2007透明加密一览（3）－选择透明加密产品的方法以及市场准入条件

五、 透明加密产品的选择方法
透明加密产品在实际应用中，由于控制对象和控制内容复杂，市场上同类产品数量众多，宣传内容大同小异，如何才能找到适合自己需要的加密软件？
1. 通用选择方法：
在功能探讨前，企业首先需要做的是查看供应商背景，包括：
到供应商网站上了解其背景、产品特点；
了解供应商典型用户中是否有与自己类似的行业、规模、应用需求；考察供应商客户的应用情况，了解同行、规模近似、技术和管理水平相似的企业是否应用了此类产品以及应用的效果如何。
2. 试用检查要点：
除了通用的选择方法以外，最简单也是最为必要的方法就是试用，在试用过程中包括以下步骤：
测试环境搭建：根据企业需要应用加密产品的范围和内容，搭建一个小型局域网，在该局域网中的计算机上安装好所有需要加密的软件和常用的其他软件工具。
测试数据准备：测试数据尽可能选择一些比较特殊和极端的例子，例如：准备一个企业最为复杂的word文档、图纸、很大的3维CAD装配体等，以便比较安装加解密软件前后对速度的影响。以下要点可供企业选择透明加密产品时参考：
1) 应用更名：
由于透明加密软件和系统结合紧密，一般要求事先设定涉密应用，以便对应用生成的文档进行加密，企业可考核的方式如下：将主要应用程序更换一个名字，如：AUTOCAD的主要执行文件一般为Acad.exe，用户可以通过测试更换了应用程序的名称后，透明加密软件是否仍然可以加密生成的文档来判断加密软件的适应能力。
2) 文件更名、更换类型
目前的应用程序往往能够同时支持生成多种类型的结果，以常用的Microsoft Word2003为例，该软件一共将文档存为15种格式，这就意味着要想实现对该软件的控制，必须对该应用生成的所有15种格式的文档都要进行加密。
3) 应用数据交换
如前文所述，透明加密产品主要控制对象是存储在磁盘上的文件，当文件已经被应用打开后，存放在计算机内存中的是明文，在Windows操作系统中，应用之间可以通过多种方式交换数据，包括：剪切、复制和粘贴、对象的链接与嵌入(OLE)、鼠标的拖动等这些在平时让用户有效提高工作手段的技巧，都成为可能的泄密途径。
加密软件既要保证信息在涉密应用之间的信息交换，又要能让非涉密应用中的信息能够顺利传递到涉密应用中，最关键的是：当用户试图通过复制、粘贴等系统常用功能，将涉密信息传递到非涉密应用时，传输的结果应当为密文，这样可以防止泄密。
4) 屏幕拷贝控制
在操作系统中设置了PringScreen（拷屏）键，此外还有相当多的专业拷贝屏幕的软件，以便用户截取屏幕图片，对于涉密数据而言，这也是一条可能的泄密途径，拷屏类似于用户用照相机对折屏幕拍照，防止此类泄密更多的还要依靠企业自身的管理能力。从透明加密软件的定义来看，虽然这并不属于其控制的范围，但根据用户要求，很多透明加密软件对此也做了限制。
5) USB端口锁
U盘、移动硬盘等USB移动存储设备由于便携性好、价廉物美，大大方便了日常数据交换，但对于企业应用而言，其方便性反而称为泄密的重要途径，本来文档加密软件只要确保存储的文档是密文，并不需要控制出口，但作为一个解决方案，不少开发商考虑到企业的需求，将关闭USB端口的功能集成到了加密软件中。
6) 打印控制
打印输出是加密软件需要控制的重点，由于目前市场上存在大量虚拟打印软件，能够将各类文档打印成PDF等多种通用数据交换格式，加密的文档如果用虚拟打印机打印成为PDF等中间格式仍然可以保持，从而成为另一条泄密的途径，因此对打印的控制也成为考核加密软件功能的因素。
7) 用户管理
根据企业信息化的情况不同，不同部门对应用加密解密的要求不同，例如：技术部门对于图纸控制要求高，销售部门则可能对于EXCEL报价文件、WORD商务合同文档的保密要求高，这就要求加密软件针对企业不同部门、不同岗位设定不同的加解密策略。此外，用户采用移动设备出差，也要考虑移动办公加密的管理。
8) 加密解密效率
在企业信息化应用中，在诸如三维CAD、CAE、图形图像制作等应用中，有些文件非常大，透明加密产品如果不能较好支持动态加解密，可能会极大地影响到用户的操作效率，表现为打开一个大文件后，每次存盘的时间过长。
9) 安装、维护、管理的方便性；
企业应用透明加密软件时，在软件的安装、升级、配置、用户权限设置、日志记录和统计、解密机等各个模块的细节上是否易用，要考虑到该软件在企业的应用范围广，和员工工作结合紧密，好的加密软件对于IT管理人员而言，不会大幅度增加日常维护工作量。

六、 市场准入
笔者分析了开发透明加密产品的公司，发现主要开发者多来自于两种背景：
一种是具有制造业信息化背景，尤其是具有PDM产品开发和销售背景的公司较早进入透明加密领域。例如：南京新模式、武汉天喻、风奥软件等；另一种是具有安全背景的公司，此类公司最初推出的安全产品并没有采用透明加密技术，但经过对市场的了解，很快就推出了此类产品。例如：北京亿赛通、上海前沿科技等。
1. 软件著作者权证
根据2002年2月20日发布的《中华人民共和国国家版权局令第1号》文件－《计算机软件著作权登记办法》规定，独立开发或者经原著作权人许可对原有软件修改后形成的功能或者性能方面有重要改进的软件可以进行软件著作权登记申请，中国版权保护中心批准后将会发放相应的登记证书，并予以公告。此类证书包括《软件产品登记证书》和《软件著作权证书》两种，具体如下图所示：



2. 安全专用产品销售许可证：
作为一种安全产品，透明加密产品目前是存在准入要求。根据公安部2006-02-17发布的《计算机信息系统安全专用产品检测和销售许可证管理办法》第二条和第三条的规定，透明加密产品属于计算机信息系统安全专用产品，在中华人民共和国境内的安全专用产品进入市场销售，实行销售许可证制度。安全专用销售许可证如下图所示：



据笔者了解，透明加密产品的开发商要想得到这个安全专用产品销售许可证要想得到并不容易，根据国家密码管理局公告（第 6 号）要求，采用密码技术对不涉及国家秘密内容的信息进行加密保护或者安全认证的产品称为商用密码产品，销售商用密码产品应当首先取得《商用密码产品销售许可证》（有效期3年），然后公安部才会发放计算机信息系统安全官安全专用产品销售许可证。
由于透明加密产品和过去的安全加密机等硬件产品完全不同，国家保密局只管理密码算法，密码生产单位必须接受检查，公开的算法并不一定不安全，但密码管理局要求采用国内加密算法，这些算法本身多数用加密卡（key）进行加密，如果透明加密产品采用此类加密算法，在效率上会受到很大影响，最后很多开发商发现很难申请证书。尤其是从制造业信息化领域出来的厂商，在此方面受到的影响比较大。而从信息安全研发出身的厂家则相对证书比较全，因为其证书并不一定以透明加密产品的名义申请，可用一个整体安全解决方案等的名义申请。
3. 保密单位和军工企业准入要求
透明加密产品要想进入国家涉密单位（如：政府、涉密研究机构等）必须通过国家保密局批准的涉密信息系统产品检测并获得相关证书；而同样要想进入军工企业，必须通过中国人民解放军信息安全测评认证中心认证，获得了《军用信息安全产品认证证书》。