風險管控與內部控制

淺談企業選型加密軟件(防泄密軟件)

文章來源:蘇州眾發軟件科技有限公司 發布時間:2014-04-02 16:20:25 點擊數:1152

加密軟件(企業防泄密軟件)主要用于企業對文檔、圖檔進行防泄密保護。用戶體驗很簡單,在裝有加密軟件客戶端的環境里,文件能正常打開,在沒有安裝客戶端的電腦里,加密過的文件打開是亂碼或無法打開。我從事加密軟件實施有八個年頭了,代理過三四個品牌,親手實施過客戶在百家以上。看到很多代理商和IT經理在選型加密軟件中的一些誤區,談談自己的看法。

  一:穩定性是選型最重要的標準,沒有穩定不談應用
  看過國內品牌繁多的加密軟件后,很多人感覺加密軟件沒有太多技術含量。選型首先就問是不是BS架構呀、有沒有桌面管控、能不能遠程推送、能不能兼容LINUX等功能。我認為這些花哨的功能的確能讓應用錦上添花,但忽視加密軟件最核心的穩定性,去談功能性是加密軟件選型的誤區。
  沒有接觸加密軟件,靠選型管理軟件的經驗,很容易忽視加密軟件的穩定性。覺得軟件開發成熟一點,都能保證穩定性,加密軟件與管理軟件不同,它要涉及WINDOWS底層驅動,既能實現加密,又能保證系統穩定在開發上是件挺難的工作。管理軟件大部分都比較穩定,但加密軟件能真正做到穩定的產品還真不多。
加密軟件不穩定幾個表現,
  1:破壞文件(最可怕的事情)
  破壞圖紙是加密軟件第一大敵,加密軟件在運行過程中,偶發性的把文件損壞,導致文件無法打看,這是客戶最不愿意發生事情,但是偏偏就是發生了。在加密軟件行業剛發展階段很多軟件都存在這個問題,就是到了現在,所謂有名氣的加密軟件破壞文件的事情屢見不鮮。加密軟件絕對不會破壞文件,那幾乎不可能的。只是在什么環境情況破壞圖紙,概率又有多少。其實破壞行為都跟系統環境與具體操作有直接的關系,如果加密軟件在普通操作下就會破壞文件,那這款軟件基本上沒有使用的意義。好的加密軟件在絕大多數應用操作下都不會發生破壞文件行為,只是在非常特殊操作下可能出現文件破壞,如果發生破壞可以通過開發員調試,避免破壞文件行為發生,我們就可以視為這個產品是合格和優秀的。
  2:與WINDOWS操作系統沖突
  頻繁與系統發生沖突,出現藍屏死機能現象,這是客戶應用量過少的一個典型體現。這種經常性系統沖突讓用戶非常抓狂,會直接導致了客戶放棄使用加密軟件的念頭。如果加密內核是自己開發,解決起來相對簡單,就是不斷修補BUG的過程,軟件應用的客戶越多,BUG被解決的越多,系統就慢慢穩定下來了。如果一款加密軟件的幾個簡單的BUG遲遲無法解決,就要懷疑不是自主研發的,有些廠家買了別人內核或OEM別人東西,根本不具備駕馭該加密內核的能力,一些小小問題,解決起來非常費勁。
  客戶用了加密軟件出現死機、速度慢等一系列問題,是否就是自己軟件的問題呢?不一定!一方面有員工情緒上對加密軟件反感,加上中小企業計算機維護不規范,稍微有一點問題不加分析都歸于加密軟件。所以我們實施員大量時間都在排查發生沖突的源頭,或者證明自己的清白,或者查出問題的原因進行排查。

  怎么才能找到一款穩定的加密軟件呢,這個真挺難,首先要自己測試和試用,測試只是簡單用一下軟件的功能,但無法反映軟件整體的穩定性。如果條件允許,裝到自己電腦上正常使用一段時間是最好的,這樣能檢驗一款加密軟件的基本穩定性。如果自己的試用都無法進行下去,這樣的產品還有必要銷售嗎。但要證明一個產品是否真正穩定,還是要看其是否有大批量應用,這個至少是客戶數幾百家以上,站點數幾千個以上,才能檢驗一個產品真正穩定。

  二:兼容性也很重要,它是實施成功的保障!
  產品的穩定性跟兼容性本身是不可分的,比如在系統下的穩定性,其實就是跟操作系統兼容性,又比如保證WORDCADPRO/EPhotoShop等常用軟件穩定運行,我們把其歸入軟件的基礎穩定性,實際上也算兼容性。我們這里說的兼容性更多的是跟其他管理軟件或硬件的應用。這點非常重要,一款穩定性非常好的加密軟件,如果不能跟其他系統做良好的整合,項目最終也許會被卡殼。
  1:與ERPPDMOA等管理軟件的整合
相對來說ERP整合最容易的,我們只要能保證在加密環境下,ERP導出的文件自動加密,ERP能讀加密過的文件,并保證系統正常,就可以了。PDM的整合則相對復雜多,客戶要求也多,有些客戶要求全程密文,加密進加密出,并能正常內置瀏覽器預覽、被PDM系統正常讀取。而有些客戶則要求進入PDM時,文件自動解密;出PDM系統時候文件自動加密。CS架構的PDM整合起來相對容易,BS架構的PDM就難多了,遇到的問題可能更多。跟BS架構PDM一樣,OA遇到問題也不少,特別是WebOFFICE的問題,目前還是很少產品能跟WEBOFFICE很好的整合。
  2:與數控機床、線切割、雕刻機的整合
  加密軟件的重點應用是技術圖紙,既然要對技術圖紙加密,就必然涉及到制造業的加工中心的整合,目前最常見的設備就是數控機床、線切割、雕刻機等設備,我們將圖紙導到相關設備里,然后由設備進行加工。比較好的解決方案是加密的文件通過軟件輸送到機器,輸送過程中自動解密。由于跟加工中心整合非常頻繁,而加工中心的軟件五花八門,所以工作量還是比較大,并且設置可以讓用戶自定義,如果這個無法自定義,那就很坑爹,一旦遇到類似客戶,就會很痛苦。
  3:對源代碼加密,寫芯片時自動解密
  電子企業大多有單片機寫入芯片,客戶要求對程序源代碼進行加密。并且在寫入芯片的時候自動解密。這既要求加密軟件支持源代碼加密,又要求加密軟件能夠做到輸出自動解密(類似于數控機床)。在跟源代碼加密過程中,很多進程都要調用源代碼,跟加工中心一樣,需要自定義工具,有些加密軟件需要用任務管理器去查看什么進程調用過,自己手抄下來,再去做整合,這就很落后了。而有些軟件不能自定義,坑爹!目前支持源代碼加密,并且能很方便的自定義的加密軟件并不是特別多,大家可以把這個作為一個標準,去衡量軟件的整合能力。

  三、軟件功能的完善性,能讓企業應用更好
  軟件功能的完善性,能讓加密軟件在企業里應用的更好。我用在以下幾點來衡量軟件的功能。
  1:服務端、客戶端、管理端三者應分離
  有些加密軟件,很多管理員設置功能捆綁在客戶端上。每裝一個客戶端都有管理員入口界面,這很不合理。當管理員忘記設置密碼或未及時設置密碼的時候,讓普通操作員不經意中進入管理員設置界面。應該把管理端和客戶端分離,服務器、客戶端、管理端各司其職。另外解密端不要綁定在控制臺,解密與客戶端綁定,這樣會更合理,解密即可通過手工解密,又可通過流程審批解密,滿足不同客戶的需求。
  2:用戶、角色、組織三者應分離。
  用戶、角色、組織三者也應該分離,通過角色可以快速給大批量的用戶定義加密策略,同時通過組織架構又可以給用戶分配不同的權限。可以說角色和組織都為用戶服務。如果沒有角色或組織,使用起來都很麻煩。
  3BS架構和CS架構,哪個更適合加密軟件
  加密軟件的客戶端都是CS架構的,沒有BS架構。這里指的架構指的是管理端的架構。現在BS架構很流行。我們得承認BS架構要比CS架構要方便,打開IE瀏覽器就可以調整加密配置。測試過幾款BS架構的加密軟件。感覺加密軟件應用BS架構意義不大,首先實際用戶絕大多數不需要登錄管理端,普通員工使用客戶端。只有系統管理員或老板才去使用管理端,電腦很固定,很少有所謂的移動辦公。這種情況下,BS架構應用的實際價值又有多少?相反BS架構服務器搭建相對復雜,容易受防火墻、瀏覽器版本等影響,經常出現無法打開管理端情況。所以我認為加密軟件應用BS架構意義并不大,不能說不好,除非你做的足夠簡單和穩定。
  4、軟件要容易維護,盡量減少企業維護成本
  中小企業IT人員配備匱乏,甚至專職網管都沒有,加密軟件不像管理軟件有連續性使用,很多系統管理員對加密軟件功能并不熟悉。所以我認為軟件應該開發的盡可能易用,來減少企業的維護成本。
  加密軟件用什么數據庫?很多加密軟件基于MSSQLMYSQL數據庫,對于信息化程度不高的中小企業,安裝相對麻煩。福建有款加密軟件采用自己開發的小型數據庫,你裝完加密軟件數據庫也裝好了。并且支持覆蓋安裝,當服務器系統崩潰而重裝系統后,服務端只要重新覆蓋安裝就可以啟動,并保留原來的數據。而MSSQLMYSQL數據導來導去相對就麻煩很多。
  客戶端重裝也要能支持覆蓋安裝,有些加密軟件的客戶端必須要完全卸載干凈,才能重新安裝。而且這些加密軟件自動卸載還不能卸載干凈,重啟后,還要再安裝目錄刪除文件才能保證不會有殘余文件。這樣的不嚴謹的產品,易用性就差很多了。
  服務器加密策略的派發也是一個問題,有些軟件的服務端策略派發到客戶端,不能實時生效,必須讓客戶端重啟或到客戶端上手工生效。電腦數量多了就很讓維護人員痛苦,如果有二三百臺客戶端,一個策略要生效就有多大的工作量呀。而有些軟件雖然號稱支持實時生效,但是實際應用效果強差人意,經常出現客戶端策略不能生效,這讓實施員尤為痛苦。
  5:軟件操作要簡單,用戶容易上手。
  軟件要容易上手,人機對話環境要好。比如是手工解密,有些軟件要進一個軟件界面后,選擇目錄然后才能解密。而有些軟件直接點中文件或文件夾右擊直接選擇解密選項,就可以解密。效率大大加快。同樣流程解密,流程要能夠自定義,流程最好也能做到足夠強大,如果你實施過PDMOA,你就很熟悉流程管理。軟件操作的易用性,測試人員只要測試兩天,就能明顯感受到不同軟件的差異。軟件越易用,客戶越容易上手,對于實施人員來說,工作量也就越小了。記住一句,千萬別把軟件易用和軟件簡單混為一談。
  6:加密軟件的外圍功能也要做完善。
  單一的文件加密功能,在企業文件安全保護問題上無法形成完整的邏輯鏈,還需要其他一些外圍功能進行配合。常見的主要有:文件外發功能、打印監控功能、文件備份功能。雖然市面上絕大多數軟件都聲稱有這些功能,但實際使用效果卻差異很大。比如有些文件外發控制功能,功能簡單,需要接收方傳回機器碼,哪有什么可操作性。又比如打印監控功能,有些軟件的確做了監控,但是并沒有做相應的展示窗口,或者有也只能順序翻閱,也很不方便。同樣還是文件備份功能,有很多軟件做的都很簡單,沒有條件查詢,哎,用過之后真是一言難盡啊。
其實這些都反映開發人員的敬業精神,其實只要多花一些功夫就可以把功能做完善。但是很多時候客戶只問這個功能,很少會動手去測,這就被一些人鉆了空子,把功能就做的非常弱,基本功能是實現了,窗口界面、查詢條件等等之類都很簡陋,這個對用戶的深度使用來說,是很大障礙。
  7:整合內網安全和桌面管理功能,是大勢所趨。
  早期的加密軟件都沒有整合內網安全模塊,從2006年開始,大量的原來從事內網安全的軟件公司進入這個行業,比如互普、綠盾、飛想、金盾等廠家,這類廠家的內網安全軟件已經很成熟,加密軟件研發成功了,把內網安全模塊整合在一起,那是輕車熟路的事情了。
內網安全軟件應用最大煩惱就是怕員工私下卸載,當內網安全遇到文件加密,兩個死綁在一起了,形成很好的邏輯鏈。你要卸載我軟件,我就不讓你打開文件。而且內網安全和文件加密同樣都屬于企業內部安全管理,真是天造地設的一對,很多企業對內網安全功能很感興趣,也很實用。老板喜歡,IT經理也喜歡,各取所需。這點原先沒有內網安全的廠家就弱勢了。趕緊吧,整合內網安全模塊,產品好賣多了。

  四、安全性還是目的,盡可能減少加密文件被破解的可能。
  企業為什么要裝加密軟件?目的還是為了防泄密,為了企業內部文件安全,如果一個加密軟件,能輕易被員工破解了,那怕穩定性、兼容性、功能性做的再好,那軟件的意義何在?難道就是忽悠老板的一個工具嗎?很多開發經理明知自己軟件存在大量的漏洞,而不去修補,這就關系到職業道德問題。
  加密軟件行業有一個很不好的風氣,覺得大家銷售的時候別談競爭產品,別談破解,只談產品功能和理念。這是行業非常不自信的表現。有很多漏洞,行業內幾乎達成了默契,多年都不去提,這個現象的最終導致加密軟件行業技術進步緩慢,有些產品甚至幾年都沒有做大的提升。關于具體的破解,我文章不做解釋,各位自己私下交流,請各位開發主管好之為之,有漏洞不可怕,可怕的是熟視無睹,如果這種態度,最終有一天產品會被市場拋棄。


  零零碎碎講了挺多,對于代理商或IT經理去選型加密軟件的方向雖然有所不同,但是萬變不離其宗,軟件自然是越穩定,越安全,功能越多,操作越簡單為上。我本人只是一個代理商,不代表我代理的產品就一定都具備以上性能,我只是提供一種選型思路。希望大家找適合自己公司的產品。(引自溫州角馬老方)