- !!!用户新注册邮件系统遭恶意攻击,暂不能发送邮件,请隔天尝试。寻求解决方案中
- 【征集】西西河的经济学,及清流措施,需要主动参与者
- 『稷下学宫』新认证方式
- 24年网站打算和努力目标
主题:【求助】订制软件暨安全问题 -- 棋人鲁大耍
家园 【求助】订制软件暨安全问题 公司需要客户资料管理方面的软件。客户资料的重要性不言而喻,因此希望软件具有如下功能:
一、高安全性的加密;
二、支持远程监控,监控端可以对存储端远程加密;
三、暗中自动记录存储端的所有操作并发往监控端,包括所有打开文件的记录和试图打开文件的记录。IP来源等信息;
大致就是这些……
想请教一下懂行的人士,国内哪家公司做这类软件口碑比较好?订制成本大概需要多少?还有一个不得不提的问题,万一聘请的公司在做软件的时候暗中给自己留后门,怎样发现和防范?
还请愿意指点迷津的业内行家不吝赐教,(若可能)介绍得越详细、越通俗越好。多谢了!
家园 建议 1. 商用的可以使用公开加密算法,都是酒精考验的。DES过时了,3DES的也别考虑了,AES也许有弱密钥掌握在CIA/FBI手里,但现在还没发现。好消息是RSA专利已经过期,密钥交换很好用。椭圆曲线如果是国内的话,可以问问商密办。要坚持一个原则,在商业领域,依赖于不公开的加密算法的软件,都被认为是不安全的。
2. C/S之间使用SSL协议
3. Service使用商业的linux服务器版本,并仔细配置
4. 即使做到这些,仍然会有很多漏洞。保密是一个系统,最关键的是人
家园 花敬各位大拿的回复 恕不一一点名致谢了
我对软件完全是外行,所以讲解得越通俗对我帮助越大,还搞不懂的我就个别请教了。(不知是否有比较好的科普文章,有助于在这方面建立一个基本概念的)
还有就是成本问题,若能告知目前国内这方面较为具体的行情,“订制这样一个软件大致要花多少”这个问题就能有个大概数了
还请大家继续不吝赐教,多谢了
家园 价格很难说,用不同技术的报价会各不相同 包括你的客户信息有多复杂,业务流程如何,加密强度,数据量,源码的大小和语言(用于第三方审计),等等等等。有很多因素会影响报价。建议你找一家中型软件公司咨询一下
家园 用opensource的软件? 可以google
open source content management
open source document management出来一大堆。
或者用微软的,具体名字一下想不起来,可能是这个:
http://www.microsoft.com/cmserver/default.mspx
家园 微软的那个产品叫 SharePoint Server 我们公司正准备引进。不知道能否达到你的要求。
家园 绝无可能。 不论是WSS还是MOSS本身都没可能达到那些要求,Windows Rights Managenent Service可以实现加密的部分,但监控的部分几乎没有。对于这种安全要求很高的客户SharePoint并不适合。
家园 安全是個系統工程 安全是個系統工程,包括硬件安全、軟件安全、網絡設備安全、物理連接安全、用戶安全、審計安全等等。
全部達到上述的安全需要付出的成本很高,一般來說都是根據資料的重要性和資料的管控方式在其中做出取舍,選擇有針對性的幾條做安全防護。
最基本的一條是資料存取的這個過程從邏輯上講要是安全的,沒有漏洞,其次才考慮到硬件、軟件等方面的安全。
對于你提到的軟件后門,個人覺得購買源碼讓第三方公司審計是避免后門的好辦法。另外開源的安全軟件也有很多,不知道是否滿足你的需要。如果可以的話,用這些軟件可以避免后門的問題。
家园 几个建议 1. 采用成熟的对称式加密算法,如DES,3DES,AES等,并采用签名算法如DSA。数据库里只存储明文索引(客户名或代号)和加密后的详细内容(地址,电话,联系人等)
2. 不明白监控的功能是什么意思。这种情况一般会用B/S或C/S结构,即客户端(或浏览器)在前端输入和浏览信息,而服务器端是数据库,用来存储信息。
3. 数据库系统自带日志功能,所以完全可以满足你的审计要求
如果你对后门问题有很强的戒心的话,可以花钱买源码,自己审查后重新编译,这样就不会有后门了。当然,看别人源码是很痛苦的
还有个方法是把数据库放在网络的DMZ里,并设置只有特定的几台客户端机器才能访问这个数据库服务器。这样即使别人留了后门,也没法访问并获得数据。