防泄密系統

一般指通過採用計算機系統、網路通訊、數據加密技術等手段而開發的用來防止國家機關或企業內部機密數據或商業秘密通過非法途徑如木馬入侵、黑客入侵、非法下載、隨身碟複製、郵件外發、QQ。MSN網路傳送、非法列印、截屏等泄露或擴散的計算機安全管理軟體。

基本介紹

  • 中文名:防泄密系統
  • 技術分類1:應用程式外掛程式的主動加密
  • 技術分類2:API攔截的主動加密
  • 技術分類3:檔案系統驅動技術的主動加密
“合力天下防泄密系統”產生的背景:,防泄密系統採用的加密技術分類,防泄密系統採用的加密算法,IDEA算法,RSA算法,AES加密算法,

“合力天下防泄密系統”產生的背景:

在當今信息社會中,商業間諜、黑客、不良員工對企業的信息安全形成了巨大的威脅。而網路的普及和USB接口的大量使用給企業獲取和交換信息帶來巨大方便的同時,也給這些威脅大開方便之門。如何來管理這些情況呢?大多數企業是採用拆除光碟機軟碟機,封掉USB接口。限制上網等方法來儘可能的減少信息交換,以達到信息防泄密的目的。或者安裝一些監控軟體。監控員工的日常工作,使其不敢輕舉妄動。但這些方法都嚴重影響工作的方便性,並容易引起員工的牴觸情緒,甚至可能會帶來法律方面的問題。並且現在大量事實證明這種方法效果不是很好,重要的檔案往往依舊會泄漏。
2003 年,美國的執法機構FBI 和CSI對數百家企業進行了調查。該調查結果認為絕大多數泄密事件是由內部人員所為,或者由內外勾結造成的。IDC 的報告也得出了類似的結論:70%的安全損失是由內部造成的。這些都印證了中國的一句古話 “家賊難防”。由於內部人員熟悉檔案的存放,還可以接觸到密級高、範圍廣的檔案,所以一旦發生內部人員故意泄密事件,其危害程度是大大超過外部人員的盜取(例如黑客攻擊行為)。可見,從數據防泄密角度來講要內外兼防、甚至要防內終於防外。
合力天下防泄密系統(HL-dataAS)用於保護企業的智慧財產權、客戶資料、財務數據、技術圖紙、套用系統等一切機密信息化數據不外泄。簡單地說,”合力天下”防泄密系統讓企業機密數據和套用系統的重要資料“拷不走”、“螢幕截取不走”、“另外儲存不走”、“列印不走” 、“內容複製不走”、“MSN、QQ、郵件傳送不走”。
一、支持各種檔案格式加密(CAD、OFFICE、PDF、圖紙、電腦程式、遊戲、數碼照片、視頻…..),用戶也可以根據自己的需要定製;支持出差人員管理;支持文檔外發管理;杜絕涉密文檔非法擴散。
二、 支持區域網路部署和網際網路部署模式,支持總部和異地分支機構分別部署;支持單機部署模式;確保公司內部資料的相互流通。
三、支持各種套用系統:支持基於Windows的B/S、C/S的各種業務套用軟體加密,如PDM、PLM、ERP、OA、CRM、CAM、HR、采編軟體、流程管理軟體、電子商務軟體、財務軟體、文檔管理軟體、網站系統。
四、 支持任意格式文檔類型:Office、Open office、Wps、PDF、outlook、FOXMAIL、ARM、ANSYS、Easypro、OA系統、ERP、MSVISIO、 AutoCAD、Autodesk Inveator、Autovue、ACDSee、Pro/E、Inventor、CAXA、CAJviewer、Protel、PReS、Keil、Quartus、AVR Studio、 ARM Studio、Siemens Wicc、Xtcapp55、TurboCAD、開目CAD、TwinCAD、CATIA、Solid Edge、UG、PowerDraft、Photoline、清華天河CAD 、中望CAD、英泰CAD、浩辰CAD、凱思CAD、JEwelCAD、Code Wright、ULTRAEdit、Solidworks、SVN、ZDDS、IAR、PowerDesigner、FPWIN GR、FX-PCS-DU-WIN-C、FXGPWIN、PhptoShop、DreamWeaver、MTcardEdit、CorelDraw、Fireworks、Flash、ACDSee、ZineMarker、 HITACHI Embedded workshop、HIGH-Performance Embedded workshop、Embedded workshop、CAM350、Matlab、 Labview、Illustrator、 MAYA、3D MAX、realplay、media player、Cakewalk、Flash、LRC Editor、Lightscape、Beyond Compare、Java、Delphi、VS. C、 VB、VC、C++、Java虛擬機、Source Insight、WINRAR、EDITplus、IBM ClearCase、PowerBuilder、PowerPCB、Powerlogic、Power mill 、數控傳輸軟體、視頻檔案、編程ICC、打標機(票據列印)、CAMtastic、DELcam-Exchange、cimatron、Macrumedia、Microchip、 MasterCAM、MyEclipse、Eclipse、Tomcat、MultiGen Creator、FoxPro、Access、MSSQL、Oracle、WinMerge、XOREAX、InCrediBuid、 ZBrush3、JDPaint、BodyPaint 3D、安卓手機源碼等各種文檔格式,即可自定義加密任意檔案格式。
五、支持作業系統:支持Windows 2000、XP、2003、2008、Vista、win7、win8(32 64)、linux等。

六、 支持中文、英文、日文、德文、韓文、法文、西班牙文等各種語言網路環境,支持中文、英文、日文、德文、韓文、法文、西班牙文等世界各種語言文檔加密。

防泄密系統採用的加密技術分類

防泄密系統採用的加密技術分類:
1)基於應用程式外掛程式的主動加密
這類技術是最累的加密技術,其原理是為每一個應用程式寫一個外掛程式程式(也稱“外殼”),應用程式在載入時會自動載入外掛程式程式,外掛程式程式載入後會監視所有的數據輸出,必要時加密數據,如果一個操作不能主動加密,就強制取消對應的操作。
這種技術採用的是一對一的直觀思維,因此其支持的目標是以應用程式為單位的,而且一般和應用程式的版本還有關係,因為同一個應用程式未必能夠支持不同版本的外掛程式。也不是所有的應用程式都支持外掛程式技術。事實上,能夠支持外掛程式的應用程式僅限於Office、CAD等大型通用化套用軟體,專用軟體和一般的小型軟體都不支持外掛外掛程式。因此,這種技術套用環境受到諸多限制,而且由於從原理上不能保證受支持套用軟體之外的軟體的適用性,因此這種技術基本面臨淘汰。不過,現在國內一些加密軟體廠商還在使用,特點是用戶的文檔格式可以自定義,不需要廠家參與。
2)基於API攔截的主動加密
這種技術比起上面的技術來在通用性上有所進步,大部分“標準”的應用程式能夠得到支持,實現上也相當簡單,不需要考慮不同的應用程式。其缺點是API攔截是基於套用層的,不是所有的應用程式都使用標準的API運算元據,一旦應用程式的數據操作使用的驅動方式,或者直接使用VMM的記憶體映射檔案,這種方式就會出現不能正常解密或泄密漏洞。因此,這種技術也只能適用於已經測試通過的環境。另外,API攔截不是標準的系統開發技術,使用API攔截後系統性能下降明顯,與反病毒軟體和一些工具軟體往往也存在兼容性問題,這些都是API攔截技術的詬病。常見的涉密隨身碟類防泄密系統部分廠家還在採用本技術。特點是人手一盤,通過經過授權的隨身碟進行身份認證來訪問加密文檔。
3)基於檔案系統驅動技術的主動加密
這種技術是理論上最完美的技術。驅動技術是標準的系統開發技術,因此不存在兼容性問題(本身有程式BUG的下三濫驅動除外)。所有應用程式(包括作業系統本身)都必須通過檔案系統驅動獲取磁碟數據,因此在驅動中對數據進行控制幾乎無一漏網。另外,由於驅動運行於作業系統核心層,其效率、性能和抗攻擊性不是套用層的API攔截所能達到的。
4)最新技術是“AES智慧型透明加密技術”。
什麼是AES智慧型透明加密技術?
所謂透明,是指對使用者來說是未知的。當使用者在打開或編輯指定檔案時,系統將自動對未加密的檔案進行加密,對已加密的檔案自動解密。檔案在硬碟上是密文,在記憶體中是明文。一旦離開使用環境,由於應用程式無法得到自動解密的服務而無法打開,從而起來保護檔案內容的效果。
所謂智慧型,是指防泄密系統並不依賴可執行程式的名稱來確定是否是受控程式,而是有一套專用智慧型識別算法。智慧型識別技術,無論怎么改變程式的名稱,甚至用UPX等軟體壓縮可執行程式來改變MD5值,依舊不會逃過防泄密軟體的監測。只要檔案的內容是需要受控的話,無論將其保存成為什麼擴展名,都將被自動加密。
AES算法加密速度可達到幾百兆每秒,高於硬碟讀寫速度。從理論上說,讀檔案的解密操作與寫檔案的加密操作是一個流水線的過程,整個過程只增加0.8~8%的開銷,用戶主觀上感覺不到延遲。
對於網路異常斷線,機器異常斷電等突發異常,防泄密系統可確保文檔不被破壞。網路斷線時,採用客戶端記憶體數據驗證,斷線時間可以設定,能夠適應任何複雜的網路環境。

防泄密系統採用的加密算法

防泄密軟體常用的加密算法有三種,IDEA 算法、RSA算法、AES算法,加密強度來講,AES最好。

IDEA算法

IDEA算法屬於對稱加密算法, 對稱加密算法中,數據加密和解密採用的都是同一個密鑰,因而其安全性依賴於所持有密鑰的安全性。
對稱加密算法的主要優點是加密和解密速度快,加密強度高,且算法公開.
缺點是實現密鑰的秘密分發困難,在大量用戶的情況下密鑰管理複雜,而且無法完成身份認證等功能,不便於套用在網路開放的環境中。
對稱加密算法的特點是算法公開、計算量小、加密速度快、加密效率高。
對稱加密算法過程是將數據發
IDEA是International Data Encryption Algorithm的縮寫,是1990年由瑞士聯邦技術學院來學嘉(X.J.Lai)和Massey提出的建議標準算法,稱作PES(Proposed Encryption Standard).Lai和Massey在1992年進行了改進,強化了抗差分分析的能力,改稱為IDEA.它也是對64bit大小的數據塊加密的分組加密算法.密鑰長度為128位.它基於“相異代數群上的混合運算”設計思想,算法用硬體和軟體實現都很容易,它比DES在實現上快得多 。

RSA算法

RSA算法是非對稱加密算法非對稱加密算法的保密性比較好,它消除了最終用戶交換密鑰的需要,但加密和解密花費時間長、速度慢,它不適合於對檔案加密而只適用於對少量數據進行加密。
對稱加密算法、非對稱加密算法和不可逆加密算法可以分別套用於數據加密、身份認證數據安全傳輸。 RSA算法是建立在大數分解和素數檢測的理論基礎上。
RAS密鑰的產生過程:
獨立地選取兩個互異的大素數p和q(保密)。
計算n=p×q(公開),則ф(n)=(p-1)*(q-1)(保密)
隨機選取整數e,使得1<e<ф(n)並且gcd(ф(n),e)=1(公開)
計算d,d=e-1mod(ф(n))保密。
RAS私有密鑰由{d,n},公開密鑰由{e,n}組成
RAS的加密/解密過程:
首先把要求加密的明文信息M數位化,分塊;
然後,加密過程:C=Me(mod n)
解密過程:M=Cd(mod n)
非對稱密鑰加密體制的優點與缺點:
解決了密鑰管理問題,通過特有的密鑰發放體制,使得當用戶數大幅度增加時,密鑰也不會向外擴散;由於密鑰已事先分配,不需要在通信過程中傳輸密鑰,安全性大大提高;具有很高的加密強度。
對稱加密體制相比,非對稱加密體制的加密、解密的速度較慢。

AES加密算法

AES加密算法屬於不可逆加密算法,不可逆加密算法的特徵是加密過程中不需要使用密鑰,輸入明文後由系統直接經過加密算法處理成密文,這種加密後的數據是無法被解密的,只有重新輸入明文,並再次經過同樣不可逆的加密算法處理,得到相同的加密密文並被系統重新識別後,才能真正解密。
1997年4月15日,美國國家標準和技術研究所NIST發起了徵集AES算法的活動,並成立了專門的AES工作組,目的是為了確定一個非保密的,公開披露的,全球免費使用的分組密碼算,法用於保護下一世紀政府的敏感信息,並希望成為秘密和公開部門的數據加密標準.1997年9月12日,在聯邦登記處公布了徵集AES候選算法的通告.AES的基本要求是比三重DES快而且至少和三重DES一樣安全,分組長度128比特,密鑰長度為128/192/256比特.1998年8月20日,NIST召開了第一次候選大會,並公布了15個候選算法.1999年3月22日舉行了第二次AES候選會議,從中選出5個.AES將成為新的公開的聯邦信息處理標準(FIPS--Federal Information Processing Standard),用於美國政府組織保護敏感信息的一種特殊的加密算法.美國國家標準技術研究所(NIST)預測AES會被廣泛地套用於組織,學院及個人.入選AES的五種算法是MARS,RC6,Serpent,Twofish,Rijndael.2000年10月2日,美國商務部部長Norman Y. Mineta宣布,經過三年來世界著名密碼專家之間的競爭,Rijndael數據加密算法最終獲勝. 為此而在全球範圍內角逐了數年的激烈競爭宣告結束.這一新加密標準的問世將取代DES數據加密標準,成為21世紀保護國家敏感信息的高級算法.

相關詞條

熱門詞條

聯絡我們