當(dāng)前，企業(yè)加密軟件市場(chǎng)方興未艾，選擇一款有效的企業(yè)加密系統(tǒng)來加密公司數(shù)據(jù)、商業(yè)機(jī)密和無形資產(chǎn)，是當(dāng)前企業(yè)網(wǎng)絡(luò)管理的重要舉措。那么，對(duì)于企業(yè)來說，如何選擇針對(duì)性的加密軟件來保護(hù)公司不同數(shù)據(jù)的安全呢？筆者從公司文檔透明加密、源代碼加密防拷貝和環(huán)境加密等方面加以比較分析。

軟件研發(fā)或嵌入式研發(fā)行業(yè)，其核心部分往往就是源代碼，如何做好源代碼的管理至關(guān)重要。根據(jù)軟件研發(fā)或嵌入式研發(fā)行業(yè)的從業(yè)者現(xiàn)狀，總結(jié)出研發(fā)從業(yè)人員有以下特點(diǎn)：

1．學(xué)歷較高，都非常聰明，非常懂電腦。

2．每個(gè)研發(fā)人員都有能力寫程序，甚至可以通過寫程序，進(jìn)行各種數(shù)據(jù)變形。例如：文件讀寫(輸出日志)、socket通信、內(nèi)存映射，常駐服務(wù)等，對(duì)于Web開發(fā)者，經(jīng)由IIS或TomCat等web服務(wù)器的代碼變形更是輕而易舉。

3．研發(fā)人員的個(gè)性較強(qiáng)，比較難管理

而我們軟件研發(fā)或嵌入式行業(yè)特點(diǎn)要求必須對(duì)研發(fā)成果—源代碼進(jìn)行安全管理。但是現(xiàn)實(shí)的工作必須環(huán)境特點(diǎn)為:

1、大家必須有局域網(wǎng)，才能協(xié)同工作；

2、需要能訪問互聯(lián)網(wǎng)，方便查找資料；

3、必須通過U口串口網(wǎng)口等端口連接外部設(shè)備進(jìn)行調(diào)試。

對(duì)于一些企業(yè)有的采用物理隔離，有的上虛擬化，有的上文檔級(jí)加密軟件，監(jiān)控軟件基本上都是形同虛設(shè)。例如常見的物理隔離，就是網(wǎng)絡(luò)和外網(wǎng)斷開，然后禁止使用U盤（軟件或機(jī)箱），看上起很美好，但是對(duì)于懂電腦的研發(fā)人員來說，影響了工作效率，還是無法達(dá)到安全。

對(duì)于軟件禁止U盤的，搞個(gè)U盤PE，然后直接從U盤啟動(dòng)繞開操作系統(tǒng)的管控做任何事。

插拔墻上的網(wǎng)線頭直連自己的筆記本電腦進(jìn)行數(shù)據(jù)傳輸。

對(duì)于不能封U口/串口的嵌入式調(diào)試環(huán)境更簡(jiǎn)單，直接可以把數(shù)據(jù)通過U口串口寫出來。

……

另外，對(duì)于虛擬化，所有數(shù)在服務(wù)器端，看上去很完美，但是只要外網(wǎng)可用，外設(shè)可用，基本上沒什么安全可言。

作為一個(gè)軟件嵌入式研發(fā)公司的信息安全管理者，應(yīng)該如何呢？

我們先了解一下，嵌入式開發(fā)的特性：

（1）連接外設(shè)，聯(lián)網(wǎng)調(diào)試

手機(jī)品種繁多，不可能做到針對(duì)每種設(shè)備類型、品牌的兼容；

網(wǎng)口調(diào)試時(shí)，調(diào)試地址不斷變更，無法鎖定具體調(diào)試位置，數(shù)據(jù)很容易泄密；

數(shù)據(jù)不能以密文形式燒錄至設(shè)備，否則設(shè)備無法識(shí)別，但這樣往往最容易造成數(shù)據(jù)外泄。

（2）開發(fā)者水平較高，會(huì)各種破解

一個(gè)代碼開發(fā)人員，可以輕松寫一個(gè)把代碼輸出到日志或control的程序，類似這種研發(fā)場(chǎng)景還有研發(fā)設(shè)計(jì)人員自編socket，內(nèi)存，管道，com，web解析器發(fā)布中轉(zhuǎn)，內(nèi)存映射，常駐服務(wù)等至少30多種。

（3）數(shù)據(jù)被各種變形，滲透外發(fā)

改變文件名稱、后綴，壓縮起來，跟隨項(xiàng)目一起打包，很容易流失。

目前，市場(chǎng)上比較流行幾種防泄密手段，均是從外表看來可以滿足需求，但終究無法做到真正的防泄密。

1、內(nèi)外網(wǎng)隔離

將涉密數(shù)據(jù)存儲(chǔ)在公司內(nèi)網(wǎng)，內(nèi)網(wǎng)不允許連接互聯(lián)網(wǎng)，看似數(shù)據(jù)只能保存在公司里，但任然有很多其他泄密風(fēng)險(xiǎn)，比如外設(shè)接口拷貝數(shù)據(jù)；重裝OS時(shí)，U盤PE繞開操作系統(tǒng)的管控從WinPE中拷貝數(shù)據(jù)；外帶電腦直連內(nèi)網(wǎng)中任意一臺(tái)PC機(jī)，數(shù)據(jù)對(duì)拷。

也有人說直接將外設(shè)接口全部封掉，用一個(gè)鐵箱子將電腦機(jī)箱鎖起來。這樣雖然是保障了機(jī)箱數(shù)據(jù)安全，但是不便連接需要外設(shè)調(diào)試的設(shè)備，而且對(duì)于開發(fā)人員來說，互聯(lián)網(wǎng)是不可缺少的查資料資源，如果另外配備查資料的電腦，再加上之前的鐵箱子成本，也是不小的開銷。

2、虛擬化

虛擬化在最近幾年越來越熱，優(yōu)點(diǎn)也越來越被人們發(fā)覺，比如減少服務(wù)器數(shù)量、簡(jiǎn)化服務(wù)器部署、提高服務(wù)器資源利用率等等。但是將虛擬化與數(shù)據(jù)安全（防泄密）扯到一起，未免有些牽強(qiáng)。牽強(qiáng)在哪里，簡(jiǎn)單總結(jié)一下，就是通過互聯(lián)網(wǎng)泄密和外設(shè)接口數(shù)據(jù)傳輸。而且，虛擬化的軟硬成本，是一套加密軟件的10倍左右。

虛擬化用于數(shù)據(jù)防泄密

3、文檔透明加密

早在10年前，人們開始關(guān)注數(shù)據(jù)安全這一塊時(shí)，文檔加密的誕生幫助大多數(shù)的生產(chǎn)商，發(fā)展至今很多人對(duì)加密的見解就是：一個(gè)文件在公司內(nèi)網(wǎng)打開正常，拿到外部打開亂碼，效果明顯直觀。

我們也承認(rèn)此項(xiàng)技術(shù)在業(yè)界發(fā)展至今，技術(shù)之成熟與優(yōu)秀之處。但如今時(shí)代已然不同，更多的需求傾向于嵌入式開發(fā)、源代碼型數(shù)據(jù)加密，而這就難倒文檔級(jí)的透明加密，這種抓進(jìn)程、綁后綴的加密方法終究止步于源代碼開發(fā)防泄密需求。在眾多開發(fā)人員面前，轟然倒塌，潰不成軍。

我們來簡(jiǎn)單列舉一些文檔透明加密在源代碼防泄密需求面前的一些不足之處。

1、U口數(shù)據(jù)線連手機(jī)：數(shù)據(jù)通過U口連接手機(jī)泄密。

2、U口數(shù)據(jù)線連設(shè)備：數(shù)據(jù)通過U口連接設(shè)備泄密。

3、串口數(shù)據(jù)線連設(shè)備：數(shù)據(jù)通過串口連接設(shè)備泄密。

4、網(wǎng)口數(shù)據(jù)線連設(shè)備：數(shù)據(jù)通過網(wǎng)口連接設(shè)備泄密。

5、控制臺(tái)程輸出內(nèi)容保護(hù)：研發(fā)人員編寫控制臺(tái)程序，把涉密內(nèi)容輸出到控制臺(tái)上然后另存。

6、日志內(nèi)容保護(hù)：研發(fā)人員編寫程序把代碼等涉密內(nèi)容保存到日志文件中然后把日志文件拷貝走。

7、內(nèi)存保護(hù)：研發(fā)人員編寫程序把代碼等涉密內(nèi)容保存制定內(nèi)存中，然后再通過另一個(gè)程序等把內(nèi)存內(nèi)容讀走。

8、web解析器保護(hù)：研發(fā)人員編寫程序把代碼等涉密內(nèi)容文件修改成Html文本樣式，然后通過IIS或tomcat等web解析器發(fā)布成網(wǎng)頁(yè)，然后用瀏覽器另存成明文拷貝走。

9、管道保護(hù)：研發(fā)人員編寫管道程序把代碼等涉密內(nèi)容傳走。

10、網(wǎng)絡(luò)通信保護(hù)：研發(fā)人員編寫socket通信程序把代碼等涉密內(nèi)容傳走。

11、消息保護(hù)：研發(fā)人員編寫發(fā)消息程序把涉密內(nèi)容發(fā)走。

12、屏幕截圖保護(hù)：由于截圖插件等很多，只針對(duì)QQ進(jìn)程是遠(yuǎn)遠(yuǎn)不夠的。

13、開發(fā)進(jìn)程追蹤困難：開發(fā)軟件在調(diào)試過程中，有些插件的進(jìn)程在后臺(tái)一閃而逝，無法捕捉添加到綁定進(jìn)程，后期導(dǎo)致整個(gè)調(diào)試過程出錯(cuò)。

14、壞文件：文件透明加密發(fā)展至今無法逾越的溝渠，原理是加密軟件在給源文件寫密鑰時(shí)突然斷電或者程序崩潰，導(dǎo)致密鑰只完成一半。最后計(jì)算機(jī)無法識(shí)別這個(gè)文件。

從加密的整個(gè)行業(yè)來看，最早的是APIhook應(yīng)用層，發(fā)展至文件過濾驅(qū)動(dòng)透明加密，一直到現(xiàn)如今智能手機(jī)、平板電腦普及率原來越廣，APP開發(fā)者越來越多，嵌入式開發(fā)也越來越多，文件過濾驅(qū)動(dòng)透明加密已漸漸不能滿足開發(fā)商們的需求。開發(fā)商們需要一款真正能經(jīng)得起技術(shù)員“推敲”的防泄密軟件。而隨著這種需求的越來越強(qiáng)烈，沙盒加密也開始在大家的視線里出現(xiàn)。

為什么說沙盒加密能滿足源代碼級(jí)別、嵌入式開發(fā)的防泄密需求？

2012年，某全球知名通信設(shè)備生產(chǎn)銷售商，深圳總部的研發(fā)人員向沙盒加密提出這類需求。在當(dāng)初整個(gè)加密市場(chǎng)，這一塊還是一片空白。沙盒加密商安全專家組討論研究，給出適合的解決辦法。在后幾年實(shí)施使用中愈加完善，發(fā)展至今可以完全解決這一類難題。

什么是沙盒？

沙盒生效時(shí)，接管整個(gè)操作環(huán)境，文件本身在沙盒環(huán)境內(nèi)如何處理、修改、編譯、調(diào)試都與沙盒無關(guān)，沙盒不會(huì)去過問這些行為。然而當(dāng)這些文件想要從系統(tǒng)里拿出時(shí)，受到沙盒嚴(yán)格管控，無論是網(wǎng)絡(luò)出口，還是硬件接口出入，管理員不授權(quán)，所有文件均無法帶走。

我們把沙盒當(dāng)做一間房屋，把數(shù)據(jù)當(dāng)做進(jìn)出這個(gè)房屋的人。人在房屋里干了什么，變成劉德華還是周杰倫，變成男的或者女的，變成動(dòng)物還是植物，房屋都不會(huì)去管他，房屋真正控制的是進(jìn)出的“門”！

沙盒管控的就是這個(gè)“門”！

沙盒加密的優(yōu)勢(shì)在于不改變文件、不改變動(dòng)作、不影響開發(fā)調(diào)試結(jié)果，不用刻意定義需要加密的文件后綴，不用擔(dān)心開發(fā)者繞過沙盒造成泄密；安全隔離上網(wǎng)，加密與非加密劃分兩個(gè)區(qū)域，互不干涉；沙盒在對(duì)服務(wù)器保護(hù)的同時(shí)，也不會(huì)對(duì)服務(wù)器文件做加密處理，方便系統(tǒng)管理員存儲(chǔ)、備份、運(yùn)維；沙盒也可以與ERP、OA、PDM等服務(wù)器，與SVN、VSS等版本管理工具無縫集成。

沙盒加密用于嵌入式開發(fā)有以下幾大特點(diǎn)：

（1）沙盒客戶端、服務(wù)器的數(shù)據(jù)在沙盒內(nèi)受管控，未經(jīng)授權(quán)無法被帶走；

（2）調(diào)試接口受管控，未經(jīng)授權(quán)，任何調(diào)試接口都被拒絕；

（3）打開對(duì)外調(diào)試接口，并對(duì)接口進(jìn)行約束：只能訪問固定的IP、只能從固定的端口調(diào)試、只能訪問固定的Mac地址；

（4）指定需要調(diào)試的沙盒客戶端節(jié)點(diǎn)，對(duì)其只打開U口調(diào)試權(quán)限、只打開網(wǎng)口調(diào)試權(quán)限、只打開串口調(diào)試權(quán)限；

（5）指定需要調(diào)試的沙盒客戶端節(jié)點(diǎn)，所有從這臺(tái)客戶端節(jié)點(diǎn)接口出去調(diào)試的數(shù)據(jù)，均由沙盒備份至服務(wù)器，方便后期審計(jì)與追溯；

（6）對(duì)放開調(diào)試接口的客戶端節(jié)點(diǎn)進(jìn)行攝像頭監(jiān)控，以此作為輔助，約束調(diào)試人員，保障數(shù)據(jù)安全。

如下圖所示：

沙盒加密用于嵌入式開發(fā)示意圖

總結(jié)：術(shù)業(yè)有專攻。在圖紙和office辦公文檔加密需求為前提下，沙盒過于龐大笨重，有點(diǎn)小題大做的感覺，用戶的體驗(yàn)度也比沙盒加密體驗(yàn)度高。但是對(duì)于源代碼加密和嵌入式開發(fā)需求來說，確實(shí)只有沙盒可以滿足需求。沙盒加密發(fā)展至今也就幾年時(shí)間，體驗(yàn)度、方便率什么的，也給他們一點(diǎn)發(fā)展時(shí)間，相信后期會(huì)有比較好的改善。

文檔透明加密與沙盒加密有本質(zhì)上的區(qū)別，本文只針對(duì)“源代碼、嵌入式開發(fā)防泄密”話題做探討，無針對(duì)的含義在里面。請(qǐng)相關(guān)人員不要對(duì)號(hào)入座，文章只是就事論事。大家也可以自己去調(diào)查研究，去解惑事實(shí)的真相。如果有寫的不夠詳細(xì)的地方，也歡迎大家補(bǔ)充。