北京明朝万达科技有限公司的 Chinasec 可信数据管理系统( DMS )为不同类型的企业提供通用的数据保护手段,无论企业具有什么样的网络拓扑,采用了什么样的应用系统和软件,实现了什么样的内部数据交互方式, DMS 都可以对重要数据进行安全和透明的保护。
• 引言
对于大多数企业来说,数据保护就是要实现 在不降低现有工作效率的前提下,保护企业内部的重要数据(文档、图纸、报表等)不受到恶意窃取和主动泄漏。具体需求包括如下几点:
• 重要文件进行严格保密处理,没有经过审批不能带出内网;
• 非重要文件可以自由使用;
• 所有文件在内网授权范围内可以自由流通;
• 外发文件经过审批,接收方需要授权才能使用。
从需求中可以看出,适合企业的数据保密系统必须能够区分重要文件和非重要文件,并分别加以处理:重要文件以加密形式存在,只能在授权范围内流通;非重要文件可以自由流通。
针对这样的需求,市面上出现了大量的文档加密类软件,这些软件虽然在具体实现上各有不同,但遵循的都是一个设计理念:通过文件类型判断是否重要文件,并加以处理。
文档加密类软件判断文件类型的依据有如下三种:
• 根据文件扩展名
这种方法没有安全性可言,用户更改扩展名即可窃取数据。
• 根据文件的具体特征
比如判断 doc 、 cad 等文件的特征字节,这种方式没有可行性,应用软件和文件格式数量众多,无法一一进行程序开发。
• 根据应用程序的类型
这是目前大多数文档加密类软件采用的方式。其原理是:首先设定需要保护的应用程序,比如 word 。这样,在应用程序( winword.exe )生成 doc 文件时,将自动对该 doc 文件进行加密;当应用程序请求读取加密的 doc 文件时,文档加密类软件会判断该应用程序是否为 winword.exe ,若是就解密至内存然后读取,否则不能读取(比如 foxmail 发送 doc 文件需要先读取文件,这样的话 foxmail 发送 doc 文件时只能发出加密后文件)。
图 1 文档加密类软件的基本原理
文档加密类软件似乎满足了大多数企业的数据保护需求,但仔细分析一下,不难发现这类软件存在以下的缺陷:
• 安全性很低
图 2 文档加密类软件安全漏洞
首先,怎么判断读取文件的程序是 winword.exe ?一些文档加密类软件采用了进程名的判断方式,很容易就被用户通过将 foxmail.exe 改成 winword.exe 绕过控制。还有一些对 winword.exe 文件的特征字节进行了验证,这种方式稍有了一些安全性,但仍然无法避开 windows 本身提供的进程注入机制,即通过软件将 foxmail.exe 插入到 winword.exe 中运行,从而伪装身份绕过控制。
其次,目前的文档加密类软件由于技术所限,在打开加密文件时,首先会在某个临时目录下将整个加密文件解密成明文,之后用户对加密文件的读取,其实都是被重定向到临时的明文文件中。
然后,文档加密类软件将加密文件解密读取到内存中时,需要防止用户将内存中的明文窃取。比如防止将 word 里面的内容拷贝到邮件里面发出,防止抓屏,防止设计软件可能的文件格式转化(比如图片格式的互转)导致内存中的明文直接转出。但实际上, Windows 内存总是可以被用户打开和编辑的,想通过软件做到完全阻止是不可能的。
2 )性能低
文档加密软件在每打开一个文件时需要读取文件头,判断该文件是否是加密文件;同时,产生的临时明文文件占用了存储空间和内存资源,导致了系统性能下降。这种情况在用户同时打开多个文件或使用大文件时尤为突出。比如使用 CAD , ProE , VisualStudio , Photoshop 等研发和设计软件时,文档加密软件通常无法正常运行。
3 )兼容性差,配置复杂
文档加密软件的原理决定了它的实际软件程序和具体的应用程序密切相关。对于每一种应用程序甚至是同一种应用程序的不同版本,文档加密软件都需要判断应用程序的特征、使用的文件类型、可能的泄漏方式,并在部署时事先针对每种应用程序和相应的文件特性进行复杂的配置。所有的文档加密软件都只能支持有限的应用程序和版本,一旦用户使用了支持列表以外的应用程序,必然会产生安全性,性能,稳定性等各方面的问题,使用了文档加密软件的用户,往往会陷入以下各种麻烦之中:
• 不支持现有的某些应用软件,需要厂家二次开发;
• 某些不常用的应用程序功能可以将明文直接带出,产生巨大的安全漏洞;
• 应用程序版本升级或使用了新的应用程序,文档加密软件无法支持,需要二次开发。
文档加密软件的设计理念决定了它必然存在无法克服的巨大缺陷,需要采用全新的设计理念来解决用户迫切的数据防泄密和知识产权保护问题。
• DMS 设计理念
Chinasec 的 DMS 系统解决了数据防泄密中的“区分重要文件和非重要文件”的问题,。
DMS 的设计初衷可以这么阐述:既然通过判断重要文件和非重要文件来进行不同的防护措施行不通,那我们就反过来,制造两种不同安全级别的应用环境。在保密环境中生成和流通的就是重要文件,在普通环境中生成和流通的就是非重要文件。
DMS 中最重要的概念称为“模式”,模式的定义是计算机的一种带权限的运行状态,包括计算机用户可以使用的软件,硬件,网络和数据资源。 DMS 系统通过为计算机设定不同的模式,来同时满足用户的个人使用和企业的数据保密需求。
DMS 最基本的两种模式称为个人模式(普通模式)和工作模式,两种模式的区别见下表:
|
|
个人模式 |
工作模式 |
|
外设 |
自由使用 |
受限,需要管理员批准 |
|
软件 |
自由使用 |
自由使用 |
|
网络 |
自由使用 |
只进不出 |
|
电子邮件 |
自由使用 |
受限,需要管理员批准 |
|
保密分区 |
禁止使用 |
只进不出 |
|
普通分区 |
自由使用 |
只出不进 |
|
移动存储设备 |
自由使用 |
加密写入 |
|
数据服务器 |
禁止使用 |
自由使用 |
用户选择进入个人模式时,可以自由的上网,使用各种外设和完成个人事务,但是无法接触到存储企业相关数据的两块区域:一是本机的保密分区;二是企业的数据服务器,如代码服务器等。
用户选择进入工作模式时,系统自动授权用户工作所需的全部数据资源,但数据泄密的通道全部受控。
• 外部设备默认禁止使用,特殊情况使用时需要管理员批准;
• 可以上互联网,下载软件,但不能通过任何形式外发文件;
• 电子邮件受控,管理员可以制定用户可以发送的邮件地址白名单;
• 保密分区可以自由读写,但无法将保密分区的数据拷贝到普通分区;
• 普通分区可以自由读写,但对普通分区做的任何改动重启后将会自动恢复;
• 移动存储设备写入文件时自动加密,只有同在工作模式下的计算机才可以读取明文内容;
• 可以自由访问数据服务器和上传数据,但从服务器上下载的数据只能存储在保密分区。
工作模式是企业员工工作时需要的一种权限状态--“管出不管进”,员工在工作模式下可以完成绝大部分甚至是全部的日常计算机操作,包括写作文档,编写代码,公司内部以及外部的文件和邮件流通等等,同时工作模式下生成的数据均受到保密;普通模式是员工非工作时所需要的权限状态,员工使用计算机完成一些完全属于私人的事务。
• DMS 优势
4.1 安全性
DMS 对数据保密的控制是通过对数据输出的通道进行控制,包括 U 盘,移动硬盘,硬盘,网络,外设等,控制范围集中,控制力度强。打个比方,如果希望查获走私文物,最好的方法当然是在海关进行检查,而不能寄希望于各地的监管部门对所有的文物登记,注册和追踪。正因为如此,上述文档加密软件的漏洞 DMS 都不存在。
4.2 高性能
DMS 采用了对磁盘扇区直接加密的方式,取代了文档加密软件采用的针对文件进行加密的方式。磁盘扇区加密在 Windows 最底层的磁盘驱动级进行,不需要针对每个文件进行分析和操作,消耗资源少。实际使用已经证明, DMS 适用于各种复杂环境,而文档加密软件在稍复杂的环境中均会出现不同程度的问题。
4.3 兼容性好,配置简单
DMS 的所有加密和控制操作均在 Windows 驱动层进行,和应用程序无关,兼容性非常好。 DMS 部署简单,不需要针对应用程序做任何配置。用户升级应用系统时, DMS 不需要做任何二次开发和升级。
