网络安全

一、违规外联全域监测：筑牢内网边界安全屏障 金纬软件违规外联报警模块以“联网可监测、违规可识别、风险可处置、行为可审计”为核心设计理念，针对终端私自连接外网、绕过管控链路上网等安全隐患，构建全方位内网边界防护体系。有效杜绝终端脱离企业统一网络出口、私接外网带来的病毒入侵、数据外泄、合规失效等问题，区别于传统单一网络拦截模式，实现检测、告警、处置、审计一体化的终端网络安全管理。 核心功能能力： 实时外联行为监测 7×24小时不间断监测终端网络状态，一旦发现电脑绕过企业正规链路私自接入外网，系统即刻捕捉异常行为，第一时间触发预警，从边界处拦截违规联网风险。 多模式联动风险处置 支持自定义违规外联触发后的处置策略，可按需选择自动断网、终端锁屏、桌面弹窗提醒三种处置方式，可单独启用也可组合配置，根据企业安全等级灵活管控风险行为。 完整行为审计留痕 所有违规外联行为、触发时间、终端信息、处置动作全部自动记录归档，数据长期留存、可随时查询检索，形成完整审计台账，满足安全追溯与合规核查需求。 合法出口地址白名单管理 支持批量配置企业合规网络出口地址列表，仅放行预设合法网段与网关地址，终端仅可通过指定出口访问网络，非名单内地址接入一律判定为违规外联，精准划定安全边界。 防火墙穿透深度检测 搭载深度识别引擎，可精准识别各类尝试穿透防火墙、代理中转、旁路联网等隐蔽外联行为，针对伪装联网、迂回上网等规避手段进行深度排查，杜绝隐性违规外联。 二、合规出口地址管控：划定标准网络通行范围 规范终端网络接入路径，是防范违规外联的基础。金纬软件通过合法出口地址白名单机制，统一管控全网终端网络访问入口，从源头规范网络使用秩序。 1. 白名单批量配置与维护 支持IP地址、网关、网段、服务器地址等多类合规出口信息录入，支持单条添加与批量导入，适配大型企业多网段管理需求。 白名单可统一编辑、启用、禁用、删除，权限集中由管理员管控，普通终端无修改权限，保障规则不被篡改。 可按部门、分组、区域分配不同出口策略，实现差异化网络准入管理，适配多分支机构、多办公区域组网场景。 2. 精准准入判定规则 终端发起网络连接时，系统自动比对当前联网地址与白名单数据，仅匹配成功方可正常通行；地址不在列表内，直接判定为违规外联并执行预设处置策略，规则判定高效精准。 3. 白名单变更日志记录 针对合法出口地址的新增、修改、删除、启用、禁用等操作，同步记录操作人、操作时间、变更内容，做到规则变动全程可追溯，保障网络策略管理合规。 三、多场景告警处置：分级应对外联安全风险 结合企业不同安全管理要求，系统提供多样化处置方案，兼顾风险拦截、人员提醒与强制管控，适配不同保密等级的办公环境。 1. 桌面弹窗提醒 触发违规外联后，终端桌面弹出醒目告警窗口，标注违规行为、终端编号、发生时间，直观提醒操作人员停止违规操作，适用于日常办公、低风险管控场景，以警示引导为主。 2. 自动断开网络连接 检测到违规外联后立即切断终端外网链路，终端仅保留内网通行权限，彻底阻断异常网络通道，防止外部网络威胁侵入与数据外传，适用于常规保密办公区域。 3. 终端自动锁屏 针对高保密区域、研发机房、涉密办公终端，可启用锁屏策略，出现违规外联时终端即刻锁定，需管理员核验解锁，最大化杜绝人为故意违规联网行为。 4. 组合策略灵活搭配 支持弹窗+断网、弹窗+锁屏等多种策略组合，企业可根据部门保密级别、岗位属性自定义规则，实现分级管控，平衡安全管理与办公体验。 四、穿透式深度检测：识破隐蔽化外联手段 面对利用代理、隧道、旁路工具穿透防火墙的隐蔽联网行为，传统检测方式极易失效，本模块搭载深度检测能力，全面识别各类规避管控的违规方式。 1. 防火墙穿透行为识别 深度解析网络数据包与连接链路，精准检测各类绕过防火墙、安全网关的穿透式联网行为，识别非常规通信端口、隐蔽传输链路，让隐性外联无所遁形。 2. 代理及中转链路排查 可识别HTTP代理、SOCK代理、虚拟专用通道等中转上网方式，对借助第三方工具伪装网络地址、迂回接入外网的行为进行精准判定与拦截。 3. 异常网络行为分析 结合终端网络连接特征、数据包特征、进程联网行为综合研判，区分正常业务联网与违规伪装联网，降低误报率，提升复杂网络环境下的检测准确性。 五、全维度审计日志：实现违规行为可查可追溯 完整的审计体系是安全管理与合规检查的重要支撑，系统对所有外联相关行为进行全量记录，构建闭环审计体系。 1. 违规外联基础日志 详细记录终端名称、IP地址、设备编号、操作人员、违规发生时间、外联目标地址、触发类型、执行的处置动作等核心信息，条目清晰，一目了然。 2. 分类检索与导出 支持按时间、部门、人员、终端、违规类型多维度筛选查询，日志支持批量导出、打印，方便管理人员定期盘点、汇总分析。 3. 异常数据统计报表 自动生成违规外联频次、高发终端、高发时段、区域分布等可视化统计报表，直观展现全网网络安全态势，为管理策略优化提供数据支撑。 4. 日志安全防护 审计日志具备防篡改特性，禁止终端用户私自删除、修改记录，保障审计数据真实有效，满足等保、保密审查等合规要求。 六、核心功能联动价值：构建一体化终端网络安全体系 金纬软件违规外联报警功能并非独立运行，可与平台其他终端安全模块深度协同，形成“网络边界管控+行为监测告警+风险处置+审计追溯”的一体化防护体系，适配多行业、多规模企业的网络安全管理需求。 制造业场景 严格管控研发、生产车间终端，通过合法出口白名单锁定联网路径，深度检测穿透防火墙等隐蔽外联行为，搭配断网、锁屏策略，保护生产数据、研发图纸不被外网窃取。 政企单位场景 合规白名单+全量审计日志完全契合保密管理、等保相关要求，多级处置策略适配不同涉密区域，全面满足政务内网、涉密网络的安全管控标准。 ...

在企业数据资产价值日益凸显的当下，核心文档、设计图纸、财务数据、源码资料等敏感信息，面临内部外泄、外部窃取、传输泄密等多重安全威胁。金纬软件深耕企业级数据安全领域，依托国密算法与底层驱动技术，为制造、研发、政企、金融、互联网等行业，提供终端文件透明加密、网络传输加密网关、移动存储安全管控的一体化数据防泄露解决方案。以透明加密与加密网关为两大核心模块，搭配智能权限管控、外发安全审计、全链路日志溯源能力，全方位构建企业数据安全防护体系，保障敏感数据全生命周期合规流转与安全存储。 一、透明加密：终端数据落地即防护的核心基石 金纬软件透明加密是终端数据防泄露的核心能力，基于内核驱动层过滤技术，对终端各类敏感文件实现自动加密、无感解密、全程受控，从根源杜绝文件明文存储与随意流转风险，不改变用户操作习惯，不影响业务系统运行。 1. 核心技术特性 内核驱动级无感加密 采用底层文件过滤驱动技术，无感知嵌入系统内核，实时拦截文件读写请求，实现 “存盘即加密、读取即解密”。全程无需手动加解密操作，不占用系统资源，兼容 Windows 全系列及各类办公、设计、研发软件。 国密算法高强度防护 内置SM4 国密对称加密算法，支持 AES-256 等国际标准算法，加密强度符合等保三级与涉密合规要求。加密文件即使被非法拷贝、窃取，离开授权环境也无法解密打开，彻底杜绝明文泄露风险。 多模式加密策略灵活适配 支持 ** 透明加密、智能加密、只读加密、只解密不加密（高管模式）、不加密（白名单）** 五大策略模式，可按部门、岗位、文件类型精细化配置，兼顾安全管控与业务高效协作需求。 2. 典型加密覆盖场景 办公文档（Word/Excel/PDF）、设计图纸（CAD/UG/SolidWorks）自动加密 程序源码、项目方案、财务报表、合同档案等敏感文件全程密文存储 本地文件、局域网共享文件、企业网盘文件统一加密管控 复制 / 剪切 / 粘贴 / 另存为等操作自动触发加密，阻断明文外泄路径 剪贴板内容加密防护，禁止敏感信息通过复制粘贴泄露 二、加密网关：网络传输与跨域协作的安全闸口 加密网关作为金纬软件数据安全体系的网络层核心，采用旁路代理部署模式，无需改造现有业务系统，对HTTP/HTTPS、邮件、FTP、企业网盘等网络传输数据进行实时加密转换，构建 “内网明文协作、外网密文传输” 的安全通道，解决跨部门、跨企业、跨地域协作的数据泄密难题。 1. 核心技术特性 全协议透明代理加密 支持标准 HTTP/1.1/2.0、HTTPS、SMTP、FTP 等主流协议，网关实时解析传输流量，上传自动加密、下载自动解密，全程对用户与业务系统无感知。 多维策略精准管控 可基于数据类型、用户身份、终端设备、访问时段、目标地址配置加密策略，支持通配符批量匹配敏感路径（如企业网盘、OA 系统、邮件服务器），实现 “该加密的不漏、不该加密的不扰”。 端到端加密防劫持 传输全程采用密文状态，即使网络链路被监听、劫持或数据被拦截，攻击者也无法获取明文内容，彻底杜绝传输过程中的数据窃取与篡改风险。 2. 核心管理能力 跨域协作安全通道：与外部合作伙伴、分支机构共享数据时，自动加密传输，无需手动解密，兼顾安全与协作效率 邮件外发加密防护：敏感邮件正文与附件自动加密，防止邮件被窃取或转发泄密 云盘 / 网盘数据防护：企业网盘、私有云存储文件上传即加密，防止云端数据泄露 传输日志全程溯源：所有加密传输行为（时间、账号、文件、地址）全程记录，支持审计追溯与合规自查 三、金纬软件加密体系其他核心功能 1. 外发文档安全管控 外发审批流程化：敏感文件外发需提交审批，支持多级审核，杜绝私自外发 外发文档生命周期管理：设置外发文件有效期、打开次数、水印，过期自动失效，防止二次传播 外发内容脱敏处理：支持手机号、身份证、合同金额等敏感信息自动脱敏，兼顾数据可用与隐私保护 2. 移动存储安全加密 安全 U 盘制作：将普通 U 盘转为加密 U 盘，仅授权终端可读取，防止 U 盘丢失或被盗导致数据泄露 U 盘读写权限管控：支持 U 盘只读、禁用、加密读写三种模式，禁止核心数据随意拷贝 外设接入全程审计：U 盘、移动硬盘、蓝牙设备等接入 / 拔除实时记录，操作行为可追溯 3. 权限与日志集中化运维 细粒度权限管控：按部门 / 岗位 / 文件设置只读、编辑、打印、另存、外发等权限，最小化数据暴露风险 ...

一、透明加密：无感防护的技术底座 透明加密是金纬软件的核心能力，其技术本质是在操作系统内核层建立强制加密机制。该功能基于Windows IFS与Minifilter框架开发内核驱动，在文件创建、编辑、保存的全过程中自动完成加解密运算，用户无需改变任何操作习惯 。当授权用户打开文件时，系统在内存中完成实时解密，明文数据仅在受信进程内存空间中短暂存在；保存时则自动加密落盘，防止内存转储攻击。 该功能的核心技术特性包括： 格式无关性：支持超过200种文件格式，涵盖Office文档、CAD图纸（AutoCAD/UG/ProE）、EDA设计文件及各类编程源码（Java/C++/Python） 进程级智能识别：通过进程指纹与白名单机制，智能区分办公进程与非办公进程，避免加密范围过度扩张 零性能损耗：经实测加密过程对系统性能影响接近于零，用户完全无感知 二、只解密不加密：管理层的高效通道 此功能俗称"老板模式"，专为管理层设计。技术实现上，系统为特定终端配置例外策略，当加密文件到达该终端后，打开时自动解密，关闭后文件保持明文状态，无需走繁琐的申请解密流程 。该模式通过内核级进程控制实现，既保障了高管快速处理敏感数据的效率，又通过审计日志完整记录解密行为，实现便利性与可追溯性的统一。 该功能的技术要点包括： 策略例外配置：为指定终端或用户组单独配置解密豁免策略 内核级进程控制：在驱动层拦截文件打开请求，自动完成解密后交付应用层 完整审计追溯：所有解密行为被系统日志完整记录，包括操作人、时间、文件路径等信息 三、只读加密：数据防篡改的只读沙箱 只读加密模式通过文件系统钩子拦截技术，将加密文件以只读权限加载到受控环境中。用户可正常查看内容，但系统会拦截所有修改、另存为、复制及打印操作请求 。该模式特别适用于向客户发送合同草案、技术方案等场景，既满足外部阅览需求，又确保原始数据完整性不被破坏。 该模式的技术实现特点： 文件系统钩子拦截：在系统调用层拦截写操作请求，仅允许读操作通过 动态屏幕水印：叠加显示用户名、IP地址、时间戳等溯源信息 权限精细控制：支持按用户、部门、终端等多维度配置只读策略 四、加密剪贴板：阻断内存级数据泄露 针对复制粘贴这一高频泄密通道，金纬软件实现了剪贴板级加密管控。当用户从加密文档复制内容时，系统自动将剪贴板数据替换为加密形态或空白内容 。技术层面，该功能通过监控操作系统剪贴板API调用实现，支持精细化策略配置。 该功能的关键技术能力： 剪贴板API监控：实时拦截系统剪贴板读写请求 策略化流转控制：允许在加密文档间复制流转，但禁止粘贴至非加密文档或外部应用 即时通讯防护：有效阻断通过企业微信、钉钉等工具的数据外泄通道 五、智能加密模式：环境自适应的动态防护 智能加密是一种环境感知型的动态加密策略。系统会实时判断文件来源与状态：对于外部接收的加密文件，允许正常打开查看，但编辑保存后仍保持加密状态，防止二次泄漏；对于本地新建的未加密文件，则保持开放不强制加密 。该模式通过文件元数据中的加密标记进行状态识别，实现了"已加密文件持续保护、未加密文件灵活处理"的精细化管控。 该模式的技术优势： 文件状态自动识别：通过元数据中的加密标记判断文件来源与加密状态 动态策略适配：根据文件来源自动选择加密或放行策略 外部协作友好：特别适用于频繁对接外部加密文件的日常办公场景 六、落地加密：外来数据的强制收容 落地加密功能针对外部文件进入本机的场景设计。当文件通过邮件附件、即时通讯工具、U盘或网络下载等方式到达终端时，无论用户是否打开，系统都会自动触发强制加密 。该技术通过监控文件系统写入事件实现，确保数据在存储介质上始终以密文形态存在。 该功能的技术实现要点： 文件系统写入监控：实时捕获所有写入磁盘的新文件 自动强制加密：无需用户干预，文件到达即自动加密 源头风险阻断：杜绝"接收后故意不打开直接转发"的泄密风险 七、其他关键功能补充 1.外发文件沙箱 当需要向外部合作方提供加密文件时，系统生成自带解密环境的独立可执行容器（安全容器），接收方无需安装客户端即可在预设权限范围内访问，同时所有操作行为被完整记录并可远程回收权限 2.加密网关 部署于网络边界，对进出企业的文件数据自动完成加解密处理，支持"加密策略路由"功能，仅对涉密内容实施加密，普通流量直接转发，单设备吞吐量可达10Gbps以上。 小结 金纬软件的加密体系以驱动层透明加密为技术基石，通过透明加密、只解密不加密、只读加密、加密剪贴板、智能加密、落地加密等多模式协同，构建了覆盖数据创建、流转、存储、外发的全生命周期防护网。其技术设计充分体现了"安全与效率并重"的工程哲学：在内核层实现强制管控，对授权用户保持完全透明；通过国密SM4算法与AES-256国际标准的双算法支持，满足等保、密评及行业合规要求