华御密盾专业版产

1、华御密盾专业版产品介绍1实时加解密技术(RealTimeEncryption/Decryption)是上世纪末开始出现的的一种文件加密技术。这种技术在用户的正常工件中对数据的加解密需求进行实时处理，没有显式的加解密过程，也不产生临时文件。国外早期文献中也称为“OntheFlyEncryption/Decryption”，意指其数据“不落地”，是相对传统加密文件必须解密成磁盘上的明文文件才能使用来说的。上世纪九十年代末，微软公司(Microsoft)推出了划时代的Windows 2000操作系统，Windows 2000不但淘汰了之前取得巨大成功的Windows 95/98系统，也进一步巩固了W

2、indows操作系统在PC机上的绝对统治地位。基于NT内核的Windows 2000引领PC机真正进入了32位时代。此后的Windows XP、2003 Server、Vista以及最近的Windows 7操作系统都是基于NT内核。NT内核的操作系统拥有规范的扩展开发层次架构，并引入了过滤驱动的概念，这为操作系统的第三方扩展提供了标准接口。文件是操作系统管理数据的唯一方式，因此文件系统是任何操作系统的重要组成部分，操作系统和应用软件的数据维护都离不开文件系统。Windows 特别为文件系统扩展定义了不同用途的接口以及多个扩展并存时的优先级关系，这种标准为同样采用文件系统扩展技术的不同软件的兼容

3、并存提供了保障（也有些采用这种扩展技术的软件与其它同类软件冲突，主要是没有遵守优先级规范，请参考“文件系统过滤驱动的优先级关系”）。文件系统的扩展技术首先被反病毒软件采用，今天我们熟悉的反病毒软件的实时监控技术就是采用这一技术的成果。通过文件系统扩展监视文件系统的活动，实时扫描正在操作的文件，发现病毒时进行查杀，这就是反病毒软件实时监控技术的原理。实时加解密技术也采用了类似的原理，只不过实时加解密技术有更高的要求，对数据的处理必须真正做到“实时”，因为上层应用请求的数据依赖于实时加解密处理的结果。而反病毒软件的实时扫描并不需要为上层应用提供数据，其行为是独立的，延迟处理或忽略部分文件系统事件一

4、般不影响病毒实时监控。采用文件系统扩展技术可以不影响前台用户的前提下提供软件需要实现的功能，因此成熟的商用工具软件大量采用的文件系统扩展技术。除各种反病毒软件外，实时备份软件、磁盘压缩软件、文件活动监视软件、系统还原软件、虚拟磁盘软件、Direct CD形式的刻录软件等大都采用了这项技术以提高软件运行效率和提供用户透明操作体验。实时加解密技术在提供用户透明操作体验的同时避免了数据在存储介质上反复加解密的过程，解决了传统加解密技术操作繁杂、效率低下的问题，把加密技术的实用性向前推进了一大步。实时加解密技术安全区域 在实际应用中，企业的数据实际上是机密数据和非机密数据同时并存的。这样企业的信息数据

5、在逻辑上就分成了两部分，一部分是机密数据，另一部分是非机密数据。防泄密系统一般将机密数据加密存放，而非机密数据则和未使用防泄密系统之前一样以明文形式存在。 安全区域1机密的文件在员工的电脑上是加密的，但如果这个文件上传到公司服务器就不要密。 这是一种典型的需求。有些企业的服务器是锁在机房里的，闲人不能随便进入。因此数据存放在服务器上就如同放进了保险库被认为是安全的，因此没有必要加密。2从公司服务器上获取的文件，不管是不是加密文件，到达员工的电脑必须是加密的。 密盾专业版充分考虑到这种实际存储需求，从而在企业版中引入了安全区域的概念 从上面的需求分析中看到，安全区域必须解决下面两个问题：1）加密

6、数据进入安全区域时自动解密；2）数据从安全区域流出时必须落地加密。 安全区域的定义方式 网络节点方式 以IP地址和端口号定义。这样在同一台服务器上可以为不同的服务分别定义。这种方式对于客户机/服务器(C/S或B/S)结构的应用特别有用。如各种SQL Server的数据库应用、采用VSS、CVS、或SVN的版本控制系统、各种OA、ERP、PDM等，只要服务器是以TCP/IP服务端口形式工作的，基本上都可以使用这种定义方式。特定文件系统目标路径方式 这种形式可以指定一个文件系统存储位置作为安全区域。比如：MyServerShared。加密文件在复制到MyServerShared下时就自动解密了。当

7、然，如果从MyServerShared复制文件到客户机，复制到客户机的文件会自动加密。同机涉密隔离技术 Internet的发明是信息技术乃至人类科技的巨大进步，但科技的进步往往都是双刃剑，对于保密而言，Internet带来的更多的是麻烦。网络科技的潮流已经不可逆转，早期的保密单位为防止Internet泄密，采取了“一刀切”的方式隔离外网，终于发现这种与世隔绝的方式得不偿失。尽管因循守旧地捂住了己方的机密，却丧失了参考和借鉴外部资料和经验的机会。历史经验证明，“闭关锁国”注定不可取。密盾专业版的涉密隔离技术汲取了“内外网隔离”的精华思想，防泄密系统的网络通道被设计成有条件开启方式，在同一台电脑上

8、可以实现不同用途应用的数据隔离。浏览器、邮件客户端、即时聊天工具(QQ、MSN、Skype)等Internet应用被标记成网络应用（以下称“网络应用”），网络应用可以自由访问外网，但机密文件对这些网络应用都是不可见和不可用的，尽管它们处于同一台电脑上。 其它应用软件（如Office办公、CAD类、源代码软件开发环境等）（以下称“普通应用”）则可以自由存取加密文件。在实时加解密引擎的支持下完全透明地使用。 能让你心想事成的魔法书 机密数据如何通过网络传送呢？专业版为机密数据的传送设计了“密文包”形式，密文包可以在网络应用和普通应用之间共用，密文包与本地实时加解密密文文件可以自由转换，因此内部机密

9、文件可以采用密文包形式通过各种网络应用传送（如邮件、聊天工具等发送和接收）。密文包数据采用与本地加密数据同样的加密方式，因此必须有与发送方相同的企业通行证才能查看。密文包数据在使用时自动转换成本地加密文件。密文包技术给企业内部机密资料的共享和网络传送的安全提供了保障。 涉密访问控制技术 涉密访问控制是指在对象涉密后为防止涉密所做的一切处理。在secWall防泄密系统中，涉密访问控制主要指对涉密应用程序的行为以及涉密数据的流向控制。主动加密实际上也是一种涉密访问控制。由于主动加密技术在实时加解密技术的支持下呈现完全透明的用户体验，不会给用户“操作被控制”的感觉，因此在基于实时加解密技术的保密系统

10、中用户基本上很少感觉到涉密访问控制的存在。除主动加密外，涉密访问控制在数据流向主动加密不能覆盖的范围时必须对数据进行控制，通过允许或阻塞涉密数据的流通，在用户操作时则表现为对某个操作行为的允许和禁止。涉密行为鉴别同样是涉密访问控制的基础。涉密访问控制只控制涉密的对象。涉密访问控制技术专业版的实时加解密技术 1. 结合专业版硬件Ekey，加密文档即插即用，拔离隐藏专业版的实时加解密技术把Ekey的即插即用特征扩展到实时加解密技术中，使加密文件可以随硬件身份认证IC即插即用。在IC拔离系统时，加密文件立刻对操作系统不可见并不可访问。2. 任何文件系统对象都可以加密文件系统对象，小到单个文件，大到整

11、个逻辑盘（驱动器）都可以加密。一些操作系统中特殊的对象和应用程序的数据对象，如程序组、桌面图标、收藏夹、Internet访问记录、邮件收件箱、QQ/MSN聊天记录等都可以被加密。 3. 集成的授权访问控制技术secWall把文件加密和授权访问控制技术集成在一起，阻止未授权者看到、移动、复制、删除、更改和执行加密文件，可以使用内置访问控制技术加密可执行文件以限制特定应用软件的使用者。 4. 使用文件系统的容器对象继承加密属性，自动加密新建数据文件系统中可以容纳其它对象的文件夹或驱动器称为容器对象。secWall可以加密这些容器对象，尽管这些容量对象没有数据内容关联。在加密后的容器对象中新建的对象将自动继承其父对象的加密属性，从而在新建时自动加密。因此在secWall系统中任何一个加密的文件夹或驱动器都是一个独立的“保险箱”，数据存放到这些“保险箱”中会被自动加密。 5. 扩展的存储介质支持，包括远程网络共享secWall把实时加解密技术扩展到支持远程网络文件，可以在远程服务器的共享路径中使用实时加解密技术，远程服务器甚至可以是其他非Windows操作系统。如Unix或IBM小型机，甚至可以是未知的系统。只要可以以网上邻居的方