网络安全

在企业数据资产价值日益凸显的当下，核心文档、设计图纸、财务数据、源码资料等敏感信息，面临内部外泄、外部窃取、传输泄密等多重安全威胁。金纬软件深耕企业级数据安全领域，依托国密算法与底层驱动技术，为制造、研发、政企、金融、互联网等行业，提供终端文件透明加密、网络传输加密网关、移动存储安全管控的一体化数据防泄露解决方案。以透明加密与加密网关为两大核心模块，搭配智能权限管控、外发安全审计、全链路日志溯源能力，全方位构建企业数据安全防护体系，保障敏感数据全生命周期合规流转与安全存储。 一、透明加密：终端数据落地即防护的核心基石 金纬软件透明加密是终端数据防泄露的核心能力，基于内核驱动层过滤技术，对终端各类敏感文件实现自动加密、无感解密、全程受控，从根源杜绝文件明文存储与随意流转风险，不改变用户操作习惯，不影响业务系统运行。 1. 核心技术特性 内核驱动级无感加密 采用底层文件过滤驱动技术，无感知嵌入系统内核，实时拦截文件读写请求，实现 “存盘即加密、读取即解密”。全程无需手动加解密操作，不占用系统资源，兼容 Windows 全系列及各类办公、设计、研发软件。 国密算法高强度防护 内置SM4 国密对称加密算法，支持 AES-256 等国际标准算法，加密强度符合等保三级与涉密合规要求。加密文件即使被非法拷贝、窃取，离开授权环境也无法解密打开，彻底杜绝明文泄露风险。 多模式加密策略灵活适配 支持 ** 透明加密、智能加密、只读加密、只解密不加密（高管模式）、不加密（白名单）** 五大策略模式，可按部门、岗位、文件类型精细化配置，兼顾安全管控与业务高效协作需求。 2. 典型加密覆盖场景 办公文档（Word/Excel/PDF）、设计图纸（CAD/UG/SolidWorks）自动加密 程序源码、项目方案、财务报表、合同档案等敏感文件全程密文存储 本地文件、局域网共享文件、企业网盘文件统一加密管控 复制 / 剪切 / 粘贴 / 另存为等操作自动触发加密，阻断明文外泄路径 剪贴板内容加密防护，禁止敏感信息通过复制粘贴泄露 二、加密网关：网络传输与跨域协作的安全闸口 加密网关作为金纬软件数据安全体系的网络层核心，采用旁路代理部署模式，无需改造现有业务系统，对HTTP/HTTPS、邮件、FTP、企业网盘等网络传输数据进行实时加密转换，构建 “内网明文协作、外网密文传输” 的安全通道，解决跨部门、跨企业、跨地域协作的数据泄密难题。 1. 核心技术特性 全协议透明代理加密 支持标准 HTTP/1.1/2.0、HTTPS、SMTP、FTP 等主流协议，网关实时解析传输流量，上传自动加密、下载自动解密，全程对用户与业务系统无感知。 多维策略精准管控 可基于数据类型、用户身份、终端设备、访问时段、目标地址配置加密策略，支持通配符批量匹配敏感路径（如企业网盘、OA 系统、邮件服务器），实现 “该加密的不漏、不该加密的不扰”。 端到端加密防劫持 传输全程采用密文状态，即使网络链路被监听、劫持或数据被拦截，攻击者也无法获取明文内容，彻底杜绝传输过程中的数据窃取与篡改风险。 2. 核心管理能力 跨域协作安全通道：与外部合作伙伴、分支机构共享数据时，自动加密传输，无需手动解密，兼顾安全与协作效率 邮件外发加密防护：敏感邮件正文与附件自动加密，防止邮件被窃取或转发泄密 云盘 / 网盘数据防护：企业网盘、私有云存储文件上传即加密，防止云端数据泄露 传输日志全程溯源：所有加密传输行为（时间、账号、文件、地址）全程记录，支持审计追溯与合规自查 三、金纬软件加密体系其他核心功能 1. 外发文档安全管控 外发审批流程化：敏感文件外发需提交审批，支持多级审核，杜绝私自外发 外发文档生命周期管理：设置外发文件有效期、打开次数、水印，过期自动失效，防止二次传播 外发内容脱敏处理：支持手机号、身份证、合同金额等敏感信息自动脱敏，兼顾数据可用与隐私保护 2. 移动存储安全加密 安全 U 盘制作：将普通 U 盘转为加密 U 盘，仅授权终端可读取，防止 U 盘丢失或被盗导致数据泄露 U 盘读写权限管控：支持 U 盘只读、禁用、加密读写三种模式，禁止核心数据随意拷贝 外设接入全程审计：U 盘、移动硬盘、蓝牙设备等接入 / 拔除实时记录，操作行为可追溯 3. 权限与日志集中化运维 细粒度权限管控：按部门 / 岗位 / 文件设置只读、编辑、打印、另存、外发等权限，最小化数据暴露风险 ...

一、透明加密：无感防护的技术底座 透明加密是金纬软件的核心能力，其技术本质是在操作系统内核层建立强制加密机制。该功能基于Windows IFS与Minifilter框架开发内核驱动，在文件创建、编辑、保存的全过程中自动完成加解密运算，用户无需改变任何操作习惯 。当授权用户打开文件时，系统在内存中完成实时解密，明文数据仅在受信进程内存空间中短暂存在；保存时则自动加密落盘，防止内存转储攻击。 该功能的核心技术特性包括： 格式无关性：支持超过200种文件格式，涵盖Office文档、CAD图纸（AutoCAD/UG/ProE）、EDA设计文件及各类编程源码（Java/C++/Python） 进程级智能识别：通过进程指纹与白名单机制，智能区分办公进程与非办公进程，避免加密范围过度扩张 零性能损耗：经实测加密过程对系统性能影响接近于零，用户完全无感知 二、只解密不加密：管理层的高效通道 此功能俗称"老板模式"，专为管理层设计。技术实现上，系统为特定终端配置例外策略，当加密文件到达该终端后，打开时自动解密，关闭后文件保持明文状态，无需走繁琐的申请解密流程 。该模式通过内核级进程控制实现，既保障了高管快速处理敏感数据的效率，又通过审计日志完整记录解密行为，实现便利性与可追溯性的统一。 该功能的技术要点包括： 策略例外配置：为指定终端或用户组单独配置解密豁免策略 内核级进程控制：在驱动层拦截文件打开请求，自动完成解密后交付应用层 完整审计追溯：所有解密行为被系统日志完整记录，包括操作人、时间、文件路径等信息 三、只读加密：数据防篡改的只读沙箱 只读加密模式通过文件系统钩子拦截技术，将加密文件以只读权限加载到受控环境中。用户可正常查看内容，但系统会拦截所有修改、另存为、复制及打印操作请求 。该模式特别适用于向客户发送合同草案、技术方案等场景，既满足外部阅览需求，又确保原始数据完整性不被破坏。 该模式的技术实现特点： 文件系统钩子拦截：在系统调用层拦截写操作请求，仅允许读操作通过 动态屏幕水印：叠加显示用户名、IP地址、时间戳等溯源信息 权限精细控制：支持按用户、部门、终端等多维度配置只读策略 四、加密剪贴板：阻断内存级数据泄露 针对复制粘贴这一高频泄密通道，金纬软件实现了剪贴板级加密管控。当用户从加密文档复制内容时，系统自动将剪贴板数据替换为加密形态或空白内容 。技术层面，该功能通过监控操作系统剪贴板API调用实现，支持精细化策略配置。 该功能的关键技术能力： 剪贴板API监控：实时拦截系统剪贴板读写请求 策略化流转控制：允许在加密文档间复制流转，但禁止粘贴至非加密文档或外部应用 即时通讯防护：有效阻断通过企业微信、钉钉等工具的数据外泄通道 五、智能加密模式：环境自适应的动态防护 智能加密是一种环境感知型的动态加密策略。系统会实时判断文件来源与状态：对于外部接收的加密文件，允许正常打开查看，但编辑保存后仍保持加密状态，防止二次泄漏；对于本地新建的未加密文件，则保持开放不强制加密 。该模式通过文件元数据中的加密标记进行状态识别，实现了"已加密文件持续保护、未加密文件灵活处理"的精细化管控。 该模式的技术优势： 文件状态自动识别：通过元数据中的加密标记判断文件来源与加密状态 动态策略适配：根据文件来源自动选择加密或放行策略 外部协作友好：特别适用于频繁对接外部加密文件的日常办公场景 六、落地加密：外来数据的强制收容 落地加密功能针对外部文件进入本机的场景设计。当文件通过邮件附件、即时通讯工具、U盘或网络下载等方式到达终端时，无论用户是否打开，系统都会自动触发强制加密 。该技术通过监控文件系统写入事件实现，确保数据在存储介质上始终以密文形态存在。 该功能的技术实现要点： 文件系统写入监控：实时捕获所有写入磁盘的新文件 自动强制加密：无需用户干预，文件到达即自动加密 源头风险阻断：杜绝"接收后故意不打开直接转发"的泄密风险 七、其他关键功能补充 1.外发文件沙箱 当需要向外部合作方提供加密文件时，系统生成自带解密环境的独立可执行容器（安全容器），接收方无需安装客户端即可在预设权限范围内访问，同时所有操作行为被完整记录并可远程回收权限 2.加密网关 部署于网络边界，对进出企业的文件数据自动完成加解密处理，支持"加密策略路由"功能，仅对涉密内容实施加密，普通流量直接转发，单设备吞吐量可达10Gbps以上。 小结 金纬软件的加密体系以驱动层透明加密为技术基石，通过透明加密、只解密不加密、只读加密、加密剪贴板、智能加密、落地加密等多模式协同，构建了覆盖数据创建、流转、存储、外发的全生命周期防护网。其技术设计充分体现了"安全与效率并重"的工程哲学：在内核层实现强制管控，对授权用户保持完全透明；通过国密SM4算法与AES-256国际标准的双算法支持，满足等保、密评及行业合规要求