主流国产加密软件测试报告

1、加密软件测试报告2011.6一、 前言随着我公司PDM项目的实施，将会大大提高公司的研发效率和水平，同时也会产生大量的图纸、技术文档等资料，这些资料对公司来说就是命脉，是我们的竞争砝码，如果这些资料被非法流出，将会对我公司造成重大的损失，甚至会使某些新产品的研制计划夭折，因此加强对图文档的保密就变得非常重要了。而目前信息网络又无处不在，公司的电脑也没有做加强的防护，因此现在的泄密途径很多，比如用笔记本电脑、U盘、USB硬盘等移动存储设备就可以将图纸全部拷贝带出，或者用邮件也可以将资料外送，或者通过互联网都可以将资料发送到外部。除了研发资料外，公司其他一些资料也是机密的，比如我们的财务报表、供应

2、商资料、客户资料、项目资料、成本及价格资料等等都是需要保密的。近几年，因为企业机密被泄露而导致严重损失的例子经常见诸报端、网络，所以很多公司都已经开始部署加密软件来保护内部的重要资料，通过把机密文件进行加密存储，即使文件被拷贝带出了，离开了原公司的加密环境是不能打开的。为提升信息管理水准，保障机密电子文档的安全，我公司也应部署一套文档安全管理系统，使公司内部的文档安全可靠，管理规范。而为了保证重要信息的安全，需要在内部和外部的边界处建立起一道可靠的文档信息安全防线，以使这些重要的数据信息自由流动的范围仅限制在公司内部。二、 测试说明我公司部署的PDM系统是PTC的Windchill系统，是基于

3、JAVA的B/S架构模式，本次测试主要测试加密软件与Windchill系统的兼容。经过与PDM的实施工程师交流和实际加密的简单测试，最终确定PDM系统的加密原则：PDM服务器不进行加密，访问PDM系统的客户端进行加密，不装客户端的电脑不允许访问PDM系统。PDM服务器不进行加密是因为Windchill系统里面有些功能与加密不兼容，如果服务器上存储的文档进行了加密，Windchill的有些功能将不能使用，比如缩略图功能，另外还考虑万一加密出现问题后，服务器上的文档将面临失效的危险，因此确定服务器上不进行加密；客户端进行加密，凡是从PDM系统上下载下来的文档都进行加密存储，用设计软件绘制的图纸进行

4、加密存储，检入到PDM系统时进行解密；上传到PDM系统的文档自动进行解密；因为PDM服务器是明文存储的，所以要对访问进行控制，不允许没安装加密客户端的电脑进行访问。三、 参测公司及产品介绍（以下内容均摘自各自的官网）目前市面上加密类软件众多，我们不可能全部测试，只是选取了几个知名度比较高、业内名气比较大的软件进行测试。在加密技术上，有文档加密和磁盘加密两种，我们测试的这几款软件只有明朝万达采用的是磁盘加密技术，其余全部采用的是文档加密技术。顾名思义，文档加密就是仅仅对保存在磁盘上的特定文档进行加密，不改变物理硬盘的信息，也不影响其他的使用，脱离了加密环境，仅仅只是被加密过的文件不能使用；磁盘加

5、密就是通过对物理磁盘进行加密，保存在磁盘上的文件都是明文存放，但是脱离了加密环境后整个磁盘就不可用了。1、 亿赛通（）公司介绍：北京亿赛通科技发展有限责任公司成立于2003年1月，注册资金1100万元，总部位于北京中关村科技园，是“国家高新技术企业”、“双软认证企业”。公司立足于信息安全行业，专业从事数据泄露防护（DLP）产品研究、开发、生产和销售，其产品均具有完全自主知识产权。并通过国家密码管理局、国家保密局、公安部和军队等国家相关管理部门及权威机构的测评和认证，获得“国家商用密码生产定点单位”资质和“国家商用密码销售许可证”，是唯一一家由国家密码管理局颁发文档安全产品型号的企业。核心优势：

6、u 完全自主知识产权坚持自主研发与国际合作相结合的技术创新和产品开发路线，拥有旗下所有产品的自主知识产权u 超强技术和产品创新能力国际领先驱动层智能动态加解密技术、磁盘全盘加密技术、文档安全网关技术等 文档安全管理系统CDG是国内第一套文档加密产品 磁盘全盘加密系统DiskSec是国内唯一的全磁盘加密(FDE)软件 文档安全网关系统FileNetSec是目前唯一的防止数据泄露的安全网关u 精英研发和咨询团队以清华IT专家、北航软件精英、海外归国学者为主体的产品研发团队，丰厚的技术储备和强大的研发能力，在数据泄露防护领域独领风骚 以知名信息安全专家和大企业集团CIO为核心的信息安全咨询团队，深度

7、掌握国内用户信息安全需求u 重量级渠道和战略合作伙伴在全国拥有信息安全产品代理商、大型系统集成商、著名软件销售商等各领域代理商，覆盖全国所有重点区域，实现售前、售中和售后的技术服务体系本地化 携手华为、IBM、Entrust、中软等国际国内知名信息安全巨头为首的战略合作伙伴，共同提升产品品质、开拓全球市场u 超大型客户应用中国移动集团部署近10万终端，是中国最大的文档安全产品应用项目 中国某军种全军部署10万余台笔记本电脑和PC机 外交部、解放军二炮、酒泉卫星发射中心、一汽集团、比亚迪集团、国人通信、正泰集团、宇龙通信、中信证券、中集集团等每个项目终端数量均达千点至万点参测软件介绍：本次测试测

8、试的是亿赛通公司的文档透明加密系统DLP-SmartSEC和文档加密安全网关DLP-FileNetSEC。亿赛通SmartSec（文档透明加密系统）是一款功能强大且易于使用的文档加密软件产品，该系统采用“驱动级透明动态加解密技术”对指定类型的文件进行实时、强制、透明的加解密。在正常使用时，计算机内存中的文件是以受保护的明文形式存放，但硬盘上保存的数据却处于加密状态，如果没有合法的使用身份、访问权限和正确的安全通道，所有加密文件都将以密文状态保存。同时通过安全网关将需要保护的服务器进行隔离保护，所有从服务器读取的文档在通过网关时都将被加密，从客户端传到服务器上的文档再通过网关时都将被解密，以明文

9、形式存放在服务器上。产品的功能特性:u 智能透明加密系统采用国际先进的高强度加密算法进行文档加密，加解密过程智能透明，不会改变用户的任何操作习惯，也不改变原有信息的格式和状态。同时，系统还具备严格的进程签名机制，能够准确识别未经授权的非法进程，大幅降低了数据泄露的风险。u 超强文档保护文档被强制加密后，只有具备相应密钥的用户才能正常打开，但却无法通过复制粘贴、拷屏拖拽、打印另存等方式窃取文档信息；在密钥不匹配的情况下，文档打开后将以乱码形式呈现，无论通过何种非法途径均无法读取文档内容。u 细粒度权限管理系统具备完善的权限管理机制，授权方式相当灵活，可设定不同用户的只读、修改、复制、打印等权限，

10、文件作者还可将部分文档管理权限授予用户。另外，作者可以根据需要设定文档的使用时间和打开次数，实现对文档权限更为全面精准的控制。u 完善的CDG控制体系系统拥有一套先进完善的CDG控制体系，每个用户都设有CDG收件箱、发件箱、还原箱，方便对权限文档的使用和管理。用户还可以通过在线申请的方式向作者申请文档权限，申请和审批流程相当简单。同时考虑到CDG文档离线使用的问题，系统还可生成离线权限文件，并且可以设定文件的打开次数和使用时长。u 终端离线办公系统可通过服务器设置终端离线，终端离线时需要提出离线申请，经管理员批准后才能正常离线使用。管理员可灵活设置终端离线时限，若终端在脱机超过规定时限后还需要

11、继续使用，可使用管理员提供的补时码完成离线补时。u 工作模式切换系统允许特定用户在特定时间段内进行“工作模式”和“个人模式”的切换，在个人模式下，系统将进入冻结状态，停止一切加解密控制行为。此功能提高了系统的灵活性和可用性，对家庭办公或临时加班能够提供有效支持。产品优势u 良好的兼容性系统具备良好的兼容性，能够与企业工作域无缝集成，支持用户信息自动同步。并且系统兼容目前主流的操作系统和杀毒软件，支持对所有格式的文件进行加密，方便企业后续的需求升级和应用拓展。系统只需通过简单的策略配置就能满足企业所有应用需求，具备极强的扩展性，为企业的安全个性需求提供了有力的保障。u 高度的安全性在安全性方面，

12、系统采用“驱动级终端保护技术”，对终端程序安装目录、常驻进程以及注册表等进行安全保护，防止用户恶意破坏终端运维服务和配置环境。客户端的卸载必须通过严格的认证机制，一旦有用户通过非法手段强制移除或终止客户端，加密终端驱动将自动转入安全自保护模式，系统进入只加密、不解密的安全保护状态，有效确保所有加密文档的存储和使用安全。同时系统还支持服务器统一下发安全补丁，实现客户端的自动更新，及时修复可能存在的安全漏洞，加强数据安全防护力度。u 权限动态控制系统支持动态文档权限控制，持久保护文档安全，作者可以实时更改和回收文档权限，实现对权限的动态控制。只有经过授权的用户才能在授权范围内使用机密文件，在没有任

13、何权限的情况下无法打开文档。CDG服务器集中保存文档权限，客户端只存放加密内容，服务器与客户端之间没有过多的内容交换，通过https建立安全连接仅仅是传输身份认证及权限信息，在保障系统高度安全的同时实现对文档权限的实时控制。因为权限是保存在服务器上的，所以修改后可以马上生效，避免出现权限无法回收的情况，真正做到文档权限的高度实时可控。u 灵活的策略配置系统配备强大的策略库，用户可根据业务需求进行编辑，策略配置也相当灵活简单，企业可以针不同部门的实际情况配置特定的安全策略，多样的策略组合方式使得企业在策略配置上拥有更多选择，能够同时满足不同部门的安全需求。u 系统简单易用CDG文档安全管理系统采

14、用了众多人性化的设计，界面友好、设计合理，管理操作相当简单，极大的降低了用户的工作量。并且系统支持多种方式制作CDG文档，可以右键菜单选择制作，也可通过web登陆在线制作，更有极为方便快捷的权限策略模板制作方式。u 强大的安全保障系统具有双机热备功能，如果服务器出现故障停止运行，则备份服务器能立即接管，同时系统还具备容灾机制和数据库备份还原功能，能够有效应对可能出现的各种特殊情况，最大程度保障系统稳定可靠运行。在系统设计过程中，我们遵循“三权分立”的基本原则：将系统管理权限、文档管理权限、日志管理权限分别分配给不同的管理员，各管理员之间相互制约，可以避免因权限过于集中而造成的数据泄露现象。u

15、详细的日志审计所有用户（包括管理员在内）的任何操作，系统将自动监控、跟踪并进行记录，通过日志审计功能，管理员可以随时查看系统运行情况，能够及时发现一些异常操作，从根本上降低数据泄露的风险。2、 山丽网安()公司介绍：1999年专注于世界信息安全发展趋势，潜心研究新型信息安全产品和解决方案，2003年入住浦东张江高科技园区863国家信息安全基地，上海山丽信息安全有限公司（Shanghai Sanlen Information Security Co；Ltd.）致力于成为世界范围内信息安全领域的领导厂商。 中国计算机协会信息防护分会常务理事单位，上海市信息安全行业协会理事单位，2003年又凭借其在

16、信息化领域的卓越理念和社会意识，被评为上海信息化理事会常务理事单位。2005年被评为首届中国信息安全产业十大创新企业之一。2005年企业通过软件能力成熟度CMM3级评估。2005年公司产品成为上海市政府2006-08信息安全产品定点采购项目。上海山丽信息安全有限公司不断迈上快速发展的道路。 公司目前推出的安全产品包括：防病毒、防火墙、防水墙、数字版权、动态口令、防盗号、网络监控、网络加速、安全审计、信息安全管理体系（ISMS）建设，涉及信息设施安全、互联网络安全、信息内容安全、移动设备安全、移动通讯安全等多个领域。参测软件介绍：本次测试测试的是山丽公司的山丽防水墙数据防泄漏系统。山丽防水墙系统

17、是一款基于“环境指纹”的信息安全软件管理系统, 用于企业内部终端管理和数据文档管理，通过终端、数据双对象的管理方法，实现机密信息资料的防泄漏、防拷贝、防未授权访问等安全维护和管理，提供为商业及其他核心机密应用环境构建强大而实用的安全防线和数据信息保护策略。终端管理上，通过管理外设、端口、程序使用、IT资产审计等软硬件的手段，实现对终端设备的实时管理，如同“档案室”、“保险柜”的硬件管理，达到“七分管理、三分技术”中“七分管理”的技术实现。毕竟，在计算机资源的管理手段上，管理的实现也必须使用“计算机”的管理手段，而不能脱离实际采用传统的管理手段进行管理。数据管理上，通过管理数据本身，依赖BLP数

18、据控制模型和DLM数据生命周期模型结合，真正实现对最有价值资产的管理，如同档案室和保险柜中的“档案”管理，达到了“七分管理、三分技术”中“三分技术”的技术实现。脱离了技术本质的安全管理形同虚设，虚实结合才是管理的终极解决方案。数据管理上，在授权环境中，当不同用户对控制文件进行访问时，可控制用户对文件的使用权限，并实时跟踪不同用户对此文件的操作情况并且记录在案，使之不被非法入侵、外传、破坏及拷贝。根据具体的应用，系统中的管理员可以在局域网中架设特定授权环境，或者在互联网架设自己的特定授权环境。在授权环境中，机密文件的访问，可以通过文件共享、HTTP、FTP等协议或者任何其它不受约束的介质摆渡来访

19、问。每个授权环境都具有独一无二的特征，这个特征能够为本软件系统鉴别，在不同的授权环境中的文件不能互换使用。这种被控制的文件，在山丽防水墙系统模块下，和任何文件格式无关，这区别于其它任何国内国际同类软件系统。在文档控制的方法上，防水墙采用了透明加解密的方法，并采用了对称算法和非对称算法共同保护文档安全，其中对称算法分商密算法和普密算法两种版本，满足国家规定的信息强制涉密和非强制涉密不同组织和单位的需求，满足国家关于等级保护、分级保护的规范管理。3、 明朝万达(www.wonder-)明朝万达是参测软件中唯一一款采用磁盘加密技术的厂家。公司介绍：北京明朝万达科技有限公司是国家级高新技术企业和国家级

20、软件企业，目前拥有国内最大的内网安全和数据保密专业技术团队，是中国领先的内网安全产品与数据保密产品厂商。作为一个专业的网络安全和信息安全产品研发、生产和销售单位，明朝万达建立了一支以清华大学博士和硕士为骨干力量的核心团队，致力于解决国家政府、军队和各类企业面临的内网安全管理、信息保密、分级防护和数字知识产权保护问题，为客户提供整体的内网安全解决方案和服务。作为国内内网安全市场的倡导者和领先者，明朝万达立足于内网安全市场，加强技术创新，成功推出ChinasecTM（安元TM）可信网络安全平台，在平台的基础上开发出ChinasecTM（安元TM）可信网络认证系统（TIS）、ChinasecTM（安

21、元TM）可信网络保密系统（VCN）、ChinasecTM（安元TM）可信网络监控系统（MGT）、ChinasecTM（安元TM）可信数据管理系统(DMS)、ChinasecTM（安元TM）可信移动存储设备管理系统(RSM)和ChinasecTM（安元TM）可信应用保护系统（APS），针对内部网络的用户身份和计算机管理、数据信息保密、数字知识产权保护以及网络状况监控维护等安全问题提出了整体的解决方案。北京明朝万达科技有限公司历经5年的发展和积累，产品日臻成熟，市场逐步扩大。目前，Chiansec TM（安元TM）系列安全产品已经成功应用于国家部委、军队、军工集团、设计院所和制造、通信、金融等领域

22、的500强企业，切实有效的帮助客户保护价值数据、提升管理绩效，让IT系统真正服务于用户，推动了用户业务发展。Chinasec（安元）产品历经市场淬炼和各大企业的应用检验，已成为国内数据保密领域市场占有率最高的产品，Chinasec也成为了内网安全与数据保密领域的第一品牌。参测软件介绍：本次测试测试的是明朝万达公司的Chinasec（安元）可信网络安全平台。Chinasec（安元）可信网络安全平台是一款基于内网安全和可信计算理论研发的安全管理产品，以密码技术为支撑，以数据安全为核心，以身份认证为基础，可灵活全面地定制并实施安全策略，实现对内网中用户、计算机和信息的安全管理，达到有效的用户身份管理

23、、计算机设备管理、数据安全保密存储和防止机密信息泄漏等目标。 Chinasec（安元）可信网络安全平台采用C/S模式，由四个系统组成，分别是Chinasec（安元）可信网络认证系统、Chinasec（安元）可信网络保密系统、Chinasec（安元）可信数据管理系统和Chinasec（安元）可信网络监控系统。这四个系统既可以单独使用，也可以联合使用，非常方便，根据用户的需要进行灵活的组合。 Chinasec（安元）可信网络安全平台四个系统的联合使用，通过主动加密、事前控制、事中监视、事后审计四种手段相结合，可以达到外部入侵进不来、非法外接出不去、内外勾结拿不走、拿走东西看不懂的效果，有效防止机密

24、敏感信息的泄漏。u Chinasec（安元）可信网络保密系统（VCN）主要用于构造内网保密网络，对网络传输和存储设备两个主要途径进行有效控制和管理。根据单位需要，VCN系统可以将内网划分为一个或者多个保密子网（VCN），同一个保密子网内部的计算机可以实现相互自由的数据交换（通过网络或者存储设备），不在同一个保密子网内部的计算机相互之间不能进行正常的数据交换，除非获得管理员的授权。通过保密子网的划分，可以在保障网络统一维护的前提下，对单位内部不同职能部门实现有效的数据隔离，例如财务部和其他部门独立开来，增加内网安全级别，降低安全风险。通过保密子网，还可以有效防止非法外连或者非法接入。非法外连不管

25、是基于Modem、ADSL拨号或者双网卡，都能够有效防止；非法接入不管是通过交换机接入或者通过网线将两台计算机直连，也都能够有效防止。不同保密子网（VCN）之间可以设定信任关系，从而允许他们的计算机之间进行数据交换。u Chinasec（安元）可信数据管理系统（DMS）通过不同工作模式的切换，实现了数字知识产权保密和互联网资料获取使用兼容的效果。在DMS部署的时候，要求所有需要保密的数字知识产权都存放在集中的文件服务器或者应用服务器中。Ø 普通模式部署了DMS系统的计算机，如果不登录或者登录后没有进入任何一个工作模式，则处于普通模式下。在普通模式下，该计算机除了不能接入到安全服务器区

26、（安全网关之后）的所有业务应用服务器和文件服务器，没有其他任何限制，可以接入到外网，下载数据或者进行通信。Ø 工作模式 用户登录DMS系统并切换到工作模式后，就进入工作模式。在工作模式下，DMS系统自动切断所在终端跟所有非受控网络的连接（如外网、内网其他非同一模式下的计算机和其他管理员没有设置权限访问的服务器），只根据管理员设置访问该工作模式指定的一些应用服务器和文件服务器。 进入工作模式后，默认情况下，DMS系统还将自动切断本地存储数据的路径，同时系统也构造一个虚拟的可信数据区，所有的数据只能存放在可信数据区中。一旦退出工作模式，该可信数据区立即消失。特殊情况下，管理员可以指定某种

27、工作模式开放本地存储限制，从而允许用户输出数据到存储设备中。 如果需要更严格的要求，管理员还可以设定某种工作模式禁用所有外设，即一旦用户进入该工作模式，所有外设输出端口都将禁用。 根据需要，DMS系统可以定义多个工作模式，并对不同的用户和计算机指定不同的工作模式，灵活适应单位内部的业务模式。4、 华途软件()公司介绍：杭州华途软件具有十多年的信息化领域开发经验，深厚的行业背景沉积，致力于为中国用户开发一整套能用、用得好的信息化产品。 公司主要产品：信息安全产品系列，企业即时通讯、协同设计产品等。公司发展历程1997 公司的核心团队从事CAD、CAPP、PDM等制造业信息化产品开发。 1999

28、公司开始介入AutoCAD文件加密，开发出专用加密软件。 2001 在专用加密软件的基础上，研发出DocGuarder单机版。 2004 开发企业文档加密系统DocGuarder网络版。 2005 与德国合作伙伴合作，并成功打入德国市场。 2006 整合加密产品、BigAnt协同软件等系统产品，开发了加密产品的协同版。 2007 通过了国家密码管理局计算机信息系统安全专用产品认证。 2008 通过了国家保密局涉密电子文档安全保密产品技术认证，并成功签约了上汽、南车、中远等大型国企。 2009 开始进军金融、军工、政府等企事业单位，并重点布局西部市场。参测软件介绍：本次测试测试的是华途软件的Do

29、cGuarder文档加密系统。华途文档加密系统是一个通用的企业文档智能加密软件。在公司内部，文档的操作一切正常，但是一旦离开公司，文档便无法打开。华途加密可以帮助企业有效防止用户通过电子邮件、移动硬盘、优盘、USB接口等途径泄密企业图纸，财务数据，招投标文件等重要文档，力保企业知识财产的安全。产品特点u 权威认证，品质保障 已通过公安部、保密局、密码管理局检测认证u 防范严密，无懈可击 能防范企业实际运作中的各种泄密风险与漏洞u 与文件格式无关通用的加密软件，适用所有的程序，如Office, CAD等 u 隐形透明，安全保密 用户原有操作习惯不改变，应用程序界面无变化u 集中管理，高效维护 所

30、有的管理集中在服务端进行，维护工作量小u 同步升级，最新应用 支持随应用软件升级同步更新软件控制列表u 双重守护，稳定可靠 提供备用加密锁和备用服务器的双重保障u 多年磨练，成熟可靠 系统已经历了四代产品发展，产品成熟可靠u 实践检验，用户作证 系统已经在上千家客户的几万台电脑上稳定运行多年，时刻守卫着无数机密资料5、 浙大大天()公司介绍：杭州浙大大天信息有限公司成立于1996年，是国内最早从事制造业信息化研发和服务的软件企业之一，是国家科技部指定的首批国家863CIMS系统集成和咨询公司。成立之初，依托浙江大学人工智能研究所的科研实力，推出著名的二维CADGS-iCAD二维智能化设计绘图系

31、统，以及三维CADGSCAD三维特征造型系统，奠定了在国内CAD领域的领先地位。在国产CAD历史上书写浓重的一笔，至今已拥有数千户。随后，大天又推出GSCAPP大天集成化工艺设计管理软件、GSEDM大天电子文档管理软件和GSPDM大天产品数据管理软件。这些软件在各类科技成果的评选中，获得众多的荣誉，成为国产软件的佼佼者。 伴随着中国制造业的转型，产品创新成为企业的主旋律。大天又推出产品全生命周期管理的GSPLM和图文档安全管理系统GSDES，为企业的创新设计提供高效的管理平台和强有力的信息安全保护。 十几年道路艰辛，十几年硕果累累。大天随着中国制造业的发展而成长，为了中国制造业的强大而努力。如

32、今的大天，客户遍布神州大地，产品融入各行各业。大天自豪自己的成长伴随中国的崛起，大天欣慰自己的努力换来客户的成功。参测软件介绍：本次测试测试的是大天公司的GS-DES 大天图文档安全管理系统。GS-DES 是大天公司GS系列软件的精品之一，是国家公安部指定的计算机信息系统专用安全产品。GS-DES汲取了ISO27001和ISO17799的信息安全管理思想，运用密码技术和访问控制技术并举的原理，遵循计算机信息安全保护等级标准，全面实施计算机图文档安全保护。GS-DES加密手段强，控制力度高，是保护用户知识产权和商业机密的有力“武器”和便捷工具。GS-DES 不影响用户现有的经营管理模式和计算机网

33、络环境，不影响或改变工作人员原有的操作习惯，着重体现“防范于未然”的理念，重点对计算机产生的各类图文档进行“后台”强制性加密和控制，使经过加密和控制的图文档始终处于安全保密状态，杜绝图文档被盗后的泄密。GE-DES简洁易学，无需培训，装机即用，完全符合国家相关计算机软件标准和要求。产品技术特点：Ø 无痕的加密机制GS-DES不改变计算机操作者原有工作习惯，采用隐蔽的方式对计算机产生的图文档进行自动和强制加密处理，经过加密的图文档在计算机操作系统中，不显示任何加密痕迹，仍保留文件的原有属性和文件格式。 创建即加密 打开即加密 复制即加密 保存即加密 转移即加密 拷屏即加密 删除即加密

34、下载即加密Ø 完备的环境管理 在ISO27001信息安全管理体系中，对信息的产生、使用、保存、删除等信息操作过程中，规定了非常严格的要求和规范。GS-DES严格按照ISO27001标准的理念，强调将信息安全的保护覆盖于事前防御、事中控制和事后追踪等信息安全保护全生命周期之中，杜绝一切可能产生信息泄露的渠道和漏洞，把信息安全控制在有效的范围内。 布局管理 角色管理 权限管理 软件管理 设备管理 密钥管理 日志管理Ø 可靠的安全性能 GS-DES是通过对图文档文件进行加密控制，达到图文档文件内容的保护。采取合理有效的加密密钥、文件加密、文件传输和环境防护等控制机制，建立全面和严

35、密的信息安全保护体系。 加密密钥控制机制 文件加密控制机制 文件传输控制机制 环境防护控制机制Ø 灵活的移动防护 便携式计算机的出现，解决了移动办公的需要，但也带来信息外泄的渠道。GS-DES通过给便携式计算机授权许可，使便携式计算机在移动办公中，信息得到有效的保护，杜绝了可能带来的信息泄露的问题。GS-DES提供软件许可、单机许可、断网许可等三种使用许可方式，分别授予便携式计算机的“离网”时间、“离网”期间、使用次数和无限制等四种使用策略，保障便携式计算机在移动办公过程中的信息安全。 断网使用许可 离网使用许可 移动使用许可Ø 细致的行为监督 防范于未然是信息安全保护的一

36、种境界。GS-DES通过网络，管理处于局域网环境下的各类终端计算机的运行状态，及时对各终端计算机的界面操作行为、文件操作行为以及即时通讯使用情况进行监控与管理。 文件操作监控 屏幕界面监控 系统运行监控 即时通讯监控Ø 紧密的系统集成 GS-DES具有较强的系统集成性，通过对GS-DES的有效配置，不但可实现与目前主流的桌面应用系统的紧密集成，如OFFICE系列、CAD系列、图像处理系列等，而且具有与大型的管理系统集成能力，包括OA、PDM、CPC、ERP等。目前，GS-DES已成功与LOTUS NOTES、国内外主流PDM、ERP和基于WEB的OA、CPC等大型管理系统集成的案例。

37、 与CAD软件集成 与CAPP软件集成 与OFFICE软件集成 与PDM系统集成 与ERP系统集成 与MIS系统集成 与CPC系统集成 与PLM系统集成 与OA系统集成 与MAIL系统集成6、 大成天下（公司介绍：大成天下信息技术有限公司（简称大成天下）成立于2005年2月，公司总部设于中国深圳南山科技园，面向全国乃至全球用户提供高效、实用、稳定的桌面与内容安全产品。 2008年开始，在公司高层的带领下，大成天下逐渐由一支研发型团队向一个更成熟的创新型平台过渡，形成了由市场、研究、产品、研发、销售等团队组成的创新型产品经营团队。参测软件介绍： 铁卷电子文档安全系统是对各企事业单位的电子文档和数

38、据提供整体安全的解决方案，铁卷电子文档安全解决方案解决了用户对重要资料保护的主要顾虑，其特点是： 强制加密、透明加解密、设备无关、网络无关、管理方便、应用灵活。除了阻止常规数据泄密外，在以下几个方面处于业界领先地位： A、防主动泄密 铁卷摒弃大多数解决方案只是从防止外设、网络传输控制权限等入手，牺牲了资产的可用性。铁卷电子文档安全系统防止高级用户利用特殊传输方式绕过限制，有效的防止主动泄密。 B、为创建、存储、使用和传输过程中的电子文档提供全方位防护 大多数解决方案只能在电子文档生命周期的一个阶段提供防护，并不能提供全方位的防护。铁卷电子文档安全系统在创建、存储、使用和传输过程中提供全方位防护

39、，铁卷坚信安全不能只做一半，全方位防护才是最安全的解决方案 C、不改变用户使用习惯 铁卷电子文档安全系统不改变用户使用习惯，缩短用户学习曲线不影响员工工作效率。 D、保护笔记本和离线终端（移动办公和合作伙伴） 铁卷电子文档安全系统解决方案不仅能对连接到公司内部网络的终端起到保护作用，还可防止离线的笔记本和遗失的设备可能带来巨大的无法估量的损失。四、 测试前准备测试前准备好测试环境，测试环境全部采用全新安装的操作系统，裸系统，不安装任何其他软件。1、 Windchill环境：Windchill环境模拟实际部署环境，采用三台服务器：应用服务器、数据库服务器、目录服务器，操作系统全部采用32位Win

40、dows Server 2003 SP2简体中文企业版。Windchill系统安装最新版Windchill 9.1 M060，安装文件采用从PTC网站下载的最新安装包文件。数据库安装最新版32位 Oracle Database 11g Release 2 。安装完成后，Windchill系统正常使用，创建用户，新建产品，上传文档成功；Pro/E中新建零件并检入成功；AutoCAD中新建图纸并检入成功。2、 加密环境：加密服务器一台：操作系统：32位Windows Server 2003 SP2 简体中文企业版如果需要数据库，则安装SQL Server2000 企业版+SP4加密网关服务器一台：

41、操作系统：32位Windows Server 2003 SP2简体中文企业版加密客户端若干：操作系统：32位 Windows XP SP3简体中文专业版3、 工作环境：加密客户端系统中安装Windchill运行环境：从网站下载最新的JAVA运行环境Java Runtime Environment (JRE) 6.0 Update 24。CAD集成组件：通过测试Windchill环境下载安装的Windchill WorkGroup Manager。设计软件：从PTC网站下载最新版PRO/E软件，Pro/ENGINEER Wildfire 5.0 M060，通过网络下载的AUTOCAD 2010版

42、。4、 网络环境：所有的测试环境都部署在虚拟机中，所有计算机运行环境安装好之后均做好系统快照，设为初始环境状态，每个加密软件测试前均恢复系统快照到环境初始状态；Windchill环境采用独立的网络，地址段采用172.16.0.X，该地址段为虚拟机中的虚拟网络，实际网络环境中的计算机访问不到该网络中的服务器，Windchill应用服务器分配两块网卡，一块连接Windchill环境（地址：2），一块连接实际网络环境（地址：07）；加密环境的计算机分配实际网络环境的地址192.168.12.X。五、 测试项目本次测试主要测试加密软件与PDM系统的兼容性，测

43、试加密软件能否实现我们要求的目标，即：PDM服务器不加密，明文存储；客户端加密存储，从服务器下载过来的文件全部加密；未安装加密客户端的电脑不能访问PDM系统。主要测试项目有如下几个：1. 加密系统部署的便捷性，包括服务器端设置和客户端设置2. 客户端文件的操作：主要是新建、修改和复制、粘贴。查看文件是否被加密，打开是否正常，复制到其他电脑上是否是密文，通过WinPE系统引导，查看文件脱离加密环境是否能打开。3. PDM系统文档的操作：文档的上传和下载。查看文件上传后是否是明文保存，下载后是否是加密保存，通过浏览器是否能直接打开。4. PDM系统的维护操作：主要包括用户的操作，存储库的操作等等。

44、查看PDM系统是否正常使用。5. PRO/E系统集成。查看与PRO/E系统是否能够集成，本地工作区的文件是否加密，用PRO/E新建零件，是否能够上载和检入，对检出保存到本地工作区的图纸是否加密，工作区的零件是否能够直接打开。6. AUTOCAD系统集成。查看与AUTOCAD系统是否能够集成，本地工作区的文件是否加密，用AutoCAD新建图纸，是否能够上载和检入，对检出保存到本地工作区的图纸是否加密，工作区的图纸是否能够直接打开。7. PDM缩略图测试。查看PDM系统的缩略图功能是否正常，用Product View能否正常查看三维图纸和二维图纸。8. 未安装加密客户端的电脑是否能访问PDM系统。

45、六、 测试过程1、 亿赛通亿赛通加密系统由本地的代理商会同北京总部的技术人员上门来进行安装和调试。首先安装的是文档透明加密系统，服务器的安装比较简单，首先安装SQL Server数据库，然后安装服务端，安装完成启动服务即可。亿赛通加密系统采用B/S架构来进行管理和配置，在任意一台能连接到加密服务器的电脑上打开IE浏览器，输入加密服务器的IP地址即可打开服务器端的配置界面，如图1，通过配置界面首先添加系统的使用用户，每个客户端使用一个用户名密码进行登录，本次测试添加了四个测试用户。用户添加完后再配置加密策略，在策略管理里面添加需要控制的应用程序的进程名和需要控制的文件类型以及加密类型。客户端安装

46、，在客户端电脑上安装加密客户端软件，在安装过程中在提示输入服务器地址时输入加密服务器的IP地址，安装完毕后系统重启。重启后需要登录加密系统才能正常进行加解密操作，登录界面如图2，首次登录后需要先修改默认密码。登录成功后系统右下角会有客户端图标如图3。在只安装文档加密系统的情况下，所有上传到PDM系统的文件都是密文的，通过PRO/E检入的零件也都是加密过的，缩略图不能查看；在装有加密客户端的电脑上可以正常使用加密过的文档，服务器上保存的都是密文文件。厂家技术人员称如果想要实现我们想要的功能需要配合文档加密安全网关，通过这个网关来实现客户端的准入控制和文档的加解密操作。亿赛通的这款网关是硬件网关，

47、目前还没有图形化配置界面，因此配置起来技术要求较高，通过厂家技术人员对Windchill系统运行的分析，将网关配置好后进行测试。添加网关后，Windchill应用服务器只需保留一块物理网卡即可，只保留Windchill虚拟环境的网卡（地址2），加密网关上有一个网卡连接到Windchill虚拟环境（地址分配172.16.0.X）；这样，所有需要访问PDM系统的电脑就都需要经过亿赛通的加密网关了。（图1）（图2）（图3）配置好准入策略后，未安装加密客户端的电脑访问PDM系统将会提示打不开网页，设计软件也不能与Windchill系统通信，也就是网关隔离了未安装加密客户端电脑对PD

48、M系统的访问请求。安装了加密客户端的电脑能正常访问PDM系统，各种操作均正常，上传文件正常，到服务器上查看上传的文件，确认是明文存放，客户端从PDM系统下载文件，打开正常，保存到本地后是加密存放的。因时间有限（厂家人员要带测试机去其他地方），同时也是因为测试目标刚刚有了清晰的轮廓，测试项目还未完全确定，所以亿赛通网关并未测试与设计软件的集成，但根据其工作原理和模式可以大致断定其与设计软件的集成并无太大问题。后期厂家研发出软件版的网关，并到我公司进行安装试用，软件版网关需安装在运行Linux系统的PC机或服务器上，实现功能和硬件网关一样。安装和调试都是在Linux的命令行模式下进行，厂家技术人员

49、调试了2天，终于将测试项目全部通过。2、 明朝万达明朝万达加密系统的测试也是本地的代理商会同北京的技术人员上门来进行安装和调试。服务器端安装比较简单，按照提示一步一步进行即可，安装完毕系统需要重启。重启后再安装系统控制台。通过控制台才能对系统进行配置。控制台打开后如图4，（图4）根据我们对加密的要求，明朝万达有3种解决办法：一种是虚拟安全域（VCN），一种是切换工作模式（），一种是可信服务器，前两种都需要有网关的配合，最后一种不需网关，但需要在PDM应用服务器上添加一个检测明朝万达客户端的小插件。我们只测试了前两种实现方式，第三种因为其发给我们的插件是基于IIS服务的，而Windchill是基

50、于Apache服务的，所以并不适用。客户端安装只需在客户端执行客户端安装文件，安装过程中需指定加密服务器的IP地址，安装完毕重启客户端。重启后登陆加密系统，登陆界面如图5，登陆成功后，桌面右下角会有提示，如图6。（图5）（图6）因为明朝万达是基于磁盘来加密的，所以需要转换磁盘成加密磁盘，磁盘转换后用其他系统进入后该磁盘就是不可用状态。网关安装，本次测试采用的是软网关，明朝万达也有相应的硬件网关。软网关需要安装在需要保护的服务器上面，本次测试将软网关安装在PDM应用服务器上，安装过程比较简单，只需在安装过程中指定加密服务器的IP地址就可以。其硬件网关是独立部署的，只需把硬件网关架设在需要保护的服

51、务器前端就可以。加密环境搭建好之后，开始测试。首先测试工作模式转换的方式。客户端登陆后如果不进入加密模式，不能访问PDM服务器，可以访问公共服务器；进入加密模式后，可以访问PDM服务器，但不能访问任何其他的电脑，其他的电脑也访问不到它。因PDM系统在安全网关之后，其他没安装加密客户端和没进入加密模式的电脑都不能访问PDM服务器。对系统进行上传下载操作没有问题，上传到PDM服务器的文件也是明文保存的；用PRO/E和AUTOCAD与PDM集成进行设计，检入检出操作正常，Windchill系统操作也一切正常。接下来测试虚拟安全域方式。将PDM服务器和加密客户端划入到一个安全域中，加密客户端可以正常访

52、问PDM系统，各种操作都正常，其他没安装加密客户端的电脑不能访问PDM服务器。测试用WinPE引导加密客户端，引导后不能访问经过加密转换过的磁盘，尝试将加密转换过的磁盘进行格式化，然后再将此硬盘挂到未安装加密客户端的电脑里，通过数据反删除软件进行数据恢复，成功恢复了格式化之前保存在硬盘上的“加密”数据。再次进入加密客户端，用加密格式化方式格式化工作盘，但不能格式化系统盘，系统盘只能进行加密转换，格式化完成后拷贝数据到加密盘里面，再次用WinPE引导或者直接将硬盘挂接到未安装加密客户端的电脑里进行格式化后再数据恢复，结果是不能恢复数据。Windchill系统与设计软件集成后本地的工作区是存放在系

53、统盘下面的，而明朝万达加密系统是不能对系统盘进行加密格式化的，其正式版可以对系统盘进行加密转换，但加密转换后虽然在其他系统（比如WinPE）下不能使用该磁盘，但通过先将加密磁盘格式化后再进行数据恢复的方式就能将该磁盘上的数据进行恢复，其上保存的数据也就被非法获取了，只有经过加密格式化后的磁盘才不能被恢复。因此，从PDM系统里检出到本地工作区的图纸文件是能够被泄密的，也就是保存在系统盘的数据是能够被泄密的。3、 山丽山丽防水墙系统是由厂家的技术人员上门来进行安装测试的。系统的安装非常简单，安装过程中自动安装MySql数据库。安装完毕打开控制台，如图7，首先分配登录用户，并对用户进行授权。（图7）

54、加密客户端安装的安装也很简单，只需在需要安装客户端的电脑上执行客户端安装程序即可，安装过程中需要指定加密服务器的IP地址，安装完毕系统重启。重启后运行客户端程序，进行系统登录，如图8，登陆后系统右下角会有图标提示，如图9，（图9）（图8）客户端安装完后需要到控制台处对客户端计算机进行授权、环境指定以及加密设定。山丽防水墙的默认加密是全盘加密，不区分文件类型，只要是保存到硬盘上的文件就进行加密，也可设定指定文件夹加密、指定文件夹不加密、指定进程加密、不加密等等。但山丽防水墙如果要实现我们想要达到的目的需要在PDM应用服务器上也安装加密客户端，才能起到加密准入和明文保存的效果。我们在PDM应用服务

55、器上也安装了加密客户端，设置为不加密，开始进行PDM系统的测试。访问准入测试：在PDM应用服务器不安装加密客户端的时候，所有内网的计算机都能访问PDM服务器，进入Windchill系统。在PDM应用服务器上安装加密客户端并设置好策略之后，只有安装了加密客户端的电脑才能访问PDM应用服务器，其他电脑不能访问。文件上传测试：这个地方有个比较有意思的现象，PDM应用服务器安装了加密客户端时，通过安装了加密客户端的电脑上传的文件保存都是明文的；但PDM应用服务器没安装加密客户端时，在安装了加密客户端的电脑上，如果启动后没登陆加密系统，访问PDM时上传的文件是密文保存的，如果登录了加密系统，再访问PDM

56、系统上传文件时却是明文保存的，但通过其他的上传系统上传到其他服务器上时却是密文的。设计软件集成测试：在安装了加密客户端之后，设计软件的集成运行正常，本地工作区的文件也都是加密的，检入检出操作正常，检出到本地工作区的图纸都是加密的。与文件上传同样的问题存在： PDM应用服务器即使没有安装加密客户端，通过设计软件保存到服务器上的图纸文件也都是明文的。PDM应用服务器上安装加密客户端后，缩略图功能使用正常。不管PDM应用服务器装不装加密客户端，安装了加密客户端的电脑上传或检入服务器的文件都是明文保存的，这个问题已经向厂家技术人员进行了反映，如果是对JAVA上传组件控制有问题的话，就有可能通过其他系统的JAVA上传组件将图纸上传到其他地方从而造成泄密。4、 华途华途加密软件是由厂家的客户经理会同其技术人员上门来进行安装测试的。服务器端安装首先安装IIS和SQL 2000数据库，然后安装服务器端。其服务器端的配置是