主流国产加密软件测试报告.doc
《主流国产加密软件测试报告.doc》由会员分享,可在线阅读,更多相关《主流国产加密软件测试报告.doc(21页珍藏版)》请在冰点文库上搜索。
加密软件测试报告
2011.6
一、前言
随着我公司PDM项目的实施,将会大大提高公司的研发效率和水平,同时也会产生大量的图纸、技术文档等资料,这些资料对公司来说就是命脉,是我们的竞争砝码,如果这些资料被非法流出,将会对我公司造成重大的损失,甚至会使某些新产品的研制计划夭折,因此加强对图文档的保密就变得非常重要了。
而目前信息网络又无处不在,公司的电脑也没有做加强的防护,因此现在的泄密途径很多,比如用笔记本电脑、U盘、USB硬盘等移动存储设备就可以将图纸全部拷贝带出,或者用邮件也可以将资料外送,或者通过互联网都可以将资料发送到外部。
除了研发资料外,公司其他一些资料也是机密的,比如我们的财务报表、供应商资料、客户资料、项目资料、成本及价格资料等等都是需要保密的。
近几年,因为企业机密被泄露而导致严重损失的例子经常见诸报端、网络,所以很多公司都已经开始部署加密软件来保护内部的重要资料,通过把机密文件进行加密存储,即使文件被拷贝带出了,离开了原公司的加密环境是不能打开的。
为提升信息管理水准,保障机密电子文档的安全,我公司也应部署一套文档安全管理系统,使公司内部的文档安全可靠,管理规范。
而为了保证重要信息的安全,需要在内部和外部的边界处建立起一道可靠的文档信息安全防线,以使这些重要的数据信息自由流动的范围仅限制在公司内部。
二、测试说明
我公司部署的PDM系统是PTC的Windchill系统,是基于JAVA的B/S架构模式,本次测试主要测试加密软件与Windchill系统的兼容。
经过与PDM的实施工程师交流和实际加密的简单测试,最终确定PDM系统的加密原则:
PDM服务器不进行加密,访问PDM系统的客户端进行加密,不装客户端的电脑不允许访问PDM系统。
PDM服务器不进行加密是因为Windchill系统里面有些功能与加密不兼容,如果服务器上存储的文档进行了加密,Windchill的有些功能将不能使用,比如缩略图功能,另外还考虑万一加密出现问题后,服务器上的文档将面临失效的危险,因此确定服务器上不进行加密;客户端进行加密,凡是从PDM系统上下载下来的文档都进行加密存储,用设计软件绘制的图纸进行加密存储,检入到PDM系统时进行解密;上传到PDM系统的文档自动进行解密;因为PDM服务器是明文存储的,所以要对访问进行控制,不允许没安装加密客户端的电脑进行访问。
三、参测公司及产品介绍(以下内容均摘自各自的官网)
目前市面上加密类软件众多,我们不可能全部测试,只是选取了几个知名度比较高、业内名气比较大的软件进行测试。
在加密技术上,有文档加密和磁盘加密两种,我们测试的这几款软件只有明朝万达采用的是磁盘加密技术,其余全部采用的是文档加密技术。
顾名思义,文档加密就是仅仅对保存在磁盘上的特定文档进行加密,不改变物理硬盘的信息,也不影响其他的使用,脱离了加密环境,仅仅只是被加密过的文件不能使用;磁盘加密就是通过对物理磁盘进行加密,保存在磁盘上的文件都是明文存放,但是脱离了加密环境后整个磁盘就不可用了。
1、亿赛通 ()
公司介绍:
北京亿赛通科技发展有限责任公司成立于2003年1月,注册资金1100万元,总部位于北京中关村科技园,是“国家高新技术企业”、“双软认证企业”。
公司立足于信息安全行业,专业从事数据泄露防护(DLP)产品研究、开发、生产和销售,其产品均具有完全自主知识产权。
并通过国家密码管理局、国家保密局、公安部和军队等国家相关管理部门及权威机构的测评和认证,获得“国家商用密码生产定点单位”资质和“国家商用密码销售许可证”,是唯一一家由国家密码管理局颁发文档安全产品型号的企业。
核心优势:
u完全自主知识产权
坚持自主研发与国际合作相结合的技术创新和产品开发路线,拥有旗下所有产品的自主知识产权
u超强技术和产品创新能力
国际领先驱动层智能动态加解密技术、磁盘全盘加密技术、文档安全网关技术等
文档安全管理系统CDG是国内第一套文档加密产品
磁盘全盘加密系统DiskSec是国内唯一的全磁盘加密(FDE)软件
文档安全网关系统FileNetSec是目前唯一的防止数据泄露的安全网关
u精英研发和咨询团队
以清华IT专家、北航软件精英、海外归国学者为主体的产品研发团队,丰厚的技术储备和强大的研发能力,在数据泄露防护领域独领风骚
以知名信息安全专家和大企业集团CIO为核心的信息安全咨询团队,深度掌握国内用户信息安全需求
u重量级渠道和战略合作伙伴
在全国拥有信息安全产品代理商、大型系统集成商、著名软件销售商等各领域代理商,覆盖全国所有重点区域,实现售前、售中和售后的技术服务体系本地化
携手华为、IBM、Entrust、中软等国际国内知名信息安全巨头为首的战略合作伙伴,共同提升产品品质、开拓全球市场
u超大型客户应用
中国移动集团部署近10万终端,是中国最大的文档安全产品应用项目 中国某军种全军部署10万余台笔记本电脑和PC机
外交部、解放军二炮、酒泉卫星发射中心、一汽集团、比亚迪集团、国人通信、正泰集团、宇龙通信、中信证券、中集集团等每个项目终端数量均达千点至万点
参测软件介绍:
本次测试测试的是亿赛通公司的文档透明加密系统DLP-SmartSEC和文档加密安全网关DLP-FileNetSEC。
亿赛通SmartSec(文档透明加密系统)是一款功能强大且易于使用的文档加密软件产品,该系统采用“驱动级透明动态加解密技术”对指定类型的文件进行实时、强制、透明的加解密。
在正常使用时,计算机内存中的文件是以受保护的明文形式存放,但硬盘上保存的数据却处于加密状态,如果没有合法的使用身份、访问权限和正确的安全通道,所有加密文件都将以密文状态保存。
同时通过安全网关将需要保护的服务器进行隔离保护,所有从服务器读取的文档在通过网关时都将被加密,从客户端传到服务器上的文档再通过网关时都将被解密,以明文形式存放在服务器上。
产品的功能特性:
u智能透明加密
系统采用国际先进的高强度加密算法进行文档加密,加解密过程智能透明,不会改变用户的任何操作习惯,也不改变原有信息的格式和状态。
同时,系统还具备严格的进程签名机制,能够准确识别未经授权的非法进程,大幅降低了数据泄露的风险。
u超强文档保护
文档被强制加密后,只有具备相应密钥的用户才能正常打开,但却无法通过复制粘贴、拷屏拖拽、打印另存等方式窃取文档信息;在密钥不匹配的情况下,文档打开后将以乱码形式呈现,无论通过何种非法途径均无法读取文档内容。
u细粒度权限管理
系统具备完善的权限管理机制,授权方式相当灵活,可设定不同用户的只读、修改、复制、打印等权限,文件作者还可将部分文档管理权限授予用户。
另外,作者可以根据需要设定文档的使用时间和打开次数,实现对文档权限更为全面精准的控制。
u完善的CDG控制体系
系统拥有一套先进完善的CDG控制体系,每个用户都设有CDG收件箱、发件箱、还原箱,方便对权限文档的使用和管理。
用户还可以通过在线申请的方式向作者申请文档权限,申请和审批流程相当简单。
同时考虑到CDG文档离线使用的问题,系统还可生成离线权限文件,并且可以设定文件的打开次数和使用时长。
u终端离线办公
系统可通过服务器设置终端离线,终端离线时需要提出离线申请,经管理员批准后才能正常离线使用。
管理员可灵活设置终端离线时限,若终端在脱机超过规定时限后还需要继续使用,可使用管理员提供的补时码完成离线补时。
u工作模式切换
系统允许特定用户在特定时间段内进行“工作模式”和“个人模式”的切换,在个人模式下,系统将进入冻结状态,停止一切加解密控制行为。
此功能提高了系统的灵活性和可用性,对家庭办公或临时加班能够提供有效支持。
产品优势
u良好的兼容性
系统具备良好的兼容性,能够与企业工作域无缝集成,支持用户信息自动同步。
并且系统兼容目前主流的操作系统和杀毒软件,支持对所有格式的文件进行加密,方便企业后续的需求升级和应用拓展。
系统只需通过简单的策略配置就能满足企业所有应用需求,具备极强的扩展性,为企业的安全个性需求提供了有力的保障。
u高度的安全性
在安全性方面,系统采用“驱动级终端保护技术”,对终端程序安装目录、常驻进程以及注册表等进行安全保护,防止用户恶意破坏终端运维服务和配置环境。
客户端的卸载必须通过严格的认证机制,一旦有用户通过非法手段强制移除或终止客户端,加密终端驱动将自动转入安全自保护模式,系统进入只加密、不解密的安全保护状态,有效确保所有加密文档的存储和使用安全。
同时系统还支持服务器统一下发安全补丁,实现客户端的自动更新,及时修复可能存在的安全漏洞,加强数据安全防护力度。
u权限动态控制
系统支持动态文档权限控制,持久保护文档安全,作者可以实时更改和回收文档权限,实现对权限的动态控制。
只有经过授权的用户才能在授权范围内使用机密文件,在没有任何权限的情况下无法打开文档。
CDG服务器集中保存文档权限,客户端只存放加密内容,服务器与客户端之间没有过多的内容交换,通过https建立安全连接仅仅是传输身份认证及权限信息,在保障系统高度安全的同时实现对文档权限的实时控制。
因为权限是保存在服务器上的,所以修改后可以马上生效,避免出现权限无法回收的情况,真正做到文档权限的高度实时可控。
u灵活的策略配置
系统配备强大的策略库,用户可根据业务需求进行编辑,策略配置也相当灵活简单,企业可以针不同部门的实际情况配置特定的安全策略,多样的策略组合方式使得企业在策略配置上拥有更多选择,能够同时满足不同部门的安全需求。
u系统简单易用
CDG文档安全管理系统采用了众多人性化的设计,界面友好、设计合理,管理操作相当简单,极大的降低了用户的工作量。
并且系统支持多种方式制作CDG文档,可以右键菜单选择制作,也可通过web登陆在线制作,更有极为方便快捷的权限策略模板制作方式。
u强大的安全保障
系统具有双机热备功能,如果服务器出现故障停止运行,则备份服务器能立即接管,同时系统还具备容灾机制和数据库备份还原功能,能够有效应对可能出现的各种特殊情况,最大程度保障系统稳定可靠运行。
在系统设计过程中,我们遵循“三权分立”的基本原则:
将系统管理权限、文档管理权限、日志管理权限分别分配给不同的管理员,各管理员之间相互制约,可以避免因权限过于集中而造成的数据泄露现象。
u详细的日志审计
所有用户(包括管理员在内)的任何操作,系统将自动监控、跟踪并进行记录,通过日志审计功能,管理员可以随时查看系统运行情况,能够及时发现一些异常操作,从根本上降低数据泄露的风险。
2、山丽网安 ()
公司介绍:
1999年专注于世界信息安全发展趋势,潜心研究新型信息安全产品和解决方案,2003年入住浦东张江高科技园区863国家信息安全基地,上海山丽信息安全有限公司(ShanghaiSanlenInformationSecurityCo;Ltd.)致力于成为世界范围内信息安全领域的领导厂商。
中国计算机协会信息防护分会常务理事单位,上海市信息安全行业协会理事单位,2003年又凭借其在信息化领域的卓越理念和社会意识,被评为上海信息化理事会常务理事单位。
2005年被评为首届中国信息安全产业十大创新企业之一。
2005年企业通过软件能力成熟度CMM3级评估。
2005年公司产品成为上海市政府2006-08信息安全产品定点采购项目。
上海山丽信息安全有限公司不断迈上快速发展的道路。
公司目前推出的安全产品包括:
防病毒、防火墙、防水墙、数字版权、动态口令、防盗号、网络监控、网络加速、安全审计、信息安全管理体系(ISMS)建设,涉及信息设施安全、互联网络安全、信息内容安全、移动设备安全、移动通讯安全等多个领域。
参测软件介绍:
本次测试测试的是山丽公司的山丽防水墙数据防泄漏系统。
山丽防水墙系统是一款基于“环境指纹”的信息安全软件管理系统,用于企业内部终端管理和数据文档管理,通过终端、数据双对象的管理方法,实现机密信息资料的防泄漏、防拷贝、防未授权访问等安全维护和管理,提供为商业及其他核心机密应用环境构建强大而实用的安全防线和数据信息保护策略。
终端管理上,通过管理外设、端口、程序使用、IT资产审计等软硬件的手段,实现对终端设备的实时管理,如同“档案室”、“保险柜”的硬件管理,达到“七分管理、三分技术”中“七分管理”的技术实现。
毕竟,在计算机资源的管理手段上,管理的实现也必须使用“计算机”的管理手段,而不能脱离实际采用传统的管理手段进行管理。
数据管理上,通过管理数据本身,依赖BLP数据控制模型和DLM数据生命周期模型结合,真正实现对最有价值资产的管理,如同档案室和保险柜中的“档案”管理,达到了“七分管理、三分技术”中“三分技术”的技术实现。
脱离了技术本质的安全管理形同虚设,虚实结合才是管理的终极解决方案。
数据管理上,在授权环境中,当不同用户对控制文件进行访问时,可控制用户对文件的使用权限,并实时跟踪不同用户对此文件的操作情况并且记录在案,使之不被非法入侵、外传、破坏及拷贝。
根据具体的应用,系统中的管理员可以在局域网中架设特定授权环境,或者在互联网架设自己的特定授权环境。
在授权环境中,机密文件的访问,可以通过文件共享、HTTP、FTP等协议或者任何其它不受约束的介质摆渡来访问。
每个授权环境都具有独一无二的特征,这个特征能够为本软件系统鉴别,在不同的授权环境中的文件不能互换使用。
这种被控制的文件,在山丽防水墙系统模块下,和任何文件格式无关,这区别于其它任何国内国际同类软件系统。
在文档控制的方法上,防水墙采用了透明加解密的方法,并采用了对称算法和非对称算法共同保护文档安全,其中对称算法分商密算法和普密算法两种版本,满足国家规定的信息强制涉密和非强制涉密不同组织和单位的需求,满足国家关于《等级保护》、《分级保护》的规范管理。
3、明朝万达 (www.wonder-)
明朝万达是参测软件中唯一一款采用磁盘加密技术的厂家。
公司介绍:
北京明朝万达科技有限公司是国家级高新技术企业和国家级软件企业,目前拥有国内最大的内网安全和数据保密专业技术团队,是中国领先的内网安全产品与数据保密产品厂商。
作为一个专业的网络安全和信息安全产品研发、生产和销售单位,明朝万达建立了一支以清华大学博士和硕士为骨干力量的核心团队,致力于解决国家政府、军队和各类企业面临的内网安全管理、信息保密、分级防护和数字知识产权保护问题,为客户提供整体的内网安全解决方案和服务。
作为国内内网安全市场的倡导者和领先者,明朝万达立足于内网安全市场,加强技术创新,成功推出ChinasecTM(安元TM)可信网络安全平台,在平台的基础上开发出ChinasecTM(安元TM)可信网络认证系统(TIS)、ChinasecTM(安元TM)可信网络保密系统(VCN)、ChinasecTM(安元TM)可信网络监控系统(MGT)、ChinasecTM(安元TM)可信数据管理系统(DMS)、ChinasecTM(安元TM)可信移动存储设备管理系统(RSM)和ChinasecTM(安元TM)可信应用保护系统(APS),针对内部网络的用户身份和计算机管理、数据信息保密、数字知识产权保护以及网络状况监控维护等安全问题提出了整体的解决方案。
北京明朝万达科技有限公司历经5年的发展和积累,产品日臻成熟,市场逐步扩大。
目前,ChiansecTM(安元TM)系列安全产品已经成功应用于国家部委、军队、军工集团、设计院所和制造、通信、金融等领域的500强企业,切实有效的帮助客户保护价值数据、提升管理绩效,让IT系统真正服务于用户,推动了用户业务发展。
Chinasec(安元)产品历经市场淬炼和各大企业的应用检验,已成为国内数据保密领域市场占有率最高的产品,Chinasec也成为了内网安全与数据保密领域的第一品牌。
参测软件介绍:
本次测试测试的是明朝万达公司的Chinasec(安元)可信网络安全平台。
Chinasec(安元)可信网络安全平台是一款基于内网安全和可信计算理论研发的安全管理产品,以密码技术为支撑,以数据安全为核心,以身份认证为基础,可灵活全面地定制并实施安全策略,实现对内网中用户、计算机和信息的安全管理,达到有效的用户身份管理、计算机设备管理、数据安全保密存储和防止机密信息泄漏等目标。
Chinasec(安元)可信网络安全平台采用C/S模式,由四个系统组成,分别是Chinasec(安元)可信网络认证系统、Chinasec(安元)可信网络保密系统、Chinasec(安元)可信数据管理系统和Chinasec(安元)可信网络监控系统。
这四个系统既可以单独使用,也可以联合使用,非常方便,根据用户的需要进行灵活的组合。
Chinasec(安元)可信网络安全平台四个系统的联合使用,通过主动加密、事前控制、事中监视、事后审计四种手段相结合,可以达到外部入侵进不来、非法外接出不去、内外勾结拿不走、拿走东西看不懂的效果,有效防止机密敏感信息的泄漏。
uChinasec(安元)可信网络保密系统(VCN)主要用于构造内网保密网络,对网络传输和存储设备两个主要途径进行有效控制和管理。
根据单位需要,VCN系统可以将内网划分为一个或者多个保密子网(VCN),同一个保密子网内部的计算机可以实现相互自由的数据交换(通过网络或者存储设备),不在同一个保密子网内部的计算机相互之间不能进行正常的数据交换,除非获得管理员的授权。
通过保密子网的划分,可以在保障网络统一维护的前提下,对单位内部不同职能部门实现有效的数据隔离,例如财务部和其他部门独立开来,增加内网安全级别,降低安全风险。
通过保密子网,还可以有效防止非法外连或者非法接入。
非法外连不管是基于Modem、ADSL拨号或者双网卡,都能够有效防止;非法接入不管是通过交换机接入或者通过网线将两台计算机直连,也都能够有效防止。
不同保密子网(VCN)之间可以设定信任关系,从而允许他们的计算机之间进行数据交换。
uChinasec(安元)可信数据管理系统(DMS)通过不同工作模式的切换,实现了数字知识产权保密和互联网资料获取使用兼容的效果。
在DMS部署的时候,要求所有需要保密的数字知识产权都存放在集中的文件服务器或者应用服务器中。
Ø普通模式
部署了DMS系统的计算机,如果不登录或者登录后没有进入任何一个工作模式,则处于普通模式下。
在普通模式下,该计算机除了不能接入到安全服务器区(安全网关之后)的所有业务应用服务器和文件服务器,没有其他任何限制,可以接入到外网,下载数据或者进行通信。
Ø工作模式
用户登录DMS系统并切换到工作模式后,就进入工作模式。
在工作模式下,DMS系统自动切断所在终端跟所有非受控网络的连接(如外网、内网其他非同一模式下的计算机和其他管理员没有设置权限访问的服务器),只根据管理员设置访问该工作模式指定的一些应用服务器和文件服务器。
进入工作模式后,默认情况下,DMS系统还将自动切断本地存储数据的路径,同时系统也构造一个虚拟的可信数据区,所有的数据只能存放在可信数据区中。
一旦退出工作模式,该可信数据区立即消失。
特殊情况下,管理员可以指定某种工作模式开放本地存储限制,从而允许用户输出数据到存储设备中。
如果需要更严格的要求,管理员还可以设定某种工作模式禁用所有外设,即一旦用户进入该工作模式,所有外设输出端口都将禁用。
根据需要,DMS系统可以定义多个工作模式,并对不同的用户和计算机指定不同的工作模式,灵活适应单位内部的业务模式。
4、华途软件 ()
公司介绍:
杭州华途软件具有十多年的信息化领域开发经验,深厚的行业背景沉积,致力于为中国用户开发一整套能用、用得好的信息化产品。
公司主要产品:
信息安全产品系列,企业即时通讯、协同设计产品等。
公司发展历程
1997公司的核心团队从事CAD、CAPP、PDM等制造业信息化产品开发。
1999公司开始介入AutoCAD文件加密,开发出专用加密软件。
2001在专用加密软件的基础上,研发出DocGuarder单机版。
2004开发企业文档加密系统DocGuarder网络版。
2005与德国合作伙伴合作,并成功打入德国市场。
2006整合加密产品、BigAnt协同软件等系统产品,开发了加密产品的协同版。
2007通过了国家密码管理局计算机信息系统安全专用产品认证。
2008通过了国家保密局涉密电子文档安全保密产品技术认证,并成功签约了上汽、南车、中远等大型国企。
2009开始进军金融、军工、政府等企事业单位,并重点布局西部市场。
参测软件介绍:
本次测试测试的是华途软件的DocGuarder文档加密系统。
华途文档加密系统是一个通用的企业文档智能加密软件。
在公司内部,文档的操作一切正常,但是一旦离开公司,文档便无法打开。
华途加密可以帮助企业有效防止用户通过电子邮件、移动硬盘、优盘、USB接口等途径泄密企业图纸,财务数据,招投标文件等重要文档,力保企业知识财产的安全。
产品特点
u权威认证,品质保障
已通过公安部、保密局、密码管理局检测认证
u防范严密,无懈可击
能防范企业实际运作中的各种泄密风险与漏洞
u与文件格式无关
通用的加密软件,适用所有的程序,如Office,CAD等…
u隐形透明,安全保密
用户原有操作习惯不改变,应用程序界面无变化
u集中管理,高效维护
所有的管理集中在服务端进行,维护工作量小
u同步升级,最新应用
支持随应用软件升级同步更新软件控制列表
u双重守护,稳定可靠
提供备用加密锁和备用服务器的双重保障
u多年磨练,成熟可靠
系统已经历了四代产品发展,产品成熟可靠
u实践检验,用户作证
系统已经在上千家客户的几万台电脑上稳定运行多年,时刻守卫着无数机密资料
5、浙大大天 ()
公司介绍:
杭州浙大大天信息有限公司成立于1996年,是国内最早从事制造业信息化研发和服务的软件企业之一,是国家科技部指定的首批国家863\CIMS系统集成和咨询公司。
成立之初,依托浙江大学人工智能研究所的科研实力,推出著名的二维CAD--GS-iCAD二维智能化设计绘图系统,以及三维CAD--GS-CAD三维特征造型系统,奠定了在国内CAD领域的领先地位。
在国产CAD历史上书写浓重的一笔,至今已拥有数千户。
随后,大天又推出GS-CAPP大天集成化工艺设计管理软件、GS-EDM大天电子文档管理软件和GS-PDM大天产品数据管理软件。
这些软件在各类科技成果的评选中,获得众多的荣誉,成为国产软件的佼佼者。
伴随着中国制造业的转型,产品创新成为企业的主旋律。
大天又推出产品全生命周期管理的GS-PLM和图文档安全管理系统GS-DES,为企业的创新设计提供高效的管理平台和强有力的信息安全保护。
十几年道路艰辛,十几年硕果累累。
大天随着中国制造业的发展而成长,为了中国制造业的强大而努力。
如今的大天,客户遍布神州大地,产品融入各行各业。
大天自豪自己的成长伴随中国的崛起,大天欣慰自己的努力换来客户的成功。
参测软件介绍:
本次测试测试的是大天公司的GS-DES大天图文档安全管理系统。
GS-DES是大天公司GS系列软件的精品之一,是国家公安部指定的计算机信息系统专用安全产品。
GS-DES汲取了ISO27001和ISO17799的信息安全管理思想,运用密码技术和访问控制技术并举的原理,遵循计算机信息安全保护等级标准,全面实施计算机图文档安全保护。
GS-DES加密手段强,控制力度高,是保护用户知识产权和商业机密的有力
升级会员 