DDS技术实施必读[精].pptVIP

DDS技术实施必读 DDS新特性 内容提要 DDS定律 标准加密和全文加密 去标示进程 明文规则、修复密文、刷新密文 自测题 DDS两大定律 涉密程序①新建（Create）生成的所有文件自动加密；覆盖（OverWrite）或打开（Open）编辑保存涉密后缀类型中的文件自动加密。除非设置了例外。 涉密程序读取密文时自动解密；非涉密程序读取密文时不解密。 ①涉密程序 — 与密文相关的进程叫涉密进程。 ②非涉密进程 — 与密文无关的进程叫非涉密进程。 两大定律之一 涉密进程写文件自动加密 如：定义记事本(notepad.exe)为涉密进程，则记事本保存为任何后缀文件都会加密，无论是否设置了涉密后缀。 对原先没有加密过的文件，涉密进程编辑保存后，只对定义了涉密后缀的文件加密。如记事本编辑一个明文txt文件保存，如果*.txt为涉密后缀，则保存后txt会加密，否则不会加密。 不是所有程序写时都是先打开原文，word/excel/acad等程序是先新建一个tmp文件，再重命名为原文件，所以，这些程序编辑保存明文总是加密的。 一些类型文件不能在打开时写，如acrobat如果打开时写会导致文件内容混乱，故特殊处理不在打开明文编辑后加密。 PowerPNT编辑明文不到一定量时也不会加密。 两大定律之一(续) Explorer缺省为涉密进程，但只对涉密后缀文件起作用。故右键新建涉密后缀文件或拷贝涉密后缀文件时，文件会自动加密。 一引系统进程如system/csrss/svchost缺省为涉密进程，但只是打开密文时自动解密，生成的文件不自动加密。 为保证DDS的正常运行，DDS的一些进程，如FMStart.exe/DFMStart.exe在底层进行了一些设置。 两大定律之二 涉密程序读密文自动解密 如果要读取到明文，则必须将进程设置为涉密进程。 控制策略中的第三条“能打开但不自动加密”，相当于在打开文件时解密，但保存时不加密。 一些管理程序如OA/PDM/ERP/CRM等需要上传密文为明文，则需要将它们设置为涉密程序。同时要设置为“去标示进程”。 四大定律之二（续） 非涉密程序读密文时不解密，写密文时不加密 当密文进行网络传送时，不需要解密； 当发送邮件时，不需要解密； 当压缩密文时，不需要解密； 如果管理程序要上传密文时，不需要解密； 非涉密程序下载密文时不会进行任何处理，但在DDS环境下关闭密文时，会自动清理一次Cache。 DDS与Windows关系 DDS只管本地磁盘或共享的文件读写。不处理本机与通过端口网络的读写。如发送邮件、QQ文件发送等。 程序在读文件时，首先要判断内存中是否有目标文件的内容，如果有，操作系统则直接将内存中的内容读出。如果没有，操作系统自动从磁盘中去读。 如果非涉密进程读了密文，则内存中将存在密文，此时，如果DDS没有及时清理内存中的密文的话，则有可能在涉密程序读此密文时读到密文，出现乱码或无法打开现象。 为防止内存中存在密文，DDS会在关闭时自动清除内存中的内容，但有些程序无关闭文件的操作，故有可能在内存中还有密文，导致正常密文也无法用明文进程打开。为避免这种情况出现，可用DDS右键菜单中的“刷新密文”强制将内存中的密文清除。 全文加密和标准加密 全文加密—将文件全文都进行加密。 标准加密—只加密文件0-1000h部分，如果不足1000h，则仍然全部加密。 涉密进程缺省为标准加密，这样设计的目的是可以减少出错的几率，提高加密效率。 当标准加密无法对涉密文件进行保密时，则须设置成全文加密。如txt、程序原代码等文本文件。 根据两大定律，设置全文加密时，要将文件类型设置为特殊类型（即全文加密类型），同时要将相关明文进程设为全文加密进程。 加密类型判断 用UE或解密程序查看密文尾部标示。 标准加密—3B 10 00 20 全文加密—3B 00 00 20 去标示进程—何为标示 如前所页所示，经过DDS加密过的密文，在文件的尾部都有一个DDS密文标示。标示以FA开头，大小为80h即128字节。 此标示是8位对齐的（即文件大小能被8整除）。如果文件原有大小不是8位对齐，DDS会自动补00以对齐到8位，然后再写标示。 去标示进程—为何要去标示 大多数进程对DDS增加了标示是不敏感的，但也有些进程对标示比较敏感，如记事本，如果记事本在读密文时不将标示去掉，则会将标示显示出来。因此，在有些时候需要涉密程序读密文时要将标示去掉。 DDS将有文件尾部有标示的文件判断为密文，同时涉密进程在读密文时会根据标示中的加密方式标示对原文进行解密。 去标示进程—什么时候要去标示 读文本文件时要去标示。 一些对文件大小敏感进程需要去标示。 明文入库时要标示。否则上传为带标示明文，下载后会引起涉密进程读文件时错误地进行解密。 去标示进程—