透明加密 透明加密技术深度剖析 完整的数据泄漏防护

透明加密技术是一种自动文件加密技术，用于保护组织的知识资产不被泄露、丢失和扩散。目前，透明加密技术被用户广泛接受和使用，成为主流产品。

1.透明加密技术综述

透明加密技术最早是从国外引进的。因为理念和技术非常适合企业的数据泄露保护需求，所以在企业主中很受欢迎，在市场上流行了一段时间。透明加密开发者如雨后春笋般涌现，最多可达数百人。

然而，经过多年在企业应用中的实践测试，逐渐发现透明加密技术的使用效果并没有宣传的那么好。经过十几年的轰轰烈烈的波澜，90%以上的厂商消失了，幸存下来的基本都是当年融资成功的。即便如此，他们目前的发展依然相当艰难。

究其原因是什么归根结底，透明加密技术的路线本身存在一定的缺陷，导致产品的缺点无法从根本上解决。很多用户在使用透明加密技术后都很痛苦，总会出现一些问题，有的勉强使用，有的被迫放弃。随着时间的推移，透明加密技术受到越来越多的批评。

二、什么是透明加密技术

透明加密技术是根据企业文件安全需求应运而生的一种文件加密技术，主要应用于企业文件安全管理。

所谓透明加密，是指对正在使用的文件进行加密或解密，这是在没有用户干预的情况下自动进行的，用户实际上是无意识的。

当用户打开文件时，加密的文件会自动解密，当编辑和保存文件时，文件会自动加密。在分类过程运行期间生成的文件会自动加密。这样，无论保存为什么文件名，转换为什么文件格式，都会受到严格的加密保护，即使使用文件恢复工具，也无法获得加密文档的明文内容。

文件在磁盘上总是密文。一旦离开使用环境，加密文件就无法打开或被篡改，从而保护文件内容。

三、透明加密技术的起源

透明加密技术历史悠久，自2000年发展至今已有近20年的历史。它经历了三代技术，即基于API HOOK的第一代技术、基于文件过滤驱动的第二代技术和基于文件过滤驱动的第三代技术。

第一代技术实现的透明加密技术存在很多弊端，比如有时HOOK不成功，容易反HOOK，同一HOOK获得的文字清晰，容易中毒。它在稳定性、兼容性和安全性方面与商业应用相差甚远，很快被第二代技术所取代。

第二代技术实现的透明加密技术构成了目前文件加密保护的主流市场，但该技术存在文件操作效率低、文件易损坏、易造成系统蓝屏、与病毒防护软件不兼容等几个致命问题，主要是暴力刷缓存操作造成的。

为了解决第二代技术的缺陷，自然要采用多缓存技术，这种技术被称为第三代技术。目前，第三代技术大多停留在理论探讨阶段，但最近有开发者声称已经完成了具体实现。

无论是第二代还是第三代技术，白名单节目规则的设定还是有必要的。白名单程序规则必须设置的技术原理看似很合理，其实是一个致命的问题。

四、透明加密技术的缺陷分析

在Windows操作系统中，每个文件只有一个缓存。如果缓存脏了或缺页，操作系统的“虚拟内存管理器”或“缓存管理器”文件系统将发出未缓存的IO读写请求。系统中的所有进程读取和写入相同的文件并获得相同的内容。这样可以减少磁盘的读写，提高系统的性能，这是Windows系列操作系统的设计原则。

透明加密技术需要区分不同的读写加密文件的过程，即一个文件因为读写过程的不同，需要呈现不同的内容。由于在性能和安全性上缺乏自然性，使用API HOOK的解决方案已经逐渐被主流市场淘汰。主流的硬盘加密技术基本上都是用暴力清除加密文件缓存。在文件过滤器中截取未缓存的读取，根据不同的进程决定是否解密，这样不同的进程就可以读取同一个加密文件，得到相反的明文和密文。

文件操作效率低的原因是为了防止非信用进程访问缓存在文件系统中的文件的明文，每次打开和关闭文件时都要清理文件缓存。这相当于屏蔽了系统文件缓存带来的性能优化，尤其是对于大文件的操作。在这种技术实现的商业软件中，用Word打开一个100M的大文件后，每15秒钟就会被另一个非信贷流程只读访问一次，这样一来，卡片基本上无法操作Word文档。

文件损坏和兼容性差的主要原因是用户的写操作是写入缓存，但负责延迟写入的系统进程尚未将其写入文件。此时，如果不可信进程打开文件，缓存将被清除，这将导致用户的修改不会被写入。在许多情况下，文件数据会丢失或文件格式会损坏。与病毒防护软件不兼容基本是原因。

如果一个大型项目有10万个终端，每个终端平均每天处理10个文件，也就是100万个文件，即使损坏率是万分之一，也就是每天10个文件，这是不能接受的。但是这种文件损坏通常是不可逆的，即使是厂商和开发者也无法恢复。

为此，现有的透明加密驱动技术普遍存在文件损坏、性能下降、兼容性差等问题。因此，很多厂商在宣传时不再强调软件的功能和特点，只要突出稳定性，不破坏文件，就能获得不错的市场回报。

五、第三代透明加密技术介绍

针对第二代透明加密驱动技术带来的文件损坏、应用兼容性差、与病毒防护软件冲突等问题，采用基于文件过滤驱动的第三代技术，真正实现一个文件多缓存。不同的进程访问不再依赖噩梦般的暴力来清除文件缓存。同时实现了一个全新的基于CallBack的Windows文件系统平台，可以随意应用于网络文件系统和远程存储介质。

第三代透明加密技术不再是单一的文件过滤驱动，而是一个加密平台。在第三代驱动架构中，授权和非授权进程不再依靠暴力清除缓存来读取加密文件的不同内容，而是管理多个缓存内容，不同进程的读取指向不同的缓存块。从而安全地解决了文件损坏和效率低下的问题。同时，它还减少了与基于文件过滤的技术的冲突。

不及物动词白名单程序规则导致的产品缺陷

第三代透明加密技术虽然在理论上可以克服第二代透明加密技术的缺陷，但无论哪种透明加密技术，都有一个共同的致命缺陷:需要设置白名单程序规则，区分合法程序和非法程序，排除配置文件等某些特定文件。

透明加密技术以进程为控制对象，需要区分合法程序和非法程序。对于合法程序，访问密文可以自动解密，保存时可以自动加密保存。对于非法程序，拒绝访问密文，或者打开后显示乱码文件，实现了文件访问的安全性。为了区分哪些程序是合法的，哪些程序是非法的，有必要设置白名单程序规则。白名单程序规则还包括无法加密的特殊文件，如配置文件和许可证文件，每个程序都必须排除这些文件。

这种必须设定白名单程序规则的技术路线有以下自然缺陷:

1.系统部署很困难。

系统部署时，需要提前充分了解用户计算机中的所有应用软件，并准确将其加入白名单程序库。如果有遗漏或设置不准确，会导致软件无法运行、运行不正常或存在泄漏隐患。

因为软件种类太多，很多专业的软件都没有用过，需要在用户的站点了解和设置。一些专业软件往往需要授权才能使用，在开发环境中没有安装调试的条件。一些大型专用软件往往有很多可执行程序，很难分析哪些应该添加，哪些不应该添加，而且配置相当复杂，甚至连开发人员自己有时都不确定。

另外，对于某个软件，其生成的所有文件都无法加密，可能会破坏软件的正常运行环境，导致退出或卸载加密软件后程序运行异常。因此，有必要找出每个软件对应的生成文件。哪些扩展文件应该加密，哪些扩展文件不应该加密，错误的添加导致软件运行异常，缺失的添加导致加密文件不加密，这是一件非常折磨人的事情。

2.升级维护麻烦。

系统部署后，一切运行正常。但是，运行一段时间后，用户可能会升级一些应用软件，安装一些新的应用软件，出现新的文件格式，因此经常需要重置白名单程序规则。这项工作对于用户单位的网管来说是一项艰巨的工作，往往需要厂家提供现场技术服务，让他们的技术团队成员大部分转向做售后技术支持工作，以“消防员”的身份跑遍全球，用户越多，市场份额越大，运维工作量越大。这种持续且不断增长的售后服务让企业应接不暇。

此外，透明加密技术有以下应用限制:

无法控制合法应用软件的网络功能。有些应用软件，比如WPS，有网盘的功能。一旦将其添加到白名单程序中，密文就可以上传或保存到网络磁盘中。上传到网盘的文件不符合文件过滤驱动规则。根据白名单程序允许访问并自动解密的技术原理，上传到网盘的密文自动解密，即自动变为明文并泄露。因此，需要采用类似的防火墙技术来防止上传网盘，这大大增加了系统的复杂性。

无法阻止屏幕录制、复制和屏幕捕获。合法用户打开密文后，可以使用录屏软件将内容录制保存在本地，也可以通过拷贝截图将内容保存为图片文件。根据“白名单程序写加密，非白名单程序写加密”的技术原理，录屏复制软件保存的文件不是加密的，实际上是明文，可以随意发送复制，泄露出去。因此，有必要增加功能模块，以防止屏幕记录、屏幕复制和屏幕捕获在驱动程序之外。

网络软件容易出现泄露风险。对于具有上传和外发功能的网络应用软件，一旦被误加到白名单库中或被合法主程序启动，就存在很大的泄密风险。根据白名单程序允许访问并自动解密的技术原理，上传发送出去的密文自动解密，即泄露为明文。

不可能在加密环境和普通环境之间自由切换。一旦安装了透明加密软件，系统就转化为单一的加密环境，无法再回到普通环境；在加密环境中，白名单过程生成的所有数据都会被自动加密，无法达到只加密企业文件，不加密个人文件、普通文件、临时文件、许可证文件、环境配置文件的目的。

透明加密技术只能加密和保护包括视频、音频、图片、图像、文档、文本等在内的非结构化数据。，但不能保护各种数据库应用系统等结构化数据不泄露机密。目前，信息应用系统如OA、ERP、CRM、HR、项目管理软件、财务软件、税务软件、开票软件等。都是基于数据库的应用，主要由系统本身提供的用户密码登录方式控制。

透明加密技术无法实现选择性加密。使用文件驱动技术的透明加密是对白名单程序生成的数据进行一刀切的加密，不能识别文件分类，不能只加密机密文件而不加密非机密文件，从而限制了透明加密技术的应用范围。

七、透明加密技术的两个终极问题

透明加密技术只能解决企业数据泄露保护的部分问题，但不能满足所有要求。要结合应用层的各种保护，比如有些编辑软件本身就有上网和云盘的功能，需要控制。它还应该控制屏幕录制、屏幕复制和屏幕捕获、文件水印、复制和粘贴、文件保存、输出、复制、打印、刻录等。，并结合各种技术做出相对完整的方案。

此外，还需要收集所有常用软件，收集尽可能多的各行各业的专用软件，在开发环境中安装测试分析，并制定出准确的白名单程序规则，这是一项艰巨的任务，需要不断更新和维护。

即便如此，透明加密技术仍有两个终极问题:

1.必须设置白名单程序规则，这不能克服由此导致的一系列缺点

2.只有文件可以加密，但数据库和数据库信息应用系统不能加密，这有应用限制

八.结论

综上所述，透明加密技术要解决没有白名单程序规则的问题，消除由此带来的所有缺点，实现或无限接近零技术支持、零售后服务的理想目标，还有很长的路要走。

单一的透明加密功能已经不能满足企业对信息安全保护的需求，多种技术的综合应用才能成为相对完整的方案。

尽管透明加密技术存在一些缺陷，但与其他数据泄漏保护技术相比，它仍然是最好的技术。

在网上发现了一种类似的隐形加密技术叫Hanke，在透明加密技术上有了新的突破，克服了上面提到的很多缺点，实现了文件分类标记和文件流通范围限制，值得关注和期待。