(企业该如何选择加密软件几点注意事项.docVIP

选择加密软件的几点建议 概述 随着信息化的普及，企业数据的安全越来越受到重视，目前国内已有不少加密软件，如何选择加密软件呢？这里参考一些厂家提供的文档并结合自己的经验，提供一些建议供大家参考。 加密软件按照实现的方法可划分为被动加密和主动加密。 被动加密：是指被加密的文件，在使用前需首先解密得到明文，然后才能使用。这类软件主要适用于个人电脑数据的加密，防止存储介质的丢失（比如硬盘被盗）导致数据的泄密； 主动加密（或者说透明加密、自动加密）：是指在使用过程中自动对文件进行加密或解密操作，无需用户的干预，合法用户在使用加密文件前，不需要进行解密操作即可使用，表面看来，访问加密的文件和访问未加密的文件基本相同，对合法用户来说，这些加密文件是“透明的”，即好像没有加密一样，但对于没有访问权限的用户，即使通过其它非常规手段得到了这些文件，由于文件是加密的，因此也无法使用。由于动态加密技术不仅不改变用户的使用习惯，而且无需用户太多的干预操作即可实现文档的安全，因而近年来得到了广泛的应用。目前针对企业的防泄密软件（企业内部的文件可以自由流通、阅读，一旦拷贝出去或者脱离企业网络环境，将无法阅读），大多采用主动加密技术。 由于主动加密要实时加密数据，必须动态跟踪需要加密的数据流，而且其实现的层次一般位于系统内核中，因此，从实现的技术角度看，实现主动加密要比被动加密难的多，需要解决的技术难点也远远超过被动加密。上海迅软的防泄密软件DSE使用驱动级的主动加密技术的软件，快速高效，稳定性强，可以参考一下. 下面说说在选择加密软件的时候，建议考查的几个方面： 加密软件是否自动透明加密？ 何谓“透明”？“透明”应该就是指加密的动作不需要人工干预，是软件自动完成的。比如：用WORD建立一个文档的时候，软件应该能自动把这个新建的文件加密，对用户完全透明，不影响用户的操作习惯。 大部分加密软件都是透明加密的，但是也有区别。很多应用软件在编辑数据文件时，都会生成临时文件。比如Word在编辑文档时，会在同目录下出现以“~$”开头的文件和一个以“~”开头并以tmp为后缀的文件。这些临时文件在相应的数据文件被正常关闭后，会被删除。由于这些临时文件也存储有企业的机密数据，因而这些临时文件也应该是要能自动加密的。迅软数据防泄密软件DSE从最安全的角度出发，对编辑数据中产生的临时文件也做了自动加解密处理。 在测试的时候要特别注意。有些品牌的加密软件，为了给自己图方便，放弃对中间过程的文件进行加密。例如，业界有一个老牌的厂商便采取了这样一种做法：①拦截程序对文件的打开操作；② 把打开的文件隐蔽地解密到一个“秘密”的地方；③ 在后台把应用程序对数据文件操作指针指向位于“秘密”之处的明文；④ 在关闭数据文件时，把隐藏的明文加密并替换原有的文件。这样的设计，让用户看起来是能够打开编辑密文，编辑保存后得到的还是密文。但是实际上应用软件真实编辑的对象是一个不加密的明文文件。如果这个“秘密的地方”被知道了，完全可以打开密文时到那个“秘密的地方”去获得明文，比如打开文件以后，强制将系统关机，然后进入安全模式，就可以将这种文件（明文）复制出来。。 加密的算法及密钥的安全性 对于一个脱离了企业环境的密文来说，安全完全由算法和密钥来决定。所以选择加密软件的时候，对其采用的算法和密钥的安全性一定要了解。一般来说，加密算法基本都采用国际流行的算法：比如RSA、DES、RC、AES等，这些算法虽然是公开的，但根据现代密码学的理论，加密算法的公开与否并不影响其安全性，一个好的加密算法的安全性只依赖于密钥。因此对于脱离了企业环境的密文来说，密文的安全主要靠密钥的安全来保证。 一个加密软件的密钥是否安全应该主要要解决如下几个问题： 加密软件的厂家如果获取到企业的密文，厂家应该是不能解密的，迅软的数据防泄密软件DSE密钥是妥善保管的，即使迅软获取到客户的加密文件，也无法将加密文件解密。很多加密软件，密钥是根据计算机的某些特征值由程序生成的，企业自己无法设置，这样只要知道了硬件的特征码，厂家就能轻松获取到用户的密钥，那么企业的文件对厂家来说就是没有保密可言了；还有些加密软件的密钥就是系统固定的，这样厂家只要拿到密文，就能解密； 企业内部的密文，拿到另外一个企业里面，应该是不能解密的：现在很多加密软件的控制端都由企业的网络管理人员在使用，那么一旦网管人员离职，重新安装相同的加密软件，应该保证原单位的文档即使拷贝过去也不能阅读。也就是要保证不同企业能有不同的加密密钥。迅软数据防泄密软件DSE正是考虑到这方面的安全隐患，部署一套DSE软件都会生成一个全球唯一的加密文件秘钥，即使都安装了DSE的两个企业，加密文件完全隔离，无法相互访问。 在使用过程中，如果密钥泄露，应该要有补救措施：比如说密钥能支持更改，这样密钥泄露了