透明加密軟件

透明加密技術是近年來針對企業文件保密需求應運而生的一種文件加密技術。所謂透明，是指對使用者來説是未知的。當使用者在打開或編輯指定文件時，系統將自動對未加密的文件進行加密，對已加密的文件自動解密。文件在硬盤上是密文，在內存中是明文。一旦離開使用環境，由於應用程序無法得到自動解密的服務而無法打開，從而起來保護文件內容的效果。

透明加密有以下特點：

自動強制加密：安裝系統後，所有指定類型文件都是強制加密的；

使用方便習慣：不影響原有操作習慣，不需要限止端口；

原有習慣保持：內部交流時不需要作任何處理便能交流；

對外嚴禁泄露：一旦文件離開使用環境，文件將自動失效，從而保護知識產權。

每個單位都有很重要的數據文件；比如對企業來説財務報表、用户名單、進貨渠道、設計圖紙、投標文件等等；那麼這些資料你允許別人隨意拿走嗎？

如果你不想被拿走，你可能部署了比如網絡監控等方式，但遠遠不夠的，因為人是活的，既然你不想別人拿走，人家要拿的時候就千方百計的方式了；防不勝防；比如，壓縮後發個郵件出去，修改名字後你也看不懂這個是什麼再QQ傳輸出去；

那麼你就應加密，比如採用壓縮加密方式，或把文件夾加密，可是你會很快發現不現實也無什麼用；比如壓縮加密好了，你總是要打開的，要是你天天都要用的，你就煩了每天都加密解密；再比如假如你這個是設計的圖紙，你的員工設計的，他手裏還有一份呢，他抄走呢？再比如，一個大型的設計可能很多人需要參加，那你加密別人就無法參與了，可你解密後別人立即抄走了；也就是説你打開他們就抄走了，你不打開別人就無法工作了；這個時候，你就需要透明文件加密了；

透明文件加密區別於常見的文件密碼加密方式；對你想加密的機密文件進行保護時，系統在不改變用户原有工作流程和文件使用習慣的前提下，對需要保護的進程生成的所有文件(無論該文件原來是明文還是密文)進行強制加密保護。簡單説：就是對你需要加密的文件自動加密又不改變原來的操作習慣，而能看的人又無法抄走（即使非法複製出去都是亂碼的無法看的加密格式的文件）；這樣，你的員工可以像往常一樣工作和參與，但卻無法抄走（無論是網絡方式、U盤方式、或改名轉存方式等等）；除非獲得授權；

（1）強制、自動、透明加密電子文檔，防止第一作者泄密； 設置文檔閲讀權限，防止越權讀取；

（2）自動備份加密文檔，防止惡意刪除； 全程記錄文件操作行為；

（3）有效控制傳輸途徑：設備限制（USB存儲設備、光驅/軟件只讀或禁用，打印機禁用）；禁止截屏、拖拽；禁止內容複製； 三重密鑰管理，安全可靠； 靈活離線策略，在方便員工短期外出、在家辦公或長期出差的同時，仍防泄密；在線解密申請，授權高管解密後方可文件外發；

一般安裝都很簡單，在管理端安裝一個引擎驅動，用於管理以及建立密鑰等；被加密電腦安裝工作站，然後就開始根據你管理端設置的規則自動加密了；剩餘的只是對管理過程（比如授權、加密規則等）

透明加密技術是與windows緊密結合的一種技術，它工作於windows的底層。通過監控應用程序對文件的操作，在打開文件時自動對密文進行解密，在寫文件時自動將內存中的明文加密寫入存儲介質。從而保證存儲介質上的文件始終處於加密狀態。

監控windows打開（讀）、保存（寫）可以在windows操作文件的幾個層面上進行。現有的32位CPU定義了4種（0~3）特權級別，或稱環（ring）。其中0級為特權級，3級是最低級（用户級）。運行在0級的代碼又稱內核模式，3級的為用户模式。常用的應用程序都是運行在用户模式下，用户級程序無權直接訪問內核級的對象，需要通過API函數來訪問內核級的代碼，從而達到最終操作存儲在各種介質上文件的目的。

為了實現透明加密的目的，透明加密技術必須在程序讀寫文件時改變程序的讀寫方式。使密文在讀入內存時程序能夠識別，而在保存時又要將明文轉換成密文。Window 允許編程者在內核級和用户級對文件的讀寫進行操作。內核級提供了虛擬驅動的方式，用户級提供Hook API的方式。因此，透明加密技術也分為API HOOK廣度和VDM（Windows Driver Model）內核設備驅動方式兩種技術。API HOOK俗稱鈎子技術，VDM俗稱驅動技術；

所有Windosw應用程序都是通過windows API函數對文件進行讀寫的。程序在打開或新建一個文件時，一般要調用windows的CreateFile或OpenFile、ReadFile等Windows API函數；而在向磁盤寫文件時要調用WriteFile函數。

同時windows提供了一種叫鈎子（Hook）的消息處理機制，允許應用程序將自己安裝一個子程序到其它的程序中，以監視指定窗口某種類型的消息。當消息到達後，先處理安裝的子程序後再處理原程序。這就是鈎子。

鈎子透明加密技術就是將上述兩種技術組合而成的。通過windows的鈎子技術，監控應用程序對文件的打開和保存，當打開文件時，先將密文轉換後再讓程序讀入內存，保證程序讀到的是明文，而在保存時，又將內存中的明文加密後再寫入到磁盤中。

鈎子透明加密技術與應用程序密切相關，它是通過監控應用程序的啓動而啓動的。一旦應用程序名更改，則無法掛鈎。同時，由於不同應用程序在讀寫文件時所用的方式方法不盡相同，同一個軟件不同的版本在處理數據時也有變化，鈎子透明加密必須針對每種應用程序、甚至每個版本進行開發。

目前不少應用程序為了限止黑客入侵設置了反鈎子技術，這類程序在啓動時，一旦發現有鈎子入侵，將會自動停止運行。

驅動加密技術基於windows的文件系統（過濾）驅動（IFS）技術，工作在windows的內核層。我們在安裝計算機硬件時，經常要安裝其驅動，如打印機、U盤的驅動。文件系統驅動就是把文件作為一種設備來處理的一種虛擬驅動。當應用程序對某種後綴文件進行操作時，文件驅動會監控到程序的操作，並改變其操作方式，從而達到透明加密的效果。

驅動加密技術與應用程序無關，他工作於windows API函數的下層。當API函數對指定類型文件進行讀操作時，系統自動將文件解密；當進入寫操作時，自動將明文進行加密。由於工作在受windows保護的內核層，運行速度更快，加解密操作更穩定。

但是，驅動加密要達到文件保密的目的，還必須與用户層的應用程序打交道。通知系統哪些程序是合法的程序，哪些程序是非法的程序。驅動透明加密工作在內核層。驅動加密技術雖然有諸多的優點，但由於涉及到windows底層的諸多處理，開發難度很大。如果處理不好與其它驅動的衝突，應用程序白名單等問題，將難以成為一個好的透明加密產品。

8、鈎子透明加密技術與驅動透明加密技術比較

兩種加密技術由於工作在不同的層面，從應用效果、開發難度上各有特點。從幾個方面進行了簡單比較：

（1）工作層：鈎子透明加密工作在用户層，驅動透明加密工作在內核層；

（2）工作方式：鈎子透明加密使用HOOK，驅動透明加密接受系統IRP；

（3）應用關聯性：鈎子透明加密直接和應用關聯，所以應用更新或新的加密類導致需要重新更新開發；驅動透明加密和應用無關，但要提供應用加密列表；

（4）加解密可靠性：鈎子透明加密由於應用層上所以速度慢容易死機等，特別是處理大文件或資源不足的時候；驅動透明加密採用內核加解密，受操作系統保護，穩定而且速度快；

（5）網絡操作：鈎子透明加密沒有限制，驅動透明加密需要單獨編寫對應程序處理；

（6）開發難度：鈎子透明加密相對容易但容易被當成病毒誤殺或禁止；驅動透明加密開發難度大，開發驅動的過程可能連續一天反覆重新啓動100次電腦；

尾述：以上我們探討了信息安全的重要性，透明加密的適用情況，透明加密的基本功能、簡單通常部署説明、透明加密原理、加密軟件驅動技術、驅動技術的比較、鈎子技術在加密軟件中的運用等；鈎子透明加密技術開發容易，但存在技術缺陷，而且容易被反Hook所破解。正如殺毒軟件技術從Hook技術最終走向驅動技術一樣，相信透明加密技術也終將歸於越來越成熟應用的驅動技術，為廣大用户開發出穩定、可靠的透明加密產品來；

信息防泄漏三重保護，不僅為防止信息通過U盤、Email等泄露提供解決方法，更大的意義在於，它能夠幫助企業構建起完善的信息安全防護體系，使得企業可以實現“事前防禦—事中控制—事後審計”的完整的信息防泄漏流程，從而達到信息安全目標的透明性、可控性和不可否認性的要求。

信息防泄漏三重保護包括詳盡細緻的操作審計、全面嚴格的操作授權和安全可靠的透明加密三部分。

l詳盡細緻的操作審計是三重保護體系的基礎，也是不可或缺的部分，它使得龐大複雜的信息系統變得透明，一切操作、行為都可見可查。

審計不僅可以用作事後審計以幫助追查責任，更能夠幫助洞察到可能的危險趨向，還能夠幫助發現未知的安全漏洞。

l全面嚴格的操作授權從網絡邊界、外設邊界以及桌面應用三方面實施全方位控制，達到信息安全目標中的“可控性”要求，防止對信息的不當使用和流傳，使得文檔不會輕易“看得到、改得了、發得出、帶得走”。

l安全可靠的透明加密為重要信息提供最有力的保護，它能夠保證涉密信息無論何時何地都是加密狀態，可信環境內，加密文檔可正常使用，在非授信環境內則無法訪問加密文檔，在不改變用户操作習慣的同時最大限度保護信息安全。

詳細的審計是三重保護的基石，全面記錄包括文檔操作在內的一切程序操作，及時發現危險趨向，提供事後追蹤證據！

完整而詳細地將文檔從創建之初到訪問、修改、移動、複製、直至刪除的全生命週期內的每一項操作信息記錄下來，同時，記錄共享文檔被其它計算機修改、刪除、改名等操作。

另外，對於修改、刪除、打印、外發、解密等可能造成文檔損失或外泄的相關操作，可以在相關操作發生前及時備份，有效防範文檔被泄露、篡改和刪除的風險。

細緻記錄文檔通過打印機、外部設備、即時通訊工具、郵件等工具進行傳播的過程，有效警惕重要資料被隨意複製、移動造成外泄。

還擁有屏幕監視功能，能夠對用户的行為進行全面且直觀的審計。通過對屏幕進行監視，企業甚至可以瞭解到用户在ERP系統或者財務系統等信息系統中執行了哪些操作。

通過全面嚴格的第二重保護管控應用程序操作，防止信息通過U盤、Email等一切方式泄露，全面封堵可能泄密漏洞！

控制用户對本地、網絡等各種位置的文件甚至文件夾的操作權限，包括訪問、複製、修改、刪除等，防範非法的訪問和操作，企業可以根據用户不同的部門和級別設置完善的文檔操作權限。

能夠授予移動存儲設備在企業內部的使用權限。可以禁止外來U盤在企業內部使用，做到外盤外用；同時還可對內部的移動盤進行整盤加密，使其只能在企業內部使用，在外部則無法讀取，做到內盤內用。

能夠限制USB設備、刻錄、藍牙等各類外部設備的使用，有效防止信息通過外部設備外泄出去。

能夠控制用户經由QQ、MSN、飛信等即時通訊工具和E-mail等網絡應用發送機密文檔，同時還能防止通過上傳下載和非法外聯等方式泄露信息。

及時檢測並阻斷外來計算機非法接入企業內網從而竊取內部信息，同時還能防止內網計算機脱離企業監管，避免信息外泄。

設置安全管理策略,關閉不必要的共享,禁止修改網絡屬性,設定登錄用户的密碼策略和賬户策略。

透明加密作為最後一道最強防護盾，對重要文檔自動加密，保證文檔無論何時何地都處在加密狀態，最大限度保護文檔安全！

能對電子文檔進行強制性的透明加密，授信環境下加密文檔可正常使用，非授信環境下加密文檔則無法使用。同時，鑑於內部用户主動泄密的可能性，會在加密文檔的使用過程中默認禁止截屏、打印，以及剪切、拖拽加密文檔內容到QQ、Email等可能造成泄密的應用。

對於多部門多層級的組織，提供了分部門、分級別的權限控制機制。根據文檔所屬部門和涉密程度貼上標籤，擁有標籤權限的用户才能夠訪問加密文檔，控制涉密文檔的傳播範圍，降低泄密風險。

對於合作伙伴等需要訪問涉密文檔的外部用户，提供了加密文檔閲讀器，通過閲讀器企業可以控制外發加密文檔的閲讀者、有效訪問時間以及訪問次數，從而有效避免文檔外發後的二次泄密。

採用備用服務器機制以應對各種軟硬件及網絡故障，保證加密系統持續不斷的穩定運行。加密文檔備份服務器可以對修改的加密文檔實時備份,給客户多一份的安心保證。

1、悄無聲息：在圖陵加密軟件的辦公環境中，計算機界面無任何改變，圖文信息傳遞使用無任何改變，日常操作習慣無任何改變，用户絲毫不會感覺圖陵加密軟件的存在。

2、守護無限：通過圖陵獨創的實時加密和智能監控技術，確保在企業辦公環境中，所有圖文信息為自由使用狀態，不影響正常工作；而一旦離開企業環境，無論以任何方式存儲或轉移，所有圖文信息將會自動加密，不必擔心信息泄密。

3、實時加密：圖陵加密軟件可以提供對設計、辦公等軟件產生的文件進行實時加密的功能。計算機在安裝圖陵加密軟件後，用户使用設計軟件和辦公軟件所產生的所有圖文檔都將自動加密。

4、全程防守：圖陵加密軟件採用的是過程加密技術，即在圖紙文檔整個設計製作過程中，該文件都是加密的。圖陵的過程加密技術有效的防止了編輯文檔的期間將該圖文檔拷貝走的漏洞。

5、刪除控制：獨創的防刪除功能，能在刪除受保護的文件時，自動、悄悄的放置到一個指定隱含的目錄中，在加密的同時也能防止惡意破壞。

6、全程紀錄：只有授權的管理者才能進行文件解密工作，管理機將通過慧眼智能和記憶功能，輕鬆實現對用户、操作日誌、加解密權限等方面的高級管理功能；對解密的文件發放進行跟蹤。

7、大道至簡：圖陵加密軟件產品安裝輕鬆，使用簡便。客户機無需任何操作，計算機啓動立即生效；管理機操作界面簡潔且易於使用。管理機可一次性完成對所有原有圖文信息的初始化加密處理工作。

8、無縫集成：圖陵加密軟件能與企業原有信息管理系統（如PDM、OA系統）集成，對信息管理系統中形成的圖文檔，實現和其他圖文檔信息同樣的加密功能，以此提升企業現有信息管理系統的安全性。

9、終極捍衞：圖陵加密軟件對圖文信息在應用程序中採取的另存、複製、剪切、打印、截屏、錄屏、發郵件、插入對象等任何可能泄密的不安全操作均進行控制。對圖陵加密軟件支持的每一個應用程序、版本和操作系統環境，我們都經過了超嚴密、大負荷、長時間的可靠性和穩定性測試，確保安全穩定。

10、密匙唯一：圖陵加密軟件在設計中充分考慮了各種破解可能，特別引入無窮多非對稱加密方式和算法，針對不同企業採取截然不同的加密算法和加密驗證機制，確保圖文信息互不通用。甚至對同一企業的不同部門，圖陵加密軟件也通過不同的加密驗證機制設置是否通用的權限，從而最大限度地保障圖文信息安全。