阳途网控数据防泄密系统

　　对于核心数据，需要控制数据过程使用安全时，采用透明加密控制方式控制数据的安全使用。系统采用基于Windows文件系统驱动开发，结合高强度国际流行加密算法，对文件进行驱动层加解密操作。对于需要保护的文件类型，系统会在文件保存时对其进行强制性的加密，并且不改变文件的格式和形态。如果没有合法的使用身份、访问权限和正确的安全通道，所有加密文件都将以密文状态保存，通过其他非法手段都无法窃取文件内容。

　　阳途网控数据防泄密系统通过透明加模式，实现了电子文件无论是由人工生产还是由应用系统生成的，只要写在磁盘上就是加密存储的；文件生成的参与者被系统授权许可使用这些加密的文件，可以接触操作这些内容；如果未经合法许可将加密文件数据体带走，加密文件内容将不能够被正常打开，文件内容不会因为文件数据体扩散而扩散。

　　透明加密

　　安装阳途加密客户端的计算机，其生成的文档自动加密，加密文档在内部授权环境内可正常使用，未经授权解密，私自带到外部或未经授权的内部环境均无法打开。

　　解密审批

　　管理员可以设置客户端解密审批流程。设置好后，客户端选择被加密的文件，鼠标右键，选择申请解密，审批人计算机右下角就会弹出审批请求。如果同意审批，则客户端计算机可以以明文形式外发文件。

　　分级加密

　　管理员可以设置不同计算机具有不同的级别，级别低的终端，无法查看级别高的终端生成的文件。

　　自定义策略

　　针对非通用软件，系统提供了人性化自定义策略功能，使用者可以很方便的自定义加密策略。

　　解密UKey

　　管理员可以制作多个解密UKey，同时可以给解密UKey分配相应的权限，包括解密的权限，修改文件级别的权限等

　　打包外发

　　外发文件时，申请者可以设置外发文件的使用权限，包括外发出去的文件的打开次数，打开时间等信息。

　　剪切板加密

　　剪切板加密：禁止终端用户将数据通过复制粘贴的方式外发出去

　　禁止截屏：禁止终端用户使用截屏软件将屏幕数据外发出去

　　截屏控制

　　剪切板加密：禁止终端用户将数据通过复制粘贴的方式外发出去

　　禁止截屏：禁止终端用户使用截屏软件将屏幕数据外发出去

　　打印水印

　　剪切板加密：禁止终端用户将数据通过复制粘贴的方式外发出去

　　禁止截屏：禁止终端用户使用截屏软件将屏幕数据外发出去

　　老板客户端

　　管理员可以给企业负责人安装老板客户端，老板客户端可以打开全部加密文件，同时自己使用的文件不加密。

　　离线策略

　　用于管理不能跟服务器通信的终端电脑，如出差，服务器故障等，在授权时间内，终端可以正常工作，超过离线时间，将无法打开加密文档。

　　审批日志

　　终端使用者的一切申请解密日志，以及审批日志都会记录在系统内，管理员可以进行查询。所有申请解密的文件，均会保存在服务器上，管理员可以打开查看。

　　加密文件备份

　　对于已经加密过的文件，系统提供备份策略，将文件备份到服务器上。

　　优良特性

　　系统分为服务端、管理端、客户端，服务端装在单位的核心服务器上，管理人员安装管理机，被管理人员安装客户机。

　　基于DES-16体系的加密

　　以DES-16算法为基础，通过身份证书标明不同的子公司、部门、个人。与传统的多秘钥体系或者密级体系有着更多的灵活性。

　　支持多种用户认证模式

　　支持按硬件号（一人一机的模式）认证用户，也支持按域用于认证，并可导入域服务器上的组织结果，根据需要也可以支出两种认证模式的混合使用。

　　多种加密模型

　　支持打开加密、修改加密、不加密、智能加密等多种模型，用户可以根据需要对不同的个人、部门，或者不同的应用程序设置不同的加密模型。

　　加密与权限无缝衔接

　　生成的加密文档可以根据预先的设置加入相关的权限信息，同时亦可以手工指定某份文档的权限，如哪些人可以看，哪些人不可以修改，哪些人可以打印等。

　　自动与手动加密的结合

　　可以针对不同的用户，不同的应用软件采用自动或者手动加密。在保证安全性的前提下保留方便性。

　　屏幕控制/动态水印

　　员工在看文档或者编辑文档的时候屏幕上会自动浮动当前电脑用户名、当前电脑IP地址、当前计算机名称、当前电脑日期甚至可以自己自定义一些文本内容，从而让员工在拍照的时候起到心理震慑。

　　灵活的组策略结构

　　组织结构以Root为根，可以无限级分组。对于每一个组、用户均可进行单的设置。同时根据需要，下层组可以选择是否继续上层的设置。当设置有冲突时，自动以严格的设置为准。

　　基于加密通信算法的审批认证方式

　　系统中的所有数据传输都是经过高强度加密算法加密的。保证了通信的所有数据的安全，保密

　　加密内核

　　高速

　　阳途加密内核所有的明密文变换均在内存中完成，对磁盘IO的影响小于3％。对其他操作无影响。

　　稳定

　　阳途加密内核是一个完全基于文件系统的加密内核，所采用的技术均是成熟并稳定的，在使用中有着极高的稳定性。

　　安全

　　阳途加密内核并不需要在硬盘上生成明文，避免了明文落地，消除了大的隐患。

　　灵活

　　阳途加密透明加密内核同时支持多秘钥体系和PKI体系，可以满足企业特别复杂的应用逻辑。

　　扩展

　　阳途加密系统具备强大的扩展性，与主流的OA/ERP可以有机结合，与个别ERP/OA系统支持联动

　　技术优势

　　采用国际的文件系统的驱动层加密内核技术，文件加密速度快，安全、稳定

　　目前为止，该方案将加密标识内置于文件内，成为文件的一部分。当需要打开文件时，会先识别此文件是否含有加密标识。如果有加密标识，则对此文件进行透明解密。当需要保存文件时，对内存中的文件进行透明的加密，然后写上加密标识。指纹内置方案，使得身份认证技术成为可能。这种加密技术真正实现一份文档某些人（身份）可以打开，而其他人（身份）则不可以。另外从UG等从Unix转过来的程序，导入导出等操作依旧可以无障碍进行。

　　完全透明的加密过程

　　当用Word打开一个DOC文档，用AutoCAD打开一个DWG文件时。加密会自动监测到此操作，并进行相关的解密工作，当要保存此文件时，又会进行相关的加密工作。所有的这些过程都是文档守望者在背后默默完成的，用户根本无需也无法进行干预。这些被加密过的文件无论采用何种方式：用U盘拷贝、用光盘刻录、发邮件、用Ftp上传、用QQ等P2P工具上传，泄漏出去的文件均无法打开。

　　人性化的复制/粘贴/拖放/截屏控制

　　若采用复制/粘贴可将加密的内容拷贝至非加密内容中，即可导致信息的泄密。但若限制复制粘贴等功能，则用户的日常工作将会受到影响。文档守望者的设计是在提供信息保密的同时又不影响用户的使用习惯。对此文档守望者采用的策略是：加密文件之间可以互相复制/粘贴，非加密文件之间也可互相复制/粘贴，非加密文件的内容可粘贴至加密文件，但加密文件的内容不可粘贴至非加密文件中。对于拖放，守望者也采用同样的策略。对于拷屏的策略是：如果有加密的文件处在打开状态，则禁止拷屏，否则允许。

　　灵活的组策略

　　根据用户的工作需要，客户可以对整个组设置规则，也可以针对单台电脑进行设置，同时一台电脑可以在不同的组中。如技术部（组）、财务部（组）、销售部（组）等，可以对整个工作组进行设置，同时也可对某台电脑进行单的设置。

　　多重密钥设计

　　当软件提供给客户的时候，厂商为客户提供全球的密钥确保客户的加密格式不会相同。客户再自行设置一个密钥，使供应商亦无法解开被加密的文件，解除客户的后顾之忧。