國內某大型企業,目前準備上線透明加密產品,來實現對企業各種數據,包括設計數據的防護,通過以下的一些技術需求,我們可以分析出目前在國內熱門的透明加密產品的技術發展趨勢。
需求了解
一、對加密文件類型的控制
主要針對對研發部門常用的Solidworks和UG等CAD設計軟件,以及Altair Hyperworks等CAE分析軟件所產生的圖紙和數據進行加密,希望是針對文件進行加密,而不單是根據特定版本號的某個程序進行加密,避免日后因為軟件升級,或者更新換代而帶來配置上重新部署等問題。另外所制定的策略對于綠色版程序也應該具備同樣的效果。
二、與現有管理系統的集成能力
要求有較強的與各種認證體系如AD域結合的能力,并且有與ERP、PDM等系統集成的能力。對于PDM保存明文的特定情況,加密軟件或者相關軟件產品有好的方法來保證PDM數據的安全。
三、效率方面
能夠較好的支持動態加解密,因為在CAD二維、三維、CAE等圖形圖像設計分析和應用中,有些文件非常大,如果這點做不好,可能會極大影響到用戶的操作效率,表現為打開一個大文件后,每次存盤的時間過長。
四、流程、角色管理和加密策略
有靈活的流程定制的功能,可以提供分級管理及審批功能,有靈活的角色分配和管理功能,可以快速實現對系統的使用和管理。
另外能夠對不同組織機構、不同人員設置不同的加密策略,使用不同策略的組織或用戶之間,可以設置是否允許它們之間互相訪問。
五、系統兼容方面
1、與世面上常用的殺毒軟件的兼容性良好。
2、能夠支持32位和64位的WINXP和WIN7操作系統。
3、廠商有資深的公司背景,有國家的法定資質和認證,可以提供強大的技術支持。
目前,市面上提供透明加密軟件的廠商國外有Macfee、Emc,國內有山麗網安(SANLEN),中科網安等。
但僅有個別廠商目前可以引領這些技術發展趨勢,絕大部分廠商僅僅是因為原來給客戶提供CAD輔助設計,而在上面增加了簡單的鉤子實現了特定程序的加密。
市場上所見的加密技術,或者是采用了個鉤子(Hook)技術、或者采用了驅動技術,但這些軟件或者只能達到和文件格式有關,或者實際上是硬盤加密,市場上許多硬盤如seagate硬盤已經自帶硬盤加密,主要是和文件格式有關的軟件無法適應未來的文件格式,更無法解決軟件格式被加殼的情況,而互聯網上基本有4000余種加殼工具。需要完全和文件格式無關的技術出現滿足市場需求,即:透明加解密模塊處于系統內核里面,隨系統啟動而啟動,隨系統關閉而關閉。可以應對未來產生的文件格式,更能應對被加殼的文件。
概括來講,技術發展趨勢是加密方法和文件格式無關,可以支持對所有格式文件進行加密,包括未來的格式。
并且,加密客戶端可以支持多種加密模式,可以按照組、組員進行設置,以滿足對不同角色的加密管理;加密模式包括并不限于以下模式:全盤加密,目錄加密,程序加密,程序不加密,手動加密,全盤不加密,網絡加密,外設加密;
需要說明的是,互聯網上已經有公開的加密軟件解密工具可以得到。這些工具可隨意的對格式加密類軟件進行破解。
通過用戶自由的進行組合,加密方式可以營造出如下多樣化的加密場景:
1、或者加密特定的格式,如用戶所列出的各種軟件,這個是市面上一般企業可以提供的加密模式;這種模式的優點是簡單,但存在著被破解的可能性,目前網上已經出現了破解工具;這種方式的另外特點是應對未來的發展性較差;
2、或者可以采用某些格式不加密,其他格式均被加密的方式,這種加密方式目前只有山麗網安提供,這種方式的特點也是簡單,同時安全性相比1有所提高,對未來的擴展性也有很好的適應,因為未來的均會被加密;
3、或者手動加密,這種模式目前有美國airzip提供;這種模式的特點就是完全依賴作者本人的行為,比較適用高層管理人員;
4、或者目錄加密,這種模式可以做到和文件格式無關,這種模式主要的應用對象是企業的高級管理人員,其本人可以自主將資料解密,而不需要申請;
5、或者全盤不加密模式,這種模式顯然是應用與企業或者組織的最高級領導的,即:最高級的領導本身的資料不進行任何的加密,但其本人又可以自由的閱覽任何密文;
6、或者網絡加密模式,這種模式可以決定以網絡形式存在于服務器上的數據的加密屬性,可以自由的決定數據存在于服務器是密文還是明文,而不管其本身原來是何狀態;
7、或者外設加密模式,這種模式是為了滿足工作內部、外部自由交流的方便性而設,可以自由的決定數據存在于外設是密文還是明文,而不管其本身原來是何狀態;
8、或者全盤加密模式,這種模式最嚴格,一般應用與研發人員或設計人員,這些人員的創造成果對企業的發展具有舉足輕重的作用,有時侯,為了平衡使用者的心理,有些管理人員也主動采用這種模式進行防護;
如此的8種模式,管理人員可以自由的組合,以應用與任何組,或者組的成員;目前市場上產品往往只能提供其中一種加密模式,會造成用戶的適用性、擴展性無法滿足的現狀。
在這些需求之外,用戶還往往有如下一些產品的需求:
即和PDM、PLM等系統深度的如何。
軟件對PDM、PLM系統具有良好的兼容性,具體要求如下:能控制系統中所有的上傳和下載的點,同時不會影響文件上傳和下載的速度,尤其是數據上傳到PDM、PLM服務器上是密文還是明文可以自由的指定,而不能通過增加一個所謂的硬件“安全網關”來實現,這個將嚴重的破壞網絡結構,引起不可預知的單點故障。
因此,新的技術是有可信程序模塊,通過設置即可實現控制系統中所有的上傳和下載的點。同時和上傳下載速度無關。這就要求在軟件架構上采用面向服務的設計方法(Service-Oriented Architecture,SOA),可以實現和各種系統的自由融合,而無需進行任何的二次開發。
因此,需要一款和文件格式無關的加密軟件;并且,因其軟件結構的原因,軟件和應用系統無關,因此,對“所有”的點就沒有技術開發的必要性即可實現。同時,所有的上傳和下載并不經過加密軟件的過濾,自然在原理上就沒有影響上傳下載速度的可能性。
就市面上的軟件而言,目前山麗網安的防水墻數據防泄漏系統既有這些功能上的實現,系統還覆蓋了win7/64位以下的所有版本,目前已經廣泛引起了投資人和潛在用戶的興趣。
和國外一些軟件公司一樣,山麗網安目前也是國內唯一一家擁有透明加密授權專利的企業。
