主流國產(chǎn)加密軟件測試報告

1、加密軟件測試報告2011.6一、 前言隨著我公司PDM項目的實施，將會大大提高公司的研發(fā)效率和水平，同時也會產(chǎn)生大量的圖紙、技術(shù)文檔等資料，這些資料對公司來說就是命脈，是我們的競爭砝碼，如果這些資料被非法流出，將會對我公司造成重大的損失，甚至會使某些新產(chǎn)品的研制計劃夭折，因此加強對圖文檔的保密就變得非常重要了。而目前信息網(wǎng)絡(luò)又無處不在，公司的電腦也沒有做加強的防護，因此現(xiàn)在的泄密途徑很多，比如用筆記本電腦、U盤、USB硬盤等移動存儲設(shè)備就可以將圖紙全部拷貝帶出，或者用郵件也可以將資料外送，或者通過互聯(lián)網(wǎng)都可以將資料發(fā)送到外部。除了研發(fā)資料外，公司其他一些資料也是機密的，比如我們的財務(wù)報表、供應(yīng)

2、商資料、客戶資料、項目資料、成本及價格資料等等都是需要保密的。近幾年，因為企業(yè)機密被泄露而導致嚴重損失的例子經(jīng)常見諸報端、網(wǎng)絡(luò)，所以很多公司都已經(jīng)開始部署加密軟件來保護內(nèi)部的重要資料，通過把機密文件進行加密存儲，即使文件被拷貝帶出了，離開了原公司的加密環(huán)境是不能打開的。為提升信息管理水準，保障機密電子文檔的安全，我公司也應(yīng)部署一套文檔安全管理系統(tǒng)，使公司內(nèi)部的文檔安全可靠，管理規(guī)范。而為了保證重要信息的安全，需要在內(nèi)部和外部的邊界處建立起一道可靠的文檔信息安全防線，以使這些重要的數(shù)據(jù)信息自由流動的范圍僅限制在公司內(nèi)部。二、 測試說明我公司部署的PDM系統(tǒng)是PTC的Windchill系統(tǒng)，是基于

3、JAVA的B/S架構(gòu)模式，本次測試主要測試加密軟件與Windchill系統(tǒng)的兼容。經(jīng)過與PDM的實施工程師交流和實際加密的簡單測試，最終確定PDM系統(tǒng)的加密原則：PDM服務(wù)器不進行加密，訪問PDM系統(tǒng)的客戶端進行加密，不裝客戶端的電腦不允許訪問PDM系統(tǒng)。PDM服務(wù)器不進行加密是因為Windchill系統(tǒng)里面有些功能與加密不兼容，如果服務(wù)器上存儲的文檔進行了加密，Windchill的有些功能將不能使用，比如縮略圖功能，另外還考慮萬一加密出現(xiàn)問題后，服務(wù)器上的文檔將面臨失效的危險，因此確定服務(wù)器上不進行加密；客戶端進行加密，凡是從PDM系統(tǒng)上下載下來的文檔都進行加密存儲，用設(shè)計軟件繪制的圖紙進行

4、加密存儲，檢入到PDM系統(tǒng)時進行解密；上傳到PDM系統(tǒng)的文檔自動進行解密；因為PDM服務(wù)器是明文存儲的，所以要對訪問進行控制，不允許沒安裝加密客戶端的電腦進行訪問。三、 參測公司及產(chǎn)品介紹（以下內(nèi)容均摘自各自的官網(wǎng)）目前市面上加密類軟件眾多，我們不可能全部測試，只是選取了幾個知名度比較高、業(yè)內(nèi)名氣比較大的軟件進行測試。在加密技術(shù)上，有文檔加密和磁盤加密兩種，我們測試的這幾款軟件只有明朝萬達采用的是磁盤加密技術(shù)，其余全部采用的是文檔加密技術(shù)。顧名思義，文檔加密就是僅僅對保存在磁盤上的特定文檔進行加密，不改變物理硬盤的信息，也不影響其他的使用，脫離了加密環(huán)境，僅僅只是被加密過的文件不能使用；磁盤加

5、密就是通過對物理磁盤進行加密，保存在磁盤上的文件都是明文存放，但是脫離了加密環(huán)境后整個磁盤就不可用了。1、 億賽通（）公司介紹：北京億賽通科技發(fā)展有限責任公司成立于2003年1月，注冊資金1100萬元，總部位于北京中關(guān)村科技園，是“國家高新技術(shù)企業(yè)”、“雙軟認證企業(yè)”。公司立足于信息安全行業(yè)，專業(yè)從事數(shù)據(jù)泄露防護（DLP）產(chǎn)品研究、開發(fā)、生產(chǎn)和銷售，其產(chǎn)品均具有完全自主知識產(chǎn)權(quán)。并通過國家密碼管理局、國家保密局、公安部和軍隊等國家相關(guān)管理部門及權(quán)威機構(gòu)的測評和認證，獲得“國家商用密碼生產(chǎn)定點單位”資質(zhì)和“國家商用密碼銷售許可證”，是唯一一家由國家密碼管理局頒發(fā)文檔安全產(chǎn)品型號的企業(yè)。核心優(yōu)勢：

6、u 完全自主知識產(chǎn)權(quán)堅持自主研發(fā)與國際合作相結(jié)合的技術(shù)創(chuàng)新和產(chǎn)品開發(fā)路線，擁有旗下所有產(chǎn)品的自主知識產(chǎn)權(quán)u 超強技術(shù)和產(chǎn)品創(chuàng)新能力國際領(lǐng)先驅(qū)動層智能動態(tài)加解密技術(shù)、磁盤全盤加密技術(shù)、文檔安全網(wǎng)關(guān)技術(shù)等 文檔安全管理系統(tǒng)CDG是國內(nèi)第一套文檔加密產(chǎn)品 磁盤全盤加密系統(tǒng)DiskSec是國內(nèi)唯一的全磁盤加密(FDE)軟件 文檔安全網(wǎng)關(guān)系統(tǒng)FileNetSec是目前唯一的防止數(shù)據(jù)泄露的安全網(wǎng)關(guān)u 精英研發(fā)和咨詢團隊以清華IT專家、北航軟件精英、海外歸國學者為主體的產(chǎn)品研發(fā)團隊，豐厚的技術(shù)儲備和強大的研發(fā)能力，在數(shù)據(jù)泄露防護領(lǐng)域獨領(lǐng)風騷 以知名信息安全專家和大企業(yè)集團CIO為核心的信息安全咨詢團隊，深度

7、掌握國內(nèi)用戶信息安全需求u 重量級渠道和戰(zhàn)略合作伙伴在全國擁有信息安全產(chǎn)品代理商、大型系統(tǒng)集成商、著名軟件銷售商等各領(lǐng)域代理商，覆蓋全國所有重點區(qū)域，實現(xiàn)售前、售中和售后的技術(shù)服務(wù)體系本地化 攜手華為、IBM、Entrust、中軟等國際國內(nèi)知名信息安全巨頭為首的戰(zhàn)略合作伙伴，共同提升產(chǎn)品品質(zhì)、開拓全球市場u 超大型客戶應(yīng)用中國移動集團部署近10萬終端，是中國最大的文檔安全產(chǎn)品應(yīng)用項目 中國某軍種全軍部署10萬余臺筆記本電腦和PC機 外交部、解放軍二炮、酒泉衛(wèi)星發(fā)射中心、一汽集團、比亞迪集團、國人通信、正泰集團、宇龍通信、中信證券、中集集團等每個項目終端數(shù)量均達千點至萬點參測軟件介紹：本次測試測

8、試的是億賽通公司的文檔透明加密系統(tǒng)DLP-SmartSEC和文檔加密安全網(wǎng)關(guān)DLP-FileNetSEC。億賽通SmartSec（文檔透明加密系統(tǒng)）是一款功能強大且易于使用的文檔加密軟件產(chǎn)品，該系統(tǒng)采用“驅(qū)動級透明動態(tài)加解密技術(shù)”對指定類型的文件進行實時、強制、透明的加解密。在正常使用時，計算機內(nèi)存中的文件是以受保護的明文形式存放，但硬盤上保存的數(shù)據(jù)卻處于加密狀態(tài)，如果沒有合法的使用身份、訪問權(quán)限和正確的安全通道，所有加密文件都將以密文狀態(tài)保存。同時通過安全網(wǎng)關(guān)將需要保護的服務(wù)器進行隔離保護，所有從服務(wù)器讀取的文檔在通過網(wǎng)關(guān)時都將被加密，從客戶端傳到服務(wù)器上的文檔再通過網(wǎng)關(guān)時都將被解密，以明文

9、形式存放在服務(wù)器上。產(chǎn)品的功能特性:u 智能透明加密系統(tǒng)采用國際先進的高強度加密算法進行文檔加密，加解密過程智能透明，不會改變用戶的任何操作習慣，也不改變原有信息的格式和狀態(tài)。同時，系統(tǒng)還具備嚴格的進程簽名機制，能夠準確識別未經(jīng)授權(quán)的非法進程，大幅降低了數(shù)據(jù)泄露的風險。u 超強文檔保護文檔被強制加密后，只有具備相應(yīng)密鑰的用戶才能正常打開，但卻無法通過復制粘貼、拷屏拖拽、打印另存等方式竊取文檔信息；在密鑰不匹配的情況下，文檔打開后將以亂碼形式呈現(xiàn)，無論通過何種非法途徑均無法讀取文檔內(nèi)容。u 細粒度權(quán)限管理系統(tǒng)具備完善的權(quán)限管理機制，授權(quán)方式相當靈活，可設(shè)定不同用戶的只讀、修改、復制、打印等權(quán)限，

10、文件作者還可將部分文檔管理權(quán)限授予用戶。另外，作者可以根據(jù)需要設(shè)定文檔的使用時間和打開次數(shù)，實現(xiàn)對文檔權(quán)限更為全面精準的控制。u 完善的CDG控制體系系統(tǒng)擁有一套先進完善的CDG控制體系，每個用戶都設(shè)有CDG收件箱、發(fā)件箱、還原箱，方便對權(quán)限文檔的使用和管理。用戶還可以通過在線申請的方式向作者申請文檔權(quán)限，申請和審批流程相當簡單。同時考慮到CDG文檔離線使用的問題，系統(tǒng)還可生成離線權(quán)限文件，并且可以設(shè)定文件的打開次數(shù)和使用時長。u 終端離線辦公系統(tǒng)可通過服務(wù)器設(shè)置終端離線，終端離線時需要提出離線申請，經(jīng)管理員批準后才能正常離線使用。管理員可靈活設(shè)置終端離線時限，若終端在脫機超過規(guī)定時限后還需要

11、繼續(xù)使用，可使用管理員提供的補時碼完成離線補時。u 工作模式切換系統(tǒng)允許特定用戶在特定時間段內(nèi)進行“工作模式”和“個人模式”的切換，在個人模式下，系統(tǒng)將進入凍結(jié)狀態(tài)，停止一切加解密控制行為。此功能提高了系統(tǒng)的靈活性和可用性，對家庭辦公或臨時加班能夠提供有效支持。產(chǎn)品優(yōu)勢u 良好的兼容性系統(tǒng)具備良好的兼容性，能夠與企業(yè)工作域無縫集成，支持用戶信息自動同步。并且系統(tǒng)兼容目前主流的操作系統(tǒng)和殺毒軟件，支持對所有格式的文件進行加密，方便企業(yè)后續(xù)的需求升級和應(yīng)用拓展。系統(tǒng)只需通過簡單的策略配置就能滿足企業(yè)所有應(yīng)用需求，具備極強的擴展性，為企業(yè)的安全個性需求提供了有力的保障。u 高度的安全性在安全性方面，

12、系統(tǒng)采用“驅(qū)動級終端保護技術(shù)”，對終端程序安裝目錄、常駐進程以及注冊表等進行安全保護，防止用戶惡意破壞終端運維服務(wù)和配置環(huán)境?？蛻舳说男遁d必須通過嚴格的認證機制，一旦有用戶通過非法手段強制移除或終止客戶端，加密終端驅(qū)動將自動轉(zhuǎn)入安全自保護模式，系統(tǒng)進入只加密、不解密的安全保護狀態(tài)，有效確保所有加密文檔的存儲和使用安全。同時系統(tǒng)還支持服務(wù)器統(tǒng)一下發(fā)安全補丁，實現(xiàn)客戶端的自動更新，及時修復可能存在的安全漏洞，加強數(shù)據(jù)安全防護力度。u 權(quán)限動態(tài)控制系統(tǒng)支持動態(tài)文檔權(quán)限控制，持久保護文檔安全，作者可以實時更改和回收文檔權(quán)限，實現(xiàn)對權(quán)限的動態(tài)控制。只有經(jīng)過授權(quán)的用戶才能在授權(quán)范圍內(nèi)使用機密文件，在沒有任

13、何權(quán)限的情況下無法打開文檔。CDG服務(wù)器集中保存文檔權(quán)限，客戶端只存放加密內(nèi)容，服務(wù)器與客戶端之間沒有過多的內(nèi)容交換，通過https建立安全連接僅僅是傳輸身份認證及權(quán)限信息，在保障系統(tǒng)高度安全的同時實現(xiàn)對文檔權(quán)限的實時控制。因為權(quán)限是保存在服務(wù)器上的，所以修改后可以馬上生效，避免出現(xiàn)權(quán)限無法回收的情況，真正做到文檔權(quán)限的高度實時可控。u 靈活的策略配置系統(tǒng)配備強大的策略庫，用戶可根據(jù)業(yè)務(wù)需求進行編輯，策略配置也相當靈活簡單，企業(yè)可以針不同部門的實際情況配置特定的安全策略，多樣的策略組合方式使得企業(yè)在策略配置上擁有更多選擇，能夠同時滿足不同部門的安全需求。u 系統(tǒng)簡單易用CDG文檔安全管理系統(tǒng)采

14、用了眾多人性化的設(shè)計，界面友好、設(shè)計合理，管理操作相當簡單，極大的降低了用戶的工作量。并且系統(tǒng)支持多種方式制作CDG文檔，可以右鍵菜單選擇制作，也可通過web登陸在線制作，更有極為方便快捷的權(quán)限策略模板制作方式。u 強大的安全保障系統(tǒng)具有雙機熱備功能，如果服務(wù)器出現(xiàn)故障停止運行，則備份服務(wù)器能立即接管，同時系統(tǒng)還具備容災機制和數(shù)據(jù)庫備份還原功能，能夠有效應(yīng)對可能出現(xiàn)的各種特殊情況，最大程度保障系統(tǒng)穩(wěn)定可靠運行。在系統(tǒng)設(shè)計過程中，我們遵循“三權(quán)分立”的基本原則：將系統(tǒng)管理權(quán)限、文檔管理權(quán)限、日志管理權(quán)限分別分配給不同的管理員，各管理員之間相互制約，可以避免因權(quán)限過于集中而造成的數(shù)據(jù)泄露現(xiàn)象。u

15、詳細的日志審計所有用戶（包括管理員在內(nèi)）的任何操作，系統(tǒng)將自動監(jiān)控、跟蹤并進行記錄，通過日志審計功能，管理員可以隨時查看系統(tǒng)運行情況，能夠及時發(fā)現(xiàn)一些異常操作，從根本上降低數(shù)據(jù)泄露的風險。2、 山麗網(wǎng)安()公司介紹：1999年專注于世界信息安全發(fā)展趨勢，潛心研究新型信息安全產(chǎn)品和解決方案，2003年入住浦東張江高科技園區(qū)863國家信息安全基地，上海山麗信息安全有限公司（Shanghai Sanlen Information Security Co；Ltd.）致力于成為世界范圍內(nèi)信息安全領(lǐng)域的領(lǐng)導廠商。 中國計算機協(xié)會信息防護分會常務(wù)理事單位，上海市信息安全行業(yè)協(xié)會理事單位，2003年又憑借其在

16、信息化領(lǐng)域的卓越理念和社會意識，被評為上海信息化理事會常務(wù)理事單位。2005年被評為首屆中國信息安全產(chǎn)業(yè)十大創(chuàng)新企業(yè)之一。2005年企業(yè)通過軟件能力成熟度CMM3級評估。2005年公司產(chǎn)品成為上海市政府2006-08信息安全產(chǎn)品定點采購項目。上海山麗信息安全有限公司不斷邁上快速發(fā)展的道路。 公司目前推出的安全產(chǎn)品包括：防病毒、防火墻、防水墻、數(shù)字版權(quán)、動態(tài)口令、防盜號、網(wǎng)絡(luò)監(jiān)控、網(wǎng)絡(luò)加速、安全審計、信息安全管理體系（ISMS）建設(shè)，涉及信息設(shè)施安全、互聯(lián)網(wǎng)絡(luò)安全、信息內(nèi)容安全、移動設(shè)備安全、移動通訊安全等多個領(lǐng)域。參測軟件介紹：本次測試測試的是山麗公司的山麗防水墻數(shù)據(jù)防泄漏系統(tǒng)。山麗防水墻系統(tǒng)

17、是一款基于“環(huán)境指紋”的信息安全軟件管理系統(tǒng), 用于企業(yè)內(nèi)部終端管理和數(shù)據(jù)文檔管理，通過終端、數(shù)據(jù)雙對象的管理方法，實現(xiàn)機密信息資料的防泄漏、防拷貝、防未授權(quán)訪問等安全維護和管理，提供為商業(yè)及其他核心機密應(yīng)用環(huán)境構(gòu)建強大而實用的安全防線和數(shù)據(jù)信息保護策略。終端管理上，通過管理外設(shè)、端口、程序使用、IT資產(chǎn)審計等軟硬件的手段，實現(xiàn)對終端設(shè)備的實時管理，如同“檔案室”、“保險柜”的硬件管理，達到“七分管理、三分技術(shù)”中“七分管理”的技術(shù)實現(xiàn)。畢竟，在計算機資源的管理手段上，管理的實現(xiàn)也必須使用“計算機”的管理手段，而不能脫離實際采用傳統(tǒng)的管理手段進行管理。數(shù)據(jù)管理上，通過管理數(shù)據(jù)本身，依賴BLP數(shù)

18、據(jù)控制模型和DLM數(shù)據(jù)生命周期模型結(jié)合，真正實現(xiàn)對最有價值資產(chǎn)的管理，如同檔案室和保險柜中的“檔案”管理，達到了“七分管理、三分技術(shù)”中“三分技術(shù)”的技術(shù)實現(xiàn)。脫離了技術(shù)本質(zhì)的安全管理形同虛設(shè)，虛實結(jié)合才是管理的終極解決方案。數(shù)據(jù)管理上，在授權(quán)環(huán)境中，當不同用戶對控制文件進行訪問時，可控制用戶對文件的使用權(quán)限，并實時跟蹤不同用戶對此文件的操作情況并且記錄在案，使之不被非法入侵、外傳、破壞及拷貝。根據(jù)具體的應(yīng)用，系統(tǒng)中的管理員可以在局域網(wǎng)中架設(shè)特定授權(quán)環(huán)境，或者在互聯(lián)網(wǎng)架設(shè)自己的特定授權(quán)環(huán)境。在授權(quán)環(huán)境中，機密文件的訪問，可以通過文件共享、HTTP、FTP等協(xié)議或者任何其它不受約束的介質(zhì)擺渡來訪

19、問。每個授權(quán)環(huán)境都具有獨一無二的特征，這個特征能夠為本軟件系統(tǒng)鑒別，在不同的授權(quán)環(huán)境中的文件不能互換使用。這種被控制的文件，在山麗防水墻系統(tǒng)模塊下，和任何文件格式無關(guān)，這區(qū)別于其它任何國內(nèi)國際同類軟件系統(tǒng)。在文檔控制的方法上，防水墻采用了透明加解密的方法，并采用了對稱算法和非對稱算法共同保護文檔安全，其中對稱算法分商密算法和普密算法兩種版本，滿足國家規(guī)定的信息強制涉密和非強制涉密不同組織和單位的需求，滿足國家關(guān)于等級保護、分級保護的規(guī)范管理。3、 明朝萬達(www.wonder-)明朝萬達是參測軟件中唯一一款采用磁盤加密技術(shù)的廠家。公司介紹：北京明朝萬達科技有限公司是國家級高新技術(shù)企業(yè)和國家級

20、軟件企業(yè)，目前擁有國內(nèi)最大的內(nèi)網(wǎng)安全和數(shù)據(jù)保密專業(yè)技術(shù)團隊，是中國領(lǐng)先的內(nèi)網(wǎng)安全產(chǎn)品與數(shù)據(jù)保密產(chǎn)品廠商。作為一個專業(yè)的網(wǎng)絡(luò)安全和信息安全產(chǎn)品研發(fā)、生產(chǎn)和銷售單位，明朝萬達建立了一支以清華大學博士和碩士為骨干力量的核心團隊，致力于解決國家政府、軍隊和各類企業(yè)面臨的內(nèi)網(wǎng)安全管理、信息保密、分級防護和數(shù)字知識產(chǎn)權(quán)保護問題，為客戶提供整體的內(nèi)網(wǎng)安全解決方案和服務(wù)。作為國內(nèi)內(nèi)網(wǎng)安全市場的倡導者和領(lǐng)先者，明朝萬達立足于內(nèi)網(wǎng)安全市場，加強技術(shù)創(chuàng)新，成功推出ChinasecTM（安元TM）可信網(wǎng)絡(luò)安全平臺，在平臺的基礎(chǔ)上開發(fā)出ChinasecTM（安元TM）可信網(wǎng)絡(luò)認證系統(tǒng)（TIS）、ChinasecTM（安

21、元TM）可信網(wǎng)絡(luò)保密系統(tǒng)（VCN）、ChinasecTM（安元TM）可信網(wǎng)絡(luò)監(jiān)控系統(tǒng)（MGT）、ChinasecTM（安元TM）可信數(shù)據(jù)管理系統(tǒng)(DMS)、ChinasecTM（安元TM）可信移動存儲設(shè)備管理系統(tǒng)(RSM)和ChinasecTM（安元TM）可信應(yīng)用保護系統(tǒng)（APS），針對內(nèi)部網(wǎng)絡(luò)的用戶身份和計算機管理、數(shù)據(jù)信息保密、數(shù)字知識產(chǎn)權(quán)保護以及網(wǎng)絡(luò)狀況監(jiān)控維護等安全問題提出了整體的解決方案。北京明朝萬達科技有限公司歷經(jīng)5年的發(fā)展和積累，產(chǎn)品日臻成熟，市場逐步擴大。目前，Chiansec TM（安元TM）系列安全產(chǎn)品已經(jīng)成功應(yīng)用于國家部委、軍隊、軍工集團、設(shè)計院所和制造、通信、金融等領(lǐng)域

22、的500強企業(yè)，切實有效的幫助客戶保護價值數(shù)據(jù)、提升管理績效，讓IT系統(tǒng)真正服務(wù)于用戶，推動了用戶業(yè)務(wù)發(fā)展。Chinasec（安元）產(chǎn)品歷經(jīng)市場淬煉和各大企業(yè)的應(yīng)用檢驗，已成為國內(nèi)數(shù)據(jù)保密領(lǐng)域市場占有率最高的產(chǎn)品，Chinasec也成為了內(nèi)網(wǎng)安全與數(shù)據(jù)保密領(lǐng)域的第一品牌。參測軟件介紹：本次測試測試的是明朝萬達公司的Chinasec（安元）可信網(wǎng)絡(luò)安全平臺。Chinasec（安元）可信網(wǎng)絡(luò)安全平臺是一款基于內(nèi)網(wǎng)安全和可信計算理論研發(fā)的安全管理產(chǎn)品，以密碼技術(shù)為支撐，以數(shù)據(jù)安全為核心，以身份認證為基礎(chǔ)，可靈活全面地定制并實施安全策略，實現(xiàn)對內(nèi)網(wǎng)中用戶、計算機和信息的安全管理，達到有效的用戶身份管理

23、、計算機設(shè)備管理、數(shù)據(jù)安全保密存儲和防止機密信息泄漏等目標。 Chinasec（安元）可信網(wǎng)絡(luò)安全平臺采用C/S模式，由四個系統(tǒng)組成，分別是Chinasec（安元）可信網(wǎng)絡(luò)認證系統(tǒng)、Chinasec（安元）可信網(wǎng)絡(luò)保密系統(tǒng)、Chinasec（安元）可信數(shù)據(jù)管理系統(tǒng)和Chinasec（安元）可信網(wǎng)絡(luò)監(jiān)控系統(tǒng)。這四個系統(tǒng)既可以單獨使用，也可以聯(lián)合使用，非常方便，根據(jù)用戶的需要進行靈活的組合。 Chinasec（安元）可信網(wǎng)絡(luò)安全平臺四個系統(tǒng)的聯(lián)合使用，通過主動加密、事前控制、事中監(jiān)視、事后審計四種手段相結(jié)合，可以達到外部入侵進不來、非法外接出不去、內(nèi)外勾結(jié)拿不走、拿走東西看不懂的效果，有效防止機密

24、敏感信息的泄漏。u Chinasec（安元）可信網(wǎng)絡(luò)保密系統(tǒng)（VCN）主要用于構(gòu)造內(nèi)網(wǎng)保密網(wǎng)絡(luò)，對網(wǎng)絡(luò)傳輸和存儲設(shè)備兩個主要途徑進行有效控制和管理。根據(jù)單位需要，VCN系統(tǒng)可以將內(nèi)網(wǎng)劃分為一個或者多個保密子網(wǎng)（VCN），同一個保密子網(wǎng)內(nèi)部的計算機可以實現(xiàn)相互自由的數(shù)據(jù)交換（通過網(wǎng)絡(luò)或者存儲設(shè)備），不在同一個保密子網(wǎng)內(nèi)部的計算機相互之間不能進行正常的數(shù)據(jù)交換，除非獲得管理員的授權(quán)。通過保密子網(wǎng)的劃分，可以在保障網(wǎng)絡(luò)統(tǒng)一維護的前提下，對單位內(nèi)部不同職能部門實現(xiàn)有效的數(shù)據(jù)隔離，例如財務(wù)部和其他部門獨立開來，增加內(nèi)網(wǎng)安全級別，降低安全風險。通過保密子網(wǎng)，還可以有效防止非法外連或者非法接入。非法外連不管

25、是基于Modem、ADSL撥號或者雙網(wǎng)卡，都能夠有效防止；非法接入不管是通過交換機接入或者通過網(wǎng)線將兩臺計算機直連，也都能夠有效防止。不同保密子網(wǎng)（VCN）之間可以設(shè)定信任關(guān)系，從而允許他們的計算機之間進行數(shù)據(jù)交換。u Chinasec（安元）可信數(shù)據(jù)管理系統(tǒng)（DMS）通過不同工作模式的切換，實現(xiàn)了數(shù)字知識產(chǎn)權(quán)保密和互聯(lián)網(wǎng)資料獲取使用兼容的效果。在DMS部署的時候，要求所有需要保密的數(shù)字知識產(chǎn)權(quán)都存放在集中的文件服務(wù)器或者應(yīng)用服務(wù)器中。Ø 普通模式部署了DMS系統(tǒng)的計算機，如果不登錄或者登錄后沒有進入任何一個工作模式，則處于普通模式下。在普通模式下，該計算機除了不能接入到安全服務(wù)器區(qū)

26、（安全網(wǎng)關(guān)之后）的所有業(yè)務(wù)應(yīng)用服務(wù)器和文件服務(wù)器，沒有其他任何限制，可以接入到外網(wǎng)，下載數(shù)據(jù)或者進行通信。Ø 工作模式 用戶登錄DMS系統(tǒng)并切換到工作模式后，就進入工作模式。在工作模式下，DMS系統(tǒng)自動切斷所在終端跟所有非受控網(wǎng)絡(luò)的連接（如外網(wǎng)、內(nèi)網(wǎng)其他非同一模式下的計算機和其他管理員沒有設(shè)置權(quán)限訪問的服務(wù)器），只根據(jù)管理員設(shè)置訪問該工作模式指定的一些應(yīng)用服務(wù)器和文件服務(wù)器。 進入工作模式后，默認情況下，DMS系統(tǒng)還將自動切斷本地存儲數(shù)據(jù)的路徑，同時系統(tǒng)也構(gòu)造一個虛擬的可信數(shù)據(jù)區(qū)，所有的數(shù)據(jù)只能存放在可信數(shù)據(jù)區(qū)中。一旦退出工作模式，該可信數(shù)據(jù)區(qū)立即消失。特殊情況下，管理員可以指定某種

27、工作模式開放本地存儲限制，從而允許用戶輸出數(shù)據(jù)到存儲設(shè)備中。 如果需要更嚴格的要求，管理員還可以設(shè)定某種工作模式禁用所有外設(shè)，即一旦用戶進入該工作模式，所有外設(shè)輸出端口都將禁用。 根據(jù)需要，DMS系統(tǒng)可以定義多個工作模式，并對不同的用戶和計算機指定不同的工作模式，靈活適應(yīng)單位內(nèi)部的業(yè)務(wù)模式。4、 華途軟件()公司介紹：杭州華途軟件具有十多年的信息化領(lǐng)域開發(fā)經(jīng)驗，深厚的行業(yè)背景沉積，致力于為中國用戶開發(fā)一整套能用、用得好的信息化產(chǎn)品。 公司主要產(chǎn)品：信息安全產(chǎn)品系列，企業(yè)即時通訊、協(xié)同設(shè)計產(chǎn)品等。公司發(fā)展歷程1997 公司的核心團隊從事CAD、CAPP、PDM等制造業(yè)信息化產(chǎn)品開發(fā)。 1999

28、公司開始介入AutoCAD文件加密，開發(fā)出專用加密軟件。 2001 在專用加密軟件的基礎(chǔ)上，研發(fā)出DocGuarder單機版。 2004 開發(fā)企業(yè)文檔加密系統(tǒng)DocGuarder網(wǎng)絡(luò)版。 2005 與德國合作伙伴合作，并成功打入德國市場。 2006 整合加密產(chǎn)品、BigAnt協(xié)同軟件等系統(tǒng)產(chǎn)品，開發(fā)了加密產(chǎn)品的協(xié)同版。 2007 通過了國家密碼管理局計算機信息系統(tǒng)安全專用產(chǎn)品認證。 2008 通過了國家保密局涉密電子文檔安全保密產(chǎn)品技術(shù)認證，并成功簽約了上汽、南車、中遠等大型國企。 2009 開始進軍金融、軍工、政府等企事業(yè)單位，并重點布局西部市場。參測軟件介紹：本次測試測試的是華途軟件的Do

29、cGuarder文檔加密系統(tǒng)。華途文檔加密系統(tǒng)是一個通用的企業(yè)文檔智能加密軟件。在公司內(nèi)部，文檔的操作一切正常，但是一旦離開公司，文檔便無法打開。華途加密可以幫助企業(yè)有效防止用戶通過電子郵件、移動硬盤、優(yōu)盤、USB接口等途徑泄密企業(yè)圖紙，財務(wù)數(shù)據(jù)，招投標文件等重要文檔，力保企業(yè)知識財產(chǎn)的安全。產(chǎn)品特點u 權(quán)威認證，品質(zhì)保障 已通過公安部、保密局、密碼管理局檢測認證u 防范嚴密，無懈可擊 能防范企業(yè)實際運作中的各種泄密風險與漏洞u 與文件格式無關(guān)通用的加密軟件，適用所有的程序，如Office, CAD等 u 隱形透明，安全保密 用戶原有操作習慣不改變，應(yīng)用程序界面無變化u 集中管理，高效維護 所

30、有的管理集中在服務(wù)端進行，維護工作量小u 同步升級，最新應(yīng)用 支持隨應(yīng)用軟件升級同步更新軟件控制列表u 雙重守護，穩(wěn)定可靠 提供備用加密鎖和備用服務(wù)器的雙重保障u 多年磨練，成熟可靠 系統(tǒng)已經(jīng)歷了四代產(chǎn)品發(fā)展，產(chǎn)品成熟可靠u 實踐檢驗，用戶作證 系統(tǒng)已經(jīng)在上千家客戶的幾萬臺電腦上穩(wěn)定運行多年，時刻守衛(wèi)著無數(shù)機密資料5、 浙大大天()公司介紹：杭州浙大大天信息有限公司成立于1996年，是國內(nèi)最早從事制造業(yè)信息化研發(fā)和服務(wù)的軟件企業(yè)之一，是國家科技部指定的首批國家863CIMS系統(tǒng)集成和咨詢公司。成立之初，依托浙江大學人工智能研究所的科研實力，推出著名的二維CADGS-iCAD二維智能化設(shè)計繪圖系

31、統(tǒng)，以及三維CADGSCAD三維特征造型系統(tǒng)，奠定了在國內(nèi)CAD領(lǐng)域的領(lǐng)先地位。在國產(chǎn)CAD歷史上書寫濃重的一筆，至今已擁有數(shù)千戶。隨后，大天又推出GSCAPP大天集成化工藝設(shè)計管理軟件、GSEDM大天電子文檔管理軟件和GSPDM大天產(chǎn)品數(shù)據(jù)管理軟件。這些軟件在各類科技成果的評選中，獲得眾多的榮譽，成為國產(chǎn)軟件的佼佼者。 伴隨著中國制造業(yè)的轉(zhuǎn)型，產(chǎn)品創(chuàng)新成為企業(yè)的主旋律。大天又推出產(chǎn)品全生命周期管理的GSPLM和圖文檔安全管理系統(tǒng)GSDES，為企業(yè)的創(chuàng)新設(shè)計提供高效的管理平臺和強有力的信息安全保護。 十幾年道路艱辛，十幾年碩果累累。大天隨著中國制造業(yè)的發(fā)展而成長，為了中國制造業(yè)的強大而努力。如

32、今的大天，客戶遍布神州大地，產(chǎn)品融入各行各業(yè)。大天自豪自己的成長伴隨中國的崛起，大天欣慰自己的努力換來客戶的成功。參測軟件介紹：本次測試測試的是大天公司的GS-DES 大天圖文檔安全管理系統(tǒng)。GS-DES 是大天公司GS系列軟件的精品之一，是國家公安部指定的計算機信息系統(tǒng)專用安全產(chǎn)品。GS-DES汲取了ISO27001和ISO17799的信息安全管理思想，運用密碼技術(shù)和訪問控制技術(shù)并舉的原理，遵循計算機信息安全保護等級標準，全面實施計算機圖文檔安全保護。GS-DES加密手段強，控制力度高，是保護用戶知識產(chǎn)權(quán)和商業(yè)機密的有力“武器”和便捷工具。GS-DES 不影響用戶現(xiàn)有的經(jīng)營管理模式和計算機網(wǎng)

33、絡(luò)環(huán)境，不影響或改變工作人員原有的操作習慣，著重體現(xiàn)“防范于未然”的理念，重點對計算機產(chǎn)生的各類圖文檔進行“后臺”強制性加密和控制，使經(jīng)過加密和控制的圖文檔始終處于安全保密狀態(tài)，杜絕圖文檔被盜后的泄密。GE-DES簡潔易學，無需培訓，裝機即用，完全符合國家相關(guān)計算機軟件標準和要求。產(chǎn)品技術(shù)特點：Ø 無痕的加密機制GS-DES不改變計算機操作者原有工作習慣，采用隱蔽的方式對計算機產(chǎn)生的圖文檔進行自動和強制加密處理，經(jīng)過加密的圖文檔在計算機操作系統(tǒng)中，不顯示任何加密痕跡，仍保留文件的原有屬性和文件格式。 創(chuàng)建即加密 打開即加密 復制即加密 保存即加密 轉(zhuǎn)移即加密 拷屏即加密 刪除即加密

34、下載即加密Ø 完備的環(huán)境管理 在ISO27001信息安全管理體系中，對信息的產(chǎn)生、使用、保存、刪除等信息操作過程中，規(guī)定了非常嚴格的要求和規(guī)范。GS-DES嚴格按照ISO27001標準的理念，強調(diào)將信息安全的保護覆蓋于事前防御、事中控制和事后追蹤等信息安全保護全生命周期之中，杜絕一切可能產(chǎn)生信息泄露的渠道和漏洞，把信息安全控制在有效的范圍內(nèi)。 布局管理 角色管理 權(quán)限管理 軟件管理 設(shè)備管理 密鑰管理 日志管理Ø 可靠的安全性能 GS-DES是通過對圖文檔文件進行加密控制，達到圖文檔文件內(nèi)容的保護。采取合理有效的加密密鑰、文件加密、文件傳輸和環(huán)境防護等控制機制，建立全面和嚴

35、密的信息安全保護體系。 加密密鑰控制機制 文件加密控制機制 文件傳輸控制機制 環(huán)境防護控制機制Ø 靈活的移動防護 便攜式計算機的出現(xiàn)，解決了移動辦公的需要，但也帶來信息外泄的渠道。GS-DES通過給便攜式計算機授權(quán)許可，使便攜式計算機在移動辦公中，信息得到有效的保護，杜絕了可能帶來的信息泄露的問題。GS-DES提供軟件許可、單機許可、斷網(wǎng)許可等三種使用許可方式，分別授予便攜式計算機的“離網(wǎng)”時間、“離網(wǎng)”期間、使用次數(shù)和無限制等四種使用策略，保障便攜式計算機在移動辦公過程中的信息安全。 斷網(wǎng)使用許可 離網(wǎng)使用許可 移動使用許可Ø 細致的行為監(jiān)督 防范于未然是信息安全保護的一

36、種境界。GS-DES通過網(wǎng)絡(luò)，管理處于局域網(wǎng)環(huán)境下的各類終端計算機的運行狀態(tài)，及時對各終端計算機的界面操作行為、文件操作行為以及即時通訊使用情況進行監(jiān)控與管理。 文件操作監(jiān)控 屏幕界面監(jiān)控 系統(tǒng)運行監(jiān)控 即時通訊監(jiān)控Ø 緊密的系統(tǒng)集成 GS-DES具有較強的系統(tǒng)集成性，通過對GS-DES的有效配置，不但可實現(xiàn)與目前主流的桌面應(yīng)用系統(tǒng)的緊密集成，如OFFICE系列、CAD系列、圖像處理系列等，而且具有與大型的管理系統(tǒng)集成能力，包括OA、PDM、CPC、ERP等。目前，GS-DES已成功與LOTUS NOTES、國內(nèi)外主流PDM、ERP和基于WEB的OA、CPC等大型管理系統(tǒng)集成的案例。

37、 與CAD軟件集成 與CAPP軟件集成 與OFFICE軟件集成 與PDM系統(tǒng)集成 與ERP系統(tǒng)集成 與MIS系統(tǒng)集成 與CPC系統(tǒng)集成 與PLM系統(tǒng)集成 與OA系統(tǒng)集成 與MAIL系統(tǒng)集成6、 大成天下（公司介紹：大成天下信息技術(shù)有限公司（簡稱大成天下）成立于2005年2月，公司總部設(shè)于中國深圳南山科技園，面向全國乃至全球用戶提供高效、實用、穩(wěn)定的桌面與內(nèi)容安全產(chǎn)品。 2008年開始，在公司高層的帶領(lǐng)下，大成天下逐漸由一支研發(fā)型團隊向一個更成熟的創(chuàng)新型平臺過渡，形成了由市場、研究、產(chǎn)品、研發(fā)、銷售等團隊組成的創(chuàng)新型產(chǎn)品經(jīng)營團隊。參測軟件介紹： 鐵卷電子文檔安全系統(tǒng)是對各企事業(yè)單位的電子文檔和數(shù)

38、據(jù)提供整體安全的解決方案，鐵卷電子文檔安全解決方案解決了用戶對重要資料保護的主要顧慮，其特點是： 強制加密、透明加解密、設(shè)備無關(guān)、網(wǎng)絡(luò)無關(guān)、管理方便、應(yīng)用靈活。除了阻止常規(guī)數(shù)據(jù)泄密外，在以下幾個方面處于業(yè)界領(lǐng)先地位： A、防主動泄密 鐵卷摒棄大多數(shù)解決方案只是從防止外設(shè)、網(wǎng)絡(luò)傳輸控制權(quán)限等入手，犧牲了資產(chǎn)的可用性。鐵卷電子文檔安全系統(tǒng)防止高級用戶利用特殊傳輸方式繞過限制，有效的防止主動泄密。 B、為創(chuàng)建、存儲、使用和傳輸過程中的電子文檔提供全方位防護 大多數(shù)解決方案只能在電子文檔生命周期的一個階段提供防護，并不能提供全方位的防護。鐵卷電子文檔安全系統(tǒng)在創(chuàng)建、存儲、使用和傳輸過程中提供全方位防護

39、，鐵卷堅信安全不能只做一半，全方位防護才是最安全的解決方案 C、不改變用戶使用習慣 鐵卷電子文檔安全系統(tǒng)不改變用戶使用習慣，縮短用戶學習曲線不影響員工工作效率。 D、保護筆記本和離線終端（移動辦公和合作伙伴） 鐵卷電子文檔安全系統(tǒng)解決方案不僅能對連接到公司內(nèi)部網(wǎng)絡(luò)的終端起到保護作用，還可防止離線的筆記本和遺失的設(shè)備可能帶來巨大的無法估量的損失。四、 測試前準備測試前準備好測試環(huán)境，測試環(huán)境全部采用全新安裝的操作系統(tǒng)，裸系統(tǒng)，不安裝任何其他軟件。1、 Windchill環(huán)境：Windchill環(huán)境模擬實際部署環(huán)境，采用三臺服務(wù)器：應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器、目錄服務(wù)器，操作系統(tǒng)全部采用32位Win

40、dows Server 2003 SP2簡體中文企業(yè)版。Windchill系統(tǒng)安裝最新版Windchill 9.1 M060，安裝文件采用從PTC網(wǎng)站下載的最新安裝包文件。數(shù)據(jù)庫安裝最新版32位 Oracle Database 11g Release 2 。安裝完成后，Windchill系統(tǒng)正常使用，創(chuàng)建用戶，新建產(chǎn)品，上傳文檔成功；Pro/E中新建零件并檢入成功；AutoCAD中新建圖紙并檢入成功。2、 加密環(huán)境：加密服務(wù)器一臺：操作系統(tǒng)：32位Windows Server 2003 SP2 簡體中文企業(yè)版如果需要數(shù)據(jù)庫，則安裝SQL Server2000 企業(yè)版+SP4加密網(wǎng)關(guān)服務(wù)器一臺：

41、操作系統(tǒng)：32位Windows Server 2003 SP2簡體中文企業(yè)版加密客戶端若干：操作系統(tǒng)：32位 Windows XP SP3簡體中文專業(yè)版3、 工作環(huán)境：加密客戶端系統(tǒng)中安裝Windchill運行環(huán)境：從網(wǎng)站下載最新的JAVA運行環(huán)境Java Runtime Environment (JRE) 6.0 Update 24。CAD集成組件：通過測試Windchill環(huán)境下載安裝的Windchill WorkGroup Manager。設(shè)計軟件：從PTC網(wǎng)站下載最新版PRO/E軟件，Pro/ENGINEER Wildfire 5.0 M060，通過網(wǎng)絡(luò)下載的AUTOCAD 2010版

42、。4、 網(wǎng)絡(luò)環(huán)境：所有的測試環(huán)境都部署在虛擬機中，所有計算機運行環(huán)境安裝好之后均做好系統(tǒng)快照，設(shè)為初始環(huán)境狀態(tài)，每個加密軟件測試前均恢復系統(tǒng)快照到環(huán)境初始狀態(tài)；Windchill環(huán)境采用獨立的網(wǎng)絡(luò)，地址段采用172.16.0.X，該地址段為虛擬機中的虛擬網(wǎng)絡(luò)，實際網(wǎng)絡(luò)環(huán)境中的計算機訪問不到該網(wǎng)絡(luò)中的服務(wù)器，Windchill應(yīng)用服務(wù)器分配兩塊網(wǎng)卡，一塊連接Windchill環(huán)境（地址：2），一塊連接實際網(wǎng)絡(luò)環(huán)境（地址：07）；加密環(huán)境的計算機分配實際網(wǎng)絡(luò)環(huán)境的地址192.168.12.X。五、 測試項目本次測試主要測試加密軟件與PDM系統(tǒng)的兼容性，測

43、試加密軟件能否實現(xiàn)我們要求的目標，即：PDM服務(wù)器不加密，明文存儲；客戶端加密存儲，從服務(wù)器下載過來的文件全部加密；未安裝加密客戶端的電腦不能訪問PDM系統(tǒng)。主要測試項目有如下幾個：1. 加密系統(tǒng)部署的便捷性，包括服務(wù)器端設(shè)置和客戶端設(shè)置2. 客戶端文件的操作：主要是新建、修改和復制、粘貼。查看文件是否被加密，打開是否正常，復制到其他電腦上是否是密文，通過WinPE系統(tǒng)引導，查看文件脫離加密環(huán)境是否能打開。3. PDM系統(tǒng)文檔的操作：文檔的上傳和下載。查看文件上傳后是否是明文保存，下載后是否是加密保存，通過瀏覽器是否能直接打開。4. PDM系統(tǒng)的維護操作：主要包括用戶的操作，存儲庫的操作等等。

44、查看PDM系統(tǒng)是否正常使用。5. PRO/E系統(tǒng)集成。查看與PRO/E系統(tǒng)是否能夠集成，本地工作區(qū)的文件是否加密，用PRO/E新建零件，是否能夠上載和檢入，對檢出保存到本地工作區(qū)的圖紙是否加密，工作區(qū)的零件是否能夠直接打開。6. AUTOCAD系統(tǒng)集成。查看與AUTOCAD系統(tǒng)是否能夠集成，本地工作區(qū)的文件是否加密，用AutoCAD新建圖紙，是否能夠上載和檢入，對檢出保存到本地工作區(qū)的圖紙是否加密，工作區(qū)的圖紙是否能夠直接打開。7. PDM縮略圖測試。查看PDM系統(tǒng)的縮略圖功能是否正常，用Product View能否正常查看三維圖紙和二維圖紙。8. 未安裝加密客戶端的電腦是否能訪問PDM系統(tǒng)。

45、六、 測試過程1、 億賽通億賽通加密系統(tǒng)由本地的代理商會同北京總部的技術(shù)人員上門來進行安裝和調(diào)試。首先安裝的是文檔透明加密系統(tǒng)，服務(wù)器的安裝比較簡單，首先安裝SQL Server數(shù)據(jù)庫，然后安裝服務(wù)端，安裝完成啟動服務(wù)即可。億賽通加密系統(tǒng)采用B/S架構(gòu)來進行管理和配置，在任意一臺能連接到加密服務(wù)器的電腦上打開IE瀏覽器，輸入加密服務(wù)器的IP地址即可打開服務(wù)器端的配置界面，如圖1，通過配置界面首先添加系統(tǒng)的使用用戶，每個客戶端使用一個用戶名密碼進行登錄，本次測試添加了四個測試用戶。用戶添加完后再配置加密策略，在策略管理里面添加需要控制的應(yīng)用程序的進程名和需要控制的文件類型以及加密類型。客戶端安裝

46、，在客戶端電腦上安裝加密客戶端軟件，在安裝過程中在提示輸入服務(wù)器地址時輸入加密服務(wù)器的IP地址，安裝完畢后系統(tǒng)重啟。重啟后需要登錄加密系統(tǒng)才能正常進行加解密操作，登錄界面如圖2，首次登錄后需要先修改默認密碼。登錄成功后系統(tǒng)右下角會有客戶端圖標如圖3。在只安裝文檔加密系統(tǒng)的情況下，所有上傳到PDM系統(tǒng)的文件都是密文的，通過PRO/E檢入的零件也都是加密過的，縮略圖不能查看；在裝有加密客戶端的電腦上可以正常使用加密過的文檔，服務(wù)器上保存的都是密文文件。廠家技術(shù)人員稱如果想要實現(xiàn)我們想要的功能需要配合文檔加密安全網(wǎng)關(guān)，通過這個網(wǎng)關(guān)來實現(xiàn)客戶端的準入控制和文檔的加解密操作。億賽通的這款網(wǎng)關(guān)是硬件網(wǎng)關(guān)，

47、目前還沒有圖形化配置界面，因此配置起來技術(shù)要求較高，通過廠家技術(shù)人員對Windchill系統(tǒng)運行的分析，將網(wǎng)關(guān)配置好后進行測試。添加網(wǎng)關(guān)后，Windchill應(yīng)用服務(wù)器只需保留一塊物理網(wǎng)卡即可，只保留Windchill虛擬環(huán)境的網(wǎng)卡（地址2），加密網(wǎng)關(guān)上有一個網(wǎng)卡連接到Windchill虛擬環(huán)境（地址分配172.16.0.X）；這樣，所有需要訪問PDM系統(tǒng)的電腦就都需要經(jīng)過億賽通的加密網(wǎng)關(guān)了。（圖1）（圖2）（圖3）配置好準入策略后，未安裝加密客戶端的電腦訪問PDM系統(tǒng)將會提示打不開網(wǎng)頁，設(shè)計軟件也不能與Windchill系統(tǒng)通信，也就是網(wǎng)關(guān)隔離了未安裝加密客戶端電腦對PD

48、M系統(tǒng)的訪問請求。安裝了加密客戶端的電腦能正常訪問PDM系統(tǒng)，各種操作均正常，上傳文件正常，到服務(wù)器上查看上傳的文件，確認是明文存放，客戶端從PDM系統(tǒng)下載文件，打開正常，保存到本地后是加密存放的。因時間有限（廠家人員要帶測試機去其他地方），同時也是因為測試目標剛剛有了清晰的輪廓，測試項目還未完全確定，所以億賽通網(wǎng)關(guān)并未測試與設(shè)計軟件的集成，但根據(jù)其工作原理和模式可以大致斷定其與設(shè)計軟件的集成并無太大問題。后期廠家研發(fā)出軟件版的網(wǎng)關(guān)，并到我公司進行安裝試用，軟件版網(wǎng)關(guān)需安裝在運行Linux系統(tǒng)的PC機或服務(wù)器上，實現(xiàn)功能和硬件網(wǎng)關(guān)一樣。安裝和調(diào)試都是在Linux的命令行模式下進行，廠家技術(shù)人員

49、調(diào)試了2天，終于將測試項目全部通過。2、 明朝萬達明朝萬達加密系統(tǒng)的測試也是本地的代理商會同北京的技術(shù)人員上門來進行安裝和調(diào)試。服務(wù)器端安裝比較簡單，按照提示一步一步進行即可，安裝完畢系統(tǒng)需要重啟。重啟后再安裝系統(tǒng)控制臺。通過控制臺才能對系統(tǒng)進行配置?？刂婆_打開后如圖4，（圖4）根據(jù)我們對加密的要求，明朝萬達有3種解決辦法：一種是虛擬安全域（VCN），一種是切換工作模式（），一種是可信服務(wù)器，前兩種都需要有網(wǎng)關(guān)的配合，最后一種不需網(wǎng)關(guān)，但需要在PDM應(yīng)用服務(wù)器上添加一個檢測明朝萬達客戶端的小插件。我們只測試了前兩種實現(xiàn)方式，第三種因為其發(fā)給我們的插件是基于IIS服務(wù)的，而Windchill是基

50、于Apache服務(wù)的，所以并不適用。客戶端安裝只需在客戶端執(zhí)行客戶端安裝文件，安裝過程中需指定加密服務(wù)器的IP地址，安裝完畢重啟客戶端。重啟后登陸加密系統(tǒng)，登陸界面如圖5，登陸成功后，桌面右下角會有提示，如圖6。（圖5）（圖6）因為明朝萬達是基于磁盤來加密的，所以需要轉(zhuǎn)換磁盤成加密磁盤，磁盤轉(zhuǎn)換后用其他系統(tǒng)進入后該磁盤就是不可用狀態(tài)。網(wǎng)關(guān)安裝，本次測試采用的是軟網(wǎng)關(guān)，明朝萬達也有相應(yīng)的硬件網(wǎng)關(guān)。軟網(wǎng)關(guān)需要安裝在需要保護的服務(wù)器上面，本次測試將軟網(wǎng)關(guān)安裝在PDM應(yīng)用服務(wù)器上，安裝過程比較簡單，只需在安裝過程中指定加密服務(wù)器的IP地址就可以。其硬件網(wǎng)關(guān)是獨立部署的，只需把硬件網(wǎng)關(guān)架設(shè)在需要保護的服

51、務(wù)器前端就可以。加密環(huán)境搭建好之后，開始測試。首先測試工作模式轉(zhuǎn)換的方式?？蛻舳说顷懞笕绻贿M入加密模式，不能訪問PDM服務(wù)器，可以訪問公共服務(wù)器；進入加密模式后，可以訪問PDM服務(wù)器，但不能訪問任何其他的電腦，其他的電腦也訪問不到它。因PDM系統(tǒng)在安全網(wǎng)關(guān)之后，其他沒安裝加密客戶端和沒進入加密模式的電腦都不能訪問PDM服務(wù)器。對系統(tǒng)進行上傳下載操作沒有問題，上傳到PDM服務(wù)器的文件也是明文保存的；用PRO/E和AUTOCAD與PDM集成進行設(shè)計，檢入檢出操作正常，Windchill系統(tǒng)操作也一切正常。接下來測試虛擬安全域方式。將PDM服務(wù)器和加密客戶端劃入到一個安全域中，加密客戶端可以正常訪

52、問PDM系統(tǒng)，各種操作都正常，其他沒安裝加密客戶端的電腦不能訪問PDM服務(wù)器。測試用WinPE引導加密客戶端，引導后不能訪問經(jīng)過加密轉(zhuǎn)換過的磁盤，嘗試將加密轉(zhuǎn)換過的磁盤進行格式化，然后再將此硬盤掛到未安裝加密客戶端的電腦里，通過數(shù)據(jù)反刪除軟件進行數(shù)據(jù)恢復，成功恢復了格式化之前保存在硬盤上的“加密”數(shù)據(jù)。再次進入加密客戶端，用加密格式化方式格式化工作盤，但不能格式化系統(tǒng)盤，系統(tǒng)盤只能進行加密轉(zhuǎn)換，格式化完成后拷貝數(shù)據(jù)到加密盤里面，再次用WinPE引導或者直接將硬盤掛接到未安裝加密客戶端的電腦里進行格式化后再數(shù)據(jù)恢復，結(jié)果是不能恢復數(shù)據(jù)。Windchill系統(tǒng)與設(shè)計軟件集成后本地的工作區(qū)是存放在系

53、統(tǒng)盤下面的，而明朝萬達加密系統(tǒng)是不能對系統(tǒng)盤進行加密格式化的，其正式版可以對系統(tǒng)盤進行加密轉(zhuǎn)換，但加密轉(zhuǎn)換后雖然在其他系統(tǒng)（比如WinPE）下不能使用該磁盤，但通過先將加密磁盤格式化后再進行數(shù)據(jù)恢復的方式就能將該磁盤上的數(shù)據(jù)進行恢復，其上保存的數(shù)據(jù)也就被非法獲取了，只有經(jīng)過加密格式化后的磁盤才不能被恢復。因此，從PDM系統(tǒng)里檢出到本地工作區(qū)的圖紙文件是能夠被泄密的，也就是保存在系統(tǒng)盤的數(shù)據(jù)是能夠被泄密的。3、 山麗山麗防水墻系統(tǒng)是由廠家的技術(shù)人員上門來進行安裝測試的。系統(tǒng)的安裝非常簡單，安裝過程中自動安裝MySql數(shù)據(jù)庫。安裝完畢打開控制臺，如圖7，首先分配登錄用戶，并對用戶進行授權(quán)。（圖7）

54、加密客戶端安裝的安裝也很簡單，只需在需要安裝客戶端的電腦上執(zhí)行客戶端安裝程序即可，安裝過程中需要指定加密服務(wù)器的IP地址，安裝完畢系統(tǒng)重啟。重啟后運行客戶端程序，進行系統(tǒng)登錄，如圖8，登陸后系統(tǒng)右下角會有圖標提示，如圖9，（圖9）（圖8）客戶端安裝完后需要到控制臺處對客戶端計算機進行授權(quán)、環(huán)境指定以及加密設(shè)定。山麗防水墻的默認加密是全盤加密，不區(qū)分文件類型，只要是保存到硬盤上的文件就進行加密，也可設(shè)定指定文件夾加密、指定文件夾不加密、指定進程加密、不加密等等。但山麗防水墻如果要實現(xiàn)我們想要達到的目的需要在PDM應(yīng)用服務(wù)器上也安裝加密客戶端，才能起到加密準入和明文保存的效果。我們在PDM應(yīng)用服務(wù)

55、器上也安裝了加密客戶端，設(shè)置為不加密，開始進行PDM系統(tǒng)的測試。訪問準入測試：在PDM應(yīng)用服務(wù)器不安裝加密客戶端的時候，所有內(nèi)網(wǎng)的計算機都能訪問PDM服務(wù)器，進入Windchill系統(tǒng)。在PDM應(yīng)用服務(wù)器上安裝加密客戶端并設(shè)置好策略之后，只有安裝了加密客戶端的電腦才能訪問PDM應(yīng)用服務(wù)器，其他電腦不能訪問。文件上傳測試：這個地方有個比較有意思的現(xiàn)象，PDM應(yīng)用服務(wù)器安裝了加密客戶端時，通過安裝了加密客戶端的電腦上傳的文件保存都是明文的；但PDM應(yīng)用服務(wù)器沒安裝加密客戶端時，在安裝了加密客戶端的電腦上，如果啟動后沒登陸加密系統(tǒng)，訪問PDM時上傳的文件是密文保存的，如果登錄了加密系統(tǒng)，再訪問PDM

56、系統(tǒng)上傳文件時卻是明文保存的，但通過其他的上傳系統(tǒng)上傳到其他服務(wù)器上時卻是密文的。設(shè)計軟件集成測試：在安裝了加密客戶端之后，設(shè)計軟件的集成運行正常，本地工作區(qū)的文件也都是加密的，檢入檢出操作正常，檢出到本地工作區(qū)的圖紙都是加密的。與文件上傳同樣的問題存在： PDM應(yīng)用服務(wù)器即使沒有安裝加密客戶端，通過設(shè)計軟件保存到服務(wù)器上的圖紙文件也都是明文的。PDM應(yīng)用服務(wù)器上安裝加密客戶端后，縮略圖功能使用正常。不管PDM應(yīng)用服務(wù)器裝不裝加密客戶端，安裝了加密客戶端的電腦上傳或檢入服務(wù)器的文件都是明文保存的，這個問題已經(jīng)向廠家技術(shù)人員進行了反映，如果是對JAVA上傳組件控制有問題的話，就有可能通過其他系統(tǒng)的JAVA上傳組件將圖紙上傳到其他地方從而造成泄密。4、 華途華途加密軟件是由廠家的客戶經(jīng)理會同其技術(shù)人員上門來進行安裝測試的。服務(wù)器端安裝首先安裝IIS和SQL 2000數(shù)據(jù)庫，然后安裝服務(wù)器端。其服務(wù)器端的配置是