透明加密

透明加密技術是近年來針對企業文件保密需求應運而生的一種文件加密技術。所謂透明，是指對使用者來說是未知的。當使用者在打開或編輯指定文件時，系統將自動對未加密的文件進行加密，對已加密的文件自動解密。文件在硬碟上是密文，在內存中是明文。一旦離開使用環境，由於應用程序無法得到自動解密的服務而無法打開，從而起來保護文件內容的效果。

強制加密：安裝系統后，所有指定類型文件都是強制加密的；

使用方便：不影響原有操作習慣，不需要限止埠；

於內無礙：內部交流時不需要作任何處理便能交流；

對外受阻：一旦文件離開使用環境，文件將自動失效，從而保護知識產權。

透明加密技術是與 Windows 緊密結合的一種技術，它工作於 Windows 的底層。通過監控應用程序對文件的操作，在打開文件時自動對密文進行解密，在寫文件時自動將內存中的明文加密寫入存儲介質。從而保證存儲介質上的文件始終處於加密狀態。

監控 Windows 打開（讀）、保存（寫）可以在 Windows 操作文件

的幾個層面上進行。現有的 32 位 CPU 定義了4種（0~3）特權級別，或稱環（ring），如右圖所示。其中 0 級為特權級，3 級是最低級（用戶級）。運行在 0 級的代碼又稱內核模式，3級的為用戶模式。常用的應用程序都是運行在用戶模式下，用戶級程序無權直接訪問內核級的對象，需要通過API函數來訪問內核級的代碼，從而達到最終操作存儲在各種介質上文件的目的。為了實現透明加密的目的，透明加密技術必須在程序讀寫文件時改變程序的讀寫方式。使密文在讀入內存時程序能夠識別，而在保存時又要將明文轉換成密文。Window 允許編程者在內核級和用戶級對文件的讀寫進行操作。內核級提供了虛擬驅動的方式，用戶級提供 Hook API 的方式。因此，透明加密技術也分為 API HOOK 廣度和 WDM（Windows Driver Model）內核設備驅動方式兩種技術。API HOOK 俗稱鉤子技術，WDM 俗稱驅動技術。

SecGateway文檔安全網關是一款專用於企業數據中心與辦公網路有效隔離的嵌入式專用設備。採用鏈路加密的方式，實現客戶端的准入，從文件在企業的使用流程入手，將數據泄露防護與企業現有 OA 系統、文件服務系統、ERP 系統、CRM 系統等企業應用系統完美結合，對通過網關的文檔數據進行透明加解密工作，有效解決文檔在脫離企業應用系統環境后的安全問題。為企業部署的所有應用系統提供有效的安全保障。

透明加密最新原理——信息防泄漏三重保護

信息防泄漏三重保護，不僅為防止信息通過U盤、Email等泄露提供解決方法，更大的意義在於，它能夠幫助企業構建起完善的信息安全防護體系，使得企業可以實現“事前防禦—事中控制—事後審計”的完整的信息防泄漏流程，從而達到信息安全目標的透明性、可控性和不可否認性的要求。

IP-guard信息防泄漏三重保護包括詳盡細緻的操作審計、全面嚴格的操作授權和安全可靠的透明加密三部分。

l 詳盡細緻的操作審計是三重保護體系的基礎，也是不可或缺的部分，它使得龐大複雜的信息系統變得透明，一切操作、行為都可見可查。

審計不僅可以用作事後審計以幫助追查責任，更能夠幫助洞察到可能的危險趨向，還能夠幫助發現未知的安全漏洞。

l 全面嚴格的操作授權從網路邊界、外設邊界以及桌面應用三方面實施全方位控制，達到信息安全目標中的“可控性”要求，防止對信息的不當使用和流傳，使得文檔不會輕易“看得到、改得了、發得出、帶得走”。

l 安全可靠的透明加密為重要信息提供最有力的保護，它能夠保證涉密信息無論何時何地都是加密狀態，可信環境內，加密文檔可正常使用，在非授信環境內則無法訪問加密文檔，在不改變用戶操作習慣的同時最大限度保護信息安全。

第一重保護：詳盡細緻的操作審計

詳細的審計是三重保護的基石，全面記錄包括文檔操作在內的一切程序操作，及時發現危險趨向，提供事後追蹤證據！

文檔全生命周期審計

完整而詳細地將文檔從創建之初到訪問、修改、移動、複製、直至刪除的全生命周期內的每一項操作信息記錄下來，同時，記錄共享文檔被其它計算機修改、刪除、改名等操作。

另外，對於修改、刪除、列印、外發、解密等可能造成文檔損失或外泄的相關操作，IP-guard可以在相關操作發生前及時備份，有效防範文檔被泄露、篡改和刪除的風險。

文檔傳播全過程審計

細緻記錄文檔通過印表機、外部設備、即時通訊工具、郵件等工具進行傳播的過程，有效警惕重要資料被隨意複製、移動造成外泄。

桌面行為全面審計

IP-guard還擁有屏幕監視功能，能夠對用戶的行為進行全面且直觀的審計。通過對屏幕進行監視，企業甚至可以了解到用戶在ERP系統或者財務系統等信息系統中執行了哪些操作。

第二重保護：全面嚴格的操作授權

通過全面嚴格的第二重保護管控應用程序操作，防止信息通過U盤、Email等一切方式泄露，全面封堵可能泄密漏洞！

文檔操作管控

控制用戶對本地、網路等各種位置的文件甚至文件夾的操作許可權，包括訪問、複製、修改、刪除等，防範非法的訪問和操作，企業可以根據用戶不同的部門和級別設置完善的文檔操作許可權。

移動存儲管控

IP-guard能夠授予移動存儲設備在企業內部的使用許可權。可以禁止外來U盤在企業內部使用，做到外盤外用；同時還可對內部的移動盤進行整盤加密，使其只能在企業內部使用，在外部則無法讀取，做到內盤內用。

終端設備規範

能夠限制USB設備、刻錄、藍牙等各類外部設備的使用，有效防止信息通過外部設備外泄出去。

網路通訊控制

能夠控制用戶經由QQ、MSN、飛信等即時通訊工具和E-mail等網路應用發送機密文檔，同時還能防止通過上傳下載和非法外聯等方式泄露信息。

網路准入控制

及時檢測並阻斷外來計算機非法接入企業內網從而竊取內部信息，同時還能防止內網計算機脫離企業監管，避免信息外泄。

桌面安全管理

設置安全管理策略，關閉不必要的共享，禁止修改網路屬性，設定登錄用戶的密碼策略和賬戶策略。

第三重保護：安全可靠的透明加密

透明加密作為最後一道最強防護盾，對重要文檔自動加密，保證文檔無論何時何地都處在加密狀態，最大限度保護文檔安全！

強制透明加密

IP-guard能對電子文檔進行強制性的透明加密，授信環境下加密文檔可正常使用，非授信環境下加密文檔則無法使用。同時，鑒於內部用戶主動泄密的可能性，IP-guard會在加密文檔的使用過程中默認禁止截屏、列印，以及剪切、拖拽加密文檔內容到QQ、Email等可能造成泄密的應用。

內部許可權管理

對於多部門多層級的組織，IP-guard提供了分部門、分級別的許可權控制機制。IP-guard根據文檔所屬部門和涉密程度貼上標籤，擁有標籤許可權的用戶才能夠訪問加密文檔，控制涉密文檔的傳播範圍，降低泄密風險。

文檔外發管理

對於合作夥伴等需要訪問涉密文檔的外部用戶，IP-guard提供了加密文檔閱讀器，通過閱讀器企業可以控制外發加密文檔的閱讀者、有效訪問時間以及訪問次數，從而有效避免文檔外發后的二次泄密。

雙備防護機制

IP-guard採用備用伺服器機制以應對各種軟硬體及網路故障，保證加密系統持續不斷的穩定運行。加密文檔備份伺服器可以對修改的加密文檔實時備份，給客戶多一份的安心保證。