透明加密產品的選擇方法

1、透明加密產品的選擇方法透明加密產品的選擇方法2010-07-30 15：37透明加密產品在實際應用中，由于控制對象和控制內容復雜，市場上同類產品數量眾多，宣傳內容大同小異，如何才能找到適合自己需要的加密軟件?1.通用選擇方法：在功能探討前，企業(yè)首先需要做的是查看供應商背景，包括：到供應商網站上了解其背景、產品特點；了解供應商典型用戶中是否有與自己類似的行業(yè)、規(guī)模、應用需求；考察供應商客戶的應用情況，了解同行、規(guī)模近似、技術和管理水平相似的企業(yè)是否應用了此類產品以及應用的效果如何。2.試用檢查要點：除了通用的選擇方法以外，最簡單也是最為必要的方法就是試用，在試用過程中包括以下步驟：測試環(huán)境搭建：

2、根據企業(yè)需要應用加密產品的范圍和內容，搭建一個小型局域網，在該局域網中的計算機上安裝好所有需要加密的軟件和常用的其他軟件工具。測試數據準備：測試數據盡可能選擇一些比較特殊和極端的例子，例如：準備一個企業(yè)最為復雜的word文檔、圖紙、很大的3維cad裝配體等，以便比較安裝加解密軟件前后對速度的影響。以下要點可供企業(yè)選擇透明加密產品時參考：1)應用更名：由于透明加密軟件和系統(tǒng)結合緊密，一般要求事先設定涉密應用，以便對應用生成的文檔進行加密，企業(yè)可考核的方式如下：將主要應用程序更換一個名字，如：autocad的主要執(zhí)行文件一般為acad.exe，用戶可以通過測試更換了應用程序的名稱后，透明加密軟件是

3、否仍然可以加密生成的文檔來判斷加密軟件的適應能力。2)文件更名、更換類型目前的應用程序往往能夠同時支持生成多種類型的結果，以常用的microsoft word2003為例，該軟件一共將文檔存為15種格式，這就意味著要想實現對該軟件的控制，必須對該應用生成的所有15種格式的文檔都要進行加密。3)應用數據交換如前文所述，透明加密產品主要控制對象是存儲在磁盤上的文件，當文件已經被應用打開后，存放在計算機內存中的是明文，在windows操作系統(tǒng)中，應用之間可以通過多種方式交換數據，包括：剪切、復制和粘貼、對象的鏈接與嵌入(ole)、鼠標的拖動等這些在平時讓用戶有效提高工作手段的技巧，都成為可能的泄密途

4、徑。加密軟件既要保證信息在涉密應用之間的信息交換，又要能讓非涉密應用中的信息能夠順利傳遞到涉密應用中，最關鍵的是：當用戶試圖通過復制、粘貼等系統(tǒng)常用功能，將涉密信息傳遞到非涉密應用時，傳輸的結果應當為密文，這樣可以防止泄密。4)屏幕拷貝控制在操作系統(tǒng)中設置了pringscreen(拷屏)鍵，此外還有相當多的專業(yè)拷貝屏幕的軟件，以便用戶截取屏幕圖片，對于涉密數據而言，這也是一條可能的泄密途徑，拷屏類似于用戶用照相機對折屏幕拍照，防止此類泄密更多的還要依靠企業(yè)自身的管理能力。從透明加密軟件的定義來看，雖然這并不屬于其控制的范圍，但根據用戶要求，很多透明加密軟件對此也做了限制。5)usb端口鎖u盤、

5、移動硬盤等usb移動存儲設備由于便攜性好、價廉物美，大大方便了日常數據交換，但對于企業(yè)應用而言，其方便性反而稱為泄密的重要途徑，本來文檔加密軟件只要確保存儲的文檔是密文，并不需要控制出口，但作為一個解決方案，不少開發(fā)商考慮到企業(yè)的需求，將關閉usb端口的功能集成到了加密軟件中。6)打印控制打印輸出是加密軟件需要控制的重點，由于目前市場上存在大量虛擬打印軟件，能夠將各類文檔打印成pdf等多種通用數據交換格式，加密的文檔如果用虛擬打印機打印成為pdf等中間格式仍然可以保持，從而成為另一條泄密的途徑，因此對打印的控制也成為考核加密軟件功能的因素。7)用戶管理根據企業(yè)信息化的情況不同，不同部門對應用加

6、密解密的要求不同，例如：技術部門對于圖紙控制要求高，銷售部門則可能對于excel報價文件、word商務合同文檔的保密要求高，這就要求加密軟件針對企業(yè)不同部門、不同崗位設定不同的加解密策略。此外，用戶采用移動設備出差，也要考慮移動辦公加密的管理。加密解密效率在企業(yè)信息化應用中，在諸如三維cad、cae、圖形圖像制作等應用中，有些文件非常大，透明加密產品如果不能較好支持動態(tài)加解密，可能會極大地影響到用戶的操作效率，表現為打開一個大文件后，每次存盤的時間過長。9)安裝、維護、管理的方便性；企業(yè)應用透明加密軟件時，在軟件的安裝、升級、配置、用戶權限設置、日志記錄和統(tǒng)計、解密機等各個模塊的細節(jié)上是否易用

7、，要考慮到該軟件在企業(yè)的應用范圍廣，和員工工作結合緊密，好的加密軟件對于it管理人員而言，不會大幅度增加日常維護工作量。六、市場準入筆者分析了開發(fā)透明加密產品的公司，發(fā)現主要開發(fā)者多來自于兩種背景：一種是具有制造業(yè)信息化背景，尤其是具有pdm產品開發(fā)和銷售背景的公司較早進入透明加密領域。例如：南京新模式、武漢天喻、風奧軟件等；另一種是具有安全背景的公司，此類公司最初推出的安全產品并沒有采用透明加密技術，但經過對市場的了解，很快就推出了此類產品。例如：天津優(yōu)盾安科、北京億賽通、上海前沿科技等。1.軟件著作者權證根據2002年2月20日發(fā)布的中華人民共和國國家版權局令第1號文件-計算機軟件著作權登

8、記辦法規(guī)定，獨立開發(fā)或者經原著作權人許可對原有軟件修改后形成的功能或者性能方面有重要改進的軟件可以進行軟件著作權登記申請，中國版權保護中心批準后將會發(fā)放相應的登記證書，并予以公告。此類證書包括軟件產品登記證書和軟件著作權證書兩種。2.安全專用產品銷售許可證：作為一種安全產品，透明加密產品目前是存在準入要求。根據公安部2006-02-17發(fā)布的計算機信息系統(tǒng)安全專用產品檢測和銷售許可證管理辦法第二條和第三條的規(guī)定，透明加密產品屬于計算機信息系統(tǒng)安全專用產品，在中華人民共和國境內的安全專用產品進入市場銷售，實行銷售許可證制度。據筆者了解，透明加密產品的開發(fā)商要想得到這個安全專用產品銷售許可證要想得

9、到并不容易，根據國家密碼管理局公告(第6號)要求，采用密碼技術對不涉及國家秘密內容的信息進行加密保護或者安全認證的產品稱為商用密碼產品，銷售商用密碼產品應當首先取得商用密碼產品銷售許可證(有效期3年)，然后公安部才會發(fā)放計算機信息系統(tǒng)安全官安全專用產品銷售許可證。由于透明加密產品和過去的安全加密機等硬件產品完全不同，國家保密局只管理密碼算法，密碼生產單位必須接受檢查，公開的算法并不一定不安全，但密碼管理局要求采用國內加密算法，這些算法本身多數用加密卡(key)進行加密，如果透明加密產品采用此類加密算法，在效率上會受到很大影響，最后很多開發(fā)商發(fā)現很難申請證書。尤其是從制造業(yè)信息化領域出來的廠商，在此方面受到的影響比較大。而從信息安全研發(fā)出身的廠家則相對證書比較全，因為其證書并不一定以透明加密產品的名義申請，可