一、透明加密:无感防护的技术底座
透明加密是金纬软件的核心能力,其技术本质是在操作系统内核层建立强制加密机制。该功能基于Windows IFS与Minifilter框架开发内核驱动,在文件创建、编辑、保存的全过程中自动完成加解密运算,用户无需改变任何操作习惯 。当授权用户打开文件时,系统在内存中完成实时解密,明文数据仅在受信进程内存空间中短暂存在;保存时则自动加密落盘,防止内存转储攻击。
该功能的核心技术特性包括:
- 格式无关性:支持超过200种文件格式,涵盖Office文档、CAD图纸(AutoCAD/UG/ProE)、EDA设计文件及各类编程源码(Java/C++/Python)
- 进程级智能识别:通过进程指纹与白名单机制,智能区分办公进程与非办公进程,避免加密范围过度扩张
- 零性能损耗:经实测加密过程对系统性能影响接近于零,用户完全无感知
二、只解密不加密:管理层的高效通道
此功能俗称"老板模式",专为管理层设计。技术实现上,系统为特定终端配置例外策略,当加密文件到达该终端后,打开时自动解密,关闭后文件保持明文状态,无需走繁琐的申请解密流程 。该模式通过内核级进程控制实现,既保障了高管快速处理敏感数据的效率,又通过审计日志完整记录解密行为,实现便利性与可追溯性的统一。
该功能的技术要点包括:
- 策略例外配置:为指定终端或用户组单独配置解密豁免策略
- 内核级进程控制:在驱动层拦截文件打开请求,自动完成解密后交付应用层
- 完整审计追溯:所有解密行为被系统日志完整记录,包括操作人、时间、文件路径等信息
三、只读加密:数据防篡改的只读沙箱
只读加密模式通过文件系统钩子拦截技术,将加密文件以只读权限加载到受控环境中。用户可正常查看内容,但系统会拦截所有修改、另存为、复制及打印操作请求 。该模式特别适用于向客户发送合同草案、技术方案等场景,既满足外部阅览需求,又确保原始数据完整性不被破坏。
该模式的技术实现特点:
- 文件系统钩子拦截:在系统调用层拦截写操作请求,仅允许读操作通过
- 动态屏幕水印:叠加显示用户名、IP地址、时间戳等溯源信息
- 权限精细控制:支持按用户、部门、终端等多维度配置只读策略
四、加密剪贴板:阻断内存级数据泄露
针对复制粘贴这一高频泄密通道,金纬软件实现了剪贴板级加密管控。当用户从加密文档复制内容时,系统自动将剪贴板数据替换为加密形态或空白内容 。技术层面,该功能通过监控操作系统剪贴板API调用实现,支持精细化策略配置。
该功能的关键技术能力:
- 剪贴板API监控:实时拦截系统剪贴板读写请求
- 策略化流转控制:允许在加密文档间复制流转,但禁止粘贴至非加密文档或外部应用
- 即时通讯防护:有效阻断通过企业微信、钉钉等工具的数据外泄通道
五、智能加密模式:环境自适应的动态防护
智能加密是一种环境感知型的动态加密策略。系统会实时判断文件来源与状态:对于外部接收的加密文件,允许正常打开查看,但编辑保存后仍保持加密状态,防止二次泄漏;对于本地新建的未加密文件,则保持开放不强制加密 。该模式通过文件元数据中的加密标记进行状态识别,实现了"已加密文件持续保护、未加密文件灵活处理"的精细化管控。
该模式的技术优势:
- 文件状态自动识别:通过元数据中的加密标记判断文件来源与加密状态
- 动态策略适配:根据文件来源自动选择加密或放行策略
- 外部协作友好:特别适用于频繁对接外部加密文件的日常办公场景
六、落地加密:外来数据的强制收容
落地加密功能针对外部文件进入本机的场景设计。当文件通过邮件附件、即时通讯工具、U盘或网络下载等方式到达终端时,无论用户是否打开,系统都会自动触发强制加密 。该技术通过监控文件系统写入事件实现,确保数据在存储介质上始终以密文形态存在。
该功能的技术实现要点:
- 文件系统写入监控:实时捕获所有写入磁盘的新文件
- 自动强制加密:无需用户干预,文件到达即自动加密
- 源头风险阻断:杜绝"接收后故意不打开直接转发"的泄密风险
七、其他关键功能补充
1.外发文件沙箱
当需要向外部合作方提供加密文件时,系统生成自带解密环境的独立可执行容器(安全容器),接收方无需安装客户端即可在预设权限范围内访问,同时所有操作行为被完整记录并可远程回收权限
2.加密网关
部署于网络边界,对进出企业的文件数据自动完成加解密处理,支持"加密策略路由"功能,仅对涉密内容实施加密,普通流量直接转发,单设备吞吐量可达10Gbps以上。
小结
金纬软件的加密体系以驱动层透明加密为技术基石,通过透明加密、只解密不加密、只读加密、加密剪贴板、智能加密、落地加密等多模式协同,构建了覆盖数据创建、流转、存储、外发的全生命周期防护网。其技术设计充分体现了"安全与效率并重"的工程哲学:在内核层实现强制管控,对授权用户保持完全透明;通过国密SM4算法与AES-256国际标准的双算法支持,满足等保、密评及行业合规要求