主题：【求助】订制软件暨安全问题 -- 棋人鲁大耍

公司需要客户资料管理方面的软件。客户资料的重要性不言而喻，因此希望软件具有如下功能：

一、高安全性的加密；

二、支持远程监控，监控端可以对存储端远程加密；

三、暗中自动记录存储端的所有操作并发往监控端，包括所有打开文件的记录和试图打开文件的记录。IP来源等信息；

大致就是这些……

想请教一下懂行的人士，国内哪家公司做这类软件口碑比较好？订制成本大概需要多少？还有一个不得不提的问题，万一聘请的公司在做软件的时候暗中给自己留后门，怎样发现和防范？

还请愿意指点迷津的业内行家不吝赐教，（若可能）介绍得越详细、越通俗越好。多谢了！

1. 采用成熟的对称式加密算法，如DES，3DES，AES等，并采用签名算法如DSA。数据库里只存储明文索引（客户名或代号）和加密后的详细内容（地址，电话，联系人等）

2. 不明白监控的功能是什么意思。这种情况一般会用B/S或C/S结构，即客户端（或浏览器）在前端输入和浏览信息，而服务器端是数据库，用来存储信息。

3. 数据库系统自带日志功能，所以完全可以满足你的审计要求

如果你对后门问题有很强的戒心的话，可以花钱买源码，自己审查后重新编译，这样就不会有后门了。当然，看别人源码是很痛苦的

还有个方法是把数据库放在网络的DMZ里，并设置只有特定的几台客户端机器才能访问这个数据库服务器。这样即使别人留了后门，也没法访问并获得数据。

安全是個系統工程，包括硬件安全、軟件安全、網絡設備安全、物理連接安全、用戶安全、審計安全等等。

全部達到上述的安全需要付出的成本很高，一般來說都是根據資料的重要性和資料的管控方式在其中做出取舍，選擇有針對性的幾條做安全防護。

最基本的一條是資料存取的這個過程從邏輯上講要是安全的，沒有漏洞，其次才考慮到硬件、軟件等方面的安全。

對于你提到的軟件后門，個人覺得購買源碼讓第三方公司審計是避免后門的好辦法。另外開源的安全軟件也有很多，不知道是否滿足你的需要。如果可以的話，用這些軟件可以避免后門的問題。

我们公司正准备引进。不知道能否达到你的要求。

可以google

open source content management

open source document management出来一大堆。

或者用微软的，具体名字一下想不起来,可能是这个:

http://www.microsoft.com/cmserver/default.mspx

不论是WSS还是MOSS本身都没可能达到那些要求，Windows Rights Managenent Service可以实现加密的部分，但监控的部分几乎没有。对于这种安全要求很高的客户SharePoint并不适合。

恕不一一点名致谢了

我对软件完全是外行，所以讲解得越通俗对我帮助越大，还搞不懂的我就个别请教了。（不知是否有比较好的科普文章，有助于在这方面建立一个基本概念的）

还有就是成本问题，若能告知目前国内这方面较为具体的行情，“订制这样一个软件大致要花多少”这个问题就能有个大概数了

还请大家继续不吝赐教，多谢了

包括你的客户信息有多复杂，业务流程如何，加密强度，数据量，源码的大小和语言（用于第三方审计），等等等等。有很多因素会影响报价。建议你找一家中型软件公司咨询一下

1. 商用的可以使用公开加密算法，都是酒精考验的。DES过时了，3DES的也别考虑了，AES也许有弱密钥掌握在CIA/FBI手里，但现在还没发现。好消息是RSA专利已经过期，密钥交换很好用。椭圆曲线如果是国内的话，可以问问商密办。要坚持一个原则，在商业领域，依赖于不公开的加密算法的软件，都被认为是不安全的。

2. C/S之间使用SSL协议

3. Service使用商业的linux服务器版本，并仔细配置

4. 即使做到这些，仍然会有很多漏洞。保密是一个系统，最关键的是人