企业该如何选择加密软件-几点建议

选择加密软件的几点建议

随着信息化的普及，企业数据的安全越来越受到重视，目前国内已有不少加密软件，如何选择加密软件呢？这里参考一些厂家提供的文档并结合自己的经验，提供一些建议供大家参考。

加密软件按照实现的方法可划分为被动加密和主动加密。

（1）被动加密：是指被加密的文件，在使用前需首先解密得到明文，然后才能使用。这类软件主要适用于个人电脑数据的加

密，防止存储介质的丢失（比如硬盘被盗）导致数据的泄密；

（2）主动加密（或者说透明加密、自动加密）：是指在使用过程中自动对文件进行加密或解密操作，无需用户的干预，合法

用户在使用加密文件前，不需要进行解密操作即可使用，表

面看来，访问加密的文件和访问未加密的文件基本相同，对

合法用户来说，这些加密文件是“透明的”，即好像没有加

密一样，但对于没有访问权限的用户，即使通过其它非常规

手段得到了这些文件，由于文件是加密的，因此也无法使用。

由于动态加密技术不仅不改变用户的使用习惯，而且无需用

户太多的干预操作即可实现文档的安全，因而近年来得到了

广泛的应用。目前针对企业的防泄密软件（企业内部的文件

可以自由流通、阅读，一旦拷贝出去或者脱离企业网络环境，

将无法阅读），大多采用主动加密技术。

由于主动加密要实时加密数据，必须动态跟踪需要加密的数据流，而且其实现的层次一般位于系统内核中，因此，从实现的技术角

度看，实现主动加密要比被动加密难的多，需要解决的技术难点也远远超过被动加密。这里说的加密软件就是采用主动加密技术的软件。

下面说说在选择加密软件的时候，建议考查的几个方面：

一、加密软件是否自动透明加密？

何谓“透明”？“透明”应该就是指加密的动作不需要人工干预，是软件自动完成的。比如：用WORD建立一个文档的时候，软件应该能自动把这个新建的文件加密，对用户完全透明，不影响用户的操作习惯。

大部分加密软件都是透明加密的，但是也有区别。很多应用软件在编辑数据文件时，都会生成临时文件。比如Word在编辑文档时，会在同目录下出现以“~$”开头的文件和一个以“~”开头并以tmp 为后缀的文件。这些临时文件在相应的数据文件被正常关闭后，会被删除。由于这些临时文件也存储有企业的机密数据，因而这些临时文件也应该是要能自动加密的。

在测试的时候要特别注意。有些品牌的加密软件，为了给自己图方便，放弃对中间过程的文件进行加密。例如，业界有一个老牌的厂商便采取了这样一种做法：①拦截程序对文件的打开操作；②把打开的文件隐蔽地解密到一个“秘密”的地方；③在后台把应用程序对数据文件操作指针指向位于“秘密”之处的明文；④在关闭数据文件时，把隐藏的明文加密并替换原有的文件。这样的设计，让用户看起来是能够打开编辑密文，编辑保存后得到的还是密文。但是实际上应用软件真实编辑的对象是一个不加密的明文文件。如果这个“秘

密的地方”被知道了，完全可以打开密文时到那个“秘密的地方”去获得明文。

二、加密的算法及密钥的安全性

对于一个脱离了企业环境的密文来说，安全完全由算法和密钥来决定。所以选择加密软件的时候，对其采用的算法和密钥的安全性一定要了解。一般来说，加密算法基本都采用国际流行的算法：比如RSA、DES、RC、AES等，这些算法虽然是公开的，但根据现代密码学的理论，加密算法的公开与否并不影响其安全性，一个好的加密算法的安全性只依赖于密钥。因此对于脱离了企业环境的密文来说，密文的安全主要靠密钥的安全来保证。

一个加密软件的密钥是否安全应该主要要解决如下几个问题：（1）加密软件的厂家如果获取到企业的密文，厂家应该是不能解密的。很多加密软件，密钥是根据计算机的某些特征值由程

序生成的，企业自己无法设置，这样只要知道了硬件的特征

码，厂家就能轻松获取到用户的密钥，那么企业的文件对厂

家来说就是没有保密可言了；还有些加密软件的密钥就是系

统固定的，这样厂家只要拿到密文，就能解密；

（2）企业内部的密文，拿到另外一个企业里面，应该是不能解密的：现在很多加密软件的控制端都由企业的网络管理人员在

使用，那么一旦网管人员离职，重新安装相同的加密软件，

应该保证原单位的文档即使拷贝过去也不能阅读。也就是要

保证不同企业能有不同的加密密钥。

（3）在使用过程中，如果密钥泄露，应该要有补救措施：比如说密钥能支持更改，这样密钥泄露了，企业可以方便的更换。

三、加密软件是如何判断一个文件是否需要加密的

不同的企业，甚至同一个企业的不同部门，所要加密的文件有可能是不相同的。例如设计部需要对产品图纸进行加密，办公室需要对Office类文档进行加密。所以，如何判断某个文件是否应该加密，是加密软件一个很重要的考查指标。一般来说，如何判断某个文件是否需要加密，有两种选择方式：

（1）指定受控路径（目录或者盘符）：即保存在指定目录或者指定盘符中的文件一律加密。管理员可以为每一个客户机指定一个或多个需要加密的受控路径。用户如果将文件保存到这个路径下，那么文件就会被加密。这种方式带来的问题就是：客户端有可能将机密文件保存到非受控路径下。厂商们为了应对这个问题，通常会向用户提供这样的解决方案：①将所有的应用软件全部安装在C盘，然后对C 盘做一个镜像，其他盘（无论是逻辑盘还是物理盘）都只允许存放数据文件；②将除C盘以外的所有盘符都设定为受控路径，以确保所有的数据文件都是密文存储；③每次Windows启动时，或者Windows 关闭前，都会对C盘进行自动还原（这一点很像网吧和部分企业中采用的还原技术）。

（2）指定受控程序和受控后缀方式：即由指定的应用软件生成的指定后缀文件（或者所有文件）一律加密。系统管理员可以为每一个客户机指定一个或多个受控程序。客户端如果用这些受控程序保存