源代码防泄密软件该如何选择

目前很多企业都拥有自己的研发机构，其研发成果往往体现在源代码和技术文档方面，这些核心机密，如何防止研发参与人员泄密，如何防止核心成员把研究成果带走另立山头，或者提供给竞争对手，是一个很现实的一个问题。

有些公司通过和员工签署保密协议，来对应上述的泄密问题，但由于计算机的特性，源代码图纸的取证困难，效果很不理想。如果能够事先进行防范，减少或者杜绝泄密风险，那将大大提升保密性，所以需要购买源代码以及技术文档加密的软件，来防止员工的主动泄密。

1加密软件分析：

目前国内加密软件市场比较混乱，技术也比较多，但是不管厂家如何宣传，其技术路线大致分为下面几种：

1.1文档加密产品：

代表厂家：绿盾、IPguard、亿塞通、华途等

技术原理：进程和文件类型相关联，即符合条件的进程，在读写指定格式文件的时候，插入加密解密处理，因为是程序自动处理，用户感觉不到，所以又被人称为文件透明加密技术。该技术从应用层APIHOOK加密解密发展到（IFS）文件过滤驱动加密解密。在微软推出Minifilter之后，有些厂家就把加密框架移到了Minifilter上。

说明：目前市面上绝大多数透明加密产品都采用文件过滤驱动(IFS或Minifilter)，所以如果有人推销自己的产品时，把“驱动实现的”作为产品特色的话，你基本上可以用脚踹他了。

优点：

技术上实现思路简单，理想化。

功能上直观，易懂，演示讲解容易被接受。比如拿个a.doc文件，保存一下就加密了，在客户端本机上感觉不到加密，但是复制到其他机器上就是密文，多好啊！

缺点：

技术上存在缺陷和瓶颈，主要技术问题表现在：文件读写的即时处理（大家都知道windows有缓存的）,和进程间通信控制等不少棘手问题无法解决。

功能的缺点表现在：稳定性不够，较大文件容易破损，进程可能被冒充，另外，OLE，消息，剪切板，RPC，COM,管道等进程间通信控制也较难控制彻底。

结论：比较适合简单办公环境的文档防泄密需求，不适合有源代码的研发环境和保密要求规格较高的场景。

1.2 环境加密产品：

代表厂家：深信达、明朝万达

技术原理：在企业内部画一个圈，圈内的数据、文件只能在圈内用，在圈内不区分文件类型，不区分软件进程，所有的文件都拿不走，所有程序都受控。数据要拿出圈外，必须走审批流程。该方案以磁盘加密为基础，构建安全的加密环境。者卷过滤驱动实现。

优点：保护彻底，防护级别高，可以防止精通计算机的程序员，可以保护源代码，运维也比较简单，不用跟着软件升级跑。

缺点：比较重，对工作效率有一定影响

结论：适合有源代码的研发环境，不太适合灵活办公的安全要求低的场景。

由于本文是为研发源代码加密防泄露选型，故对深信达的SDC沙盒产品原理进一步进行分析：

该产品首先在代码版本管理服务器(SVN或GIT)上安装一个模块，然后研发人员必须在研发本机上安装沙盒客户端才能访问代码版本管理服务器，不安装沙盒客户端的无法访问。当能访问代码版本管理服务器后，可以正常从服务器上下载代码到本地，进行编译调试，整个过程生成的所有文件，包括代码、二进制文件、日志等都无法拷贝出个人主机，必须上传到版本管理服务器。

同时，可以用浏览器上网查资料，可以使用邮件和QQ或微信等IM工具，但是都只进不出，要出必须走审批。未审批的文件强制拿走都是加密的，只有合法的客户端才能打开。

2.源代码加密需求特点

源代码研发环境特别复杂，并且有的还涉及硬件嵌入式等。不管是纯软开发，还是硬件开发，由于面向客户群体不同，开发环境也有很大的区别，并且也相当的复杂。

应用软件类开发：

1）VC++(MFC/ATL/COM/服务/Socket)，JAVA(JSP/J2EE/J2SE/J2ME),PHP，C#(app/.net)，protel等等，开发工具也多。所以靠进程和文件格式的关联的加密肯定是不行的。

2）不能影响本地需要调试编译，特别是和网络相关的调试或服务调试，模拟器的调试。

3）服务器linux居多，客户端使用虚拟机的居多。

还有一个重要的特点就是，研发人员计算机水平都比较高，普通软件根本管不住，举例说明：

通过编程手段，进行进程伪造，共享内存、socket通信，管道、消息等编程方式，基本上都可以绕过很多加密产品。