款适合本公司的加密软件?
来源:昆明狼烟 新闻类型:加密软件 日期:2017-09-19 浏览:1708次[]

 信息安全事件越来越多,网络犯罪已经上升到了国家层面,现在已经不是选择不选择加密软件的时候,而是选择什么样加密软件的时候了,昆明狼烟整理了几项选择加密软件时需要考查的方面,抛砖引玉。

 
一、 加密软件是否自动透明加密?
 
何谓“透明”?“透明”应该就是指加密的动作不需要人工干预,是软件自动完成的。
 
比如:用WORD建立一个文档的时候,软件应该能自动把这个新建的文件加密,对用户完全透明,不影响用户的操作习惯。大部分加密软件都是透明加密的,但是也有区别。很多应用软件在编辑数据文件时,都会生成临时文件。比如Word在编辑文档时,会在同目录下出现以“~$”开头的文件和一个以“~”开头并以tmp为后缀的文件。这些临时文件在相应的数据文件被正常关闭后,会自动被删除。由于这些临时文件也存储有企业的机密数据,因而这些临时文件也应该是要能自动加密的。在测试的时候要特别注意。有些品牌的加密软件,为了给自己图方便,放弃对中间过程的文件进行加密。
 
例如,业界有一个老牌的厂商便采取了这样一种做法:
 
①拦截程序对文件的打开操作;
 
② 把打开的文件隐蔽地解密到一个“秘密”的地方;
 
③ 在后台把应用程序对数据文件操作指针指向位于“秘密”之处的明文;
 
④ 在关闭数据文件时,把隐藏的明文加密并替换原有的文件。这样的设计,让用户看起来是能够打开编辑密文,编辑保存后得到的还是密文。但是实际上应用软件真实编辑的对象是一个不加密的明文文件。如果这个“秘密的地方”被知道了,完全可以打开密文时到那个“秘密的地方”去获得明文。经过了多年的发展,加密软件的透明加密技术已经有了明确的历史阶段划分,一般认为,加密1.0技术是环境加密技术,其特点是并不进行文件内容的加密,只是对硬盘引导区(扇区)进行加密和提供部分网络加密功能;加密2.0技术是格式加密技术,其特点是对管理人员设置的部分特定格式文件进行加密,未设置或者忘记设置的则无法进行加密,随着应用软件的升级,格式加密需同步升级;加密3.0技术是多模加密,其特点是根据设置策略不同,可以实现全盘加密,目录加密,格式加密,手动加密,空加密等等功能,多模加密是下一带加密技术的发展方向。一般集团型公司为了满足内部加密策略根据部门、人员不同而设置不同,已经将多模加密作为选择加密软件的必要条件。一般来讲,多模加密至少可以实现:全盘加密,目录加密,格式加密,反格式加密,手动加密,空加密,网络加密,静态加密等多种加密;不管采用哪种加密模式,注意临时文件也需要是加密的,这一点也非常要命,别让使用人员简简单单将临时文件复制出来就解密了,那就没有丝毫的安全性可言了。
 
二、 加密的算法及密钥的安全性
 
1,加密软件的厂家如果获取到企业的密文,厂家应该是不能解密的。很多加密软件,密钥是根据计算机的某些特征值由程序生成的,企业自己无法设置,这样只要知道了硬件的特征码,厂家就能轻松获取到用户的密钥,那么企业的文件对厂家来说就是没有保密可言了;还有些加密软件的密钥就是系统固定的,这样厂家只要拿到密文,就能解密;
 
2,企业内部的密文,拿到另外一个企业里面,应该是不能解密的:现在很多加密软件的控制端都由企业的网络管理人员在使用,那么一旦网管人员离职,重新安装相同的加密软件,应该保证原单位的文档即使拷贝过去也不能阅读。也就是要保证不同企业能有不同的加密密钥。
 
3,在使用过程中,如果密钥泄露,应该要有补救措施:比如说密钥能支持更改,这样密钥泄露了,企业可以方便的更换,但是,更换密钥的前提是采用老密钥对原来的密文全部解密,这个实在是一个浩瀚的工程。因此,选择更换密钥恐怕只能说对后续的文件安全性有帮助。目前,在我们国家,对加密产品采用的算法执行的是强制管理政策。也就是说,加密算法采用国家有关部门制定的才是合法产品。
 
三、 泄密途径
 
没有通过授权,就可以获取密文中的内容的方法,称之为泄密途径。加密软件中如果不对这些途径加以控制,那么加密软件就形同虚设。泄密途径众多,每种途径的控制是加密软件的一个重要功能。泄密途径控制的好坏,也是选择加密软件的一个重要考查点。但是,最优秀的加密软件应该是和加密后文件的流通途径无关,即:应该是加密后的文件,未经任何允许,通过任何途径外发的都是密文,而不是仅仅将文件流转的途径进行限制。
 
在加密1.0技术中,因为是采用部分网络协议对数据进行加密,但其无法支持多种协议,一旦采用了未实现的协议,则数据发送后就100%解密了,这一点需要特别关注。
 
网络发送
 
使用QQ、Foxmail、Outlook等网络软件把一个密文发送到没有安装加密软件的电脑上,查看是否可以看到文件的内容。如果可以查看,说明存在泄密危险。其他能进行的发送途径比较多,每个公司可以整理自己的文件发送方式进行测试。
 
剪贴板
 
查看是否可以使用Windows提供的复制-粘贴功能把密文内容发送出去。测试方法:用WORD打开一个密文,用鼠标选择一些文字,复制(或CTRL+C),切换到QQ聊天窗口中,粘贴(或者CTRL+V),查看是否可以粘贴出明文。
 
屏幕拷贝
 
查看是否可以通过屏幕拷贝的方法将文档内容泄露。屏幕拷贝有两种常用方法,一种是使用Windows快捷键PrtScr或者ALT+PrtScr,另一种是使用一些可以捕捉屏幕的软件,比如QQ。
 
测试方法:
 
针对第一种方法:用WORD打开一个密文,打开看到明文后,按一次PrtScr键,打开Windows自带的画图软件(开始?所有程序?附件?画图),按CTRL+V,查看是否可以贴出带有文件内容的图片。
 
针对第二种方法:使用QQ作为测试软件,查看QQ屏幕截图功能是否可以使用。另外,QQ也是360保险箱默认保护的软件之一,所以应该测试一下,用360保险箱保护QQ的情况下,禁止截屏是否生效。
 
OLE插入
 
OLE插入是打开密文的另一种方法。支持OLE插入技术的软件有很多,比如Windows自带的写字板(可执行文件名为wordpad.exe)。测试方法:打开一个写字板,将一个加密的WORD文档用鼠标拖动到写字板内(或者在写字板菜单“插入”?“对象”,并选择“由文件创建”,选择加密的WORD文档),如果有此创建的写字板文件是明文而不加密,则说明存在OLE漏洞。
 
拖拽
 
用WORD打开一个密文,拖动鼠标左键选中一些文字,在选中的文字上用鼠标拖动数据,查看是否可以将这些文件拖动到QQ聊天窗口上。如果可以,就存在拖拽泄密的风险。
 
进程识别
 
大多加密软件都是根据程序名和文件的后缀(扩展名)来决定哪个文件需要加密的。比如使用WORD生成的扩展名为“.DOC”的文档会被自动加密,而用WORD打开密文可以自动解密。如果有其他程序可以冒充是WORD,那么就可以打开加密的Doc文档了。所以,加密软件都需要有一套机制来识别受控程序,防止非受控程序假冒。非受控程序冒充受控程序最简单的办法就是修改可执行文件名。比如把FoxMail的文件名(foxmail.exe)修改成winword.exe,就用Foxmail冒充了WORD。把Foxmail.exe修改成Winword.exe,然后执行,写邮件并选择一个加密的WORD文件作为附件,从另一个没有安装加密软件的电脑接收下这个邮件,如果可以看到明文,那么说明进程识别上存在漏洞。进程识别的另一个问题是,将可信进程冒充不可信进程。比如WORD生成的文档是需要加密的,如果把Winword.exe修改成111.exe,执行这个111.exe可以创建明文的文档的话,那么存在漏加密的情况。极端情况下,所有安装了加密系统的人把电脑上的Winword.exe都修改成111.exe,那么所有人的DOC文档都不会被加密了,那么加密软件就跟没有安装一样了。
 
打印
 
使用WORD打开密文后,使用打印机可以把文档打印出来,这就存在泄密的危险。所以加密系统都应提供可以控制打印的功能,应该可以控制那些人可以打印,哪些人不能打印。
 
以上这些方法都是只需要简单操作就有可能导致密文泄露的途径,选择加密软件的时候,这些途径都应该有效的被阻止。
 
四、 离线策略
 
服务器电脑故障,或者网络故障的处理方法
 
服务器电脑故障或者网络故障,此时所有的客户端电脑或者网络故障的客户机都处于离线状态,而且是不可预知的,被迫处于离线状态。加密系统应提供一种措施,在突发这种情况时,客户机应可以像正常离线一样工作一段时间,以等待服务器或者网络的恢复。
 
笔记本电脑脱机的处理方法
 
一些企业的员工上班时使用的是笔记本电脑,尤其中高层管理者。这部分员工大多晚上或者周末需要把电脑带回家,有时要在家里加班。加密软件应该有办法让这些电脑可以在离开网络的情况下依然能使用被加密的文档。这种情况非常经常发生,基本上每天都发生,所以在选择加密软件的时候也应该考虑加密软件在处理这种情况的方法应该非常便捷才行。最好可以做到客户机不需要任何操作,和平常一样,拔下电脑网线直接带走,回家后开机即可使用。
 
另外使用公司电脑出差的员工,首先出差离开公司前,肯定要设置好出差天数等。出差的天数一般是由出差者的上级直接指定。所以出差应该可以向直接上级申请,直接上级同意后可以转向系统管理人员,由专门的系统管理人员设置具体的天数。其次应该考虑出差有可能会超过预定天数。比如出差前设置离线15天,结果15天后发现还不能回来,还要继续呆一段时间。这个时候应该有一种措施,能在不把电脑搬回公司设置的情况下,延长出差的天数。
 
在考虑过以上几点以后,相信大家对于如何购买一款适合自己公司的,性能强大的加密软件,也有了一定的标准。狼烟科技加密软件采用透明加密,编辑过程中加密,AES加密算法,企业三重密钥保护,操作界面简单,功能强大。
上一篇:导致公司数据泄漏的各种途径和狼烟科技的解决方法
下一篇:专注信息安全十三年,狼烟科技文件加密软件为云南企业保驾护航