透明加密技術對于企業數據安全的價值分析

柳曉霞

（大慶油田信息技術公司北京分公司，北京 100000）

透明加密技術對于企業數據安全的價值分析

柳曉霞

（大慶油田信息技術公司北京分公司，北京 100000）

在企業數據安全眾多保障技術之中，透明加密技術在應用方面有著鮮明的特征。本文首先對于透明加密技術的概念以及應用特征展開必要分析，然后進一步針對此種技術的原理和分類加以剖析，有利于相關技術人員加深對此項技術的理解，妥善為其選擇應用環境。

透明加密技術；企業；數據；安全

在當前信息大潮中，為了能夠實現更高效的工作方式，從信息技術應用出現伊始，企業即開始大力引入，從而形成了整個社會范圍內進行信息化建設的局面，推動了經濟的發展。而對于信息和數據的依賴，使數據安全問題更加突出，尤其是對于工礦企業而言，數據的安全性甚至直接關系到企業生產運營的安全，例如，在油田工業環境中，數據安全還會影響到核心技術的安全，因此不容忽視。

1　透明加密技術的應用特征

雖然在數據安全領域中，眾多技術層出不窮，相關管理方法同樣從各個層面不斷涌現。在這樣的環境之下，透明加密技術獨樹一幟。

透明加密技術是近年來針對企業文件保密需求研發的一種文件加密技術，其特征在于對數據用戶保持透明，無需給予特別關注即可自行完成數據保護任務。透明加密技術完全由系統自行實現，所有保存在硬盤環境中的文件均為加密狀態，只有在用戶讀寫的過程中才會進行解密，以明文形式呈現給用戶。從工作機制的角度看，透明加密是指在Windows操作系統的文件系統層面上工作的一個核心態軟件，向整個系統提供實時的、透明的、動態的數據加解密服務。透明加密工作體系與操作系統緊密結合，位于應用系統的底層位置，因此能夠實現對于所有文件的加密操作。此種工作方式雖然能夠實現有效數據保護，但是由于其面向所有的文件數據進行加密，因此在一定程度上會影響到系統對于數據讀寫操作的整體效率。同時，這種面向所有文件強制加密的工作方式，雖然能夠有效提升數據安全性，但是在傳輸的過程中如何展開有效的秘鑰保管，也成為該領域下另一個新的問題。

為了能夠實現透明加密的目標，相關技術體系必須在程序讀寫的過程中改變其具體的讀寫方式，使密文在讀入內存時能夠被程序識別，同時在存入硬盤時又可以有效加密。從Windows的角度看，支持編程者在內核級和用戶級展開對于文件的讀寫操作，其中內核級能夠提供虛擬驅動的方式展開工作，而用戶級則支持Hook API的工作方式。因此，透明加密技術也會受到對應的影響，可以分為API HOOK技術（通常稱之為鉤子技術）與VDM技術（驅動技術）兩種。

在使用過程中，透明加密技術能夠主動對所有的指定類型文件進行加密，諸如dwg文件、doc文件等，對于其他未經制定的文件則會直接放行存入硬盤空間。相對于單機操作系統而言，透明加密本身不影響用戶原有操作習慣，不需要輸入密碼，而主動展開加密操作。但是面對傳輸環境而言，透明加密技術就會形成一種信息溝通的阻礙。因為相關加密文件只能夠被本機讀取，一旦離開使用環境，文件即無法打開。此種加密方式能夠幫助企業有效防止用戶通過電子郵件、移動硬盤、優盤、USB接口等途徑泄密企業圖紙、數據、招投標文件等重要文檔，但是對于某些共享性比較強的工作場合來說，就會形成阻礙作用。就油田組織環境的數據體系而言，一方面對于不需要更多數據傳輸的技術原始文件等可以采用透明加密技術，而對于實效性較強的油田工作以及設備狀態數據來說，此種安全技術并不十分實用。對于需要小范圍內共享的數據，可以考慮采用工作組服務器的方式實現數據共享，并且在同一個操作系統之下建立起加密技術體系便于實現數據安全保障。

2　透明加密技術的工作原理與分類

透明加密技術屬于主動加密技術的一種，傳統的主動加密工作方式，通常需要由文件操作人員來展開。此種工作方式雖然同樣相對安全，但是無法避免相關人員泄密問題的發生。而進行修正后的透明加密技術，會對于符合設置的所有文件展開強制自動加密。Windows在實際工作中以事件驅動作為主要機制展開，通過消息傳遞來實現對應用的有效管理。其中監控Windows在讀寫方面的相關操作，即可確定透明加密是否運作。下面進一步對透明加密技術的兩種主要形式展開分析。

鉤子加密技術，主要是考慮到Windows應用程序均通過Windows API函數對文件展開操作，因此程序在打開或者創建文件的過程中，必然會調用Windows的Create File或者Open File、Read File以及Write File等相關函數。進一步，Windows會提供對應的Hook鉤子消息處理機制，允許應用程序以內嵌的方式進行安裝，以實現對于消息類型的監視。而當Windows消息到達之后，會先行處理安裝的內嵌程序，然后才運行原程序。而鉤子透明加密，通過Windows 的Hook技術，對應用程序的相應操作實現監控，并且展開對應的加密與解密工作，將文件從硬盤中讀取到內存中并進行解密，然后呈現給用戶，或者將用戶寫好的文件進行加密并且存入硬盤。

相對于與應用程序密切保持聯系的鉤子技術，驅動加密技術與應用程序保持相對獨立。此種加密工作方式位于Windows API函數的下層，當API函數展開對于指定類型文件的相關操作時，系統會自動面向文件執行解密或者加密。此種工作方式位于Windows系統受到保護的內核層，因此總體而言運行效率更高，加密操作更為穩定。

3　結 語

兩種常見的透明加密技術形式工作在不同的層面，因此從工作原理、效率及可靠性等方面都會呈現出若干差異，并且在需要實現共享和網絡傳輸時，方法也會有所不同。實際工作中，需要依據數據的安全敏感程度以及對于數據的處理效率需求，妥善選擇，才能獲取良好的效果。

主要參考文獻

［1］魏丕會，卿斯漢，劉海峰.基于安全操作系統的透明加密文件系統的設計［J］.計算機科學，2003（7）.

［2］楊帆，王鋒.基于HOOK技術的網絡流透明加密系統的研究與實現［J］.科技情報開發與經濟，2007（25）.

10.3969/j.issn.1673 - 0194.2016.14.042

TP309.7

A

1673-0194（2016）14-0063-01

2016-06-08