透明加密產(chǎn)品的選擇方法

1、透明加密產(chǎn)品的選擇方法透明加密產(chǎn)品的選擇方法2010-07-30 15：37透明加密產(chǎn)品在實(shí)際應(yīng)用中，由于控制對(duì)象和控制內(nèi)容復(fù)雜，市場(chǎng)上同類產(chǎn)品數(shù)量眾多，宣傳內(nèi)容大同小異，如何才能找到適合自己需要的加密軟件?1.通用選擇方法：在功能探討前，企業(yè)首先需要做的是查看供應(yīng)商背景，包括：到供應(yīng)商網(wǎng)站上了解其背景、產(chǎn)品特點(diǎn)；了解供應(yīng)商典型用戶中是否有與自己類似的行業(yè)、規(guī)模、應(yīng)用需求；考察供應(yīng)商客戶的應(yīng)用情況，了解同行、規(guī)模近似、技術(shù)和管理水平相似的企業(yè)是否應(yīng)用了此類產(chǎn)品以及應(yīng)用的效果如何。2.試用檢查要點(diǎn)：除了通用的選擇方法以外，最簡(jiǎn)單也是最為必要的方法就是試用，在試用過程中包括以下步驟：測(cè)試環(huán)境搭建：

2、根據(jù)企業(yè)需要應(yīng)用加密產(chǎn)品的范圍和內(nèi)容，搭建一個(gè)小型局域網(wǎng)，在該局域網(wǎng)中的計(jì)算機(jī)上安裝好所有需要加密的軟件和常用的其他軟件工具。測(cè)試數(shù)據(jù)準(zhǔn)備：測(cè)試數(shù)據(jù)盡可能選擇一些比較特殊和極端的例子，例如：準(zhǔn)備一個(gè)企業(yè)最為復(fù)雜的word文檔、圖紙、很大的3維cad裝配體等，以便比較安裝加解密軟件前后對(duì)速度的影響。以下要點(diǎn)可供企業(yè)選擇透明加密產(chǎn)品時(shí)參考：1)應(yīng)用更名：由于透明加密軟件和系統(tǒng)結(jié)合緊密，一般要求事先設(shè)定涉密應(yīng)用，以便對(duì)應(yīng)用生成的文檔進(jìn)行加密，企業(yè)可考核的方式如下：將主要應(yīng)用程序更換一個(gè)名字，如：autocad的主要執(zhí)行文件一般為acad.exe，用戶可以通過測(cè)試更換了應(yīng)用程序的名稱后，透明加密軟件是

3、否仍然可以加密生成的文檔來判斷加密軟件的適應(yīng)能力。2)文件更名、更換類型目前的應(yīng)用程序往往能夠同時(shí)支持生成多種類型的結(jié)果，以常用的microsoft word2003為例，該軟件一共將文檔存為15種格式，這就意味著要想實(shí)現(xiàn)對(duì)該軟件的控制，必須對(duì)該應(yīng)用生成的所有15種格式的文檔都要進(jìn)行加密。3)應(yīng)用數(shù)據(jù)交換如前文所述，透明加密產(chǎn)品主要控制對(duì)象是存儲(chǔ)在磁盤上的文件，當(dāng)文件已經(jīng)被應(yīng)用打開后，存放在計(jì)算機(jī)內(nèi)存中的是明文，在windows操作系統(tǒng)中，應(yīng)用之間可以通過多種方式交換數(shù)據(jù)，包括：剪切、復(fù)制和粘貼、對(duì)象的鏈接與嵌入(ole)、鼠標(biāo)的拖動(dòng)等這些在平時(shí)讓用戶有效提高工作手段的技巧，都成為可能的泄密途

4、徑。加密軟件既要保證信息在涉密應(yīng)用之間的信息交換，又要能讓非涉密應(yīng)用中的信息能夠順利傳遞到涉密應(yīng)用中，最關(guān)鍵的是：當(dāng)用戶試圖通過復(fù)制、粘貼等系統(tǒng)常用功能，將涉密信息傳遞到非涉密應(yīng)用時(shí)，傳輸?shù)慕Y(jié)果應(yīng)當(dāng)為密文，這樣可以防止泄密。4)屏幕拷貝控制在操作系統(tǒng)中設(shè)置了pringscreen(拷屏)鍵，此外還有相當(dāng)多的專業(yè)拷貝屏幕的軟件，以便用戶截取屏幕圖片，對(duì)于涉密數(shù)據(jù)而言，這也是一條可能的泄密途徑，拷屏類似于用戶用照相機(jī)對(duì)折屏幕拍照，防止此類泄密更多的還要依靠企業(yè)自身的管理能力。從透明加密軟件的定義來看，雖然這并不屬于其控制的范圍，但根據(jù)用戶要求，很多透明加密軟件對(duì)此也做了限制。5)usb端口鎖u盤、

5、移動(dòng)硬盤等usb移動(dòng)存儲(chǔ)設(shè)備由于便攜性好、價(jià)廉物美，大大方便了日常數(shù)據(jù)交換，但對(duì)于企業(yè)應(yīng)用而言，其方便性反而稱為泄密的重要途徑，本來文檔加密軟件只要確保存儲(chǔ)的文檔是密文，并不需要控制出口，但作為一個(gè)解決方案，不少開發(fā)商考慮到企業(yè)的需求，將關(guān)閉usb端口的功能集成到了加密軟件中。6)打印控制打印輸出是加密軟件需要控制的重點(diǎn)，由于目前市場(chǎng)上存在大量虛擬打印軟件，能夠?qū)⒏黝愇臋n打印成pdf等多種通用數(shù)據(jù)交換格式，加密的文檔如果用虛擬打印機(jī)打印成為pdf等中間格式仍然可以保持，從而成為另一條泄密的途徑，因此對(duì)打印的控制也成為考核加密軟件功能的因素。7)用戶管理根據(jù)企業(yè)信息化的情況不同，不同部門對(duì)應(yīng)用加

6、密解密的要求不同，例如：技術(shù)部門對(duì)于圖紙控制要求高，銷售部門則可能對(duì)于excel報(bào)價(jià)文件、word商務(wù)合同文檔的保密要求高，這就要求加密軟件針對(duì)企業(yè)不同部門、不同崗位設(shè)定不同的加解密策略。此外，用戶采用移動(dòng)設(shè)備出差，也要考慮移動(dòng)辦公加密的管理。加密解密效率在企業(yè)信息化應(yīng)用中，在諸如三維cad、cae、圖形圖像制作等應(yīng)用中，有些文件非常大，透明加密產(chǎn)品如果不能較好支持動(dòng)態(tài)加解密，可能會(huì)極大地影響到用戶的操作效率，表現(xiàn)為打開一個(gè)大文件后，每次存盤的時(shí)間過長(zhǎng)。9)安裝、維護(hù)、管理的方便性；企業(yè)應(yīng)用透明加密軟件時(shí)，在軟件的安裝、升級(jí)、配置、用戶權(quán)限設(shè)置、日志記錄和統(tǒng)計(jì)、解密機(jī)等各個(gè)模塊的細(xì)節(jié)上是否易用

7、，要考慮到該軟件在企業(yè)的應(yīng)用范圍廣，和員工工作結(jié)合緊密，好的加密軟件對(duì)于it管理人員而言，不會(huì)大幅度增加日常維護(hù)工作量。六、市場(chǎng)準(zhǔn)入筆者分析了開發(fā)透明加密產(chǎn)品的公司，發(fā)現(xiàn)主要開發(fā)者多來自于兩種背景：一種是具有制造業(yè)信息化背景，尤其是具有pdm產(chǎn)品開發(fā)和銷售背景的公司較早進(jìn)入透明加密領(lǐng)域。例如：南京新模式、武漢天喻、風(fēng)奧軟件等；另一種是具有安全背景的公司，此類公司最初推出的安全產(chǎn)品并沒有采用透明加密技術(shù)，但經(jīng)過對(duì)市場(chǎng)的了解，很快就推出了此類產(chǎn)品。例如：天津優(yōu)盾安科、北京億賽通、上海前沿科技等。1.軟件著作者權(quán)證根據(jù)2002年2月20日發(fā)布的中華人民共和國(guó)國(guó)家版權(quán)局令第1號(hào)文件-計(jì)算機(jī)軟件著作權(quán)登

8、記辦法規(guī)定，獨(dú)立開發(fā)或者經(jīng)原著作權(quán)人許可對(duì)原有軟件修改后形成的功能或者性能方面有重要改進(jìn)的軟件可以進(jìn)行軟件著作權(quán)登記申請(qǐng)，中國(guó)版權(quán)保護(hù)中心批準(zhǔn)后將會(huì)發(fā)放相應(yīng)的登記證書，并予以公告。此類證書包括軟件產(chǎn)品登記證書和軟件著作權(quán)證書兩種。2.安全專用產(chǎn)品銷售許可證：作為一種安全產(chǎn)品，透明加密產(chǎn)品目前是存在準(zhǔn)入要求。根據(jù)公安部2006-02-17發(fā)布的計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品檢測(cè)和銷售許可證管理辦法第二條和第三條的規(guī)定，透明加密產(chǎn)品屬于計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品，在中華人民共和國(guó)境內(nèi)的安全專用產(chǎn)品進(jìn)入市場(chǎng)銷售，實(shí)行銷售許可證制度。據(jù)筆者了解，透明加密產(chǎn)品的開發(fā)商要想得到這個(gè)安全專用產(chǎn)品銷售許可證要想得

9、到并不容易，根據(jù)國(guó)家密碼管理局公告(第6號(hào))要求，采用密碼技術(shù)對(duì)不涉及國(guó)家秘密內(nèi)容的信息進(jìn)行加密保護(hù)或者安全認(rèn)證的產(chǎn)品稱為商用密碼產(chǎn)品，銷售商用密碼產(chǎn)品應(yīng)當(dāng)首先取得商用密碼產(chǎn)品銷售許可證(有效期3年)，然后公安部才會(huì)發(fā)放計(jì)算機(jī)信息系統(tǒng)安全官安全專用產(chǎn)品銷售許可證。由于透明加密產(chǎn)品和過去的安全加密機(jī)等硬件產(chǎn)品完全不同，國(guó)家保密局只管理密碼算法，密碼生產(chǎn)單位必須接受檢查，公開的算法并不一定不安全，但密碼管理局要求采用國(guó)內(nèi)加密算法，這些算法本身多數(shù)用加密卡(key)進(jìn)行加密，如果透明加密產(chǎn)品采用此類加密算法，在效率上會(huì)受到很大影響，最后很多開發(fā)商發(fā)現(xiàn)很難申請(qǐng)證書。尤其是從制造業(yè)信息化領(lǐng)域出來的廠商，在此方面受到的影響比較大。而從信息安全研發(fā)出身的廠家則相對(duì)證書比較全，因?yàn)槠渥C書并不一定以透明加密產(chǎn)品的名義申請(qǐng)，可