計算機技術的不斷發展和硬件價格的不斷下降，使得計算機迅速普及，企業信息化程度也不斷的提高，企業中使用計算機辦公早已司空見慣。同時，信息化水平的提高給企業數據的安全性帶來了巨大的威脅，黑客攻擊、病毒感染等等已經使越來越多的企業開始重視企業機密數據的保護。數據加密是保證數據安全的有效手段之一， 但是傳統加密手段需要人工參與，加密和解密過程需要手動進行，操作上較為繁瑣且文件在操作修改的過程中以明文形式存在，存在很大的安全隱患。另外，加密軟件的使用有一定的學習曲線，這也給企業數據安全帶來一定困擾。

1、企業數據安全現狀

    1．1內網安全無法保障

    企業常用的病毒防護軟件、防火墻、VPN等防護手段僅僅能夠保證外網的安全，不能夠保證企業自身內部網數據的安全性以及遠程辦公的數據的安全性。

    1．2企業內部泄密是數據外泄主因

    據IDC報告顯示，70％的安全損失是由企業內部原因造成的，員工不當的上網行為，導致了企業機密數據資料被竊；FBI和CSI調查顯示，超過85％的安全威脅來自企業內部，威脅包括內部未授權的存取、專利信息被竊取、內部人員的財務欺騙等。企業機密數據的外泄給企業自身造成了非常嚴重的經濟損失。

    1．3網絡入侵

    企業計算機系統的漏洞以及員工的操作不當都可以帶給黑客或惡意攻擊者入侵企業網絡的機會。黑客或惡意攻擊者一旦侵入企業計算機，盜取企業機密數據，導致商業機密外泄，就會給企業造成巨大的經濟損失。

    1．4為安全犧牲效率

    由于企業數據安全存在上述威脅，部分企業為了保證數據的安全性，采用斷網、禁用U盤等封堵措施，這樣帶來的后果往往是員工工作效率的下降和使用便利性的降低，得不償失。

2、透明加解密技術簡介

    透明加解密技術是針對企業文件保密安全需求應運而生的一種文件加密技術，也是近幾年來炙手可熱的一門技術。該技術與操作系統中的文件系統部分緊密結合，能夠增強文件系統的某些功能，或改變和監控某些系統行為。

    透明加解密技術通常工作于系統的底層，根據使用技術的不同，可分為內核層加解密和應用層加解密兩種。內核層加解密一般采用文件系統過濾驅動技術，通過編寫文件系統過濾驅動，在內核層過濾并處理來自應用層的讀寫請求，達到加解密的目的。應用層加解密則通常采用API HOOK技術，接管文件讀寫操作，監視文件讀寫，從而實現文件的加解密。

    透明加解密技術通常具有強制性和透明性。所謂強制性是指機密文件的加密和解密過程是自動強制進行的，用戶無法干預。而透明性則是指加密和解密的過程是對用戶不可見的，用戶幾乎感受不到加密和解密的進行，也就是對用戶來說是透明的；用戶不需要改變原有的操作習慣，也不需要學習如何使用透明加密系統。

    此外，透明加解密技術通常采用動態加解密方式。相對于靜態加解密的方式，動態加解密效率更高，用戶幾乎感覺不到速度上的損失。

3、透明加解密技術在企業數據安全中的應用方案

    透明加解密技術是針對企業文件保密安全需求應運而生的文件加密技術，用在企業數據安全防護中是自然而然的選擇。內核層的過濾驅動技術實現的透明加解密相對于應用層的加解密在效率、安全性和穩定性上有著更突出的優勢，功能也更加強大，因此對于推動網絡安全技術的發展有著很重要的意義，是國內外安全廠商和研究者主推的技術。

    3．1企業數據透明加解密方案的模型

    文件系統過濾驅動技術在企業數據安全中的應用方案一般包括以下功能模塊：

    3．1．1內核層過濾驅動模塊

    該模塊是數據安全方案的核心模塊。其主要功能是與應用層的控制模塊進行通信，接受來自應用層的控制指令或加解密密鑰；讀取安全策略，根據安全策略實現文件的透明加解密；進行訪問控制，拒絕非法訪問；向應用層的控制模塊提供功能調用接口。

    3．1．2應用層控制模塊

    也可以稱之為應用層交互模塊。本模塊主要與密鑰管理模塊進行交互，從密鑰管理模塊獲取加解密密鑰，需要更新密鑰時通知密鑰管理模塊更新密鑰；控制內核層過濾驅動的啟動和停止；與內核層通信，向內核層過濾驅動發送控制指令或加解密密鑰，接收內核層返回的操作結果；與用戶進行交互，并根據用戶安全需求制定相應的安全策略，如需要加密的磁盤分區或目錄，受監控的進程和文件類型等。另外，必要情況下還要向身份認證模塊發送身份認證信息，接收認證結果以檢查用戶身份是否合法。

    3．1．3密鑰管理模塊

圖1 企業數據透明加解密方案模型示意圖

    密鑰管理模塊是企業數據安全方案中至關重要的一環，它是整個加密方案的關鍵。該模塊負責密鑰的分發、存儲、密鑰的分級管理以及密鑰更新等等。

    3．1．4 身份認證模塊

    有時還需要身份認證模塊，以防止非法用戶登錄使用透明加解密系統。驗證用戶身份的合法性，并將認證結果返回應用層控制模塊。只有用戶身份合法時，應用層控制模塊才能夠從密鑰管理模塊獲得加解密密鑰。

    3．4．5離線應用模塊

    對于企業員工因出差而無法接入企業內部網等類似情況，企業數據透明加解密方案還應提供離線應用模塊，來應對離線辦公的情況。該模塊可以控制文件的拷貝 打印等權限，甚至還可以限制離線辦公的有效時間長短。

    3．2透明加解密方案關鍵技術

    3．2．1文件透明加解密的實現

    過濾驅動技術需要對windows系統內核及文件系統部分有充分的了解，因此技術門檻較高，實現難度較大。本方案文件透明加解密采用文件系統過濾驅動技術，數據的加密和解密過程主要是通過攔截系統IRP讀寫請求，然后操作讀寫請求對應的數據緩沖區中的數據來實現的。

    3．2．2文件加密標志

    加密標識是一個數據結構，它一般由幾部分組成，可存放加密算法類型、文件實際長度、公司名等標識信息。其作用主要是區分是否加密文件。加密標識的保存位置分為保存在文件外和保存在文件本身兩種方式。文件標識保存在文件外存在同步問題、拷貝問題、文件標識丟失后加密文件無法解密等問題。因此，將加密標識保存在文件本身是較穩妥的方式。

    將加密標識保存在文件本身一般有兩種選擇，保存在文件頭或添加一個文件尾。這兩種方案各有其優點，添加文件頭的方式好處是穩定可靠，位置是固定的，不會因文件長度的變化受影響，但是實現比較困難，需要隱藏加密標識文件頭；而保存在文件尾的方式比較容易實現，但文件尾不是一個固定的位置，一旦文件長度發生改變，需要重寫文件尾。

    3．2．3 內核層與應用層的通信

    在整個透明加解密方案中，應用層和內核層是交互最頻繁的兩個模塊，因此內核層與應用層彼此之間需要進行數據交換，內核層與應用層的通信是較為關鍵的技術之一。

4、結語

    計算機技術的不斷發展使得計算機辦公成為企業不可或缺的一部分，數據安全問題也越來越突出，企業應根據自身實際需要建立合適的數據安全防護系統。文章介紹了一種當前流行的數據安全加密技術，為企業數據的安全提供借鑒。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.guhuozai8.cn/

本文標題：透明加解密技術在企業數據安全中的應用探討

本文網址：http://www.guhuozai8.cn/html/consultation/1083953387.html