環境加密與透明加密對比

2021-08-13 02:04:10 字數 2288 閱讀 1720



環境加密與透明加密對比

資料保密產品發展至今已有差不多有大10個年頭,還是處於群雄爭霸的地步,也未出現在行業內具有壟斷地位的企業。大致上來說,資料防洩密產品分為兩類:文件加密類產品(又稱透明加密類)和整體防護類(或者稱為環境加密)產品。兩類產品設計理念和功能迥異,都處在不斷的發展和互相借鑑中。需要特別指出的是,大多數客戶對於資料防洩密產品的選擇往往不夠重視,將其和普通的軟體產品等同對待。而事實上,資料防洩密專案和現有的企業資訊系統密切相關,並非簡單的加密一些檔案或者硬碟了事。從這幾年的應用情況看,資料防洩密專案想要實施成功,除了選擇合適自身的產品外,更加需要客戶的重視和配合,其難度不亞於erp專案。在不甚了解的情況下,倉促的選擇產品並實施,專案失敗率幾乎就是100%。這樣的反面案例數不勝數。

這裡主要結合使用的實際情況,從專案風險的角度分析兩類產品在大中型企業中部署時的優缺點,以供參考。

專案風險分為以下幾種:

1.資料加密後被破解的風險

文件加密是對應用軟體進行控制,生成的文件在儲存時被寫入金鑰,但該密文在裝有加密產品客戶端的電腦上被開啟時,加密軟體會先對密文自動解密,然後才能正常開啟,也就是說,該加密檔案,在記憶體中依然是明文存在的,可以通過「讀記憶體」直接提取明文,繞過加密,安全級別較低;環境加密採用整體防護,非法外出的檔案才會被加密,如果要破解,唯一的方式就是暴力破解,其難度相當大,安全級別高。

2.對人員使用習慣的改變

使用習慣改變越小,意味著專案推進的阻力越少。不管哪類產品,一旦上線,必然會導致員工以往的行為受到約束。比如,以往可以隨便用qq外發檔案,現在無法傳送或者傳送出去的都是密文。在這一點上,文件加密產品對人員使用習慣的改變較小,員工可以自由的傳送非加密性質的檔案,優於整體防護類產品,但同時帶來的風險也較大,有可能員工會將敏感資料偽造成非加密性質檔案。但無論哪類產品,員工都必須按照設定的方式重新規範自身行為,這點需要企業自上而下的推動。

3.資料的損毀機率

加密就要解密,也必然存在加密和解密失敗的風險,由此產生的結果就是資料損毀,極大影響員工的日常工作,導致系統無法上線。在這點上,整體防護類產品要遠優於文件加密類,因為文件加密對資料有直接和頻繁的加解密處理,資料損毀率很高,整體防護類產品的加密在資料傳輸邊界處進行,對資料本身不做處理,損毀率很小。從以往的專案經驗看,損壞資料幾乎已經成為文件加密產品的代名詞和無法逾越的瓶頸(尤其是終端環境複雜的研發製造型企業裡),而整體防護類產品不會出現此類情況。

4.應用系統公升級風險

前面提到過文件加密是通過控制軟體來加密,必然會涉及到軟體版本的問題,例如:某一文件加密軟體現在可以支援到word2015,將來微軟新推出了word2016,這時候必須要開發商將word2016新增為受控軟體才可以實現加密,使用者可能還要為此不斷公升級而增加一系列的費用;而環境加密不存在此類風險。

5.管理制度變更風險

管理制度變更風險指資料保密系統上線後,企業的管理制度和流程出現一定的變化,此時,資料保密系統必然要隨之進行一定的調整。如果不能快速和有條理的完成調整工作,將會對企業正常的管理和生產秩序造成極大干擾。文件加密產品只能以「文件「為主要管理維度,和管理制度之間並無直接對應關係。當制度改變時,需要同時熟悉文件加密系統和管理流程的人員進行調整,該調整並無標準步驟和過程,存在很大的操作風險。整體防護類產品基於「資料風險管理體系「的設計理念與企業的管理流程密切相關,任何一條資料保密策略必然對應著一條顯性或**的管理制度。比如外發郵件時的黑白名單管理、是否加密控制就和企業的外發管理制度完全匹配。當企業管理制度和流程發生改變時,只需要找到對應的策略並進行修改,就可以完整相應的調整工作,簡單快速。

6.產品下線風險

下線風險指企業在某些因素的推動下,需要解除安裝資料保密系統並恢復到系統上線前狀態時面臨的風險。

對於文件加密產品來說,加密資料以單個加密檔案的形式散落在內網的各個終端上,取消資料加密對業務系統造成的干擾並恢復資料將是乙個及其複雜和漫長的過程。企業需要付出的下線成本不亞於上線成本。這使得企業的應用資訊完系統完全被加密系統「挾持「,成為乙個潛在的巨大風險,可能會在不遠的將來讓企業付出沉重代價。

對於整體防護類產品,所有資料在沒有任何受控策略下,都會以明文形式傳輸和應用,管理員可以隨時通過刪除」資料出口「處的加密策略,迅速消除加密體系對原有資訊體系的影響,下線風險極低。

通過以上6點對比,基本可以得出結論,對於大中型研發製造型企業來說,整體防護類產品的理念更為適用。歸根結底,整體防護類產品更看重與現有資訊系統和管理制度的匹配與融合,文件加密類產品更看重對操作者使用習慣的影響和改變,因此,前者需要企業做出一定的投入和讓步來確保防洩密系統的順利上線,但是一旦上線以後,執行將更為順暢,後期管理和維護更為容易;後者更符合目前客戶對於加密產品的普遍看法」不洩露資料,不影響工作「,但潛在的風險很大;前者更像是個系統,後者更像個軟體,前者更適合於大中型企業的整體管理需求,後者更適合於小規模企業的快速應用。

環境加密與文件加密產品對比

環境加密與文件加密產品對比 資料保密產品發展至今只有短短幾個年頭,尚未形成統一的行業標準,也未出現在行業內具有壟斷地位的企業。大致上來說,資料防洩密產品分為兩類 文件加密類產品和整體防護類 或者稱為環境加密 產品。兩類產品設計理念和功能迥異,都處在不斷的發展和互相借鑑中。需要特別指出的是,大多數客戶...

資料加密 TDE透明資料加密原理

首先需要確定你需要加密的列,oracle 10g資料庫將為包含加密列的表建立乙個私密的安全加密金鑰 表秘鑰 然後採用你指定的加密演算法 aes或3des 加密指定列的明文資料。此時,保護表的加密金鑰 表金鑰 就非常重要了。oracle 10g通過乙個master金鑰來對錶金鑰進行加密。master金...

ORACLE 透明加密(TDE)

author ch date 2015 theme oracle tde test 參考 作用 防止丟失介質後會被別人讀取到資料。在wallet開啟的情況下,使用sql語句查詢實際上是沒有限制的。操作開始,測試於192.168.8.126 oracle sid db 使用oracle使用者登入電腦。...