透明加密軟體

透明加密技術是近年來針對企業檔案保密需求應運而生的一種檔案加密技術。所謂透明，是指對使用者來說是未知的。當使用者在打開或編輯指定檔案時，系統將自動對未加密的檔案進行加密，對已加密的檔案自動解密。檔案在硬碟上是密文，在記憶體中是明文。一旦離開使用環境，由於應用程式無法得到自動解密的服務而無法打開，從而起來保護檔案內容的效果。

透明加密有以下特點：

自動強制加密：安裝系統後，所有指定類型檔案都是強制加密的；

使用方便習慣：不影響原有操作習慣，不需要限止連線埠；

原有習慣保持：內部交流時不需要作任何處理便能交流；

對外嚴禁泄露：一旦檔案離開使用環境，檔案將自動失效，從而保護智慧財產權。

每個單位都有很重要的數據檔案；比如對企業來說財務報表、用戶名單、進貨渠道、設計圖紙、投標檔案等等；那么這些資料你允許別人隨意拿走嗎？

如果你不想被拿走，你可能部署了比如網路監控等方式，但遠遠不夠的，因為人是活的，既然你不想別人拿走，人家要拿的時候就千方百計的方式了；防不勝防；比如，壓縮後發個郵件出去，修改名字後你也看不懂這個是什麼再QQ傳輸出去；

那么你就應加密，比如採用壓縮加密方式，或把資料夾加密，可是你會很快發現不現實也無什麼用；比如壓縮加密好了，你總是要打開的，要是你天天都要用的，你就煩了每天都加密解密；再比如假如你這個是設計的圖紙，你的員工設計的，他手裡還有一份呢，他抄走呢？再比如，一個大型的設計可能很多人需要參加，那你加密別人就無法參與了，可你解密後別人立即抄走了；也就是說你打開他們就抄走了，你不打開別人就無法工作了；這個時候，你就需要透明檔案加密了；

透明檔案加密區別於常見的檔案密碼加密方式；對你想加密的機密檔案進行保護時，系統在不改變用戶原有工作流程和檔案使用習慣的前提下，對需要保護的進程生成的所有檔案(無論該檔案原來是明文還是密文)進行強制加密保護。簡單說：就是對你需要加密的檔案自動加密又不改變原來的操作習慣，而能看的人又無法抄走（即使非法複製出去都是亂碼的無法看的加密格式的檔案）；這樣，你的員工可以像往常一樣工作和參與，但卻無法抄走（無論是網路方式、隨身碟方式、或改名轉存方式等等）；除非獲得授權；

（1）強制、自動、透明加密電子文檔，防止第一作者泄密； 設定文檔閱讀許可權，防止越權讀取；

（2）自動備份加密文檔，防止惡意刪除； 全程記錄檔案操作行為；

（3）有效控制傳輸途徑：設備限制（USB存儲設備、光碟機/軟體唯讀或禁用，印表機禁用）；禁止截屏、拖拽；禁止內容複製； 三重密鑰管理，安全可靠； 靈活離線策略，在方便員工短期外出、在家辦公或長期出差的同時，仍防泄密；線上解密申請，授權高管解密後方可檔案外發；

一般安裝都很簡單，在管理端安裝一個引擎驅動，用於管理以及建立密鑰等；被加密電腦安裝工作站，然後就開始根據你管理端設定的規則自動加密了；剩餘的只是對管理過程（比如授權、加密規則等）

透明加密技術是與windows緊密結合的一種技術，它工作於windows的底層。通過監控應用程式對檔案的操作，在打開檔案時自動對密文進行解密，在寫檔案時自動將記憶體中的明文加密寫入存儲介質。從而保證存儲介質上的檔案始終處於加密狀態。

監控windows打開（讀）、保存（寫）可以在windows操作檔案的幾個層面上進行。現有的32位CPU定義了4種（0~3）特權級別，或稱環（ring），如圖1所示。其中0級為特權級，3級是最低級（用戶級）。運行在0級的代碼又稱核心模式，3級的為用戶模式。常用的應用程式都是運行在用戶模式下，用戶級程式無權直接訪問核心級的對象，需要通過API函式來訪問核心級的代碼，從而達到最終操作存儲在各種介質上檔案的目的。

為了實現透明加密的目的，透明加密技術必須在程式讀寫檔案時改變程式的讀寫方式。使密文在讀入記憶體時程式能夠識別，而在保存時又要將明文轉換成密文。Window 允許編程者在核心級和用戶級對檔案的讀寫進行操作。核心級提供了虛擬驅動的方式，用戶級提供Hook API的方式。因此，透明加密技術也分為API HOOK廣度和VDM（Windows Driver Model）核心設備驅動方式兩種技術。API HOOK俗稱鉤子技術，VDM俗稱驅動技術；

所有Windosw應用程式都是通過windows API函式對檔案進行讀寫的。程式在打開或新建一個檔案時，一般要調用windows的CreateFile或OpenFile、ReadFile等Windows API函式；而在向磁碟寫檔案時要調用WriteFile函式。

同時windows提供了一種叫鉤子（Hook）的訊息處理機制，允許應用程式將自己安裝一個子程式到其它的程式中，以監視指定視窗某種類型的訊息。當訊息到達後，先處理安裝的子程式後再處理原程式。這就是鉤子。

鉤子透明加密技術就是將上述兩種技術組合而成的。通過windows的鉤子技術，監控應用程式對檔案的打開和保存，當打開檔案時，先將密文轉換後再讓程式讀入記憶體，保證程式讀到的是明文，而在保存時，又將記憶體中的明文加密後再寫入到磁碟中。

鉤子透明加密技術與應用程式密切相關，它是通過監控應用程式的啟動而啟動的。一旦應用程式名更改，則無法掛鈎。同時，由於不同應用程式在讀寫檔案時所用的方式方法不盡相同，同一個軟體不同的版本在處理數據時也有變化，鉤子透明加密必須針對每種應用程式、甚至每個版本進行開發。

目前不少應用程式為了限止黑客入侵設定了反鉤子技術，這類程式在啟動時，一旦發現有鉤子入侵，將會自動停止運行。

驅動加密技術基於windows的檔案系統（過濾）驅動（IFS）技術，工作在windows的核心層。我們在安裝計算機硬體時，經常要安裝其驅動，如印表機、隨身碟的驅動。檔案系統驅動就是把檔案作為一種設備來處理的一種虛擬驅動。當應用程式對某種後綴檔案進行操作時，檔案驅動會監控到程式的操作，並改變其操作方式，從而達到透明加密的效果。

驅動加密技術與應用程式無關，他工作於windows API函式的下層。當API函式對指定類型檔案進行讀操作時，系統自動將檔案解密；當進入寫操作時，自動將明文進行加密。由於工作在受windows保護的核心層，運行速度更快，加解密操作更穩定。

但是，驅動加密要達到檔案保密的目的，還必須與用戶層的應用程式打交道。通知系統哪些程式是合法的程式，哪些程式是非法的程式。驅動透明加密工作在核心層。驅動加密技術雖然有諸多的優點，但由於涉及到windows底層的諸多處理，開發難度很大。如果處理不好與其它驅動的衝突，應用程式白名單等問題，將難以成為一個好的透明加密產品。

8、鉤子透明加密技術與驅動透明加密技術比較

兩種加密技術由於工作在不同的層面，從套用效果、開發難度上各有特點。從幾個方面進行了簡單比較：

（1）工作層：鉤子透明加密工作在用戶層，驅動透明加密工作在核心層；

（2）工作方式：鉤子透明加密使用HOOK，驅動透明加密接受系統IRP；

（3）套用關聯性：鉤子透明加密直接和套用關聯，所以套用更新或新的加密類導致需要重新更新開發；驅動透明加密和套用無關，但要提供套用加密列表；

（4）加解密可靠性：鉤子透明加密由於套用層上所以速度慢容易當機等，特別是處理大檔案或資源不足的時候；驅動透明加密採用核心加解密，受作業系統保護，穩定而且速度快；

（5）網路操作：鉤子透明加密沒有限制，驅動透明加密需要單獨編寫對應程式處理；

（6）開發難度：鉤子透明加密相對容易但容易被當成病毒誤殺或禁止；驅動透明加密開發難度大，開發驅動的過程可能連續一天反覆重新啟動100次電腦；

尾述：以上我們探討了信息安全的重要性，透明加密的適用情況，透明加密的基本功能、簡單通常部署說明、透明加密原理、加密軟體驅動技術、驅動技術的比較、鉤子技術在加密軟體中的運用等；鉤子透明加密技術開發容易，但存在技術缺陷，而且容易被反Hook所破解。正如防毒軟體技術從Hook技術最終走向驅動技術一樣，相信透明加密技術也終將歸於越來越成熟套用的驅動技術，為廣大用戶開發出穩定、可靠的透明加密產品來；

信息防泄漏三重保護，不僅為防止信息通過隨身碟、Email等泄露提供解決方法，更大的意義在於，它能夠幫助企業構建起完善的信息安全防護體系，使得企業可以實現“事前防禦—事中控制—事後審計”的完整的信息防泄漏流程，從而達到信息安全目標的透明性、可控性和不可否認性的要求。

信息防泄漏三重保護包括詳盡細緻的操作審計、全面嚴格的操作授權和安全可靠的透明加密三部分。

l詳盡細緻的操作審計是三重保護體系的基礎，也是不可或缺的部分，它使得龐大複雜的信息系統變得透明，一切操作、行為都可見可查。

審計不僅可以用作事後審計以幫助追查責任，更能夠幫助洞察到可能的危險趨向，還能夠幫助發現未知的安全漏洞。

l全面嚴格的操作授權從網路邊界、外設邊界以及桌面套用三方面實施全方位控制，達到信息安全目標中的“可控性”要求，防止對信息的不當使用和流傳，使得文檔不會輕易“看得到、改得了、發得出、帶得走”。

l安全可靠的透明加密為重要信息提供最有力的保護，它能夠保證涉密信息無論何時何地都是加密狀態，可信環境內，加密文檔可正常使用，在非授信環境內則無法訪問加密文檔，在不改變用戶操作習慣的同時最大限度保護信息安全。

完整而詳細地將文檔從創建之初到訪問、修改、移動、複製、直至刪除的全生命周期內的每一項操作信息記錄下來，同時，記錄共享文檔被其它計算機修改、刪除、改名等操作。

另外，對於修改、刪除、列印、外發、解密等可能造成文檔損失或外泄的相關操作，IP-guard可以在相關操作發生前及時備份，有效防範文檔被泄露、篡改和刪除的風險。

細緻記錄文檔通過印表機、外部設備、即時通訊工具、郵件等工具進行傳播的過程，有效警惕重要資料被隨意複製、移動造成外泄。

IP-guard還擁有螢幕監視功能，能夠對用戶的行為進行全面且直觀的審計。通過對螢幕進行監視，企業甚至可以了解到用戶在ERP系統或者財務系統等信息系統中執行了哪些操作。

控制用戶對本地、網路等各種位置的檔案甚至資料夾的操作許可權，包括訪問、複製、修改、刪除等，防範非法的訪問和操作，企業可以根據用戶不同的部門和級別設定完善的文檔操作許可權。

IP-guard能夠授予移動存儲設備在企業內部的使用許可權。可以禁止外來隨身碟在企業內部使用，做到外盤外用；同時還可對內部的移動盤進行整盤加密，使其只能在企業內部使用，在外部則無法讀取，做到內盤內用。

能夠限制USB設備、刻錄、藍牙等各類外部設備的使用，有效防止信息通過外部設備外泄出去。

能夠控制用戶經由QQ、MSN、飛信等即時通訊工具和E-mail等網路套用傳送機密文檔，同時還能防止通過上傳下載和非法外聯等方式泄露信息。

及時檢測並阻斷外來計算機非法接入企業區域網路從而竊取內部信息，同時還能防止區域網路計算機脫離企業監管，避免信息外泄。

設定安全管理策略,關閉不必要的共享,禁止修改網路屬性,設定登錄用戶的密碼策略和賬戶策略。

IP-guard能對電子文檔進行強制性的透明加密，授信環境下加密文檔可正常使用，非授信環境下加密文檔則無法使用。同時，鑒於內部用戶主動泄密的可能性，IP-guard會在加密文檔的使用過程中默認禁止截屏、列印，以及剪下、拖拽加密文檔內容到QQ、Email等可能造成泄密的套用。

對於多部門多層級的組織，IP-guard提供了分部門、分級別的許可權控制機制。IP-guard根據文檔所屬部門和涉密程度貼上標籤，擁有標籤許可權的用戶才能夠訪問加密文檔，控制涉密文檔的傳播範圍，降低泄密風險。

對於合作夥伴等需要訪問涉密文檔的外部用戶，IP-guard提供了加密文檔閱讀器，通過閱讀器企業可以控制外發加密文檔的閱讀者、有效訪問時間以及訪問次數，從而有效避免文檔外發後的二次泄密。

IP-guard採用備用伺服器機制以應對各種軟硬體及網路故障，保證加密系統持續不斷的穩定運行。加密文檔備份伺服器可以對修改的加密文檔實時備份,給客戶多一份的安心保證。

1、悄無聲息：在圖陵加密軟體的辦公環境中，計算機界面無任何改變，圖文信息傳遞使用無任何改變，日常操作習慣無任何改變，用戶絲毫不會感覺圖陵加密軟體的存在。

2、守護無限：通過圖陵獨創的實時加密和智慧型監控技術，確保在企業辦公環境中，所有圖文信息為自由使用狀態，不影響正常工作；而一旦離開企業環境，無論以任何方式存儲或轉移，所有圖文信息將會自動加密，不必擔心信息泄密。

3、實時加密：圖陵加密軟體可以提供對設計、辦公等軟體產生的檔案進行實時加密的功能。計算機在安裝圖陵加密軟體後，用戶使用設計軟體和辦公軟體所產生的所有圖文檔都將自動加密。

4、全程防守：圖陵加密軟體採用的是過程加密技術，即在圖紙文檔整個設計製作過程中，該檔案都是加密的。圖陵的過程加密技術有效的防止了編輯文檔的期間將該圖文檔拷貝走的漏洞。

5、刪除控制：獨創的防刪除功能，能在刪除受保護的檔案時，自動、悄悄的放置到一個指定隱含的目錄中，在加密的同時也能防止惡意破壞。

6、全程紀錄：只有授權的管理者才能進行檔案解密工作，管理機將通過慧眼智慧型和記憶功能，輕鬆實現對用戶、操作日誌、加解密許可權等方面的高級管理功能；對解密的檔案發放進行跟蹤。

7、大道至簡：圖陵加密軟體產品安裝輕鬆，使用簡便。客戶機無需任何操作，計算機啟動立即生效；管理機操作界面簡潔且易於使用。管理機可一次性完成對所有原有圖文信息的初始化加密處理工作。

8、無縫集成：圖陵加密軟體能與企業原有信息管理系統（如PDM、OA系統）集成，對信息管理系統中形成的圖文檔，實現和其他圖文檔信息同樣的加密功能，以此提升企業現有信息管理系統的安全性。

9、終極捍衛：圖陵加密軟體對圖文信息在應用程式中採取的另外儲存、複製、剪下、列印、截屏、錄屏、發郵件、插入對象等任何可能泄密的不安全操作均進行控制。對圖陵加密軟體支持的每一個應用程式、版本和作業系統環境，我們都經過了超嚴密、大負荷、長時間的可靠性和穩定性測試，確保全全穩定。

10、密匙唯一：圖陵加密軟體在設計中充分考慮了各種破解可能，特別引入無窮多非對稱加密方式和算法，針對不同企業採取截然不同的加密算法和加密驗證機制，確保圖文信息互不通用。甚至對同一企業的不同部門，圖陵加密軟體也通過不同的加密驗證機制設定是否通用的許可權，從而最大限度地保障圖文信息安全。