國內(nèi)某大型企業(yè),目前準備上線透明加密產(chǎn)品,來實現(xiàn)對企業(yè)各種數(shù)據(jù),包括設(shè)計數(shù)據(jù)的防護,通過以下的一些技術(shù)需求,我們可以分析出目前在國內(nèi)熱門的透明加密產(chǎn)品的技術(shù)發(fā)展趨勢。
需求了解
一、對加密文件類型的控制
主要針對對研發(fā)部門常用的Solidworks和UG等CAD設(shè)計軟件,以及Altair Hyperworks等CAE分析軟件所產(chǎn)生的圖紙和數(shù)據(jù)進行加密,希望是針對文件進行加密,而不單是根據(jù)特定版本號的某個程序進行加密,避免日后因為軟件升級,或者更新?lián)Q代而帶來配置上重新部署等問題。另外所制定的策略對于綠色版程序也應(yīng)該具備同樣的效果。
二、與現(xiàn)有管理系統(tǒng)的集成能力
要求有較強的與各種認證體系如AD域結(jié)合的能力,并且有與ERP、PDM等系統(tǒng)集成的能力。對于PDM保存明文的特定情況,加密軟件或者相關(guān)軟件產(chǎn)品有好的方法來保證PDM數(shù)據(jù)的安全。
三、效率方面
能夠較好的支持動態(tài)加解密,因為在CAD二維、三維、CAE等圖形圖像設(shè)計分析和應(yīng)用中,有些文件非常大,如果這點做不好,可能會極大影響到用戶的操作效率,表現(xiàn)為打開一個大文件后,每次存盤的時間過長。
四、流程、角色管理和加密策略
有靈活的流程定制的功能,可以提供分級管理及審批功能,有靈活的角色分配和管理功能,可以快速實現(xiàn)對系統(tǒng)的使用和管理。
另外能夠?qū)Σ煌M織機構(gòu)、不同人員設(shè)置不同的加密策略,使用不同策略的組織或用戶之間,可以設(shè)置是否允許它們之間互相訪問。
五、系統(tǒng)兼容方面
1、與世面上常用的殺毒軟件的兼容性良好。
2、能夠支持32位和64位的WINXP和WIN7操作系統(tǒng)。
3、廠商有資深的公司背景,有國家的法定資質(zhì)和認證,可以提供強大的技術(shù)支持。
目前,市面上提供透明加密軟件的廠商國外有Macfee、Emc,國內(nèi)有山麗網(wǎng)安(SANLEN),中科網(wǎng)安等。
但僅有個別廠商目前可以引領(lǐng)這些技術(shù)發(fā)展趨勢,絕大部分廠商僅僅是因為原來給客戶提供CAD輔助設(shè)計,而在上面增加了簡單的鉤子實現(xiàn)了特定程序的加密。
市場上所見的加密技術(shù),或者是采用了個鉤子(Hook)技術(shù)、或者采用了驅(qū)動技術(shù),但這些軟件或者只能達到和文件格式有關(guān),或者實際上是硬盤加密,市場上許多硬盤如seagate硬盤已經(jīng)自帶硬盤加密,主要是和文件格式有關(guān)的軟件無法適應(yīng)未來的文件格式,更無法解決軟件格式被加殼的情況,而互聯(lián)網(wǎng)上基本有4000余種加殼工具。需要完全和文件格式無關(guān)的技術(shù)出現(xiàn)滿足市場需求,即:透明加解密模塊處于系統(tǒng)內(nèi)核里面,隨系統(tǒng)啟動而啟動,隨系統(tǒng)關(guān)閉而關(guān)閉。可以應(yīng)對未來產(chǎn)生的文件格式,更能應(yīng)對被加殼的文件。
概括來講,技術(shù)發(fā)展趨勢是加密方法和文件格式無關(guān),可以支持對所有格式文件進行加密,包括未來的格式。
并且,加密客戶端可以支持多種加密模式,可以按照組、組員進行設(shè)置,以滿足對不同角色的加密管理;加密模式包括并不限于以下模式:全盤加密,目錄加密,程序加密,程序不加密,手動加密,全盤不加密,網(wǎng)絡(luò)加密,外設(shè)加密;
需要說明的是,互聯(lián)網(wǎng)上已經(jīng)有公開的加密軟件解密工具可以得到。這些工具可隨意的對格式加密類軟件進行破解。
通過用戶自由的進行組合,加密方式可以營造出如下多樣化的加密場景:
1、或者加密特定的格式,如用戶所列出的各種軟件,這個是市面上一般企業(yè)可以提供的加密模式;這種模式的優(yōu)點是簡單,但存在著被破解的可能性,目前網(wǎng)上已經(jīng)出現(xiàn)了破解工具;這種方式的另外特點是應(yīng)對未來的發(fā)展性較差;
2、或者可以采用某些格式不加密,其他格式均被加密的方式,這種加密方式目前只有山麗網(wǎng)安提供,這種方式的特點也是簡單,同時安全性相比1有所提高,對未來的擴展性也有很好的適應(yīng),因為未來的均會被加密;
3、或者手動加密,這種模式目前有美國airzip提供;這種模式的特點就是完全依賴作者本人的行為,比較適用高層管理人員;
4、或者目錄加密,這種模式可以做到和文件格式無關(guān),這種模式主要的應(yīng)用對象是企業(yè)的高級管理人員,其本人可以自主將資料解密,而不需要申請;
5、或者全盤不加密模式,這種模式顯然是應(yīng)用與企業(yè)或者組織的最高級領(lǐng)導(dǎo)的,即:最高級的領(lǐng)導(dǎo)本身的資料不進行任何的加密,但其本人又可以自由的閱覽任何密文;
6、或者網(wǎng)絡(luò)加密模式,這種模式可以決定以網(wǎng)絡(luò)形式存在于服務(wù)器上的數(shù)據(jù)的加密屬性,可以自由的決定數(shù)據(jù)存在于服務(wù)器是密文還是明文,而不管其本身原來是何狀態(tài);
7、或者外設(shè)加密模式,這種模式是為了滿足工作內(nèi)部、外部自由交流的方便性而設(shè),可以自由的決定數(shù)據(jù)存在于外設(shè)是密文還是明文,而不管其本身原來是何狀態(tài);
8、或者全盤加密模式,這種模式最嚴格,一般應(yīng)用與研發(fā)人員或設(shè)計人員,這些人員的創(chuàng)造成果對企業(yè)的發(fā)展具有舉足輕重的作用,有時侯,為了平衡使用者的心理,有些管理人員也主動采用這種模式進行防護;
如此的8種模式,管理人員可以自由的組合,以應(yīng)用與任何組,或者組的成員;目前市場上產(chǎn)品往往只能提供其中一種加密模式,會造成用戶的適用性、擴展性無法滿足的現(xiàn)狀。
在這些需求之外,用戶還往往有如下一些產(chǎn)品的需求:
即和PDM、PLM等系統(tǒng)深度的如何。
軟件對PDM、PLM系統(tǒng)具有良好的兼容性,具體要求如下:能控制系統(tǒng)中所有的上傳和下載的點,同時不會影響文件上傳和下載的速度,尤其是數(shù)據(jù)上傳到PDM、PLM服務(wù)器上是密文還是明文可以自由的指定,而不能通過增加一個所謂的硬件“安全網(wǎng)關(guān)”來實現(xiàn),這個將嚴重的破壞網(wǎng)絡(luò)結(jié)構(gòu),引起不可預(yù)知的單點故障。
因此,新的技術(shù)是有可信程序模塊,通過設(shè)置即可實現(xiàn)控制系統(tǒng)中所有的上傳和下載的點。同時和上傳下載速度無關(guān)。這就要求在軟件架構(gòu)上采用面向服務(wù)的設(shè)計方法(Service-Oriented Architecture,SOA),可以實現(xiàn)和各種系統(tǒng)的自由融合,而無需進行任何的二次開發(fā)。
因此,需要一款和文件格式無關(guān)的加密軟件;并且,因其軟件結(jié)構(gòu)的原因,軟件和應(yīng)用系統(tǒng)無關(guān),因此,對“所有”的點就沒有技術(shù)開發(fā)的必要性即可實現(xiàn)。同時,所有的上傳和下載并不經(jīng)過加密軟件的過濾,自然在原理上就沒有影響上傳下載速度的可能性。
就市面上的軟件而言,目前山麗網(wǎng)安的防水墻數(shù)據(jù)防泄漏系統(tǒng)既有這些功能上的實現(xiàn),系統(tǒng)還覆蓋了win7/64位以下的所有版本,目前已經(jīng)廣泛引起了投資人和潛在用戶的興趣。
和國外一些軟件公司一樣,山麗網(wǎng)安目前也是國內(nèi)唯一一家擁有透明加密授權(quán)專利的企業(yè)。
