透明加密技术是近年来针对企业档案保密需求应运而生的一种档案加密技术。所谓透明，是指对使用者来说是未知的。当使用者在打开或编辑指定档案时，系统将自动对未加密的档案进行加密，对已加密的档案自动解密。档案在硬碟上是密文，在记忆体中是明文。一旦离开使用环境，由于应用程式无法得到自动解密的服务而无法打开，从而起来保护档案内容的效果。

强制加密：安装系统后，所有指定类型档案都是强制加密的；

使用方便：不影响原有操作习惯，不需要限止连线埠；

于内无碍：内部交流时不需要作任何处理便能交流；

对外受阻：一旦档案离开使用环境，档案将自动失效，从而保护智慧财产权。

透明加密技术是与 Windows 紧密结合的一种技术，它工作于 Windows 的底层。通过监控应用程式对档案的操作，在打开档案时自动对密文进行解密，在写档案时自动将记忆体中的明文加密写入存储介质。从而保证存储介质上的档案始终处于加密状态。

监控 Windows 打开（读）、保存（写）可以在 Windows 操作档案

的几个层面上进行。现有的 32 位 CPU 定义了4种（0~3）特权级别，或称环（ring），如右图所示。其中 0 级为特权级，3 级是最低级（用户级）。运行在 0 级的代码又称核心模式，3级的为用户模式。常用的应用程式都是运行在用户模式下，用户级程式无权直接访问核心级的对象，需要通过API函式来访问核心级的代码，从而达到最终操作存储在各种介质上档案的目的。为了实现透明加密的目的，透明加密技术必须在程式读写档案时改变程式的读写方式。使密文在读入记忆体时程式能够识别，而在保存时又要将明文转换成密文。Window 允许编程者在核心级和用户级对档案的读写进行操作。核心级提供了虚拟驱动的方式，用户级提供 Hook API 的方式。因此，透明加密技术也分为 API HOOK 广度和 WDM（Windows Driver Model）核心设备驱动方式两种技术。API HOOK 俗称钩子技术，WDM 俗称驱动技术。

32位CPU的特权级别

SecGateway文档安全网关是一款专用于企业数据中心与办公网路有效隔离的嵌入式专用设备。採用链路加密的方式，实现客户端的準入，从档案在企业的使用流程入手，将数据泄露防护与企业现有 OA 系统、档案服务系统、ERP 系统、CRM 系统等企业套用系统完美结合，对通过网关的文档数据进行透明加解密工作，有效解决文档在脱离企业套用系统环境后的安全问题。为企业部署的所有套用系统提供有效的安全保障。

信息防泄漏三重保护，不仅为防止信息通过随身碟、Email等泄露提供解决方法，更大的意义在于，它能够帮助企业构建起完善的信息安全防护体系，使得企业可以实现“事前防御—事中控制—事后审计”的完整的信息防泄漏流程，从而达到信息安全目标的透明性、可控性和不可否认性的要求。

IP-guard信息防泄漏三重保护包括详尽细緻的操作审计、全面严格的操作授权和安全可靠的透明加密三部分。

l 详尽细緻的操作审计是三重保护体系的基础，也是不可或缺的部分，它使得庞大複杂的信息系统变得透明，一切操作、行为都可见可查。

审计不仅可以用作事后审计以帮助追查责任，更能够帮助洞察到可能的危险趋向，还能够帮助发现未知的安全漏洞。

l 全面严格的操作授权从网路边界、外设边界以及桌面套用三方面实施全方位控制，达到信息安全目标中的“可控性”要求，防止对信息的不当使用和流传，使得文档不会轻易“看得到、改得了、发得出、带得走”。

l 安全可靠的透明加密为重要信息提供最有力的保护，它能够保证涉密信息无论何时何地都是加密状态，可信环境内，加密文档可正常使用，在非授信环境内则无法访问加密文档，在不改变用户操作习惯的同时最大限度保护信息安全。

完整而详细地将文档从创建之初到访问、修改、移动、複製、直至删除的全生命周期内的每一项操作信息记录下来，同时，记录共享文档被其它计算机修改、删除、改名等操作。

另外，对于修改、删除、列印、外发、解密等可能造成文档损失或外泄的相关操作，IP-guard可以在相关操作发生前及时备份，有效防範文档被泄露、篡改和删除的风险。

细緻记录文档通过印表机、外部设备、即时通讯工具、邮件等工具进行传播的过程，有效警惕重要资料被随意複製、移动造成外泄。

IP-guard还拥有萤幕监视功能，能够对用户的行为进行全面且直观的审计。通过对萤幕进行监视，企业甚至可以了解到用户在ERP系统或者财务系统等信息系统中执行了哪些操作。

控制用户对本地、网路等各种位置的档案甚至资料夹的操作许可权，包括访问、複製、修改、删除等，防範非法的访问和操作，企业可以根据用户不同的部门和级别设定完善的文档操作许可权。

IP-guard能够授予移动存储设备在企业内部的使用许可权。可以禁止外来随身碟在企业内部使用，做到外盘外用；同时还可对内部的移动盘进行整盘加密，使其只能在企业内部使用，在外部则无法读取，做到内盘内用。

能够限制USB设备、刻录、蓝牙等各类外部设备的使用，有效防止信息通过外部设备外泄出去。

能够控制用户经由QQ、MSN、飞信等即时通讯工具和E-mail等网路套用传送机密文档，同时还能防止通过上传下载和非法外联等方式泄露信息。

及时检测并阻断外来计算机非法接入企业区域网路从而窃取内部信息，同时还能防止区域网路计算机脱离企业监管，避免信息外泄。

设定安全管理策略,关闭不必要的共享,禁止修改网路属性,设定登录用户的密码策略和账户策略。

IP-guard能对电子文档进行强制性的透明加密，授信环境下加密文档可正常使用，非授信环境下加密文档则无法使用。同时，鑒于内部用户主动泄密的可能性，IP-guard会在加密文档的使用过程中默认禁止截屏、列印，以及剪下、拖拽加密文档内容到QQ、Email等可能造成泄密的套用。

对于多部门多层级的组织，IP-guard提供了分部门、分级别的许可权控制机制。IP-guard根据文档所属部门和涉密程度贴上标籤，拥有标籤许可权的用户才能够访问加密文档，控制涉密文档的传播範围，降低泄密风险。

对于合作伙伴等需要访问涉密文档的外部用户，IP-guard提供了加密文档阅读器，通过阅读器企业可以控制外发加密文档的阅读者、有效访问时间以及访问次数，从而有效避免文档外发后的二次泄密。

IP-guard採用备用伺服器机制以应对各种软硬体及网路故障，保证加密系统持续不断的稳定运行。加密文档备份伺服器可以对修改的加密文档实时备份,给客户多一份的安心保证。