文檔加密

人才競爭、市場競爭、金融危機、敵特機構等都給企事業單位的發展帶來巨大風險，內部竊密、黑客攻擊、無意識泄密等竊密手段成為了人與人之間、企業與企業之間、國與國之間的安全隱患。

市場的需求、人的安全意識、環境的諸多因素促使着我國的信息安全高速發展，信息安全經歷了從傳統的單一防護如防火牆到信息安全整體解決方案、從傳統的老三樣防火牆、入侵檢測、殺毒軟件到多元化的信息安全防護、從傳統的外部網絡防護到內網安全、主機安全等。

信息安全傳統的老三樣（防火牆、入侵檢測、防病毒）成為了企事業單位網絡建設的基礎架構，已經遠遠不能滿足用户的安全需求，新型的安全防護手段逐步成為了信息安全發展的主力軍。例如主機監控、文檔管理、虛擬化等技術；

在新型安全產品的隊列中，主機監控主要採用外圍圍追堵截的技術方案，雖然對信息安全有一定的提高，但是因為產品自身依賴於操作系統，對數據自身沒有有效的安全防護，所以存在着諸多安全漏洞，例如：最基礎的手段拆拔硬盤、winpe光盤引導、USB引導等方式即可將數據盜走，而且不留任何痕跡；此技術更多的可以理解為企業資產管理軟件，單一的產品無法滿足用户對信息安全的要求；

文檔加密 ^[1]  是現今信息安全防護的主力軍，採用透明加解密技術，對數據進行強制加密，不改變用户原有的使用習慣；此技術對數據自身加密，不管是脱離操作系統，還是非法脱離安全環境，用户數據自身都是安全的，對環境的依賴性比較小。市面上的文檔加密主要的技術分為磁盤加密、應用層加密、驅動級加密等幾種技術，應用層加密因為對應用程序的依賴性比較強，存在諸多兼容性和二次開發的問題，逐步被各信息安全廠商所淘汰。

文檔加密是國內對信息安全的基本要求。國外的文檔加密主要以手動為主，自動為輔。而國內主要是針對離職員工泄密為主進行文檔的加密，即自動文檔加密，比較典型的文檔加密軟件是華途數據安全系統。

數據安全保護系統是依據國家重要信息系統安全等級保護標準和法規，以及企業數字知識產權保護需求，自主研發的產品。它以全面數據文件安全策略、加解密技術與強制訪問控制有機結合為設計思想，對信息媒介上的各種數據資產，實施不同安全等級的控制，有效杜絕機密信息泄漏和竊取事件。產品特點

1. 透明加解密技術：提供對涉密或敏感文檔的加密保護，達到機密數據資產防盜竊、防丟失的效果，同時不影響用户正常使用。

2. 泄密保護：通過對文檔進行讀寫控制、打印控制、剪切板控制、拖拽、拷屏/截屏控制、和內存竊取控制等技術，防止泄漏機密數據。

3. 強制訪問控制：根據用户的身份和權限以及文檔的密級，可對機密文檔實施多種訪問權限控制，如共享交流、帶出或解密等。

4. 雙因子認證：系統中所有的用户都使用USB-KEY進行身份認證，保證了業務域內用户身份的安全性和可信性。

5. 文檔審計：能夠有效地審計出，用户對加密文檔的常規操作事件。

6. 三權分立：系統借鑑了企業和機關的實際工作流程，採用了分權的管理策略，在管理方法上採用了職權分離模式，審批，執行和監督機制。

7. 安全協議：確保密鑰操作和存儲的安全，密鑰存放和主機分離。

8.文件外發管理無懈可擊：為嚴控收件人的使用權限，可對外發文件，設置指定的可查看次數、時間；對信任的收件對象可設置郵件白名單，白名單郵箱對加密文檔自動解密；對安全級別高的加密文件，通過綁定對方計算機或者安裝外發查看器兩種方式，限制收件人不可再次外發傳播。

9.離線應用不脱離保護：出差或短期離線辦公可設置使用時間等權限保護加密文檔安全，延期使用的需要申請延長使用期限。

我們所能常見到的主要就是磁盤加密和驅動級解密技術：

全盤加密技術是主要是對磁盤進行全盤加密，並且採用主機監控、防水牆等其他防護手段進行整體防護，磁盤加密主要為用户提供一個安全的運行環境，數據自身未進行加密，操作系統一旦啓動完畢，數據自身在硬盤上以明文形式存在，主要靠防水牆的圍追堵截等方式進行保護。磁盤加密技術的主要弊端是對磁盤進行加密的時間週期較長，造成項目的實施週期也較長，用户一般無法忍耐；磁盤加密技術是對磁盤進行全盤加密，一旦操作系統出現問題。需要對數據進行恢復也是一件讓用户比較頭痛的事情，正常一塊500G的硬盤解密一次所需時間需要3-4個小時；磁盤加密技術相對來講真正要做到全盤加密還不是非常成熟，尤其是對系統盤的保護，市面上的主要做法是對系統盤不做加密防護，而是採用外圍技術進行安全訪問控制，大家知道操作系統的版本不斷升級，微軟自身的安全機制越來越高，人們對系統的控制力度越來越低，尤其黑客技術層層攀高，一旦防護體系被打破，所有一切將暴露無疑。另外，磁盤加密技術是對全盤的信息進行安全管控，其中包括系統文件，對系統的效率性能將大大影響。

驅動級技術是信息加密的主流技術，採用進程+後綴的方式進行安全防護，用户可以根據企事業單位的實際情況靈活配置，對重要的數據進行強制加密，大大提高了系統的運行效率。驅動級加密技術與磁盤加密技術的最大區別就是驅動級技術會對用户的數據自身進行保護，驅動級加密採用透明加解密技術，用户感覺不到系統的存在，不改變用户的原有操作，數據一旦脱離安全環境，用户將無法使用，有效提高了數據的安全性；另外驅動級加密技術比磁盤加密技術管理可以更加細粒度，有效實現數據的全生命週期管理，可以控制文件的使用時間、次數、複製、截屏、錄像等操作，並且可以對文件的內部進行細粒度的授權管理和數據的外出訪問控制，做到數據的全方位管理。驅動級加密技術在給用户的數據帶來安全的同時，也給用户的使用便利性帶來一定的問題，驅動級加密採用進程加密技術，對同類文件進行全部加密，如何有效區別個人文件與企業文件數據的分類管理，個人電腦與企業辦公的並行運行等問題；

酷衞士數據安全管理平台採用國際最先進的虛擬化技術、沙箱技術、驅動級加密等技術；

首先平台採用虛擬化技術，虛擬化最接近用户的還是要算的上桌面虛擬化了桌面虛擬化主要功能是將分散的桌面環境集中保存並管理起來，包括桌面環境的集中下發，集中更新，集中管理。桌面虛擬化使得桌面管理變得簡單，不用每台終端單獨進行維護，每台終端進行更新。終端數據可以集中存儲在中心機房裏，安全性相對傳統桌面應用要高很多。桌面虛擬化在用户原有的操作系統上虛擬出一個全新的安全桌面，這樣用户就擁有一個電腦桌面與安全桌面，用户可以實現在電腦桌面進行個人文件操作，在安全桌面進行辦公操作，用户只有在安全桌面才可以訪問企業的業務系統，電腦桌面無法訪問，兩個桌面的操作具有無關性，用户可以在兩個不同桌面同時處理個人文件與辦公文件。同時在安全桌面的所有操作數據將保存在虛擬磁盤裏，虛擬磁盤採用加密技術進行安全防護，用户一旦退出安全桌面，虛擬磁盤將自動退出，所有數據將不可見，有效保障了數據的安全性；

沙盒技術可以算是虛擬機的一種發展，其技術原理似乎也和虛擬機大致相同，但它們仍有很大區別。沙盒是一種更深層的系統內核級技術，在一個程序運行時，沙盒會接管程序調用接口或函數的行為，並會在確認攻擊行為後實行“回滾”機制，讓系統復原。

沙箱通過重定向技術，把安全桌面內應用程序生成和修改的文件，定向到自身文件夾中，這些數據的變更，包括註冊表和一些系統的核心數據。通過加載自身的驅動來保護底層數據，屬於驅動級別的保護。

沙箱通過虛擬化技術創建的隔離系統環境。您可以在沙箱中運行包含風險程序的程序（如未知文件、病毒木馬等），沙箱會記錄程序運行過程中的各種操作行為

在沙箱中所有操作都是虛擬的，真實的文件和註冊表不會被改動，這樣可以確保病毒無法對系統關鍵部位進行改動破壞系統。

沙箱內的文件操作，包括可執行文件和非可執行文件：安全桌面內的進程所對文件和系統的修改，全部被重定向。並且重定向後的文件是經過加密的，即使重定向的文件被泄露，也沒有安全隱患。用户註銷後，重定向文件全部被刪除，即所有在安全桌面下進行的文件操作對於默認桌面沒有任何改變。

在安全桌面中，所有的通訊也被嚴格控制，安全桌面與電腦桌面之間通信也會被重新定向而進行控制，防止用户把資料泄露出去。包括Socket通訊、安全桌面內的進程與電腦桌面的進程通過本機IP進行通信，避免數據泄漏。

沙箱技術具有以下特點：

1.完全隔離並輕量的虛擬化技術。

2.自動識別特定有風險軟件隔離運行。

3.所有的磁盤操作放置在一個緩衝區，沒有真正寫入

4.安全不留痕跡，用的省心更安心。

沙箱主要為用户的安全桌面提供一個安全的運行環境，將電腦桌面與安全桌面進行安全隔離；

關於驅動加密技術前面的分析中我們已經介紹過了，在這裏不再重複；

博睿勤數據安全管理平台還具有以下特點：

1、用户操作可以實現電腦桌面與安全桌面的平滑切換，不需要進行系統重啓操作，大大提高了用户的辦公效率和用户體驗度；

2、平台不但可以實現在線登陸功能，同樣為用户提供離線和外出登陸功能，滿足用户的不同安全需求；

3、平台可實現安全桌面可以訪問電腦桌面，電腦桌面禁止訪問安全桌面功能，可以大大提高數據的訪問效率；

4、平台同時可以實現電腦桌面與安全桌面的同步安全管理，可根據安全需求靈活控制策略；

5、平台可實現文件的集中管控，本地不留文件的安全功能，數據全部集中存儲在服務器上；

6、平台可滿足用户的複雜環境的需求，可在一套系統內實現主機管理、賬號管理、集中管理、桌面管理等強大功能；

7、平台具有防水牆的功能，可實現設備管理、U盤管理、上網行為管理、文檔加解密功能、軟硬件資產管理、非法外聯、准入管理、文件備份、打印管理、授權管理、外發管理功等38項功能

8、產品不但解決了用户的數據安全性問題，同時降低了管理難度、實施難度和用户的牴觸心理；

9、平台可以實現一個人多個桌面，從事不同的工作；

10、平台有效解決多人使用一台電腦的安全問題；

採用創新的安全策略和自主創新的實時加密技術與應用程序監控技術，實現對企業內部敏感信息的載體――電子文檔，如：機密文件、重要數據、設計圖紙、軟件源代碼、配方等全生命週期的保護。與以往的各種電子文檔安全保護工具相比，採用了創新的安全策略，出發點已經不是通過防止文件被帶出來保證安全；而是要做到任何人、通過任何方式帶出的文件都是加密的，也是無法使用的，從而不怕文件被非法竊取。具體地説：通過保證電子文檔從創建到打開、編輯、瀏覽、保存、傳輸直至刪除的整個生命週期中始終處於加密狀態、任何人（包括文件的創建者和合法使用者）始終都接觸不到解密的文件，來做到沒有人能夠帶走解密文件的安全效果。因為一切通過電子郵件、網絡入侵、移動存儲設備（軟盤、U盤、筆記本等）、藍牙設備、紅外設備、木馬程序等手段竊取的都只能是加密的文件，而這些加密文件在企業環境中可以不經過解密就正常使用，而一旦脱離了企業的計算機就無法正常使用。

採用的是一種主動的安全策略。在從文件創建到刪除的整個生命週期都對其進行安全保護。這有別於防火牆等被動的“堵”的安全策略。圖檔保鏢與防火牆、VPN等安全產品完全不衝突，從“內部控制”的層面對現有安全系統進行了重要的補充。只要系統內部還存在不加密的電子文檔，在理論上以往的各種安全系統（防火牆等）就無法杜絕機密文件泄密的可能性。由於圖檔保鏢可以做到系統內部不再存在沒有加密的重要電子文檔，因此從信源上保證了安全，在安全系統中圖檔保鏢的安全作用將是不可替代的，結合其他的安全系統使用能夠為用户構造更嚴密的信息安全體系。

1、保存企業機密的電子文件在全生命週期（包括在新建、瀏覽、編輯、更改等操作文件的時候）始終都是加密的。

2、受保護的電子文件只在圖檔保鏢數據安全系統辦公環境內部的計算機上可用，在其他計算機上不可用。

3、在數據安全系統安全環境下，數據安全系統服務能夠在後台監控和輔助應用程序（如Word、各種CAD軟件等）不需要解密就直接操作文件；如果把文件拷貝到數據安全系統安全環境外，沒有數據安全系統服務的幫助，應用程序就無法處理文件。

4、能夠全面監控和處理應用程序中的另存為、打印、拷貝粘貼、發送郵件等會引起泄密的操作。

5、只有通過數據安全系統管理機，系統管理員才能解密文件，合法地向外發放文件。並且，文件的發放操作被嚴格記錄、審計。

6、數據安全系統服務端管理員在服務端上能夠實時監控作為部門服務器的管理機的工作狀態和配置管理機的功能授權，並且彙總、審計管理機上的操作日誌，及時發現系統安全隱患。

7、數據安全系統管理機管理員在管理機上能夠實時監控客户機上安全服務的工作狀態和配置客户機的功能授權，及時發現文件安全隱患。本系統採用內核級透明加解密技術對電子文檔採取自動、強制、實時的加密策略，實現圖文檔文件的安全保護。數據安全系統加密策略的出發點已經不是通過防止文件被帶出；而是要做到任何人、通過任何方式拷出的文件都是處於加密保護狀態的，未經授權也是無法使用的，不必擔心企業重要文件被非法竊取。具體地説：據安全系統通過保證電子文檔從新建到打開、編輯、瀏覽、保存、傳輸直至刪除的整個過程中始終處於加密狀態、任何人（包括文件的創建者和合法使用者）始終都接觸不到可以使用的加密保護文件，做到沒有人能夠帶走非保護文件的安全效果。因為一切通過電子郵件、網絡入侵、移動存儲設備（軟盤、U盤、筆記本等）、藍牙設備、紅外設備、木馬程序等手段竊取的都只能是保護狀態的文件，而這些文件脱離了企業的計算機就無法正常使用。

文件安全系統採用C/S架構，由一個服務器及多個管理機和若干客户機組成。其中，服務器用於註冊管理機；管理機用於管理客户機和加密策略的下發、解密外發圖文檔等功能；客户機用於實現文件的全生命週期內加密保護，安裝客户機的用户不改變日常操作習慣，圖文檔文件在操作過程中（從創建到打開、編輯、瀏覽、保存、移動直至刪除）始終處於加密保護狀態。

基於Windows 底層的驅動級透明加解密技術是文檔加密核心技術之一。這項技術的特點是自動性、透明性和強制性。

對於自動性，支持對任意文件類型、任意硬盤區間、任意文件夾的自動加密保護。在具體的應用過程中，企業用户往往是根據自身的實際需求，指定某些類別的應用程序（如微軟OFFICE 軟件、CAD 軟件等），從而對這些應用程序新建、編輯、拷貝的文件自動的對文件進行加密保護。

對於透明性，對文件加解密過程全是在操作系統後台完成，不需要用户對文件做任何額外操作，不改變用户操作文檔的習慣。產品體驗就如同它為透明的一樣，用户不會受到任何影響，甚至感覺不到它的存在。

對於恆久性，當用户在保存受保護程序創建的文件時，無論其以何種格式（系統默認格式或用户指定格式）、保存到何處（本地硬盤、移動硬盤、網絡存儲設備等），數據內容在離開內存後，都將被自動強制加密。並且，受保護的數據文件在任何存儲介質上均以密文形式保存。

對於強制性，為企業構建了一個安裝環境，在安全環境內對文件所做的任何操作最終結果都是加密的。員工別無選擇。

對於受保護的文件，只有合法用户在被授權的終端（企業內部計算機）上進行應用。用户可以以任何方式（雙擊文件名、使用程序文件打開等）訪問受保護文件時，信息內容在調入內存時才會被自動解密，不會在硬盤留下任何形式的明文臨時文件。

一般採用128位國家保密局標準AES加密算法，加密算法與計算機硬件結合產生企業獨有的密鑰;硬件狗使用USB加密設備的SSF08算法。國際先進的透明加密技術，無需人工干預後台加/解密不改變文檔格式、大小、屬性;不改變操作習慣。

在加密策略管理中將企業需要加密的軟件或程序添加為受控程序即可實現加密受控軟件產生的任何文件。與市場上同類軟件的相比技術亮點在於受控的加密軟件與受控軟件的版本無關。（比如同類加密軟件支持到AUTO CAD 2005 要加密AUTO CAD 2006就必須升級加密軟件。）

加密系統後台運行實時加/解密；不改變操作者（技術人員設計用的一端）的習慣；不改變文檔格式，不需要用額外程序打開，不佔共享資源與受控程序協同工作不與其它應用程序發生衝突；加密文件企業內自由流通。加密文件能以任何方式進行共享，包括電子郵件、CD-ROM、FTP下載、即時消息等。確保信息無論存放在哪裏或傳送到何處，都是加密的，而不侷限於傳輸中的安全。加強了客户端商務出差管理策略，可以保證客户端過期後加密文件信息禁止訪問。

提供完整的補丁下載、分析測試、策略制定和分發，以及客户端補丁安裝狀況檢測與分析。無需人工參與的智能版本升級，當有新版本時只需在管理端升級，管理機分發文件新版本時，舊版本客户端自動檢測管理端下載升級，對客户實施的加密策略實時生效。

管理端安裝在企業管理者的電腦上，手動加密/解密文件夾和任何類型的文件。分組加密策略管理：實時修改加密受控程序、控制打印、控制複製粘貼、控制拷屏的策略。客户機管理：客户機狀態查看、客户機分組管理、脱機時間設置、客户機卸載。登錄用户操作權限管理：設置登錄用户的類型、密碼、用户管理、受控程序管理、客户機管理、加解密管理、日誌管理、文件類型過濾等權限。受控程序管理：添加或刪除需要加密的受控程序。客户機升級管理：管理機更新版本後客户機啓動自動升級無須人工干預。管理端可以對加密的文件進行解密，且具有批量加密和解密的功能。詳細記錄登錄用户的所有操作，解密需要導出的文件，並記錄操作日誌提供審核。誰解密了圖紙，解密了什麼圖紙，一目瞭然，便於核查。否則就算帶出也無法打開！有着簡單直觀的用户界面，可以直接加密文件夾或整個磁盤分區。

數據安生系統具有完善、便捷的安全管理體系，配合企業內部的管理制度，即使是最高級別管理員也無法泄密。

系統管理　用户管理

策略管理　日誌管理

客户端管理　文件類型管理

六個管理員的權限相互制約，防止管理者泄密內部重要信息。方便的添加、編輯和禁用個人用户。只有授權用户才能解密文件。

查看- 允許查看。

打印- 允許打印、禁止打印。

複製/保存- 允許複製或粘貼加密文件信息;禁止複製或粘貼加密文件信息。

控制- 允許用户修改權限。

客户端脱機工作時間- 允許用户在有效的脱機時間內訪問和使用加密的文件信息。

當員工出差需要帶走重要資料，但在無網絡的情況下又無法對其控制，可能造成泄密。離線式安全管理解決了這個問題，

採用離線客户端權限綁定即使沒有網絡控制，筆記本電腦和USB狗進行綁定，仍然對文檔具有絕對控制權。

權限回收技術能夠使已經授予用户的權限立刻解除，防止人員離職或辭職後將內部重要信息外泄。

創建一份審計報告，跟蹤所有操作，包括文件訪問、查看、加密、解密和所有的管理事件。

提供證據以表明滿足公司的信息安全策略。

與公司的目錄和認證管理架構集成

隔離並減少管理工作。

根據企業實際的組織機構對加密客户端進行分組實施加密策略管理，不同部門採取不同的加密策略。

通過遠程客户端監控功能可以查看客户機的工作狀態：在線、離線、脱機。加密狗授權脱機工作時間;遠程卸載客户端等功能。

安裝好加密軟件後，用批量掃描加密工具對所有客户端電腦中已經存在的文件進行批量初始化加密。以後新產生的文件都會自動加密，圖檔保鏢數據安全保證電腦內的電子文檔都是以密文存在的。

1.對數據安全系統支持的每一個應用程序、版本和操作系統環境，我們都經過了超嚴密、大負荷、長時間的性能測試和可靠性測試，確保安全穩定。

2.全面的測試用例，每個應用程序的測試用例都來自資深設計工程師的實際使用狀況。

3.不同硬件環境的測試。

4.已經有了數百家用户，數據安全系統產品在數千台裝機上經受住了考驗。

1.按照讀寫請求的數據量進行實時解密，圖檔保鏢數據安全系統瞬間系統資源佔用少，不會影響工作。

2.在打開和關閉文件時系統資源相對開銷較大，我們的測試表明，對100M大小的文件，安裝圖檔保鏢數據安全系統後比安裝前延遲時間＜10秒。

3.用户在文件打開後的編輯、瀏覽等操作過程中，由於數據安全系統是按照讀寫請求的數據量進行實時加解密的，這部分數據量很小，所以操作不會有延遲的感覺。

1.安裝過程綁定計算機硬件。圖檔保鏢數據安全系統運行過程監控檢查計算機硬件，認證計算機的合法性。

2.服務器實時配置管理機，管理機實時配置客户機上的打印、複製等功能權限和要安全控制的應用程序。

3.在服務器上裝入升級包，系統通過網絡自動升級下面的管理機和客户機。

4.在管理端只有超級管理員權限的人才能安裝和卸載客户端。

採用高強度加密算法對Office、CAD、Photoshop等各類常見電子文檔實現加密，完全不影響用户的原有使用習慣，同時矩陣式的文檔保密授權機制及完備的外發和離線授權機制，在各種狀況下保證文檔安全。

1、對各種格式電子文檔加密，正常使用自動解密非授權使用則是亂碼，即使不慎丟失也不會導致泄露

2、默認禁用截屏、打印、剪貼板等可能造成泄密的功能，防止QQ、MSN等即時通訊工具截屏等外發泄密

3、嚴格的外發管理制度，未經文檔審批即使通過Email外發出去也無法使用，防止郵件隨意外發帶來泄密

4、涉密文檔存取時自動加解密，非授信環境下無法使用，防止智能手機等私人設備隨意接入內網帶來泄密隱患

5、對外發文件可設置查看期限、次數同時還可綁定收件方的硬件設備，限制文檔外發後隨意傳播，防止二次泄密

信息防泄露解決方案，不僅為防止信息通過U盤、Email等泄露提供解決方法，更大的意義在於，它能夠幫助企業構建起完善的信息安全防護體系。通過詳盡細緻的操作審計、全面嚴格的操作授權和安全可靠的透明加密三重保護全面保護企業的信息資產，使得企業實現“事前防禦—事中控制—事後審計”的完整的信息防泄露流程，信息安全防護無懈可擊。

1、防止企業內部人員主動帶走或者無意泄密公司的設計圖紙、財務報表等重要資料

2、避免機密信息通過QQ、MSN等聊天工具或者E-mail隨意傳播出去

3、阻止重要文檔通過U盤、藍牙等設備被帶出企業而導致的信息外泄

4、防止儲存在計算機上的信息被隨意打印或泄露

5、有效掌控文檔流轉以免重要資料被惡意刪除或修改

6、有效防範外來計算機非法接入企業內網盜取機密信息，保護信息資產

7、控制核心數據的使用權限，做到經理、主管、普通員工分級授權

移動辦公成為加密軟件又一攔路虎？

在經濟一體化的商業環境中，信息的重要性被廣泛接受，隨着企業信息安全意識的不斷增強，大家陸續開始着手部署信息防泄漏系統。早在2005年，信息安全市場逐漸向數據安全、數據防泄密為主的加密軟件方向發展了，自從加密軟件面世以來其市場份額逐步上升。

經過不斷的實踐，客户對軟件開發商提出了更多的要求。

隨着科技的發展，企業管理者的需求也在不斷地擴大，人們的辦公習慣，生活習慣也在逐步變化，好比企業管理者往往拿着IPAD或者是智能手機辦公、瀏覽文件等，企業的辦公是不是也逐漸“移動化”、“手機化”？這是否預示着加密軟件也應該隨之步入智能機時代了？