加密軟件(企業(yè)防泄密軟件)主要用于企業(yè)對文檔、圖檔進行防泄密保護��。用戶體驗很簡單�����,在裝有加密軟件客戶端的環(huán)境里,文件能正常打開�����,在沒有安裝客戶端的電腦里��,加密過的文件打開是亂碼或無法打開�。我從事加密軟件實施有八個年頭了,代理過三四個品牌���,親手實施過客戶在百家以上��?���?吹胶芏啻砩毯虸T經(jīng)理在選型加密軟件中的一些誤區(qū),談?wù)勛约旱目捶ā?/p>
一:穩(wěn)定性是選型最重要的標準����,沒有穩(wěn)定不談應(yīng)用
看過國內(nèi)品牌繁多的加密軟件后,很多人感覺加密軟件沒有太多技術(shù)含量����。選型首先就問是不是BS架構(gòu)呀、有沒有桌面管控����、能不能遠程推送、能不能兼容LINUX等功能��。我認為這些花哨的功能的確能讓應(yīng)用錦上添花����,但忽視加密軟件最核心的穩(wěn)定性�,去談功能性是加密軟件選型的誤區(qū)。
沒有接觸加密軟件����,靠選型管理軟件的經(jīng)驗�����,很容易忽視加密軟件的穩(wěn)定性�����。覺得軟件開發(fā)成熟一點��,都能保證穩(wěn)定性�,加密軟件與管理軟件不同,它要涉及WINDOWS底層驅(qū)動���,既能實現(xiàn)加密�,又能保證系統(tǒng)穩(wěn)定在開發(fā)上是件挺難的工作�。管理軟件大部分都比較穩(wěn)定�,但加密軟件能真正做到穩(wěn)定的產(chǎn)品還真不多��。
加密軟件不穩(wěn)定幾個表現(xiàn)����,
1:破壞文件(最可怕的事情)
破壞圖紙是加密軟件第一大敵�,加密軟件在運行過程中���,偶發(fā)性的把文件損壞��,導致文件無法打看���,這是客戶最不愿意發(fā)生事情���,但是偏偏就是發(fā)生了�����。在加密軟件行業(yè)剛發(fā)展階段很多軟件都存在這個問題���,就是到了現(xiàn)在�����,所謂有名氣的加密軟件破壞文件的事情屢見不鮮�。加密軟件絕對不會破壞文件����,那幾乎不可能的。只是在什么環(huán)境情況破壞圖紙����,概率又有多少����。其實破壞行為都跟系統(tǒng)環(huán)境與具體操作有直接的關(guān)系���,如果加密軟件在普通操作下就會破壞文件�����,那這款軟件基本上沒有使用的意義�����。好的加密軟件在絕大多數(shù)應(yīng)用操作下都不會發(fā)生破壞文件行為�����,只是在非常特殊操作下可能出現(xiàn)文件破壞,如果發(fā)生破壞可以通過開發(fā)員調(diào)試����,避免破壞文件行為發(fā)生�����,我們就可以視為這個產(chǎn)品是合格和優(yōu)秀的。
2:與WINDOWS操作系統(tǒng)沖突
頻繁與系統(tǒng)發(fā)生沖突���,出現(xiàn)藍屏死機能現(xiàn)象�,這是客戶應(yīng)用量過少的一個典型體現(xiàn)���。這種經(jīng)常性系統(tǒng)沖突讓用戶非常抓狂���,會直接導致了客戶放棄使用加密軟件的念頭。如果加密內(nèi)核是自己開發(fā)��,解決起來相對簡單,就是不斷修補BUG的過程����,軟件應(yīng)用的客戶越多,BUG被解決的越多��,系統(tǒng)就慢慢穩(wěn)定下來了。如果一款加密軟件的幾個簡單的BUG遲遲無法解決�����,就要懷疑不是自主研發(fā)的���,有些廠家買了別人內(nèi)核或OEM別人東西�����,根本不具備駕馭該加密內(nèi)核的能力,一些小小問題�,解決起來非常費勁�����。
客戶用了加密軟件出現(xiàn)死機��、速度慢等一系列問題�����,是否就是自己軟件的問題呢����?不一定��!一方面有員工情緒上對加密軟件反感��,加上中小企業(yè)計算機維護不規(guī)范���,稍微有一點問題不加分析都歸于加密軟件�。所以我們實施員大量時間都在排查發(fā)生沖突的源頭��,或者證明自己的清白��,或者查出問題的原因進行排查��。
怎么才能找到一款穩(wěn)定的加密軟件呢�,這個真挺難�����,首先要自己測試和試用����,測試只是簡單用一下軟件的功能�����,但無法反映軟件整體的穩(wěn)定性��。如果條件允許,裝到自己電腦上正常使用一段時間是最好的����,這樣能檢驗一款加密軟件的基本穩(wěn)定性�。如果自己的試用都無法進行下去��,這樣的產(chǎn)品還有必要銷售嗎���。但要證明一個產(chǎn)品是否真正穩(wěn)定,還是要看其是否有大批量應(yīng)用�����,這個至少是客戶數(shù)幾百家以上��,站點數(shù)幾千個以上�����,才能檢驗一個產(chǎn)品真正穩(wěn)定。
二:兼容性也很重要���,它是實施成功的保障!
產(chǎn)品的穩(wěn)定性跟兼容性本身是不可分的�����,比如在系統(tǒng)下的穩(wěn)定性�,其實就是跟操作系統(tǒng)兼容性���,又比如保證WORD、CAD�����、PRO/E����、PhotoShop等常用軟件穩(wěn)定運行����,我們把其歸入軟件的基礎(chǔ)穩(wěn)定性����,實際上也算兼容性���。我們這里說的兼容性更多的是跟其他管理軟件或硬件的應(yīng)用�����。這點非常重要���,一款穩(wěn)定性非常好的加密軟件,如果不能跟其他系統(tǒng)做良好的整合��,項目最終也許會被卡殼�����。
1:與ERP�、PDM、OA等管理軟件的整合
相對來說ERP整合最容易的�����,我們只要能保證在加密環(huán)境下,ERP導出的文件自動加密��,ERP能讀加密過的文件�,并保證系統(tǒng)正常��,就可以了�。PDM的整合則相對復雜多,客戶要求也多����,有些客戶要求全程密文,加密進加密出����,并能正常內(nèi)置瀏覽器預(yù)覽��、被PDM系統(tǒng)正常讀取�����。而有些客戶則要求進入PDM時���,文件自動解密���;出PDM系統(tǒng)時候文件自動加密。CS架構(gòu)的PDM整合起來相對容易��,BS架構(gòu)的PDM就難多了��,遇到的問題可能更多��。跟BS架構(gòu)PDM一樣���,OA遇到問題也不少,特別是WebOFFICE的問題�,目前還是很少產(chǎn)品能跟WEBOFFICE很好的整合。
2:與數(shù)控機床��、線切割、雕刻機的整合
加密軟件的重點應(yīng)用是技術(shù)圖紙��,既然要對技術(shù)圖紙加密�����,就必然涉及到制造業(yè)的加工中心的整合�����,目前最常見的設(shè)備就是數(shù)控機床、線切割�、雕刻機等設(shè)備����,我們將圖紙導到相關(guān)設(shè)備里�����,然后由設(shè)備進行加工。比較好的解決方案是加密的文件通過軟件輸送到機器���,輸送過程中自動解密�。由于跟加工中心整合非常頻繁�����,而加工中心的軟件五花八門���,所以工作量還是比較大,并且設(shè)置可以讓用戶自定義��,如果這個無法自定義,那就很坑爹�����,一旦遇到類似客戶�����,就會很痛苦����。
3:對源代碼加密��,寫芯片時自動解密
電子企業(yè)大多有單片機寫入芯片,客戶要求對程序源代碼進行加密���。并且在寫入芯片的時候自動解密。這既要求加密軟件支持源代碼加密�����,又要求加密軟件能夠做到輸出自動解密(類似于數(shù)控機床)��。在跟源代碼加密過程中�,很多進程都要調(diào)用源代碼��,跟加工中心一樣�����,需要自定義工具����,有些加密軟件需要用任務(wù)管理器去查看什么進程調(diào)用過�����,自己手抄下來�����,再去做整合�,這就很落后了��。而有些軟件不能自定義�,坑爹���!目前支持源代碼加密�����,并且能很方便的自定義的加密軟件并不是特別多,大家可以把這個作為一個標準��,去衡量軟件的整合能力�����。
三�����、軟件功能的完善性���,能讓企業(yè)應(yīng)用更好
軟件功能的完善性���,能讓加密軟件在企業(yè)里應(yīng)用的更好。我用在以下幾點來衡量軟件的功能�����。
1:服務(wù)端、客戶端�、管理端三者應(yīng)分離
有些加密軟件�����,很多管理員設(shè)置功能捆綁在客戶端上。每裝一個客戶端都有管理員入口界面��,這很不合理��。當管理員忘記設(shè)置密碼或未及時設(shè)置密碼的時候����,讓普通操作員不經(jīng)意中進入管理員設(shè)置界面��。應(yīng)該把管理端和客戶端分離����,服務(wù)器�、客戶端����、管理端各司其職����。另外解密端不要綁定在控制臺�,解密與客戶端綁定�,這樣會更合理����,解密即可通過手工解密,又可通過流程審批解密�,滿足不同客戶的需求。
2:用戶�����、角色�����、組織三者應(yīng)分離�����。
用戶��、角色��、組織三者也應(yīng)該分離�����,通過角色可以快速給大批量的用戶定義加密策略���,同時通過組織架構(gòu)又可以給用戶分配不同的權(quán)限??梢哉f角色和組織都為用戶服務(wù)。如果沒有角色或組織��,使用起來都很麻煩����。
3:BS架構(gòu)和CS架構(gòu)�����,哪個更適合加密軟件
加密軟件的客戶端都是CS架構(gòu)的���,沒有BS架構(gòu)�����。這里指的架構(gòu)指的是管理端的架構(gòu)?����,F(xiàn)在BS架構(gòu)很流行��。我們得承認BS架構(gòu)要比CS架構(gòu)要方便���,打開IE瀏覽器就可以調(diào)整加密配置��。測試過幾款BS架構(gòu)的加密軟件����。感覺加密軟件應(yīng)用BS架構(gòu)意義不大,首先實際用戶絕大多數(shù)不需要登錄管理端���,普通員工使用客戶端���。只有系統(tǒng)管理員或老板才去使用管理端����,電腦很固定��,很少有所謂的移動辦公。這種情況下����,BS架構(gòu)應(yīng)用的實際價值又有多少��?相反BS架構(gòu)服務(wù)器搭建相對復雜��,容易受防火墻�����、瀏覽器版本等影響,經(jīng)常出現(xiàn)無法打開管理端情況��。所以我認為加密軟件應(yīng)用BS架構(gòu)意義并不大,不能說不好�,除非你做的足夠簡單和穩(wěn)定。
4�����、軟件要容易維護���,盡量減少企業(yè)維護成本
中小企業(yè)IT人員配備匱乏,甚至專職網(wǎng)管都沒有�,加密軟件不像管理軟件有連續(xù)性使用,很多系統(tǒng)管理員對加密軟件功能并不熟悉�。所以我認為軟件應(yīng)該開發(fā)的盡可能易用,來減少企業(yè)的維護成本����。
加密軟件用什么數(shù)據(jù)庫?很多加密軟件基于MSSQL或MYSQL數(shù)據(jù)庫��,對于信息化程度不高的中小企業(yè)����,安裝相對麻煩�����。福建有款加密軟件采用自己開發(fā)的小型數(shù)據(jù)庫,你裝完加密軟件數(shù)據(jù)庫也裝好了���。并且支持覆蓋安裝����,當服務(wù)器系統(tǒng)崩潰而重裝系統(tǒng)后��,服務(wù)端只要重新覆蓋安裝就可以啟動,并保留原來的數(shù)據(jù)�。而MSSQL或MYSQL數(shù)據(jù)導來導去相對就麻煩很多。
客戶端重裝也要能支持覆蓋安裝��,有些加密軟件的客戶端必須要完全卸載干凈����,才能重新安裝。而且這些加密軟件自動卸載還不能卸載干凈�����,重啟后����,還要再安裝目錄刪除文件才能保證不會有殘余文件�����。這樣的不嚴謹?shù)漠a(chǎn)品���,易用性就差很多了。
服務(wù)器加密策略的派發(fā)也是一個問題�����,有些軟件的服務(wù)端策略派發(fā)到客戶端�����,不能實時生效���,必須讓客戶端重啟或到客戶端上手工生效�。電腦數(shù)量多了就很讓維護人員痛苦�,如果有二三百臺客戶端�����,一個策略要生效就有多大的工作量呀�。而有些軟件雖然號稱支持實時生效���,但是實際應(yīng)用效果強差人意,經(jīng)常出現(xiàn)客戶端策略不能生效���,這讓實施員尤為痛苦����。
5:軟件操作要簡單���,用戶容易上手。
軟件要容易上手�����,人機對話環(huán)境要好�����。比如是手工解密,有些軟件要進一個軟件界面后����,選擇目錄然后才能解密���。而有些軟件直接點中文件或文件夾右擊直接選擇解密選項����,就可以解密。效率大大加快���。同樣流程解密,流程要能夠自定義���,流程最好也能做到足夠強大�����,如果你實施過PDM或OA�,你就很熟悉流程管理。軟件操作的易用性�,測試人員只要測試兩天����,就能明顯感受到不同軟件的差異。軟件越易用�����,客戶越容易上手�,對于實施人員來說,工作量也就越小了�����。記住一句�����,千萬別把軟件易用和軟件簡單混為一談���。
6:加密軟件的外圍功能也要做完善���。
單一的文件加密功能,在企業(yè)文件安全保護問題上無法形成完整的邏輯鏈��,還需要其他一些外圍功能進行配合�。常見的主要有:文件外發(fā)功能��、打印監(jiān)控功能���、文件備份功能����。雖然市面上絕大多數(shù)軟件都聲稱有這些功能,但實際使用效果卻差異很大��。比如有些文件外發(fā)控制功能�,功能簡單���,需要接收方傳回機器碼�,哪有什么可操作性��。又比如打印監(jiān)控功能���,有些軟件的確做了監(jiān)控,但是并沒有做相應(yīng)的展示窗口�,或者有也只能順序翻閱�,也很不方便。同樣還是文件備份功能����,有很多軟件做的都很簡單���,沒有條件查詢,哎���,用過之后真是一言難盡啊��。
其實這些都反映開發(fā)人員的敬業(yè)精神�����,其實只要多花一些功夫就可以把功能做完善���。但是很多時候客戶只問這個功能�����,很少會動手去測,這就被一些人鉆了空子��,把功能就做的非常弱��,基本功能是實現(xiàn)了�,窗口界面�、查詢條件等等之類都很簡陋����,這個對用戶的深度使用來說����,是很大障礙����。
7:整合內(nèi)網(wǎng)安全和桌面管理功能�����,是大勢所趨���。
早期的加密軟件都沒有整合內(nèi)網(wǎng)安全模塊����,從2006年開始,大量的原來從事內(nèi)網(wǎng)安全的軟件公司進入這個行業(yè)��,比如互普����、綠盾、飛想���、金盾等廠家�����,這類廠家的內(nèi)網(wǎng)安全軟件已經(jīng)很成熟,加密軟件研發(fā)成功了����,把內(nèi)網(wǎng)安全模塊整合在一起,那是輕車熟路的事情了�����。
內(nèi)網(wǎng)安全軟件應(yīng)用最大煩惱就是怕員工私下卸載��,當內(nèi)網(wǎng)安全遇到文件加密,兩個死綁在一起了���,形成很好的邏輯鏈��。你要卸載我軟件��,我就不讓你打開文件����。而且內(nèi)網(wǎng)安全和文件加密同樣都屬于企業(yè)內(nèi)部安全管理�,真是天造地設(shè)的一對,很多企業(yè)對內(nèi)網(wǎng)安全功能很感興趣,也很實用���。老板喜歡,IT經(jīng)理也喜歡�,各取所需�����。這點原先沒有內(nèi)網(wǎng)安全的廠家就弱勢了�����。趕緊吧�,整合內(nèi)網(wǎng)安全模塊,產(chǎn)品好賣多了���。
四���、安全性還是目的,盡可能減少加密文件被破解的可能����。
企業(yè)為什么要裝加密軟件����?目的還是為了防泄密�����,為了企業(yè)內(nèi)部文件安全�����,如果一個加密軟件�,能輕易被員工破解了��,那怕穩(wěn)定性��、兼容性���、功能性做的再好���,那軟件的意義何在?難道就是忽悠老板的一個工具嗎�����?很多開發(fā)經(jīng)理明知自己軟件存在大量的漏洞,而不去修補�,這就關(guān)系到職業(yè)道德問題。
加密軟件行業(yè)有一個很不好的風氣��,覺得大家銷售的時候別談競爭產(chǎn)品����,別談破解,只談產(chǎn)品功能和理念�。這是行業(yè)非常不自信的表現(xiàn)。有很多漏洞�����,行業(yè)內(nèi)幾乎達成了默契��,多年都不去提����,這個現(xiàn)象的最終導致加密軟件行業(yè)技術(shù)進步緩慢,有些產(chǎn)品甚至幾年都沒有做大的提升�����。關(guān)于具體的破解�,我文章不做解釋�,各位自己私下交流,請各位開發(fā)主管好之為之�����,有漏洞不可怕���,可怕的是熟視無睹,如果這種態(tài)度��,最終有一天產(chǎn)品會被市場拋棄。