透明加密技术的困局与终结者
更新时间:2022-04-21 10:44:26 字号:T|T
透明加密技术的困局与终结者企业数据泄漏防护产品(Data LossPrevention 简称 DLP),属于计算机信息安全范畴,是一种对文件自动加密的...
透明加密技术的困局与终结者
企业数据泄漏防护产品(Data LossPrevention 简称 DLP),属于计算机信息安全范畴,是一种对文件自动加密的技术,用于保护一个单位的知识资产不泄密、不流失、不扩散。目前市场上,DLP 产品琳琅满目,种类繁多,且良莠不齐,其主流产品是透明加密软件。DLP 产品技术路线来分类,有封堵型的防水墙技术、全盘加密技术、虚拟机技术、虚拟桌面技术、沙盒技术、无盘工作站技术、透明加密技术等,每种技术各有千秋,对应产品各有优劣,相比之下,透明加密产品被用户普遍接受,使用很广泛。
1一、透明加密产品回顾
透明加密产品很早是从国外引进,由于理念和技术非常适合企业数据泄漏防护需求,大受企业主欢迎,一时风靡市场,透明加密开发商如雨后春笋般涌现,多时达上百家之多。然而,经过多年企业应用的实践检验,逐渐发现透明加密产品的使用效果并没有宣传的那么好。经过十几年的轰轰烈烈的大浪淘沙,90%以上的厂商消失了,而存续下来的,基本上是当年成功融资的,即便如此,目前其发展状况仍颇为艰难。原因何在?归根结底是透明加密技术路线本身存在一定的缺陷,导致产品的缺点无法从根本上解决,很多用户上了透明加密
2产品之后,苦不堪言,总有这样那样的问题,有的在勉强使用,有的被迫废弃。久而久之,透明加密产品越来越被人诟病。
二、什么是透明加密技术
透明加密技术是针对企业文件保密需求应运而生的一种文件加密技术,主要应用于企业文档安全管理。所谓透明加密(也称强制加密、自动加密、实时加密、动态加密、隐形加密或无感加密),是指文件在使用过程中对文件进行加密或解密,是自动进的,无需用户干预,用户实际上是无知觉的。当使用者打开文件时,对加密文件自动解密,当编辑保存文件时,自动对文件加密。对于涉密进程运行中产生的文件(包括但不限于临时文件、过渡文件、随机文件、导出文件等)均被自动加密。这样无论另存为什么样的文件名称,转换为什么样的文件格式(包括未知的格式),都会受到严格的加密保护,即使用文件恢复工具也无法得到加密文档的明文内容。文件在磁盘上始终是密文,一旦离开使用环境,加密的文件无法打开或打开是乱码,从而起到保护文件内容的效果。
三、透明加密技术的由来
透明加密技术由来已久,自 2000 年开始出现,已有近二十年的发展历程,发展到现在历经了三代技术,分别是基于 APIHOOK 的现代技术、基于文件过滤驱动(单缓存)的第一代技术、基于文件过滤驱动(多缓存)的第三代技术。第一代代技术实现的透明加密产品,存在诸多弊端,如有时候 HOOK 不成功、容易被反 HOOK、通过同样 HOOK 获取到明文、极易被报毒,在稳定性、兼容性和安全性上,离商业应用存在一定差距,很快被第一代技
术取代。采用第一代技术实现的透明加密产品,构成了当前文件加密保护的主流市场,但是这个技术有几个致命的问题,就是文件操作效率低下、容易损坏文件、极易造成系统蓝屏、和病毒防护软件不兼容,这主要是因为暴力刷缓存的操作引起。
为了解决第二代技术的缺陷,自然想到采用多缓存的实现技术,称之为第三代技术。目前第三代技术大多停留在理论性讨论阶段,不过近来已有开发者声称完成了具体
的实现。无论是第二代或第三代技术,仍然是要设置白名单程序规则的,这种必须设置白名单程序规则的技术原理,貌似非常合情合理,其实却是一个致命的问题。
四、透明加密技术缺陷剖析
在 Windows 操作系统中每个文件对应仅仅只有一份缓存,如果缓存脏或者是缺页将由操作系统的“虚拟内存管理器(VMM)”或者“缓存管理器(CM)”文件系统发出非缓存的 IO 读写请求。系统所有的进程读写相同的文件所得到内容都是一样的。这样可以减少对磁盘的读写,从而提高系统的性能,这是 Windows 系列操作系统的设计原则。透明加密技术对加密文件的读写需要分不同的进程,也是一个文件因为读写的进程不同,需要呈现出不同的内容(明文或者密文)。采用 API HOOK 的解决方案,由于性能及安全性方面的天然性欠缺,已经慢慢的淘汰出主流的市场。主流的驱动加密技术基本都是采用暴力清除加密文件缓存。在文件过滤器中截获非缓存的读取,由进程的不同来决定是否解密(白名单程序能够解密,非白名单程序不能解密),从而实现不同的进程读取相同的加密文件得到截然相反的明文和密文。文件操作效率低下的原因在于为了防止非授信进程访问文件系统缓存的文件明文,每次打开和关闭文件时都要清理文件缓存。这对相当于屏蔽了系统文件缓存带来的性能优化,对大文件的作影响尤其明显。使用这种技术实现的商业软件,用 Word 打开一个 100M 的大文件后,用另一个非授信进程每隔 15 秒钟只读访问一次这个文件(这会促使驱动实现每隔 15 秒钟清一次缓存),结果卡的基本上没办法操作这个Word 文档。损坏文件和兼容性差的原因主要是对于延迟写入的缓冲文件,用户的写入操作是写入了缓存,但是负责延迟写入的 system进程还没有将其写入文件,此时如果有非授信进程打开文件,会导致缓存被清除,这导致用户的修改没有写入,很多情况下都会造成文件数据失或文件格式损坏,与病毒防护软件不兼容也基本上是这个原因。假如一个大型项目,有 10 万个终端,每个终端每天平均处理10个文件,***是100万个文件,哪怕有万分之一的损坏率,***是日均 10 个文件,这将是不可接受的。而这种文件损坏通常是不可逆的,即使厂家开发人员也无法恢复它。正是这样的原因,现有的透明加密驱动技术普遍存在损坏文件、性能降低、兼容性差等诸多问题。以至于不少的厂商在宣传中都不再强调软件的功能和特色,只要突出稳定、不破坏文件***能获得不错的市场回报。
五、第三代透明加密技术介绍
针对第二代透明加密驱动技术(依赖清除缓存来区分不同的进程对加密文件内容的访问控制)所带来的文件损坏、应用程序兼容性差、与病毒防护软件冲突等问题,采用基于文件过滤驱动(多缓存)的第三代技术,真正实现了一个文件、多个缓存。不同的进程访问不再依赖于梦魇般的暴力清除文 件 缓 存 。 同 时 也 实 现 了 一 个 全 新 的CallBack 架构的 Windows 文件系统平台,可以将应用任意的扩展到网络文件系统、远程的存储媒体。第三代透明加密技术不再是单个文件过滤器驱动,而是一个加平台。在第三代驱动架构中,授权和非授权进程对加密文件的读取不同的内容不再依赖于缓存的暴力清除,而是管理了多个缓存内容(多个 FCB),不同的进程的读取被指向不同的缓存块。从而安全的解决了文件损坏和效率低下的问题。同时也减低了同病毒防护软件等基于文件过滤器技术的冲突。
六、由白名单程序规则引发的产品缺陷
尽管第三代透明加密技术从理论上能够克服第二代透明加密技术的缺陷,但无论是哪一种透明加密技术,都有一个共同的致命缺陷:都必须设置白名单程序规则,用以区别合法程序和非法程序,排除某些特定文件如配置文件等。透明加密技术都是以进程作为控制对象,需要区别合法程序和非法程序,对于合法程序允许访问密文,并能自动解密,保存时能够自动加密保存,对于非法程序拒绝访问密文,或者文件打开后显示乱码,从而实现文件访问的安全性。而要区别哪些是合法程序哪些是非法程序,则需要设置白名单程序规则。白名单程序规则还包括每一个程序必须排除的不能被加密的特殊文件,如配置文件、许可证文件等不能被加密。这种必须设置白名单程序规则的技术路线,存在以下天然缺陷:
1、系统部署比较困难
系统部署时事先需要全面知悉用户电脑里的所有应用软件,并添加到白名单程序库,一旦有遗漏或设置不准确,将导致该软件无法运行、运行异常或存在泄漏隐患。由于软件种类非常之多,许多专业性软件不曾使用过,需要在用户现场去了解和置。有些专业性软件往往需要授权(加密狗或许可证)才能使用,没有条件在开发环境下来安装调试。某些大型的专用软件,往往可执行程序较多,要分析哪些该加入哪些不该加入,会有一定难度,配置相当复杂,即使开发人员自己,有时也搞不定。另外,对于某个软件而言,不能对它产生的所有文件都加密,这样又可能破坏软件正常运行的环境,导致退出或卸载加密软件后,程序运行异常。因此还必须搞清楚每一个软件对应的生成文件有哪些?哪些扩展名文件该加密,哪些扩展名文件不该加密,错了导致软件运行异常,加漏了导致该加密的文件不加密,这又是一件很折磨人的事情。
2、升级维护比较麻烦
系统部署完毕,一切运行已经正常,但运行一段时间后,用户可能会升级某些应用软件,也可能会安装某些新的应用软件,还可能会出现新的文件格式,这样往往需要重新设置白名单程序规则,这项工作对于用户单位的网管来说是一项有难度的工作,往往需要厂商提供现场技术服务。这种无法绕开的必须设置白名单程序规则的技术路线,所导致的安装部署和运行维护问题,正是压跨透明加密厂商的后一根稻草,以至于其技术团队的大部分人员转而去做售后技术支持工作,当“消防员”满世界跑;用户越多,市场占有率越大,运行维护的工作量也越大,这种持久性的不断增长的售后服务工作,使得企业不堪重负,消耗了大量时间和精力,也消耗了大部分利润,将企业拖入亏损的泥潭。此外,透明加密技术还存在以下应用局限性:
(1)无法控制合法应用软件的网络功能。某些应用软件如 WPS 等,软件本身具备云盘(云存储)功能,一旦将其加入白名单程序,那么可以将密文上传或另存到云盘。文件上传云盘并不遵从文件过滤驱动规则,根据白名单程序是被允许访问并自动密的技术原理,此时上传到云盘的密文是被自动解密的,即自动变为明文而泄密。因此需要采用类似防火墙技术来阻止上传云盘,大大增加了系统复杂性。
(2)无法防止录屏、拷屏和截屏的行为。当合法用户打开密文后,可以使用录屏软件将内容录制下来,保存到本地,也可以用拷屏和截屏的操作将内容保存为一张图片文件。根据“白名单程序写加密、非白名单程序的写不加密”的技术原理,录屏和拷屏软件保存下来的文件是不加密的,实际为明文,可以随意外发外拷而泄密。因此在驱动外需要增加防止录屏、拷屏和截屏的功能模块。
(3)网络软件容易引发泄密风险。对于具备上传和外发功能的网络应用软件,一旦被误加入白名单程序库,或者被合法主程序启动起来,那么存在极大的泄密风险。依据白名单程序是被允许访问并自动解密的技术原理,上传和外发出去的密文是被自动解密的,即为明文而泄密。
(4)无法实现加密环境和普通环境之间的自由切换。透明加密软件一旦安装后,系统被改造为一个单一的加密环境,再也无法返回普通环境;在加密环境中,对于白名单进程产生的所有数据都会被自动加密,无法实现只对企业文件加密,对个人文件、普通文件、临时文件、许可证文件和环境配置文件不加密的目标。
(5)透明加密技术只能对非结构化数据包括视频、音频、图片、图像、文档、文本等形式文件进行加密保护,不能对结构化数据如各种数据库应用系统进行防泄密保护,而目前信息化应用系统如 OA、ERP、CRM、HR、项目管理软件、财务软件、税务软件、进销存软件等,都是基于数据库的应用,目前主要依靠系统本身提供的用户密码登录方式来控制,但对于登录以后的访问控制和数据转移***不能进行有效控制了。
七、透明加密技术的两终级难题
DLP ***像一个木桶,遵循木桶原理,有一块短板,***会拉低整个水平;任一点上的泄漏,***会泄漏所有数据;有一个漏洞,都会导致其他防护归零。透明加密技术只能解决 DLP 的一部分问题,不能解决全部需求,要结合应用层的各类防护,如某些辑软件自身具有上网外发和云盘功能,需要加以控制,还要控制录屏、拷屏和截屏、文件水印、复制粘贴、文件另存为、外发、外拷、打印、刻录等,用多种技术组合成为一个相对比较完整的方案。
另外,必须收集全部的常用软件,尽可能多的收集各行各业的专用性软件,在开发环境里安装测试分析,制定出无误的白名单程序规则,这是一项工程浩大且需要不断更新维护的艰巨任务。即便如此,透明加密技术仍存在两个难题
1、必须设置白名单程序规则,无法克服由此引发的一系列弊端
2、只能加密文件,不能加密数据库及数据库信息应用系统,有应用局限性
八、透明加密技术的终结者:安全容器
综上所述,透明加密技术有永远走不完的路,要想破解透明加密技术的难题,必须有一种新技术,可以免设白名单程序规则,消除因此而引起的所有缺陷,达到或无限接近零技术支持和零售后服务的理想目
标。安全容器这种新技术采用“疏导”技术路线,实现了程序无关性,文件类型无关性,无需关心用户电脑上安装了哪些应用软件,无需为设置白名单程序规则而苦恼,使得产品具有理想的兼容性和普遍适用性,大限度地减少了售后服务工作量。安全容器的功能特点:
1、 集中管控
20安全容器系统是一个信息安全管控平台、整体解决方案,用于有效保护一个企业及个人的数字知识资产不流失、不扩散、不泄密。数据强制集中存储在服务器或安全容器,只进不出;既保护文档,也能保护数据库;既能保护终端数据不泄漏,也能管控各种数据库信息应用系统不泄密。不影响原有系统功能,不改变原有网络,无需重新安装配置,增加了安全性。
2、 内外隔离
综合运用重定向技术、隐形加密技术、隔离技术、沙盒技术、虚拟桌面技术和防火墙等多种技术,在客户机上创建一个封闭式安全容器工作环境——安全桌面。安全桌面与系统桌面隔离,包括存储隔离、通讯隔离、进程隔离、访问隔离、操作隔离、端口隔离、外设隔离、网络隔离,同时又可以特例访问各种涉密信息系统。安全桌面与系统桌面的桌面显示一样,其所有操作习惯不变。
3、 内外兼防
安全容器提供了一个安全的工作空间,用于访问各种涉密信息系统,“防内又防外”——既防外部黑客木马窃密,又防内部人员因疏忽无意中泄密、或利用工作之便有意窃密,以及内外人员非法勾结窃密;既能防范病毒破坏,又能防范勒索软件侵犯。
4、 全程防护
安全容器里对文件全生命周期进行保护。从文件创建、编辑、保存、传输、流转、
贝、外发、归档、销毁的每一个环节都进行防护,达到“文件不落地、本地;文件出不去,出去即密文”的安全防护效果;安全容器里的所有文件,未经许可无法出去,如因工作需要数据落地,则通过专用工具导出。即使拷走整个安全容器也没用。因为安全容器是被自动加密的,对使用者而言,加密是毫无知觉的。
5、 云办公安全
安全容器还可应用于云存储加密,在云办公领域具有广阔前景。随着云计算技术的进一步发展,云办公必将取代传统的办公模式。未来企业无需建设局域网,无需架设内网服务器,只要有一个能连接互联网的移动终端设备,即可随时随地云办公。
九、总结安全容器技术具有非凡意义,必将又一次演绎由技术革新的产业变革,为用户送来了期待已久的真正好用的 DLP 产品,是终端安全防护的理想解决方案。
附录:作者介绍 宣以政,四川大学,90 年本科毕业,95 年硕士研究生毕业后在某大学任教,后在多家科技企业任技术总监,有多年创业和创办公司的经历,二十年专注信息安全技术研究和产品开发,研究方向为数据安全,研究 重 点 为 数 据 泄 漏 防护 ( Data LossPrevention 简称 DLP)技术领域,是国内很早的 DLP 研究者之一,在 DLP 技术发展24的各个历史阶段都做出了一定贡献,填补了多项技术空白,拥有多项技术专利,发表了多 篇 论 文 和 著 作 。 微 信 &Mobile :13980997654 QQ:93634187525
