Posts for: #Tech

最近几年，云盘大行其道。国外先行者Dropbox、微软Skydrive、Google Drive、Box都还是按G计算免费空间时，国内的百度网盘、腾讯微云、360云盘、金山快盘、华为网盘、新浪微盘、阿里酷盘都纷纷步入T时代，动辄送5T、10T的免费空间。而像同步盘、坚果云这些产品，则把目光投向了企业云盘。

国内网盘几乎都做了「秒传」功能，实际上就是「重复的资源在服务器只会存储一份」，可以参考知乎上的文章《国内云存储行业为什么忽然进入了一个靠增量粗暴圈地的竞争局面》，基本可以判断，数据都是明文存储。

那么，在公有云中，怎么保障数据不被运营商（或者哪怕仅仅是运营商员工中的「坏分子」）获取？

云盘数据安全保障的方法

• 加密压缩：文件上传之前，先用压缩软件做一次加密压缩。客观地说，这种方案在大量文件、移动设备场景下，完全不适用；
• 加密盘：采用类似TrueCrypt、PGPDisk之类的软件，做一个加密磁盘。云盘同步时，同步的是「整个磁盘」而非磁盘里的文件。由于每次修改都是上传整个磁盘，所以这种方案的适用场景是：
  • 机密文件很少，创建的盘较小；
  • 加密盘里的内容几乎不做修改。
• 透明加密：所谓透明，指的是一次设置后，无需用户过多干预，自动（或者至少是很方便地）将存进网盘里的部分或全部内容加密处理，这种方案目前有较多的技术实现。

透明加密方案/产品

CryptSync

CryptSync是一款「简单粗暴」，仅支持Windows的开源软件，其原理是：设置源目录（明文）与目标目录（加密，用于同步上传），每当源目录中的文件变化时，自动将文件加密复制一份到目标目录用于上传备份。

这种方案适用于只做备份的场景，损失了云盘多设备共享的优势，而且在本机至少需要保存两份数据。

界面如下：

Cloudfogger

Cloudfogger其实有点类似CryptSync，与云盘无关，它安装完毕后指定某些目录加密——这时就可以选择云盘目录，加密后云端和本地都是密文，本地可以透明使用。

Safemonk

Safemonk是SafeNet公司旗下产品，仅提供对Dropbox的加密，具体做法是：在Dropbox内创建一个目录，只要文件存入该目录就自动加密。加解密过程对用户全透明。

支持Windows、Mac、Android、iOS，宣传的优点有：

• 保持原有的Dropbox使用习惯（透明）；
• 通过密钥管理远程禁用某个设备，可以不用担心设备遗失导致的泄密；
• 跨设备的安全保障——只要不登录Safemonk，文件全部处在加密状态；
• 无需密码即可安全分享；
• 可「找回密码」。

Safemonk Security页面介绍了密钥管理相关信息。从宣称他们无法获取用户密钥，到生成密钥、密钥树（文件密钥、目录密钥）、算法、密钥吊销等。

Viivo

Viivo的宣传语是「cloud in confidence」——可信云。将vovo目录与云盘内的某一目录关联后，拷入vovo目录的文件会自动加密。

参考：

• Viivo的youtube页面：http://www.youtube.com/user/PKWAREinc?feature=watch

Boxcryptor

Boxcryptor是来自德国的加密产品。在目前看过的这几款产品中，它显然做得最好：跨平台、易用性强、支持多种云盘、具备企业共享特性。在Windows和Mac上，它挂载了一个虚拟盘，自动将该盘与云盘关联，之后用户只需要在它的虚拟盘中工作就行了。

Boxcryptor的企业特性有：

1. Master Key：可以解密公司内所有文件；
2. Password Reset：可以重置员工的密码；
3. Reduce HIPAA Liability：遵循HIPPA，能进行用户行为分析；
4. Policies：强制安全策略，比如密码策略、IP登录限制、文件名加密等；
5. Centralized Management and Invoicing：集中管理

Boxcryptor的密钥管理中有这么几种密钥：

1. File key
2. User keys
3. Password key
4. Group key
5. Company keys

参考链接：

Dropbox

Dropbox可谓网盘中的王者，目前也推出了企业版。看起来，企业云盘逐步得到应用。他们企业版主页上的一句宣传很霸气：超过 200,000,000 用户和 4,000,000 家企业通过 Dropbox 实现智能工作。

企业相关的主要功能点有：

我所关心的部分安全功能/特性有：

1. AES加密存储，保障了黑客入侵了存储服务器，通常无法获取明文信息。当然，被人诟病的是：加密的密钥Dropbox自己拿着，实际上他们有能力「窃密」（云盘企业自己提供加密，是否合适？）；
2. 远程清除离职员工或遗失的电脑数据；
3. 隐私中Dropbox提到「我们的隐私政策专为确保您的团队安全收集、使用和披露信息而设计」；
4. 简单但够用的日志；
5. 能方便地共享，也能「控制共享文件夹和链接的访问权限，禁止成员在团队以外进行共享」。

参考资料：

• Dropbox企业版博客：https://www.dropboxatwork.com/
• Dropbox Admin Console Overview：http://vimeo.com/59464655
• 兼容Dropbox的第三方应用：https://www.dropbox.com/business/apps

Box

相比Dropbox，Box更专注企业市场，个人市场方面份额相对小一些。Box在页面上的「怎么保障安全」部分画了一张图：

Box宣传的安全特性有：

Spideroak

Spideroak宣称自己比其他云盘更安全的主要卖点（其实不少第三方加密业务都是这么干的）是：

• 每个文件（包括文件的不同版本）、目录都有自己的密钥；
• 使用用户的密码加密密钥；

参考：

• Spideroak特点：https://spideroak.com/engineering_matters

这些年写博客，用过免费博客平台（有的被墙，有的倒闭，有的被产品经理反人类的更新逼走……），也自架服务器用开源软件Blosxom、LifeType、Movable Type、WordPress、fluxbb搭过。最近尝试用jekyll和github配合写博客，感觉不错，比较适合爱折腾人士和码农：

• 无需备份，无需维护服务器；
• 免费二级域名，也可以自定义域名，无需备案；
• 使用者可以专注写作，不用考虑排版问题。

说明：

• 我的平台是Mac，所以所有操作均基于Mac，其他平台可能略有不同；
• 例子里使用的git用户名wulujia，域名wulujia.com，请更改为你自己的。

当然，用什么不重要，重要的是写。

jekyll

使用jekyll，你可以写markdown格式的文章，方便快捷地根据模板生成漂亮的网站或博客。Linux或者Mac平台下，使用非常简单：

~ $ gem install bundle jekyll
~ $ jekyll new my-awesome-site
~ $ cd my-awesome-site
~/my-awesome-site $ bundle exec jekyll serve
# => Now browse to http://localhost:4000

在 Mac 上，需要先下载安装 Command Line Tool。

如果之前安装过，但是很久没更新，可以 bundle update 一下。

github

全球最大的源代码托管平台，如果不了解，可以参考：https://help.github.com/。

准备工作

• 注册帐号
• 创建repo
• 配置git
• 准备域名并配置DNS

更新准备好的网站

git clone https://github.com/wulujia/wulujia.com.git
mv blog/* wulujia.com && cd wulujia.com
git checkout --orphan gh-pages
git add .
git commit -a -m "First pages commit"
git push origin gh-pages

更新完毕后，一般需要5-10分钟，就能访问到你的博客页面了。

更新历史

• 2013-11-06，v1.0，创建文档

DLP企业

国内有哪些防泄密DLP厂商，各家的优势是什么？

国内的防泄密厂商很多，但良莠不齐，这里先列举部份主流厂商，欢迎朋友们补充：

1. 大成天下：http://www.unnoo.com/
2. 亿赛通科技：http://www.esafenet.com/
3. 前沿科技：http://www.drm.net.cn/
4. 思智泰克：http://www.sagetech.com.cn/
5. 明朝万达：http://www.wonder-soft.cn/

国外有哪些防泄密（DLP）厂商，各自有什么优缺点？

国外主要有以下DLP大厂：

1. symantec:http://www.symantec.com/business/products/family.jsp?familyid=data-loss-prevention
2. trendmicro:http://us.trendmicro.com/us/products/enterprise/data-loss-prevention/index.html
3. mcafee:http://www.mcafee.com/us/enterprise/products/data_protection/index.html
4. CA:http://www.ca.com/us/products/product.aspx?id=8299
5. microsoft:http://www.microsoft.com/windowsserver2003/technologies/rightsmgmt/default.mspx

DLP是什么意思？

在信息安全领域，DLP是英文Data Loss Prevention（数据丢失防护）的缩写，有时也被称为Data Leak Prevention（数据泄露防护）或Information leakage prevention（信息泄漏防护），在中国，也往往被称为“防泄密系统”。

我们对防泄密（DLP）系统的定义是：用于防止数据信息被非授权获取与传播的计算机软硬件系统。

数据信息有三种“状态”，即使用中（data in use）、传输中（data in motion）与存储中（data at rest），在这三种状态下，也各有不同的“泄密场景”，例如：

1、使用中 a.操作失误导致技术数据泄漏或损坏； b.通过打印、剪切、复制、粘贴、另存为、重命名等操作泄漏数据。

2、传输中 a.通过email、QQ、MSN等网络工具传输机密资料； b.通过网络监听、拦截等方式篡改、伪造传输数据。

3、存储中 a.数据中心、服务器、数据库的数据被随意下载、共享泄漏； b.离职人员通过U盘、CD/DVD、移动硬盘随意拷走机密资料； c.移动笔记本被盗、丢失或维修造成数据泄漏。

这些场景都在防泄密（DLP）系统的管理范围内。

刚刚有客户问到CheckPoint的PointSec，是否能介绍一下这个产品？

Pointsec原来是一家瑞典企业，从事PC、笔记本电脑、PDA和智能手机的数据安全业务，在2006年被CheckPoint收购，当时CheckPoint发布的新闻参见： http://www.checkpoint.com/press/2006/pointsec112006.html

目前可以通过以下链接访问Pointsec产品的信息： http://www.checkpoint.com/pointsec/

什么是Metadata？

从字面意思看，Metadata是“元数据”的意思。但在信息安全领域，Metadata指的是在文件（通常有文档、电子表格、电子幻灯、音乐、照片、视频等）中存放的隐私信息。

这些信息可能包括了：作者、文件创建或修改的时间、文件的版本信息、注释等，对照片来说，还可能包括了照片的拍摄地点、拍摄时间、拍摄时的光圈快门等技术参数信息。

但对普通计算机用户来说，这些信息是不可见，也不容易被删除的，因此很容易由此造成隐私的泄露。

在哪里能看到最新的泄密事件发生趋势？

在DataLossDB，你可以找到一些公开的泄密案例信息： http://datalossdb.org/

该网站还对数据进行了分类，并按年度进行统计，从中可以有效发现泄密事件发生的趋势。

文件发给合作伙伴后，能防止他们进一步复制与传播吗？

在防泄密厂商的产品中，有两种方式可以防止文件被进一步复制与传播：

1、改变文档格式，用专用阅读器打开，并加上安全控制措施。ADOBE PDF、TSP文件锁等产品就是通过这种方式实现的；

2、不改变文档格式，但需要用专用“外壳程序”打开，铁卷密信是通过这种方式实现的。

防泄密软件究竟能否真正做到对程序源代码进行加密？

我们认为，在目前的技术实现中： 1、试图用常规的“透明加解密软件”对付有经验的程序员，是“不可能完成的任务”； 2、使用桌面虚拟化技术，代码全在远程，才有可能做到对程序源码的“完美加密”。

为什么说常规的透明加解密软件无法对程序源代码完美加密呢？原因简述如下：

因为应用程序最终需要被编译为exe/dll并发布，而exe/dll与doc的区别在于，exe/dll需要被运行和调试。

如果允许exe以明文状态存在，那么程序员就能把源代码作为资源，嵌入编译后的exe里，然后导出成明文。

如果exe在正式发布前以密文形式存在，那么一般的透明加解密产品恐怕没法通过配置策略满足这个需求。因为这些产品都是以访问文件的进程类型来判断是否解密的。访问exe的是它的父进程和它自己，访问dll的是加载它的进程。这些进程的类型是多变的，很难用规则准确匹配。

退一步说，如果通过改进产品满足了上述匹配，对进程本身来说，自己就是明文可读的。于是就无法防止exe运行时把程序员隐藏在资源中的源代码通过网络传递出去，尤其是当前开发的正是一个网络程序（比如QQ）的时候。

防泄密产品与防火墙、入侵检测、上网行为管理等安全产品有什么不同？

防泄密产品与防火墙、入侵检测、上网行为管理等安全产品的不同点——有许许多多，最直接的——产品名称就不同嘛 :)

十年前，数据泄露还只是少数人关注的话题，今天提起，却已成为路人皆知而且急需解决的大问题了。究其原因，还是外部环境的变化，主要体现在：

• 互联网发展，一方面让企业拥有了之前无法想像的海量用户数据，另一方面使数据存储、流动——甚至泄露更容易；
• 科技就是生产力，知识产权的重要性受到空前的重视，包括创造者和偷窃者的重视；
• 国家、企业、组织的各种窃密、泄密事件被大量曝光。

人们终于意识到，数据泄露就发生在自己身边，与自己的生活密不可分。

大成天下的解决方案

大成天下从最初的加密产品起家，到目前形成一整套完整的DLP（Data Leak Prevention）解决方案，走过了近十年的时间，十年磨一剑，成为目前国内敏感信息防泄漏最完整解决的厂商。

• 加密解决方案：铁卷

  • 铁卷电子文档安全系统：透明文件加解密
  • 铁卷加解密网关：配合OA、ERP、PDM系统上传下载自动加解密
  • 密信文件防护：掌握外发文件安全性
  • IOS、Android版：通过移动设备访问铁卷加密文件

• 监控解决方案：锐眼

  • DLP终端探针：监控Windows终端操作，发现泄密行为
  • DLP网络探针：发现网络流量中的敏感信息
  • DLP WEB网关：发现并拦截HTTP、HTTPS访问中的敏感信息
  • DLP存储扫描：扫描文件共享、WEB服务器、数据库等位置存储的敏感信息状况
  • 终端APT监控：监控Windows终端操作，发现可疑入侵行为

加密产品（铁卷）

可能有朋友会疑惑，不就是个加密吗，干嘛要这么多东西？换位思考，如果你是一家企业的CIO，面对不同用户形态各异的使用场景，是否也得提出符合这些场景的需求？

• 所有文件加密、支持域、解密要审批、离线可用、异常报警——经过9年发展，铁卷很成熟了，该有的功能，能适应的场景都尽可能地考虑了；
• 公司部分人部署了铁卷（还有些未部署），所有希望OA/ERP/PDM里流转的是明文文档，这时需要铁卷加解密网关，上传自动解密；
• OA/ERP/PDM对合作伙伴开放，但希望从技术上保障合作伙伴不能泄密，这时铁卷加解密网关能帮你，下载自动加密，需要安装Agent才允许打开；
• 部分领导使用iPad、手机等设备移动办公，这时你用得上铁卷移动版；
• 文件需要发给别人阅读甚至修改，但又不希望别人泄露。打开限制、网络验证、阅后即焚……密信是最简洁有效的解决方案。

附图，铁卷的策略配置：

监控产品（锐眼）

还有人会问，有了铁卷，为什么还做锐眼？

几年前，我们曾经认为中国的国情、法律现状决定了DLP产品的形态与国外不一样——国内从2005年以来，防泄密解决方案基本是加密和封堵。当时，我们的大多数客户也认为，最重要的是要让数据根本就出不去。因为一旦出去，控制难，处罚难。

而这两年，越来越多行业用户的想法是：

• 我不怕被人（比如商业间谍）偷一次两次，我怕的是他偷了百八十次，我都没发现；
• 企业里的『坏蛋』是始终是极个别人，不要为了这些人，导致日常工作的复杂度提升；
• 轻量布控，多点布控。

所以我们花了两年时间，做了锐眼，锐眼的产品结构如下：

首页上显示的监控效果：

锐眼终端DLP捕获的数据：

大数据？

对我们来说，提大数据为时过早，不过铁卷、锐眼、APT监控……越来越多的探针布控，某些客户单日日志量已经有数百万条，怎么用好这些数据，这是我们正在思考和解决的问题。

通过NOSQL等技术，我们得以快速检索海量数据，并将其可视化呈现：

联系方式

大成天下官网：http://www.unnoo.com/
填写基本要求即可试用：http://www.unnoo.com/trialapp.html
400电话：400-1122-918