西安弈聪领航国内加密软件企业
市场有大大小小将近300家加密软件企业,其中具备自主研发实力且产品优质的寥寥无几。怎么才能从众多厂家的众多品牌中,选出需要的优秀企业级加密软件呢?
步骤一:确认加密软件企业有没有获得国家法定资质和认证
加密软件的应用,涉及到国家关于密码和密码产品的管理,这关系到国家机关、军队和军工、公检法机关涉及国家机密和军事机密的安全。同样,企事业单位使用加密软件,也需要确保加密软件本身的安全性、可靠性。因此,国家对加密软件的研发、生产和销售都进行了明文规定并严格管理。只有具备以下资质认证的单位才有权利销售加密软件。如果不具备这些资质,其行为即为非法行为,是国家严令禁止的行为。用户购买非法销售的加密软件,随时有被政府查禁的风险。
笔者从专业IT网站收集了西安弈聪信息技术有限公司的弈聪ERM等10多款加密软件,鉴定了这些公司的以下几项资质:
1、“商用密码产品生产定点单位”和“商用密码产品销售许可单位”资质。“商用密码产品生产定点单位”和“商用密码产品销售许可单位”资质由国家密码管理委员会颁发。用户可到国家密码管理委员会官方网站http://www.oscca.gov.cn查询。
2、软件著作者权证书。根据2002年2月20日发布的《中华人民共和国国家版权局令第1号》--《计算机软件著作权登记办法》规定,独立开发或者经原著作权人许可对原有软件修改后形成的功能或者性能方面有重要改进的软件可以进行软件著作权登记申请,中国版权保护中心批准后将会发放相应的登记证书,并予以公告。此类证书包括《软件产品登记证书》和《软件著作权证书》。用户可到国家版权局官方网站http://www.ncac.gov.cn查询。
3、安全专用产品销售许可证。根据公安部2006年2月17日发布的《计算机信息系统安全专用产品检测和销售许可证管理办法》规定,加密软件属于计算机信息系统安全专用产品,在中华人民共和国境内的安全专用产品进入市场销售,实行销售许可证制度。用户可到公安部官方网站http://www.mps.gov.cn查询。
4、涉密信息系统产品检测证书。加密软件要销售给国家涉密单位(如:政府、涉密研究机构等)必须通过国家保密局批准的涉密信息系统产品检测并获得相关证书。用户可到厂商所在省国家保密局官方网站查询。
5、军用信息安全产品认证证书。加密软件要销售给军队或军工企业,必须通过中国人民解放军信息安全测评认证中心认证,获得《军用信息安全产品认证证书》。中国人民解放军信息安全测评认证中心联系电话: 010-67633733。
步骤二:对产品进行考察
笔者了解到,合格的企业级加密软件具备以下条件:
1、基本功能方面。主要有对应用程序更名、文件更名、文件类型更换、剪切、复制、粘贴、对象的链接与嵌入(OLE)、文档内容的拖拽、屏幕拷贝控制、截屏和打印控制等基本功能都是常见的。目前多数成熟的产品都已经有效做到以上这些功能。
2、文件自动备份与容灾管理。文件自动备份是一种必要的功能,是对系统风险的一种针对性的安全措施。系统容灾能力,是考察产品的重要指标。不能假设所有的系统运行都会正常,尤其是国内大量使用盗版软件的情况下。
6、离线管理。主要包括在实施时对客户端的策略下发,在客户端脱离服务器段与连接后,保证离线客户端的管理。
7、外发管理。加密文件只能在局部范围内使用,一旦业务需要,确实需要把文件发往外部时,就要把明文解密成为明文。在这个时候,厂商多数采用专门的审批和解密流程来控制。也有向指定的电子信箱发送邮件,邮件中的密态附件文件就自动解密。
8、与管理系统的集成能力。加密系统虽然可以自成体系,但是难免会和其他一些管理系统存在着集成配合的问题。要考察是否能有效与各种认证体系如AD域、ED域等结合,还有跟ERP、CRM、PDM/PLM系统的集成。