軟件開發(fā)防泄密解決方案，需重視的幾點

最近一直致力研發(fā)行業(yè)防泄密方案，做源代碼加密防泄密的解決方案

目前為止，了解實施了不少項目，概括下來該行業(yè)有如下特點： 

1、軟件研發(fā)人員水平比較高，首先得做到不易被破解； 

2、軟件研發(fā)人員的反監(jiān)控、反加密、反防泄密的水平比較高，比較難防。普通的加密產(chǎn)品，很容易被秒殺。想花時間的人，進程偽造IP偽造dll注入等，懶的人去網(wǎng)上的下點工具，基本上都能搞定。懂安全的人就更不用說了，相信目前市面上的加密產(chǎn)品，95%的產(chǎn)品都很難熬過10分鐘；

3、大部分員工都會抵觸監(jiān)控或加密。除非公司夠強勢，發(fā)的錢足夠多，單位足夠好，否則很難推，進行項目推進的話，需要找到平衡點；

軟件研發(fā)環(huán)境方面，也較為復雜： 

1、VC++(MFC/ATL/COM/服務/Socket)，JAVA(JSP/J2EE/J2SE/J2ME),PHP，C#(app/.net)，protel等等，如果是電力行業(yè)或者嵌入式的，PLC工控的，Android開發(fā)，則開發(fā)工具更加千奇百怪。這個時候，采用傳統(tǒng)的加密產(chǎn)品來解決，基本上死路一條，因為沒法進行那么多進程關(guān)聯(lián)；

2、不能影響本地調(diào)試編譯，特別是和網(wǎng)絡相關(guān)的調(diào)試或服務調(diào)試，模擬器的調(diào)試；

3、服務器linux居多，客戶端基本都有虛擬機；

在行為管理使用方面一般有3點： 

1、需要給員工一定的自由空間。比如上網(wǎng)查資料，QQ等，只要不涉及公司機密，還是允許他做，并不監(jiān)控。 這樣員工不容易反感太厲害；

2、安全和便利是對立的，要掌握一個平衡點，一點不影響工作效率是不可能的，影響太厲害也是會被反感，對公司也沒幫助；

3、沒有絕對的安全，上安全的目的是增加其泄密成本，而不是徹底杜絕泄密，沒有誰敢拍胸脯說自己產(chǎn)品沒有一點問題的，就算是微軟這么大的公司，產(chǎn)品還是有bug；

4、當真正需要防泄密方案時，必須有一套合理的規(guī)章制度和一個適合的安全軟件，配合使用，相輔相成； 

選產(chǎn)品選型的時候，需要同時滿足一些條件： 

1、不影響編譯，調(diào)試debug；

2、不影響版本管理，版本對比； 

3、不能只是.cpp等源代碼加密，其附屬物，obj,exe等都需要是受控的；

4、不能破壞文件；

5、最好源代碼文檔在服務器上是明文，在員工開發(fā)機器上是密文，減少對加密軟件依賴性，防止安全事故；

6、不能影響上外網(wǎng)查資料，上QQ等，但不能經(jīng)此造成泄密；