加密軟件（企業(yè)防泄密軟件）主要用于企業(yè)對(duì)文檔、圖檔進(jìn)行防泄密保護(hù)。用戶體驗(yàn)很簡(jiǎn)單，在裝有加密軟件客戶端的環(huán)境里，文件能正常打開(kāi)，在沒(méi)有安裝客戶端的電腦里，加密過(guò)的文件打開(kāi)是亂碼或無(wú)法打開(kāi)。我從事加密軟件實(shí)施有八個(gè)年頭了，代理過(guò)三四個(gè)品牌，親手實(shí)施過(guò)客戶在百家以上。看到很多代理商和IT經(jīng)理在選型加密軟件中的一些誤區(qū)，談?wù)勛约旱目捶ā?/p>

　　一：穩(wěn)定性是選型最重要的標(biāo)準(zhǔn)，沒(méi)有穩(wěn)定不談應(yīng)用

　　看過(guò)國(guó)內(nèi)品牌繁多的加密軟件后，很多人感覺(jué)加密軟件沒(méi)有太多技術(shù)含量。選型首先就問(wèn)是不是BS架構(gòu)呀、有沒(méi)有桌面管控、能不能遠(yuǎn)程推送、能不能兼容LINUX等功能。我認(rèn)為這些花哨的功能的確能讓?xiě)?yīng)用錦上添花，但忽視加密軟件最核心的穩(wěn)定性，去談功能性是加密軟件選型的誤區(qū)。

　　沒(méi)有接觸加密軟件，靠選型管理軟件的經(jīng)驗(yàn)，很容易忽視加密軟件的穩(wěn)定性。覺(jué)得軟件開(kāi)發(fā)成熟一點(diǎn)，都能保證穩(wěn)定性，加密軟件與管理軟件不同，它要涉及WINDOWS底層驅(qū)動(dòng)，既能實(shí)現(xiàn)加密，又能保證系統(tǒng)穩(wěn)定在開(kāi)發(fā)上是件挺難的工作。管理軟件大部分都比較穩(wěn)定，但加密軟件能真正做到穩(wěn)定的產(chǎn)品還真不多。

加密軟件不穩(wěn)定幾個(gè)表現(xiàn)，

　　1：破壞文件（最可怕的事情）

　　破壞圖紙是加密軟件第一大敵，加密軟件在運(yùn)行過(guò)程中，偶發(fā)性的把文件損壞，導(dǎo)致文件無(wú)法打看，這是客戶最不愿意發(fā)生事情，但是偏偏就是發(fā)生了。在加密軟件行業(yè)剛發(fā)展階段很多軟件都存在這個(gè)問(wèn)題，就是到了現(xiàn)在，所謂有名氣的加密軟件破壞文件的事情屢見(jiàn)不鮮。加密軟件絕對(duì)不會(huì)破壞文件，那幾乎不可能的。只是在什么環(huán)境情況破壞圖紙，概率又有多少。其實(shí)破壞行為都跟系統(tǒng)環(huán)境與具體操作有直接的關(guān)系，如果加密軟件在普通操作下就會(huì)破壞文件，那這款軟件基本上沒(méi)有使用的意義。好的加密軟件在絕大多數(shù)應(yīng)用操作下都不會(huì)發(fā)生破壞文件行為，只是在非常特殊操作下可能出現(xiàn)文件破壞，如果發(fā)生破壞可以通過(guò)開(kāi)發(fā)員調(diào)試，避免破壞文件行為發(fā)生，我們就可以視為這個(gè)產(chǎn)品是合格和優(yōu)秀的。

　　2：與WINDOWS操作系統(tǒng)沖突

　　頻繁與系統(tǒng)發(fā)生沖突，出現(xiàn)藍(lán)屏死機(jī)能現(xiàn)象，這是客戶應(yīng)用量過(guò)少的一個(gè)典型體現(xiàn)。這種經(jīng)常性系統(tǒng)沖突讓用戶非常抓狂，會(huì)直接導(dǎo)致了客戶放棄使用加密軟件的念頭。如果加密內(nèi)核是自己開(kāi)發(fā)，解決起來(lái)相對(duì)簡(jiǎn)單，就是不斷修補(bǔ)BUG的過(guò)程，軟件應(yīng)用的客戶越多，BUG被解決的越多，系統(tǒng)就慢慢穩(wěn)定下來(lái)了。如果一款加密軟件的幾個(gè)簡(jiǎn)單的BUG遲遲無(wú)法解決，就要懷疑不是自主研發(fā)的，有些廠家買(mǎi)了別人內(nèi)核或OEM別人東西，根本不具備駕馭該加密內(nèi)核的能力，一些小小問(wèn)題，解決起來(lái)非常費(fèi)勁。

　　客戶用了加密軟件出現(xiàn)死機(jī)、速度慢等一系列問(wèn)題，是否就是自己軟件的問(wèn)題呢？不一定！一方面有員工情緒上對(duì)加密軟件反感，加上中小企業(yè)計(jì)算機(jī)維護(hù)不規(guī)范，稍微有一點(diǎn)問(wèn)題不加分析都?xì)w于加密軟件。所以我們實(shí)施員大量時(shí)間都在排查發(fā)生沖突的源頭，或者證明自己的清白，或者查出問(wèn)題的原因進(jìn)行排查。

　　怎么才能找到一款穩(wěn)定的加密軟件呢，這個(gè)真挺難，首先要自己測(cè)試和試用，測(cè)試只是簡(jiǎn)單用一下軟件的功能，但無(wú)法反映軟件整體的穩(wěn)定性。如果條件允許，裝到自己電腦上正常使用一段時(shí)間是最好的，這樣能檢驗(yàn)一款加密軟件的基本穩(wěn)定性。如果自己的試用都無(wú)法進(jìn)行下去，這樣的產(chǎn)品還有必要銷(xiāo)售嗎。但要證明一個(gè)產(chǎn)品是否真正穩(wěn)定，還是要看其是否有大批量應(yīng)用，這個(gè)至少是客戶數(shù)幾百家以上，站點(diǎn)數(shù)幾千個(gè)以上，才能檢驗(yàn)一個(gè)產(chǎn)品真正穩(wěn)定。

　　二：兼容性也很重要，它是實(shí)施成功的保障！

　　產(chǎn)品的穩(wěn)定性跟兼容性本身是不可分的，比如在系統(tǒng)下的穩(wěn)定性，其實(shí)就是跟操作系統(tǒng)兼容性，又比如保證WORD、CAD、PRO/E、PhotoShop等常用軟件穩(wěn)定運(yùn)行，我們把其歸入軟件的基礎(chǔ)穩(wěn)定性，實(shí)際上也算兼容性。我們這里說(shuō)的兼容性更多的是跟其他管理軟件或硬件的應(yīng)用。這點(diǎn)非常重要，一款穩(wěn)定性非常好的加密軟件，如果不能跟其他系統(tǒng)做良好的整合，項(xiàng)目最終也許會(huì)被卡殼。

　　1：與ERP、PDM、OA等管理軟件的整合

    相對(duì)來(lái)說(shuō)ERP整合最容易的，我們只要能保證在加密環(huán)境下，ERP導(dǎo)出的文件自動(dòng)加密，ERP能讀加密過(guò)的文件，并保證系統(tǒng)正常，就可以了。PDM的整合則相對(duì)復(fù)雜多，客戶要求也多，有些客戶要求全程密文，加密進(jìn)加密出，并能正常內(nèi)置瀏覽器預(yù)覽、被PDM系統(tǒng)正常讀取。而有些客戶則要求進(jìn)入PDM時(shí)，文件自動(dòng)解密；出PDM系統(tǒng)時(shí)候文件自動(dòng)加密。CS架構(gòu)的PDM整合起來(lái)相對(duì)容易，BS架構(gòu)的PDM就難多了，遇到的問(wèn)題可能更多。跟BS架構(gòu)PDM一樣，OA遇到問(wèn)題也不少，特別是WebOFFICE的問(wèn)題，目前還是很少產(chǎn)品能跟WEBOFFICE很好的整合。

　　2：與數(shù)控機(jī)床、線切割、雕刻機(jī)的整合

　　加密軟件的重點(diǎn)應(yīng)用是技術(shù)圖紙，既然要對(duì)技術(shù)圖紙加密，就必然涉及到制造業(yè)的加工中心的整合，目前最常見(jiàn)的設(shè)備就是數(shù)控機(jī)床、線切割、雕刻機(jī)等設(shè)備，我們將圖紙導(dǎo)到相關(guān)設(shè)備里，然后由設(shè)備進(jìn)行加工。比較好的解決方案是加密的文件通過(guò)軟件輸送到機(jī)器，輸送過(guò)程中自動(dòng)解密。由于跟加工中心整合非常頻繁，而加工中心的軟件五花八門(mén)，所以工作量還是比較大，并且設(shè)置可以讓用戶自定義，如果這個(gè)無(wú)法自定義，那就很坑爹，一旦遇到類似客戶，就會(huì)很痛苦。

　　3：對(duì)源代碼加密，寫(xiě)芯片時(shí)自動(dòng)解密

　　電子企業(yè)大多有單片機(jī)寫(xiě)入芯片，客戶要求對(duì)程序源代碼進(jìn)行加密。并且在寫(xiě)入芯片的時(shí)候自動(dòng)解密。這既要求加密軟件支持源代碼加密，又要求加密軟件能夠做到輸出自動(dòng)解密（類似于數(shù)控機(jī)床）。在跟源代碼加密過(guò)程中，很多進(jìn)程都要調(diào)用源代碼，跟加工中心一樣，需要自定義工具，有些加密軟件需要用任務(wù)管理器去查看什么進(jìn)程調(diào)用過(guò)，自己手抄下來(lái)，再去做整合，這就很落后了。而有些軟件不能自定義，坑爹！目前支持源代碼加密，并且能很方便的自定義的加密軟件并不是特別多，大家可以把這個(gè)作為一個(gè)標(biāo)準(zhǔn)，去衡量軟件的整合能力。

　　三、軟件功能的完善性，能讓企業(yè)應(yīng)用更好

　　軟件功能的完善性，能讓加密軟件在企業(yè)里應(yīng)用的更好。我用在以下幾點(diǎn)來(lái)衡量軟件的功能。

　　1：服務(wù)端、客戶端、管理端三者應(yīng)分離

　　有些加密軟件，很多管理員設(shè)置功能捆綁在客戶端上。每裝一個(gè)客戶端都有管理員入口界面，這很不合理。當(dāng)管理員忘記設(shè)置密碼或未及時(shí)設(shè)置密碼的時(shí)候，讓普通操作員不經(jīng)意中進(jìn)入管理員設(shè)置界面。應(yīng)該把管理端和客戶端分離，服務(wù)器、客戶端、管理端各司其職。另外解密端不要綁定在控制臺(tái)，解密與客戶端綁定，這樣會(huì)更合理，解密即可通過(guò)手工解密，又可通過(guò)流程審批解密，滿足不同客戶的需求。

　　2：用戶、角色、組織三者應(yīng)分離。

　　用戶、角色、組織三者也應(yīng)該分離，通過(guò)角色可以快速給大批量的用戶定義加密策略，同時(shí)通過(guò)組織架構(gòu)又可以給用戶分配不同的權(quán)限?？梢哉f(shuō)角色和組織都為用戶服務(wù)。如果沒(méi)有角色或組織，使用起來(lái)都很麻煩。

　　3：BS架構(gòu)和CS架構(gòu)，哪個(gè)更適合加密軟件

　　加密軟件的客戶端都是CS架構(gòu)的，沒(méi)有BS架構(gòu)。這里指的架構(gòu)指的是管理端的架構(gòu)?，F(xiàn)在BS架構(gòu)很流行。我們得承認(rèn)BS架構(gòu)要比CS架構(gòu)要方便，打開(kāi)IE瀏覽器就可以調(diào)整加密配置。測(cè)試過(guò)幾款BS架構(gòu)的加密軟件。感覺(jué)加密軟件應(yīng)用BS架構(gòu)意義不大，首先實(shí)際用戶絕大多數(shù)不需要登錄管理端，普通員工使用客戶端。只有系統(tǒng)管理員或老板才去使用管理端，電腦很固定，很少有所謂的移動(dòng)辦公。這種情況下，BS架構(gòu)應(yīng)用的實(shí)際價(jià)值又有多少？相反BS架構(gòu)服務(wù)器搭建相對(duì)復(fù)雜，容易受防火墻、瀏覽器版本等影響，經(jīng)常出現(xiàn)無(wú)法打開(kāi)管理端情況。所以我認(rèn)為加密軟件應(yīng)用BS架構(gòu)意義并不大，不能說(shuō)不好，除非你做的足夠簡(jiǎn)單和穩(wěn)定。

　　4、軟件要容易維護(hù)，盡量減少企業(yè)維護(hù)成本

　　中小企業(yè)IT人員配備匱乏，甚至專職網(wǎng)管都沒(méi)有，加密軟件不像管理軟件有連續(xù)性使用，很多系統(tǒng)管理員對(duì)加密軟件功能并不熟悉。所以我認(rèn)為軟件應(yīng)該開(kāi)發(fā)的盡可能易用，來(lái)減少企業(yè)的維護(hù)成本。

　　加密軟件用什么數(shù)據(jù)庫(kù)？很多加密軟件基于MSSQL或MYSQL數(shù)據(jù)庫(kù)，對(duì)于信息化程度不高的中小企業(yè)，安裝相對(duì)麻煩。福建有款加密軟件采用自己開(kāi)發(fā)的小型數(shù)據(jù)庫(kù)，你裝完加密軟件數(shù)據(jù)庫(kù)也裝好了。并且支持覆蓋安裝，當(dāng)服務(wù)器系統(tǒng)崩潰而重裝系統(tǒng)后，服務(wù)端只要重新覆蓋安裝就可以啟動(dòng)，并保留原來(lái)的數(shù)據(jù)。而MSSQL或MYSQL數(shù)據(jù)導(dǎo)來(lái)導(dǎo)去相對(duì)就麻煩很多。

　　客戶端重裝也要能支持覆蓋安裝，有些加密軟件的客戶端必須要完全卸載干凈，才能重新安裝。而且這些加密軟件自動(dòng)卸載還不能卸載干凈，重啟后，還要再安裝目錄刪除文件才能保證不會(huì)有殘余文件。這樣的不嚴(yán)謹(jǐn)?shù)漠a(chǎn)品，易用性就差很多了。

　　服務(wù)器加密策略的派發(fā)也是一個(gè)問(wèn)題，有些軟件的服務(wù)端策略派發(fā)到客戶端，不能實(shí)時(shí)生效，必須讓客戶端重啟或到客戶端上手工生效。電腦數(shù)量多了就很讓維護(hù)人員痛苦，如果有二三百臺(tái)客戶端，一個(gè)策略要生效就有多大的工作量呀。而有些軟件雖然號(hào)稱支持實(shí)時(shí)生效，但是實(shí)際應(yīng)用效果強(qiáng)差人意，經(jīng)常出現(xiàn)客戶端策略不能生效，這讓實(shí)施員尤為痛苦。

　　5：軟件操作要簡(jiǎn)單，用戶容易上手。

　　軟件要容易上手，人機(jī)對(duì)話環(huán)境要好。比如是手工解密，有些軟件要進(jìn)一個(gè)軟件界面后，選擇目錄然后才能解密。而有些軟件直接點(diǎn)中文件或文件夾右擊直接選擇解密選項(xiàng)，就可以解密。效率大大加快。同樣流程解密，流程要能夠自定義，流程最好也能做到足夠強(qiáng)大，如果你實(shí)施過(guò)PDM或OA，你就很熟悉流程管理。軟件操作的易用性，測(cè)試人員只要測(cè)試兩天，就能明顯感受到不同軟件的差異。軟件越易用，客戶越容易上手，對(duì)于實(shí)施人員來(lái)說(shuō)，工作量也就越小了。記住一句，千萬(wàn)別把軟件易用和軟件簡(jiǎn)單混為一談。

　　6：加密軟件的外圍功能也要做完善。

　　單一的文件加密功能，在企業(yè)文件安全保護(hù)問(wèn)題上無(wú)法形成完整的邏輯鏈，還需要其他一些外圍功能進(jìn)行配合。常見(jiàn)的主要有：文件外發(fā)功能、打印監(jiān)控功能、文件備份功能。雖然市面上絕大多數(shù)軟件都聲稱有這些功能，但實(shí)際使用效果卻差異很大。比如有些文件外發(fā)控制功能，功能簡(jiǎn)單，需要接收方傳回機(jī)器碼，哪有什么可操作性。又比如打印監(jiān)控功能，有些軟件的確做了監(jiān)控，但是并沒(méi)有做相應(yīng)的展示窗口，或者有也只能順序翻閱，也很不方便。同樣還是文件備份功能，有很多軟件做的都很簡(jiǎn)單，沒(méi)有條件查詢，哎，用過(guò)之后真是一言難盡啊。

    其實(shí)這些都反映開(kāi)發(fā)人員的敬業(yè)精神，其實(shí)只要多花一些功夫就可以把功能做完善。但是很多時(shí)候客戶只問(wèn)這個(gè)功能，很少會(huì)動(dòng)手去測(cè)，這就被一些人鉆了空子，把功能就做的非常弱，基本功能是實(shí)現(xiàn)了，窗口界面、查詢條件等等之類都很簡(jiǎn)陋，這個(gè)對(duì)用戶的深度使用來(lái)說(shuō)，是很大障礙。

　　7：整合內(nèi)網(wǎng)安全和桌面管理功能，是大勢(shì)所趨。

　　早期的加密軟件都沒(méi)有整合內(nèi)網(wǎng)安全模塊，從2006年開(kāi)始，大量的原來(lái)從事內(nèi)網(wǎng)安全的軟件公司進(jìn)入這個(gè)行業(yè)，比如互普、綠盾、飛想、金盾等廠家，這類廠家的內(nèi)網(wǎng)安全軟件已經(jīng)很成熟，加密軟件研發(fā)成功了，把內(nèi)網(wǎng)安全模塊整合在一起，那是輕車(chē)熟路的事情了。

    內(nèi)網(wǎng)安全軟件應(yīng)用最大煩惱就是怕員工私下卸載，當(dāng)內(nèi)網(wǎng)安全遇到文件加密，兩個(gè)死綁在一起了，形成很好的邏輯鏈。你要卸載我軟件，我就不讓你打開(kāi)文件。而且內(nèi)網(wǎng)安全和文件加密同樣都屬于企業(yè)內(nèi)部安全管理，真是天造地設(shè)的一對(duì)，很多企業(yè)對(duì)內(nèi)網(wǎng)安全功能很感興趣，也很實(shí)用。老板喜歡，IT經(jīng)理也喜歡，各取所需。這點(diǎn)原先沒(méi)有內(nèi)網(wǎng)安全的廠家就弱勢(shì)了。趕緊吧，整合內(nèi)網(wǎng)安全模塊，產(chǎn)品好賣(mài)多了。

　　四、安全性還是目的，盡可能減少加密文件被破解的可能。

　　企業(yè)為什么要裝加密軟件？目的還是為了防泄密，為了企業(yè)內(nèi)部文件安全，如果一個(gè)加密軟件，能輕易被員工破解了，那怕穩(wěn)定性、兼容性、功能性做的再好，那軟件的意義何在？難道就是忽悠老板的一個(gè)工具嗎？很多開(kāi)發(fā)經(jīng)理明知自己軟件存在大量的漏洞，而不去修補(bǔ)，這就關(guān)系到職業(yè)道德問(wèn)題。

　　加密軟件行業(yè)有一個(gè)很不好的風(fēng)氣，覺(jué)得大家銷(xiāo)售的時(shí)候別談競(jìng)爭(zhēng)產(chǎn)品，別談破解，只談產(chǎn)品功能和理念。這是行業(yè)非常不自信的表現(xiàn)。有很多漏洞，行業(yè)內(nèi)幾乎達(dá)成了默契，多年都不去提，這個(gè)現(xiàn)象的最終導(dǎo)致加密軟件行業(yè)技術(shù)進(jìn)步緩慢，有些產(chǎn)品甚至幾年都沒(méi)有做大的提升。關(guān)于具體的破解，我文章不做解釋，各位自己私下交流，請(qǐng)各位開(kāi)發(fā)主管好之為之，有漏洞不可怕，可怕的是熟視無(wú)睹，如果這種態(tài)度，最終有一天產(chǎn)品會(huì)被市場(chǎng)拋棄。