柳曉霞

（大慶油田信息技術(shù)公司北京分公司，北京 100000）

透明加密技術(shù)對于企業(yè)數(shù)據(jù)安全的價值分析

柳曉霞

（大慶油田信息技術(shù)公司北京分公司，北京 100000）

在企業(yè)數(shù)據(jù)安全眾多保障技術(shù)之中，透明加密技術(shù)在應(yīng)用方面有著鮮明的特征。本文首先對于透明加密技術(shù)的概念以及應(yīng)用特征展開必要分析，然后進(jìn)一步針對此種技術(shù)的原理和分類加以剖析，有利于相關(guān)技術(shù)人員加深對此項技術(shù)的理解，妥善為其選擇應(yīng)用環(huán)境。

透明加密技術(shù)；企業(yè)；數(shù)據(jù)；安全

在當(dāng)前信息大潮中，為了能夠?qū)崿F(xiàn)更高效的工作方式，從信息技術(shù)應(yīng)用出現(xiàn)伊始，企業(yè)即開始大力引入，從而形成了整個社會范圍內(nèi)進(jìn)行信息化建設(shè)的局面，推動了經(jīng)濟(jì)的發(fā)展。而對于信息和數(shù)據(jù)的依賴，使數(shù)據(jù)安全問題更加突出，尤其是對于工礦企業(yè)而言，數(shù)據(jù)的安全性甚至直接關(guān)系到企業(yè)生產(chǎn)運營的安全，例如，在油田工業(yè)環(huán)境中，數(shù)據(jù)安全還會影響到核心技術(shù)的安全，因此不容忽視。

1　透明加密技術(shù)的應(yīng)用特征

雖然在數(shù)據(jù)安全領(lǐng)域中，眾多技術(shù)層出不窮，相關(guān)管理方法同樣從各個層面不斷涌現(xiàn)。在這樣的環(huán)境之下，透明加密技術(shù)獨樹一幟。

透明加密技術(shù)是近年來針對企業(yè)文件保密需求研發(fā)的一種文件加密技術(shù)，其特征在于對數(shù)據(jù)用戶保持透明，無需給予特別關(guān)注即可自行完成數(shù)據(jù)保護(hù)任務(wù)。透明加密技術(shù)完全由系統(tǒng)自行實現(xiàn)，所有保存在硬盤環(huán)境中的文件均為加密狀態(tài)，只有在用戶讀寫的過程中才會進(jìn)行解密，以明文形式呈現(xiàn)給用戶。從工作機制的角度看，透明加密是指在Windows操作系統(tǒng)的文件系統(tǒng)層面上工作的一個核心態(tài)軟件，向整個系統(tǒng)提供實時的、透明的、動態(tài)的數(shù)據(jù)加解密服務(wù)。透明加密工作體系與操作系統(tǒng)緊密結(jié)合，位于應(yīng)用系統(tǒng)的底層位置，因此能夠?qū)崿F(xiàn)對于所有文件的加密操作。此種工作方式雖然能夠?qū)崿F(xiàn)有效數(shù)據(jù)保護(hù)，但是由于其面向所有的文件數(shù)據(jù)進(jìn)行加密，因此在一定程度上會影響到系統(tǒng)對于數(shù)據(jù)讀寫操作的整體效率。同時，這種面向所有文件強制加密的工作方式，雖然能夠有效提升數(shù)據(jù)安全性，但是在傳輸?shù)倪^程中如何展開有效的秘鑰保管，也成為該領(lǐng)域下另一個新的問題。

為了能夠?qū)崿F(xiàn)透明加密的目標(biāo)，相關(guān)技術(shù)體系必須在程序讀寫的過程中改變其具體的讀寫方式，使密文在讀入內(nèi)存時能夠被程序識別，同時在存入硬盤時又可以有效加密。從Windows的角度看，支持編程者在內(nèi)核級和用戶級展開對于文件的讀寫操作，其中內(nèi)核級能夠提供虛擬驅(qū)動的方式展開工作，而用戶級則支持Hook API的工作方式。因此，透明加密技術(shù)也會受到對應(yīng)的影響，可以分為API HOOK技術(shù)（通常稱之為鉤子技術(shù)）與VDM技術(shù)（驅(qū)動技術(shù)）兩種。

在使用過程中，透明加密技術(shù)能夠主動對所有的指定類型文件進(jìn)行加密，諸如dwg文件、doc文件等，對于其他未經(jīng)制定的文件則會直接放行存入硬盤空間。相對于單機操作系統(tǒng)而言，透明加密本身不影響用戶原有操作習(xí)慣，不需要輸入密碼，而主動展開加密操作。但是面對傳輸環(huán)境而言，透明加密技術(shù)就會形成一種信息溝通的阻礙。因為相關(guān)加密文件只能夠被本機讀取，一旦離開使用環(huán)境，文件即無法打開。此種加密方式能夠幫助企業(yè)有效防止用戶通過電子郵件、移動硬盤、優(yōu)盤、USB接口等途徑泄密企業(yè)圖紙、數(shù)據(jù)、招投標(biāo)文件等重要文檔，但是對于某些共享性比較強的工作場合來說，就會形成阻礙作用。就油田組織環(huán)境的數(shù)據(jù)體系而言，一方面對于不需要更多數(shù)據(jù)傳輸?shù)募夹g(shù)原始文件等可以采用透明加密技術(shù)，而對于實效性較強的油田工作以及設(shè)備狀態(tài)數(shù)據(jù)來說，此種安全技術(shù)并不十分實用。對于需要小范圍內(nèi)共享的數(shù)據(jù)，可以考慮采用工作組服務(wù)器的方式實現(xiàn)數(shù)據(jù)共享，并且在同一個操作系統(tǒng)之下建立起加密技術(shù)體系便于實現(xiàn)數(shù)據(jù)安全保障。

2　透明加密技術(shù)的工作原理與分類

透明加密技術(shù)屬于主動加密技術(shù)的一種，傳統(tǒng)的主動加密工作方式，通常需要由文件操作人員來展開。此種工作方式雖然同樣相對安全，但是無法避免相關(guān)人員泄密問題的發(fā)生。而進(jìn)行修正后的透明加密技術(shù)，會對于符合設(shè)置的所有文件展開強制自動加密。Windows在實際工作中以事件驅(qū)動作為主要機制展開，通過消息傳遞來實現(xiàn)對應(yīng)用的有效管理。其中監(jiān)控Windows在讀寫方面的相關(guān)操作，即可確定透明加密是否運作。下面進(jìn)一步對透明加密技術(shù)的兩種主要形式展開分析。

鉤子加密技術(shù)，主要是考慮到Windows應(yīng)用程序均通過Windows API函數(shù)對文件展開操作，因此程序在打開或者創(chuàng)建文件的過程中，必然會調(diào)用Windows的Create File或者Open File、Read File以及Write File等相關(guān)函數(shù)。進(jìn)一步，Windows會提供對應(yīng)的Hook鉤子消息處理機制，允許應(yīng)用程序以內(nèi)嵌的方式進(jìn)行安裝，以實現(xiàn)對于消息類型的監(jiān)視。而當(dāng)Windows消息到達(dá)之后，會先行處理安裝的內(nèi)嵌程序，然后才運行原程序。而鉤子透明加密，通過Windows 的Hook技術(shù)，對應(yīng)用程序的相應(yīng)操作實現(xiàn)監(jiān)控，并且展開對應(yīng)的加密與解密工作，將文件從硬盤中讀取到內(nèi)存中并進(jìn)行解密，然后呈現(xiàn)給用戶，或者將用戶寫好的文件進(jìn)行加密并且存入硬盤。

相對于與應(yīng)用程序密切保持聯(lián)系的鉤子技術(shù)，驅(qū)動加密技術(shù)與應(yīng)用程序保持相對獨立。此種加密工作方式位于Windows API函數(shù)的下層，當(dāng)API函數(shù)展開對于指定類型文件的相關(guān)操作時，系統(tǒng)會自動面向文件執(zhí)行解密或者加密。此種工作方式位于Windows系統(tǒng)受到保護(hù)的內(nèi)核層，因此總體而言運行效率更高，加密操作更為穩(wěn)定。

3　結(jié) 語

兩種常見的透明加密技術(shù)形式工作在不同的層面，因此從工作原理、效率及可靠性等方面都會呈現(xiàn)出若干差異，并且在需要實現(xiàn)共享和網(wǎng)絡(luò)傳輸時，方法也會有所不同。實際工作中，需要依據(jù)數(shù)據(jù)的安全敏感程度以及對于數(shù)據(jù)的處理效率需求，妥善選擇，才能獲取良好的效果。

主要參考文獻(xiàn)

［1］魏丕會，卿斯?jié)h，劉海峰.基于安全操作系統(tǒng)的透明加密文件系統(tǒng)的設(shè)計［J］.計算機科學(xué)，2003（7）.

［2］楊帆，王鋒.基于HOOK技術(shù)的網(wǎng)絡(luò)流透明加密系統(tǒng)的研究與實現(xiàn)［J］.科技情報開發(fā)與經(jīng)濟(jì)，2007（25）.

10.3969/j.issn.1673 - 0194.2016.14.042

TP309.7

A

1673-0194（2016）14-0063-01

2016-06-08