整理了幾項(xiàng)選擇加密軟件需要注意哪些方面，拋磚引玉。

 

　　一、 加密軟件是否自動(dòng)透明加密？

 

　　何謂“透明”？“透明”應(yīng)該就是指加密的動(dòng)作不需要人工干預(yù)，是軟件自動(dòng)完成的。比如：用WORD建立一個(gè)文檔的時(shí)候，軟件應(yīng)該能自動(dòng)把這個(gè)新建的文件加密，對(duì)用戶完全透明，不影響用戶的操作習(xí)慣。

 

　　大部分加密軟件都是透明加密的，但是也有區(qū)別。很多應(yīng)用軟件在編輯數(shù)據(jù)文件時(shí)，都會(huì)生成臨時(shí)文件。比如Word在編輯文檔時(shí)，會(huì)在同目錄下出現(xiàn)以“~$”開頭的文件和一個(gè)以“~”開頭并以tmp為后綴的文件。這些臨時(shí)文件在相應(yīng)的數(shù)據(jù)文件被正常關(guān)閉后，會(huì)自動(dòng)被刪除。由于這些臨時(shí)文件也存儲(chǔ)有企業(yè)的機(jī)密數(shù)據(jù)，因而這些臨時(shí)文件也應(yīng)該是要能自動(dòng)加密的。

 

　　在測(cè)試的時(shí)候要特別注意。有些品牌的加密軟件，為了給自己圖方便，放棄對(duì)中間過程的文件進(jìn)行加密。例如，業(yè)界有一個(gè)老牌的廠商便采取了這樣一種做法：①攔截程序?qū)ξ募拇蜷_操作；② 把打開的文件隱蔽地解密到一個(gè)“秘密”的地方；③ 在后臺(tái)把應(yīng)用程序?qū)?shù)據(jù)文件操作指針指向位于“秘密”之處的明文；④ 在關(guān)閉數(shù)據(jù)文件時(shí)，把隱藏的明文加密并替換原有的文件。這樣的設(shè)計(jì)，讓用戶看起來是能夠打開編輯密文，編輯保存后得到的還是密文。但是實(shí)際上應(yīng)用軟件真實(shí)編輯的對(duì)象是一個(gè)不加密的明文文件。如果這個(gè)“秘密的地方”被知道了，完全可以打開密文時(shí)到那個(gè)“秘密的地方”去獲得明文。

 

　　經(jīng)過了多年的發(fā)展，加密軟件的透明加密技術(shù)已經(jīng)有了明確的歷史階段劃分，一般認(rèn)為，加密1.0技術(shù)是環(huán)境加密技術(shù)，其特點(diǎn)是并不進(jìn)行文件內(nèi)容的加密，只是對(duì)硬盤引導(dǎo)區(qū)（扇區(qū)）進(jìn)行加密和提供部分網(wǎng)絡(luò)加密功能；加密2.0技術(shù)是格式加密技術(shù)，其特點(diǎn)是對(duì)管理人員設(shè)置的部分特定格式文件進(jìn)行加密，未設(shè)置或者忘記設(shè)置的則無法進(jìn)行加密，隨著應(yīng)用軟件的升級(jí)，格式加密需同步升級(jí)；加密3.0技術(shù)是多模加密，其特點(diǎn)是根據(jù)設(shè)置策略不同，可以實(shí)現(xiàn)全盤加密，目錄加密，格式加密，手動(dòng)加密，空加密等等功能，多模加密是下一帶加密技術(shù)的發(fā)展方向。一般集團(tuán)型公司為了滿足內(nèi)部加密策略根據(jù)部門、人員不同而設(shè)置不同，已經(jīng)將多模加密作為選擇加密軟件的必要條件。

 

　　一般來講，多模加密至少可以實(shí)現(xiàn)：

 

　　全盤加密，目錄加密，格式加密，反格式加密，手動(dòng)加密，空加密，網(wǎng)絡(luò)加密，靜態(tài)加密等多種加密；

 

　　不管采用哪種加密模式，注意臨時(shí)文件也需要是加密的，這一點(diǎn)也非常要命，別讓使用人員簡(jiǎn)簡(jiǎn)單單將臨時(shí)文件復(fù)制出來就解密了，那就沒有絲毫的安全性可言了。

 

　　二、 加密的算法及密鑰的安全性

 

　　對(duì)于一個(gè)脫離了企業(yè)環(huán)境的密文來說，安全完全由算法和密鑰來決定。所以選擇加密軟件的時(shí)候，對(duì)其采用的算法和密鑰的安全性一定要了解。一般來說，加密算法基本都采用國(guó)際流行的算法：比如RSA、DES、RC、AES等，這些算法雖然是公開的，但根據(jù)現(xiàn)代密碼學(xué)的理論，加密算法的公開與否并不影響其安全性，一個(gè)好的加密算法的安全性只依賴于密鑰。因此對(duì)于脫離了企業(yè)環(huán)境的密文來說，密文的安全主要靠密鑰的安全來保證。

 

　　一個(gè)加密軟件的密鑰是否安全應(yīng)該主要要解決如下幾個(gè)問題：

 

　　1，加密軟件的廠家如果獲取到企業(yè)的密文，廠家應(yīng)該是不能解密的。很多加密軟件，密鑰是根據(jù)計(jì)算機(jī)的某些特征值由程序生成的，企業(yè)自己無法設(shè)置，這樣只要知道了硬件的特征碼，廠家就能輕松獲取到用戶的密鑰，那么企業(yè)的文件對(duì)廠家來說就是沒有保密可言了；還有些加密軟件的密鑰就是系統(tǒng)固定的，這樣廠家只要拿到密文，就能解密；

 

　　2，企業(yè)內(nèi)部的密文，拿到另外一個(gè)企業(yè)里面，應(yīng)該是不能解密的：現(xiàn)在很多加密軟件的控制端都由企業(yè)的網(wǎng)絡(luò)管理人員在使用，那么一旦網(wǎng)管人員離職，重新安裝相同的加密軟件，應(yīng)該保證原單位的文檔即使拷貝過去也不能閱讀。也就是要保證不同企業(yè)能有不同的加密密鑰。

 

　　3，在使用過程中，如果密鑰泄露，應(yīng)該要有補(bǔ)救措施：比如說密鑰能支持更改，這樣密鑰泄露了，企業(yè)可以方便的更換，但是，更換密鑰的前提是采用老密鑰對(duì)原來的密文全部解密，這個(gè)實(shí)在是一個(gè)浩瀚的工程。因此，選擇更換密鑰恐怕只能說對(duì)后續(xù)的文件安全性有幫助。

 

　　目前，在我們國(guó)家，對(duì)加密產(chǎn)品采用的算法執(zhí)行的是強(qiáng)制管理政策。也就是說，加密算法采用國(guó)家有關(guān)部門制定的才是合法產(chǎn)品。

 

　　關(guān)于加密產(chǎn)品中加密算法密鑰的安全性，也了歷史整理的必要了：

 

　　就加密軟件加密算法密鑰的強(qiáng)度：

 

　　第一個(gè)階段，采用單密鑰的產(chǎn)品，這種產(chǎn)品的特點(diǎn)是，進(jìn)行加密時(shí)候，全公司采用一個(gè)密鑰進(jìn)行，它的缺陷是一旦這個(gè)密鑰被攻陷，等于這個(gè)加密產(chǎn)品就失效了；在加密1.0技術(shù)環(huán)境加密技術(shù)一般采用這個(gè)方案；

 

　　第二個(gè)階段，采用多密鑰的產(chǎn)品，這種產(chǎn)品的特點(diǎn)是，可能公司里面一些部門采用不同的加密密鑰進(jìn)行，適當(dāng)?shù)脑黾恿讼到y(tǒng)的安全性，但是一旦用戶往其他部門進(jìn)行數(shù)據(jù)交換的時(shí)候，就必須有一個(gè)將文件采用前一個(gè)密鑰解密采用后一個(gè)密鑰加密的動(dòng)作，這個(gè)大大降低了系統(tǒng)的安全性；同時(shí)，采用多密鑰產(chǎn)品，一旦這幾個(gè)密鑰被破解，系統(tǒng)的安全性也將不復(fù)存在；而且，多密鑰產(chǎn)品的密鑰就存在服務(wù)器上，還存在被管理人員盜取的風(fēng)險(xiǎn)；

 

　　第三個(gè)階段，采用一文一密鑰的產(chǎn)品，這種產(chǎn)品的最大特點(diǎn)是每個(gè)文件的密鑰均不一樣，完全跳開了單密鑰多密鑰的臼束，創(chuàng)造性的引入對(duì)稱加密和非對(duì)稱加密相相結(jié)合的技術(shù)，實(shí)現(xiàn)了一個(gè)文件一個(gè)隨機(jī)密鑰的程度，在不增加系統(tǒng)負(fù)荷的前提下，基本上實(shí)現(xiàn)了一次一密的安全需求。

 

　　一文一密鑰是選擇加密軟件的第二個(gè)必要條件。

 

　　國(guó)際上提供一文一密鑰的產(chǎn)品比較多。國(guó)內(nèi)能提供一文一密鑰的產(chǎn)品雖然不多，但大部分的廠家正在向這個(gè)方面前進(jìn)。2014年再選擇加密軟件，這一條應(yīng)該是硬性要求了。

 

　　一文一密鑰的測(cè)試驗(yàn)證方法：

 

　　在加密系統(tǒng)中，生成一文密文，將該密文文件復(fù)制生成其他多個(gè)格式、內(nèi)容一模一樣的密文，將該系統(tǒng)退出加密環(huán)境，在非加密環(huán)境里面看剛才的所有文件，看他們的亂碼是否一樣。因?yàn)楦袷健?nèi)容都一樣，如果打開時(shí)候發(fā)現(xiàn)亂碼都不一樣，說明采用的就是一文一密鑰加密技術(shù)。

 

　　三、 泄密途徑

 

　　沒有通過授權(quán)，就可以獲取密文中的內(nèi)容的方法，稱之為泄密途徑。加密軟件中如果不對(duì)這些途徑加以控制，那么加密軟件就形同虛設(shè)。泄密途徑眾多，每種途徑的控制是加密軟件的一個(gè)重要功能。泄密途徑控制的好壞，也是選擇加密軟件的一個(gè)重要注意點(diǎn)。

 

　　但是，最優(yōu)秀的加密軟件應(yīng)該是和加密后文件的流通途徑無關(guān)，即：應(yīng)該是加密后的文件，未經(jīng)任何允許，通過任何途徑外發(fā)的都是密文，而不是僅僅將文件流轉(zhuǎn)的途徑進(jìn)行限制。

 

　　在加密1.0技術(shù)中，因?yàn)槭遣捎貌糠志W(wǎng)絡(luò)協(xié)議對(duì)數(shù)據(jù)進(jìn)行加密，但其無法支持多種協(xié)議，一旦采用了未實(shí)現(xiàn)的協(xié)議，則數(shù)據(jù)發(fā)送后就100%解密了，這一點(diǎn)需要特別關(guān)注。

 

　　網(wǎng)絡(luò)發(fā)送

 

　　使用QQ、Foxmail、Outlook等網(wǎng)絡(luò)軟件把一個(gè)密文發(fā)送到?jīng)]有安裝加密軟件的電腦上，查看是否可以看到文件的內(nèi)容。如果可以查看，說明存在泄密危險(xiǎn)。

 

　　其他能進(jìn)行的發(fā)送途徑比較多，每個(gè)公司可以整理自己的文件發(fā)送方式進(jìn)行測(cè)試。

 

　　剪貼板

 

　　查看是否可以使用Windows提供的復(fù)制-粘貼功能把密文內(nèi)容發(fā)送出去。測(cè)試方法：用WORD打開一個(gè)密文，用鼠標(biāo)選擇一些文字，復(fù)制（或CTRL+C），切換到QQ聊天窗口中，粘貼(或者CTRL+V)，查看是否可以粘貼出明文。

 

　　剪貼板是個(gè)非常常用的功能，禁止使用剪貼板會(huì)使客戶端的使用者受到很多限制。加密軟件不應(yīng)該只使用禁止的方法來控制剪貼板。比較好的處理辦法是將剪貼板的內(nèi)容加密，使得復(fù)制的內(nèi)容在受控程序（如WORD）上可以粘貼出明文，而在非受控程序（如QQ）上無法貼出明文。

 

　　屏幕拷貝

 

　　查看是否可以通過屏幕拷貝的方法將文檔內(nèi)容泄露。屏幕拷貝有兩種常用方法，一種是使用Windows快捷鍵PrtScr或者ALT+PrtScr，另一種是使用一些可以捕捉屏幕的軟件，比如QQ。測(cè)試方法：

 

　　針對(duì)第一種方法：用WORD打開一個(gè)密文，打開看到明文后，按一次PrtScr鍵，打開Windows自帶的畫圖軟件（開始?所有程序?附件?畫圖），按CTRL+V，查看是否可以貼出帶有文件內(nèi)容的圖片。

 

　　針對(duì)第二種方法：使用QQ作為測(cè)試軟件，查看QQ屏幕截圖功能是否可以使用。另外，QQ也是360保險(xiǎn)箱默認(rèn)保護(hù)的軟件之一，所以應(yīng)該測(cè)試一下，用360保險(xiǎn)箱保護(hù)QQ的情況下，禁止截屏是否生效。

 

　　OLE插入

 

　　OLE插入是打開密文的另一種方法。支持OLE插入技術(shù)的軟件有很多，比如Windows自帶的寫字板（可執(zhí)行文件名為wordpad.exe）。測(cè)試方法：打開一個(gè)寫字板，將一個(gè)加密的WORD文檔用鼠標(biāo)拖動(dòng)到寫字板內(nèi)（或者在寫字板菜單“插入”?“對(duì)象”，并選擇“由文件創(chuàng)建”，選擇加密的WORD文檔），如果有此創(chuàng)建的寫字板文件是明文而不加密，則說明存在OLE漏洞。

 

　　拖拽

 

　　用WORD打開一個(gè)密文，拖動(dòng)鼠標(biāo)左鍵選中一些文字，在選中的文字上用鼠標(biāo)拖動(dòng)數(shù)據(jù)，查看是否可以將這些文件拖動(dòng)到QQ聊天窗口上。如果可以，就存在拖拽泄密的風(fēng)險(xiǎn)。

 

　　進(jìn)程識(shí)別

 

　　大多加密軟件都是根據(jù)程序名和文件的后綴（擴(kuò)展名）來決定哪個(gè)文件需要加密的。比如使用WORD生成的擴(kuò)展名為“.DOC”的文檔會(huì)被自動(dòng)加密，而用WORD打開密文可以自動(dòng)解密。如果有其他程序可以冒充是WORD，那么就可以打開加密的Doc文檔了。所以，加密軟件都需要有一套機(jī)制來識(shí)別受控程序，防止非受控程序假冒。

 

　　非受控程序冒充受控程序最簡(jiǎn)單的辦法就是修改可執(zhí)行文件名。比如把FoxMail的文件名（foxmail.exe）修改成winword.exe，就用Foxmail冒充了WORD。把Foxmail.exe修改成Winword.exe，然后執(zhí)行，寫郵件并選擇一個(gè)加密的WORD文件作為附件，從另一個(gè)沒有安裝加密軟件的電腦接收下這個(gè)郵件，如果可以看到明文，那么說明進(jìn)程識(shí)別上存在漏洞。

 

　　進(jìn)程識(shí)別的另一個(gè)問題是，將可信進(jìn)程冒充不可信進(jìn)程。比如WORD生成的文檔是需要加密的，如果把Winword.exe修改成111.exe，執(zhí)行這個(gè)111.exe可以創(chuàng)建明文的文檔的話，那么存在漏加密的情況。極端情況下，所有安裝了加密系統(tǒng)的人把電腦上的Winword.exe都修改成111.exe，那么所有人的DOC文檔都不會(huì)被加密了，那么加密軟件就跟沒有安裝一樣了。

 

　　在進(jìn)程識(shí)別上，大部分加密軟件都解決的不是很好。有些用文件指紋庫(kù)；有些用可執(zhí)行文件名+窗口標(biāo)題結(jié)合來識(shí)別進(jìn)程；還有些廠家干脆就禁止修改受控程序的文件名，甚至有些廠家不僅禁止修改受控程序名，也禁止拷貝新建與受控程序文件名一樣的文件。但采用禁止改名的方法本身也存在很大的漏洞，比如先把受控程序的可執(zhí)行文件改名，然后再安裝受控程序，或者從網(wǎng)絡(luò)共享執(zhí)行運(yùn)行改名后的假冒程序，都可能導(dǎo)致密文的泄露。

 

　　打印

 

　　使用WORD打開密文后，使用打印機(jī)可以把文檔打印出來，這就存在泄密的危險(xiǎn)。所以加密系統(tǒng)都應(yīng)提供可以控制打印的功能，應(yīng)該可以控制那些人可以打印，哪些人不能打印。

 

　　以上這些方法都是只需要簡(jiǎn)單操作就有可能導(dǎo)致密文泄露的途徑，選擇加密軟件的時(shí)候，這些途徑都應(yīng)該有效的被阻止。

 

　　四、 離線策略

 

　　服務(wù)器電腦故障，或者網(wǎng)絡(luò)故障的處理方法

 

　　服務(wù)器電腦故障或者網(wǎng)絡(luò)故障，此時(shí)所有的客戶端電腦或者網(wǎng)絡(luò)故障的客戶機(jī)都處于離線狀態(tài)，而且是不可預(yù)知的，被迫處于離線狀態(tài)。加密系統(tǒng)應(yīng)提供一種措施，在突發(fā)這種情況時(shí)，客戶機(jī)應(yīng)可以像正常離線一樣工作一段時(shí)間，以等待服務(wù)器或者網(wǎng)絡(luò)的恢復(fù)。

 

　　筆記本電腦脫機(jī)的處理方法

 

　　一些企業(yè)的員工上班時(shí)使用的是筆記本電腦，尤其中高層管理者。這部分員工大多晚上或者周末需要把電腦帶回家，有時(shí)要在家里加班。加密軟件應(yīng)該有辦法讓這些電腦可以在離開網(wǎng)絡(luò)的情況下依然能使用被加密的文檔。

 

　　這種情況非常經(jīng)常發(fā)生，基本上每天都發(fā)生，所以在選擇加密軟件的時(shí)候也應(yīng)該考慮加密軟件在處理這種情況的方法應(yīng)該非常便捷才行。最好可以做到客戶機(jī)不需要任何操作，和平常一樣，拔下電腦網(wǎng)線直接帶走，回家后開機(jī)即可使用。

 

　　另外使用公司電腦出差的員工，首先出差離開公司前，肯定要設(shè)置好出差天數(shù)等。出差的天數(shù)一般是由出差者的上級(jí)直接指定。所以出差應(yīng)該可以向直接上級(jí)申請(qǐng)，直接上級(jí)同意后可以轉(zhuǎn)向系統(tǒng)管理人員，由專門的系統(tǒng)管理人員設(shè)置具體的天數(shù)。

 

　　其次應(yīng)該考慮出差有可能會(huì)超過預(yù)定天數(shù)。比如出差前設(shè)置離線15天，結(jié)果15天后發(fā)現(xiàn)還不能回來，還要繼續(xù)呆一段時(shí)間。這個(gè)時(shí)候應(yīng)該有一種措施，能在不把電腦搬回公司設(shè)置的情況下，延長(zhǎng)出差的天數(shù)。

 

　　離線策略有些廠家采用USBKey的方式，有些采用導(dǎo)入離線文件的方式。相比之下，USBKey安全性更好，但使用比較不方便，而且需要在采購(gòu)加密軟件的同時(shí)還需要額外采購(gòu)USBKey。多數(shù)廠家已經(jīng)能同時(shí)支持這兩種模式了。

 

　　五、 解密文件的方法

 

　　由于企業(yè)運(yùn)轉(zhuǎn)大部分都難免與其他關(guān)聯(lián)企業(yè)有文檔交互（比如報(bào)價(jià)單、項(xiàng)目投標(biāo)書等），而這些關(guān)聯(lián)企業(yè)沒有安裝加密軟件或者沒有安裝相同的加密軟件，這就意味著密文需要解密才能外發(fā)。

 

　　解密管理上，加密軟件必須同時(shí)支持如下幾種解密方式：

 

　　需要解密的文件，要拷貝到特定的電腦上，使用特定的解密工具進(jìn)行解密； 需要解密的文件，拷貝給特定的用戶，特定用戶具有解密權(quán)限進(jìn)行解密； 可以向自己部門的管理人員申請(qǐng)解密，在審批得到批準(zhǔn)后即可得到解密。 企業(yè)都有數(shù)據(jù)存儲(chǔ)在服務(wù)器上，為了全部依賴服務(wù)器，一般建議在服務(wù)器上的數(shù)據(jù)以明文形式存在，因此，加密軟件解密還需要有一種從服務(wù)器上下載下來的文件自動(dòng)加密，上傳到服務(wù)器上的文件自動(dòng)解密的功能，這種功能顯然是不應(yīng)該改變網(wǎng)絡(luò)結(jié)構(gòu)，帶來單點(diǎn)故障風(fēng)險(xiǎn)的。

 

　　六、 解密審批的流程

 

　　為了應(yīng)對(duì)企業(yè)組織架構(gòu)的多樣化，用于滿足審批的流程至少需要包含如下設(shè)置方式：

 

　　并行審批； 串行審批； 自動(dòng)審批； 提審； 審批信息提示：消息框，短信，Mail

       

 

　　最新：選擇加密軟件時(shí)需要注意的幾個(gè)方面

 

　　平行審批：可同時(shí)設(shè)置兩條或者以上平級(jí)審批人

 

　　此功能可以同時(shí)設(shè)置兩個(gè)或者以上平級(jí)一審批人，當(dāng)其中一條線的審批人不在公司時(shí)，另外一條線可以審批文件，這樣就可以將文件傳遞下去，進(jìn)行接下來的第二、第三人審批。同樣的，我們也可以同時(shí)設(shè)置第二、第三審批人也為兩人。

 

　　單線審批：當(dāng)某一層的審批人不在時(shí)，可設(shè)置此功能

 

　　兩條不同的審批線，但最后的審批結(jié)果是一樣的，是一個(gè)審批通道。單線效果：當(dāng)其中一條線中的某個(gè)審批人不在時(shí)，第二條線的審批人就可以進(jìn)行審批。例如，誰(shuí)先看到有審批的文件就可以審批。當(dāng)其中一條線審批不通過審批時(shí)，另外一條審批線還是可以根據(jù)自己的決定批準(zhǔn)或者拒絕，即第二線審批人審批通過，那么文件就能進(jìn)行使用，無需兩條線同時(shí)進(jìn)行審批。

 

　　全線審批：根據(jù)文件的機(jī)密性來進(jìn)行設(shè)置

 

　　全線也分為兩條線進(jìn)行審批，全線的重點(diǎn)在于審批的文件一定要全部審批人都通過審批才能使用。反之，如果其中一個(gè)人沒有審批通過，那么就無法使用這個(gè)文件。這就是全線審批與單線審批的區(qū)別。單線是其中一條不通過審批，另外一條線可以通過審批。全線更能反映出企業(yè)機(jī)密文件的重要性。

 

　　全線審批，可以設(shè)置所有的審批人為并行，這個(gè)時(shí)候就是無順序的會(huì)審效果，誰(shuí)先拿到誰(shuí)審批，全部審批才算通過。

 

　　提審：根據(jù)需審批的文件的緊急程度來設(shè)置

 

　　高級(jí)權(quán)限的擁有者是整個(gè)公司的高機(jī)領(lǐng)導(dǎo)人員。當(dāng)文件已經(jīng)審批的情況下，此時(shí)最高領(lǐng)導(dǎo)人員看到了這個(gè)文件的緊急程度，可以把文件提前出來，進(jìn)行審批通過。在高級(jí)領(lǐng)導(dǎo)人員審批通過的同時(shí)，無論是單線審批還是全線審批的審批成員都會(huì)收到消息，告知其他審批成員此文件已經(jīng)審批通過，無需再次審批。

 

　　七、 文件權(quán)限

 

　　文件權(quán)限指可以指定加密文檔誰(shuí)可以閱讀，誰(shuí)不能閱讀等。文件權(quán)限的設(shè)置有可能會(huì)給內(nèi)部的文檔交流帶來一些不便，所以該設(shè)置應(yīng)該具有很高的靈活性。加密軟件起碼應(yīng)該可以實(shí)現(xiàn)相同部門的人編寫的文檔可以無障礙交流；部門與部門之間的文檔交流可以通過一些權(quán)限的設(shè)置了進(jìn)行受控的交流。

 

　　八、 日志記錄

 

　　日志記錄是一個(gè)必不可少的功能，無論哪個(gè)應(yīng)用系統(tǒng)都有一套自己的日志記錄功能。對(duì)于加密軟件而言，包含兩種日志：（1）操作員的文件操作日志，比如新建文件、刪除文件、編輯文件、解密文件、外發(fā)文件等；（2）管理員的日志審計(jì)，比如什么時(shí)間設(shè)置了什么規(guī)則等。日志應(yīng)該能準(zhǔn)確無誤地記錄哪個(gè)管理員什么時(shí)候做了什么操作。

 

　　日志記錄上，不同加密軟件各不相同，根據(jù)自己需要進(jìn)行選擇。

 

　　九、 擴(kuò)展功能：文件備份

 

　　由于透明加密需要涉及文件的讀寫操作，這樣就帶來一個(gè)基本問題：就是加密文件時(shí)有可能導(dǎo)致文件的損壞，雖然一個(gè)成熟的軟件，損壞文件的概率會(huì)極低，但對(duì)這種極端情況的處理也是應(yīng)該考慮的。導(dǎo)致這種極端情況出現(xiàn)的原因還是有很多，比如操作系統(tǒng)受到干擾、內(nèi)存數(shù)據(jù)被篡改，這些可能并不是加密軟件本身的問題，但這種情況一旦發(fā)生，加密軟件應(yīng)該要有應(yīng)對(duì)措施。

 

　　一個(gè)解決的辦法就是文件備份。理想的備份，是在文件保存為密文后，將備份副本存放到一個(gè)安全的地方。對(duì)于有這種措施的加密軟件，在選擇的時(shí)候要考慮的是：

 

　　什么時(shí)候會(huì)進(jìn)行文件的備份操作？ 備份時(shí)對(duì)網(wǎng)絡(luò)和機(jī)器的負(fù)載會(huì)不會(huì)很大？ 大量的備份副本在將來如何方便地檢索出來？ 同一個(gè)文件，能夠保留多少份副本？

 

　　文件備份功能不僅僅用來防止文件的損壞，還可以防止客戶機(jī)惡意刪除，員工的離職有可能導(dǎo)致文件的丟失，或者某次誤操作導(dǎo)致文件的丟失，都可以通過文件備份的機(jī)制來挽救。

 

　　十、 其他需要注意的

 

　　除了產(chǎn)品的考查，對(duì)廠家提供的服務(wù)及出現(xiàn)問題后的響應(yīng)速度也是應(yīng)該考慮的。沒有沒有缺陷的產(chǎn)品，每個(gè)產(chǎn)品在使用過程中或多或少都會(huì)碰到問題，有軟件的問題，有環(huán)境的問題，也有可能是用戶理解上的問題。用戶碰到這些問題的時(shí)候，是否能很好的獲取廠家的支持，在選擇的時(shí)候都是需要考慮的。

 

　　最后，要選擇“能用、好用、耐用”的產(chǎn)品！

 

　　能用：就是指軟件的功能滿足自己的要求，不同軟件提供的功能不同，有多有少，所以首先要考慮能滿足自己要求的軟件；

 

　　好用：軟件雖然用用就習(xí)慣了，但用戶化也是要考慮的一個(gè)方面，有些軟件需要專業(yè)的人士才能安裝配置。

 

　　耐用：加密軟件對(duì)穩(wěn)定性上要求比較高，很多軟件都采用了內(nèi)核驅(qū)動(dòng)的技術(shù)，驅(qū)動(dòng)程序一旦出錯(cuò)，會(huì)導(dǎo)致計(jì)算機(jī)藍(lán)屏或者自動(dòng)重啟。而且加密的是企業(yè)的資料，如果軟件不穩(wěn)定，會(huì)嚴(yán)重影響工作。所以這里提出兩點(diǎn)建議

 

　　選擇有多年發(fā)展經(jīng)驗(yàn)的產(chǎn)品，加密廠家的開發(fā)經(jīng)驗(yàn)不應(yīng)該少于十年。千萬不要買一些看起來來頭很大，實(shí)際上是OEM其他廠家產(chǎn)品。 選擇具有完全自主知識(shí)產(chǎn)權(quán)廠家的產(chǎn)品，尤其是技術(shù)在國(guó)內(nèi)國(guó)際范圍內(nèi)領(lǐng)先的廠家。加密產(chǎn)品的開發(fā)廠家和原來一些信息安全廠家在國(guó)內(nèi)不重疊，在國(guó)際上大的安全廠商往往通過并購(gòu)已經(jīng)將加密軟件廠家收到麾下。 國(guó)內(nèi)一方面存在并購(gòu)市場(chǎng)的不成熟，一方面存在國(guó)內(nèi)的信息安全廠家都不太大，這給了國(guó)內(nèi)一批已經(jīng)生存超過10年的加密廠家自我獨(dú)立發(fā)展的機(jī)會(huì)，這個(gè)現(xiàn)象是國(guó)內(nèi)的一個(gè)獨(dú)特現(xiàn)象，應(yīng)該會(huì)對(duì)國(guó)內(nèi)信息安全市場(chǎng)格局產(chǎn)生特別的影響。

 

　　基本認(rèn)為，未來的加密軟件市場(chǎng)將掌握在具有國(guó)際國(guó)內(nèi)加密軟件專利并懂得營(yíng)銷的資深廠家手里。