企業(yè)網絡安全日益受到重視，不僅是對于互聯(lián)網對企業(yè)網絡的防范技術逐漸加強，內網安全的發(fā)展在國內也已歷經了4年的時間。用戶和市場對于用戶安全的理解不斷的提升與擴展，內網安全技術也在不斷的被重新認識，內網安全數(shù)據(jù)加密技術作為企業(yè)數(shù)據(jù)安全的一個重點項目，本文將為您逐漸展開，進行深度剖析。

1. 內網安全技術發(fā)展歷程

內網安全技術早期僅限于終端的監(jiān)控審計技術，對終端的外設、應用程序和網絡資源等進行簡單控制和監(jiān)視，從目前看來，是治標不治本的方法。在內網安全的第二個階段，以數(shù)據(jù)保密為主要目標，逐步認識到加密技術是解決內網安全的根本方法，是以出現(xiàn)了眾多的以加密技術為核心的內網安全數(shù)據(jù)加密技術產品，這類內網安全產品區(qū)別于監(jiān)控審計類，試圖從根本上解決內網安全的數(shù)據(jù)保密問題。

總結目前內網安全市場的數(shù)據(jù)加密技術，總體來說分成文件（文檔）加密技術和磁盤加密技術兩種，在本文中，Chinasec內網安全專家對這兩種技術的優(yōu)缺點進行分析和對比。

2. 文檔加密技術

文檔加密技術是目前使用最為廣泛的內網安全數(shù)據(jù)加密技術產品，之所以被廣泛采用，主要是因為其具有技術簡單、開發(fā)周期短和用戶***接受度高的特點。文檔加密技術的原理主要是通過建立應用程序的進程和相應文件之間的關聯(lián)來達到對特定文件數(shù)據(jù)加密的目的。一個相對完整的文檔加密產品，采用的技術主要包括：

1） 建立應用程序進程和其對應文件的關聯(lián)，通常采用進程名稱識別或者進程特征摘要對比的方式來識別進程，對文件則采用后綴名或者其他特征識別方式；

2） 對需要加密的文件通過文件重定向技術采用臨時緩存文件方式，以獲得文件另存和加密的控制權；

3） 通過對剪貼板、打印和屏幕拷貝等一些快捷鍵的控制，來實現(xiàn)對文件內容級的復制進行控制。

檢查前面的技術可以看出，文件（文檔）加密技術的核心是基于應用進程來實現(xiàn)加密控制，其優(yōu)點如下：

1） 部署簡單，不需要改變用戶操作習慣，也不需要改變用戶的應用環(huán)境；

2） 技術簡單，僅涉及到進程文件關聯(lián)技術、文件臨時重定向技術和上層Hook技術；

3） 概念清晰，用戶理解和接受容易。

但是，由于文件（文檔）加密技術采用的技術路線，使得看起來很美的缺點下面隱藏著重重的安全隱患和穩(wěn)定性隱患，主要包括以下幾個方面：

1） 由于文件是否加密主要基于應用進程和文件的關聯(lián)關系，安全系統(tǒng)與應用程序密切相關，對于應用復雜的環(huán)境，比如制作設計和軟件設計行業(yè)，安全系統(tǒng)的可部署性非常差，常常由于用戶應用過于復雜、應用程序的升級或者應用的增加而導致該類內網安全產品需要進行重新進行二次開發(fā)，從而給用戶環(huán)境帶來極大的限制和不穩(wěn)定隱患。

2） 由于采用了文件重定向的臨時緩存文件技術，造成了安全漏洞和效率下降。一方面因為臨時緩存文件在硬盤中是以明文狀態(tài)存在，很容易使用公開的文件監(jiān)視工具找到并復制該臨時文件造成加密機制的失效；另一方面因為使用臨時緩存文件后，相當于文件要在硬盤中重復進行兩次讀寫操作，造成效率明顯下降50%，這對于大的文件尤其不能接受。

3） 由于在應用進程、剪貼板、打印控制和其他快捷鍵方面采用了眾多Hook技術，很容易造成和防病毒等軟件的沖突，造成系統(tǒng)不穩(wěn)定，影響用戶的正常使用，同時Hook技術也容易造成使用系統(tǒng)效率下降。

3. 磁盤加密技術

磁盤加密技術相對于文檔加密技術，是在磁盤扇區(qū)級采用的加密技術，一般來說，該技術與上層應用無關，只針對特點的磁盤區(qū)域進行數(shù)據(jù)加密或者解密，其主要采用技術如下：

1） 針對數(shù)據(jù)保密區(qū)域，對寫入磁盤的數(shù)據(jù)進行加密或者解密操作；

2） 對非保密區(qū)域，根據(jù)要求，允許或者禁止對磁盤原始數(shù)據(jù)進行讀寫操作。

3） 輔助其他系統(tǒng)控制技術，實現(xiàn)對涉密數(shù)據(jù)的加密保護。

從磁盤加密技術的核心內容可以看出，因為其僅對磁盤特定區(qū)域進行加密操作，具有與應用無關的特點，基于該磁盤加密技術的內網安全系統(tǒng)具有以下優(yōu)點：1） 與應用無關，能夠兼容各種復雜的應用環(huán)境，支持應用的升級和變更，無需針對具體應用進行產品級的二次開發(fā)，穩(wěn)定性和可用性得到保障；2） 由于不采用臨時文件技術，文件讀寫次數(shù)不會增加，確保了系統(tǒng)的使用效率不會明顯下降。

但是，由于磁盤加密技術僅針對特定的文件存儲區(qū)域進行保護，缺乏對文件本身保密屬性的判斷能力，所以基于該技術開發(fā)的內網安全產品，也具有以下特點：1） 因為磁盤加密技術需要對文件的存儲區(qū)域進行條件限制，所以必然對使用環(huán)境帶來一定的影響，需要部署的時候對使用環(huán)境進行調整；2） 單一的磁盤加密技術無法防止通過網絡和其他途徑的文件泄密行為，一個基于該技術的成熟內網安全產品，需要綜合網絡控制等技術，內網安全產品開發(fā)難度大、周期長。

4. 總結

綜上所述，文件（文檔）加密技術和磁盤加密技術作為目前內網安全數(shù)據(jù)加密技術，各有所長。文檔加密技術的缺點是不能適應復雜的應用環(huán)境、存在無法彌補的安全漏洞和系統(tǒng)效率下降明顯；磁盤加密技術的缺點是需要調整用戶應用環(huán)境。 

1. 3DES加密算法是S/MIME協(xié)議的***選擇嗎？
2. 高級加密標準和AES加密：它們能否被破解
3. 如何破解密碼：識別加密哈希算法
4. 飛天誠信推出全球首創(chuàng)高強度.NET軟件專用加密鎖
5. 密碼重置問題的其他選擇：行為生物統(tǒng)計特征技術