4. 磁盘级动态加解密技术

　　对于信息安全要求比较高的用户来说，文件级加密是难以满足要求的。例如，在Windows系统中(在其它操作系统中也基本类似)，我们在访问文件时，会产生各种临时文件，虽然这些临时文件在大多数情况下，会被应用程序自动删除，但某些情况下，会出现漏删的情况，即使临时文件被删除，但仍然可以通过各种数据恢复软件将其进行恢复，在实际应用中，这些临时文件一般不会被加密，从而成为信息泄密的一个重要渠道。更进一步，即使将临时文件也进行了加密处理，但系统的页面交换文件等(如Windows的Pagefile.sys等，除文件系统内嵌的加密方式外，第三方动态加解密产品一般不能对系统文件进行加密，否则会引起系统无法启动等故障)也会保留用户访问文件的某些信息，从而引起信息的泄密。

　　有一种方式可以避免上述提到的各种漏洞，那就是将存储设备上包括操作系统在内的所有数据全部加密，要达到这个目的，只有基于磁盘级的动态加解密技术才能满足要求。静态加密技术在这种情况下，一般无法使用，这是因为操作系统被加了密，要启动系统，必须先解密操作系统才能启动，如果采用静态加解密方式，只能在每次关机后将磁盘上的所有数据进行加密，在需要启动时再解密磁盘上的所有数据(至少也得解密所有的操作系统文件，否则系统无法启动)，由于操作系统占用的空间越来越大，这个过程所需要的时间是难以忍受的。

　　与静态方式不同，在系统启动时，动态加解密系统实时解密硬盘的数据，系统读取什么数据，就直接在内存中解密数据，然后将解密后的数据提交给操作系统即可，对系统性能的影响仅与采用的加解密算法的速度有关，对系统性能的影响也非常有限，这类产品对系统性能总体的影响一般不超过10%(取目前市场上同类产品性能指标的最大值)。图3给出了亿赛通公司基于磁盘级动态加解密的安全产品DiskSec的实现原理，从中可以看出，DiskSec的动态加解密算法位于操作系统的底层，操作系统的所有磁盘操作均通过DiskSec进行，当系统向磁盘上写入数据时，DiskSec首先加密要写入的数据，然后再写入磁盘;反之，当系统读取磁盘数据时，DiskSec会自动将读取到的数据进行解密，然后再提交给操作系，因此，加密的磁盘数据对操作系统是透明的，也就是说，在操作系统看来，磁盘上的加密数据和未加密的状态是一样的。

　　图3：磁盘级动态加解密的实现

　　5. 文件级和磁盘级动态加密的比较

　　这两类加密方法均有各自的优点和缺点，磁盘级加密与文件级加密方式相比，主要优点是：加密强度高，安全性好。

　　由于这一级别的加密方式直接对磁盘物理扇区进行加密，不考虑文件等存储数据的逻辑概念，在这种加密方式下，任何存储在磁盘上的数据均是加密的，相反，采用文件级的加密方式一般只对用户指定的某些文件进行加密，而这些文件在用户日常使用中，由于临时文件等均会带来安全隐患。因此，采用磁盘级的加密方式要较文件级的加密方式安全。

　　磁盘级加密的主要缺点是：不够灵活方便，适用面比较窄。

　　与文件级的加密方式不同，由于磁盘级的加密方式没有文件、目录等概念，难以对指定的文件或目录进行加密、隐藏等操作，反之，文件级的加密方式可以采用各种灵活的加密手段，能够做到更细粒度的控制，用户不仅可以指定要加密的文件类型或目录，同时也可以隐藏某些目录等。