系统加密文件_电脑系统加密是什么意思

1.winXP C盘下文件属性里面有加密功能，有什么用？有什么情况下文件打不开？

2.揭秘电脑密码的三大类型

3.电脑密码是什么

4.电脑软件的加密原理是什么，他加密是通过什么手段实现的，一般加密的代码是在软件的开头吗？这是为什么？

5.什么是加密文件系统

信息防御加密系统是指采用自动加密技术，能给文件或电于邮件提供加密和解密一体化功能的系统。用户可通过台式计算机或笔记本电脑在开放式平台系统中传送秘密信息数据，系统自动控制对特定文件的访问等。

winXP C盘下文件属性里面有加密功能，有什么用？有什么情况下文件打不开？

没必要。

Bitlocker对普通用户不实用，一般不需要启用。BitLocker是微软Windows系统自带的一个加密工具，对整个分区进行加密，比第三方工具安全可靠，且免费。BitLocker通过加密Windows操作系统卷上存储的所有数据可以更好地保护计算机中的数据。

含义

BitLocker是内建于Window系统中的磁盘加密功能以保护数据安全，只有获得授权的人可以存取您设备上的数据。不启动BitLocker没有负面影响，普通用户不需要这么强的加密级别，而且访问加密分区的速度比较慢，降低普通用户使用电脑的便捷性和体验。

揭秘电脑密码的三大类型

那是因为你的c盘是ntfs格式 而别的盘不是

至于windowsxp的eps加密的用法 如下

WinXP中的文件加密功能使用Windows XP文件加密功能强大并且简单易用，因而许多用户都使用它来保护自己的重要文件。但由于大部分用户对该功能了解不足，在使用过程中经常出现问题，在本刊“电脑医院”中我们也频繁地收到读者的求助信，为此，CHIP在这里将特意为您详细介绍有关该功能的使用技巧。

微软在Win2000中内建了文件加密功能，该功能后来被移植到WinXP中。使用该功能，我们只需简单地单击几下鼠标就可以将指定的文件或者文件夹进行加密，而且在加密后我们依然可以和没加密前一样方便地访问和使用它们，非常方便。而且加密后即使黑客侵入系统，完全掌握了文件的存取权，依然无法读取这些文件与文件夹。

但简单强大的文件加密功能也给许多用户带来了困扰。由于使用简单，许多用户都乐于使用它来保护自己的重要文件，但大部分用户由于缺乏对该功能的真正了解，在使用时泄密、无法解密等问题频繁发生，恰恰被加密的文件往往是重要的文件，影响非常大。为此，笔者特意整理了有关该功能的一些相关知识和使用技巧与您分享。

加密和解密文件与文件夹

Win2000系列和WinXP专业版及Windows 2003的用户都可使用内建的文件加密功能，但前提是准备加密的文件与文件夹所在的磁盘必须采用NTFS文件系统。同时要注意，由于加密解密功能在启动时还不能够起作用，因此系统文件或在系统目录中的文件是不能被加密的，如果操作系统安装目录中的文件被加密了，系统就无法启动。另外，NTFS文件系统还提供一种压缩后用户可以和没压缩前一样方便访问文件与文件夹的文件压缩功能，但该功能不能与文件加密功能同时使用，使用ZIP、RAR等其他压缩软件压缩的文件不在此限。

加密时，只需使用鼠标右键单击要加密的文件或者文件夹，然后选择“属性”，在“属性”对话框的“常规”选项卡上单击“高级”按钮，在“高级属性”对话框上选中“加密内容以保护数据”复选框并确认即可对文件进行加密，如果加密的是文件夹，系统将进一步弹出“确认属性更改”对话框要求您确认是加密选中的文件夹，还是加密选中的文件夹、子文件夹以及其中的文件。而解密的步骤与加密相反，您只需在“高级属性”对话框中清除“加密内容以保护数据”复选框上的选中标记即可（如图1），而在解密文件夹时将同样弹出“确认属性更改”对话框要求您确认解密操作应用的范围。

加密后，用户可以像使用普通文件一样直接打开和编辑，又或者执行复制、粘贴等操作，而且用户在加密文件夹内创建的新文件或从其他文件夹拷贝过来的文件都将自动被加密。被加密的文件和文件夹的名称将默认显示为淡绿色，如您的电脑上被加密的文件和文件夹的名称不是彩色显示，您可以单击“我的电脑|工具|文件夹选项”，然后在“文件夹选项”对话框中单击“查看”选项卡，选中“以彩色显示加密或压缩的NTFS文件”复选框即可。

赋予或撤销其他用户的权限

如果需要，您可赋予其他用户对加密文件的完全访问权限，但要明白，Windows所采用的是基于密钥的加密方案，并且是在用户第一次使用该功能时才为用户创建用于加密的密钥，因此您准备赋予权限的用户也必须曾经使用过系统的加密功能，否则将无法成功赋予对方权限。Windows内建的文件加密功能只允许赋予其他用户访问加密文件的完全权限，而不允许将加密文件夹的权限赋予给其他用户。

要赋予或撤销其他用户对加密文件的访问权限，可用鼠标右键单击已加密的文件，选择“属性”，在“属性”对话框的“常规”选项卡上单击“高级”按钮，在“高级属性”对话框中单击“详细信息”按钮，即可通过“添加”和“删除”按钮添加或删除其他可以访问该文件的用户。

备份密钥

有许多读者在系统发生故障或重新安装系统以后，无法再访问之前他们加密过的文件与文件夹而向本刊“电脑医院”求助。但此时为时已晚，Windows内建的加密功能与用户的账户关系非常密切，同时用于解密的用户密钥也存储在系统内，任何导致用户账户改变的操作和故障都有可能带来灾难，要避免这种情况的发生，您必须未雨绸缪，在使用加密功能后马上备份加密密钥。

备份密钥的操作并不复杂，您只需单击“开始|运行”，键入“certmgr.msc”打开证书管理器，在左边窗口中依次单击控制台，打开“证书-当前用户”下的“个人”中的“证书”，然后在右边窗口中用鼠标右键单击“预期目的”是“加密文件系统”的证书，指向“所有任务|导出”，系统将打开“证书导出向导”指引您进行操作，向导将询问您是否需要导出私钥，您应该选择“导出私钥”，并按照向导的要求输入密码保护导出的私钥，然后选择存储导出后文件的位置即可完成。

建议您将导出的证书存储在系统盘以外的其他磁盘上，以避免在使用磁盘镜像之类的软件恢复系统时将备份的证书覆盖掉。备份后，当加密文件的账户出现问题或重新安装了系统后需要访问或解密以前加密的文件时，您只需要使用鼠标右键单击备份的证书，选择“安装PFX”，系统将弹出“证书导入向导”指引您的操作，您只需要键入当初导出证书时输入用于保护备份证书的密码，然后选择让向导“根据证书类型，自动选择证书存储区”即可完成，完成后就可以访问以前的加密文件了。

指定恢复代理 如果您同时使用多个账户或者与其他用户共用一台电脑，担心更换账户或者其他账户加密的文件出问题，那么您可以考虑指定一个文件故障恢复代理，恢复代理可以解密系统内所有通过内建加密功能加密的文件，一般用于网络管理员在网络上处理文件故障，并能使管理员在职员离职后解密职员加密的工作资料。在Win2000中，默认Administrator为恢复代理，而在WinXP上，如果需要恢复代理则必须自行指定。但需要注意，恢复代理只能够解密指定恢复代理后被加密的文件，所以您应该在所有人开始使用加密功能前先指定恢复代理。

如果您所使用的电脑是企业网络中的，那么您需要联系管理员查询是否已经制定了故障恢复策略，而如果您只是在使用一台单独的电脑，那么您可以按照下面的步骤指定恢复代理。首先，您需要使用准备指定为恢复代理的用户账户登录，申请一份故障恢复证书，该用户必须是管理员或者拥有管理员权限的管理组成员。对于企业网络上的电脑，登录后可以通过上面介绍过的“证书管理器”，在“使用任务”中的“申请新证书”中向服务器申请。而在个人电脑上，您必须单击“开始|附件|命令提示符”，在命令行窗口中键入“cipher /r:c:\efs.txt”（efs.txt可以是任一文件），命令行窗口将提示您输入保护证书的密码并生成我们需要的证书。生成的证书一个是PFX文件，一个是CER文件，先使用鼠标右键单击PFX文件，选择“安装PFX”，通过弹出的“证书导入向导”选择“根据证书类型，自动选择证书存储区” 导入证书。

接下来再单击“开始|运行”，键入“gpedit.msc”打开组策略编辑器，在左边控制台上依次单击“本地计算机策略|计算机配置|Windows 设置|安全设置|公钥策略|加密文件系统”，然后在右边窗口中用鼠标右键单击选择“添加数据恢复代理”（如图2），然后在弹出的“添加数据恢复代理向导”中浏览并选择刚才生成的证书中的CER文件，在键入保护证书的密码后，向导将导入证书，完成指定恢复代理的工作。完成后，在以后需要的时候，只需使用被指定为恢复代理的账户登录，就可以解密系统内所有在指定恢复代理后被加密的文件。

禁止加密功能

在多用户共用电脑的环境下，我们往往通过将其他用户指定为普通用户权限，限制他们使用某些功能，但由于普通用户账户默认允许使用加密功能，因此在一些多用户共用的电脑上经常会带来一些困扰。如果担心电脑上其他用户乱加密磁盘上的文件，您可以设置特定的文件夹禁止被加密，也可以完全禁止文件加密功能。

如果您希望将某个文件夹设置为禁止加密，可以编辑一个文本文件，内容包括“[Encryption]”和“Disable=1”两行，然后命名为“Desktop.ini”，将其放到不希望被加密的文件夹中即可。当其他用户试图加密该文件夹时，系统将提示用户该文件夹加密功能被禁止。但需要注意，您只能使用这种方法禁止其他用户加密该文件夹，文件夹中的子文件夹将不受保护。

如果需要，您也可以完全禁止文件加密功能，在Win2000中，只需使用Administrator登录并运行“secpol.msc”打开策略编辑器，用鼠标右键单击左边控制台上的“安全设置|公钥策略|加密文件系统”，选择“属性”，在属性对话框上清除“允许用户使用文件加密系统（EFS）来加密文件”复选框上的选中标记，然后重新启动电脑即可。而在WinXP上虽然也有相应的选项，但实际上并不能够起作用，您需要通过编辑注册表来禁止文件加密功能。首先单击“开始|运行”，键入“regedit.exe”打开注册表编辑器，依次单击 “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\EFS”，再用鼠标右键单击建立一个“DWORD”值，双击新建的值并赋值为“1”，关闭注册表后重新启动电脑。这样，当其他用户试图使用文件加密功能时，系统将提示加密功能已被禁止

防止泄密

由于对文件加密功能缺乏了解，许多读者对该功能是否能够真正发挥作用抱有怀疑态度，而另外一些用户却又因为过分地放心而导致泄密事件频繁发生。首先，对于该功能的加密效果您大可放心，不必因为在您使用加密文件时不需要输入密码而怀疑加密效果，在加密后能够透明地使用恰恰正是该功能的优点。虽然有一些第三方软件曾经成功地破解使用该功能加密的文件，但这种软件暂时对于Windows XP是无效的，而且即使在其他版本的Windows 操作系统上，也是可以避免的。

但您需要小心由于自己的失误引起加密失效，也需要了解该功能的特点。Windows XP内建的文件加密功能与用户的账户是联系在一起的，换言之，如果您的Windows账户没有保护好，密码被其他人获得，那么对方也就可以像您一样登录系统访问加密的文件。另外，当已加密的文件被拷贝或者移动到非NTFS文件系统磁盘上时，文件将被解密。在文件通过网络传输时，也是以明文方式进行传输的。这些您都需要清楚，避免错误操作引起泄密。而最主要的是加密后的文件并不是绝对安全的，虽然可以确保不被读取，但却无法避免被删除。

此外，在加密文件的过程中，系统将把原来的文件存储到缓冲区，然后在加密后将原文件删除。这些被删除掉的文件在系统上并不是不可能恢复的，通过磁盘文件恢复工具很有可能被恢复过来而造成泄密，此时您需要考虑通过其他磁盘安全工具，或者使用系统内建的“cipher”命令对磁盘上的已删除文件进行清除，具体的步骤是，单击“开始|附件|命令提示符”，在命令行窗口中键入“cipher /w C:\foldername”即可清除C盘foldername文件夹中已删除文件残留的碎片，如果不输入文件夹名称则将对整个磁盘进行清理。

疑难排解

当您的Windows登录账户变更而无法访问已加密的文件时，由于用户的账户名称或者密码变更时将无法与原来的加密证书联系上，因而您需要考虑是否在使用其他账户时更改了当前账户的名称或者密码？又或者是管理员进行了这样的操作？如果的确如此，您可以尝试将自己的账户名称和密码更改成原来的，问题应该能够解决。但需要注意，根据微软的说法，改回账户名称与密码的方法在管理员账户上可能无效，而且如果您的账户并不是改变而是被删除后重建，也就是说是一个全新的账户，那么您只能够求助于恢复代理或者导入备份的证书。

如果您已经重新格式化了硬盘、重新安装了系统又或者使用尚未加密文件时的系统盘镜像恢复了系统而导致无法访问加密文件，那么您只能够通过导入自己的证书或者恢复代理的方法来解决问题，这时基本上已经没有其他方法可以帮助您取回文件。另外，Windows XP SP1版后使用了新的加密算法，如果您加密时使用的是Windows XP SP1版本，那么当您尝试挽救数据时也应该使用该版本，或者未来的更新版本，否则在其他版本上乱试，加密文件可能会损毁。

电脑密码是什么

你的电脑也有“小秘密”吗？来，让我们一起揭开电脑密码的神秘面纱

BIOS开机密码

BIOS开机密码是电脑启动时的第一道关卡。如果想破解，可以进入BIOS设置，或者更简单的，断电后扣掉主板电池，密码瞬间清零！

进系统开机密码

进系统开机密码是电脑启动后的第二道防线。如果想改密码或取消密码，可以通过控制面板——用户账户——用户密码，几步操作，轻松搞定！不同系统，操作都大同小异哦！

文件、资料加密

文件、资料加密是最私密的一道防线。如果想解密，只有加密时用的软件才能打开哦！保护你的重要文件，安全可靠！

电脑软件的加密原理是什么，他加密是通过什么手段实现的，一般加密的代码是在软件的开头吗？这是为什么？

电脑密码是指用户在家庭或办公场所为防止其他人员登陆用户电脑而设定的密码。

设置电脑密码是一种很好保护自己隐私的行为，就算没有重要的东西，设置电脑密码也是非常好的习惯。

其设置方法分别如下：

一、系统中设置用户密码的方法：

开始→控制面板→用户帐户→选择你的帐户→创建密码→输入两遍密码→按“创建密码”按钮即可。

如果要取消密码，只要在第2步要求输入新密码时直接回车即可。

二、系统中设置启动密码的方法：

Windows XP除了可以在控制面板的用户帐户里设置“用户密码”来确保系统安全外，系统还提供了一个更安全有效的“系统启动密码”，这个密码在开机时先于“用户密码”显示，而且还可以生成钥匙盘。如果你设置了“系统启动密码”，系统就更安全了。Windows XP设置“系统启动密码”的方法如下：

单击“开始”“运行”，在“运行”对话框中输入“Syskey”（引号不要输入），按“确定”或回车，弹出“保证Windows XP帐户数据库的安全”对话框，在对话框中点击“更新”按钮，弹出“启动密码”对话框，选中“密码启动”单选项，在下面输入系统启动时的密码，按“确定”按钮即可。

要取消这个系统“启动密码”，按上面的操作后在“启动密码”对话框中选中“系统产生的密码”，再选中下面的“在本机上保存启动密码”即可，确定后启动密码就会保存到硬盘上，下次启动时就不会出现启动密码的窗口了。

“启动密码”在出现登录画面之前显示，只有输入正确的启动密码后，才会显示登录画面，用户才能输入用户名和登录密码完全登录系统。如此，系统就有二重密码保护。三、BIOS中设置密码的方法(不同机器有所不同)：

1、开机按Del键进入CMOS设置，将光标移到“Advanced BIOS Features(高级BIOS功能设置)”回车，打开“Advanced BIOS Features”页面，找到“Security Option(检查密码方式)”或“Password Check(检查密码方式)”，将其设置为“System(系统)”（注：该项有两个设定值System和Setup，设置为System时开机进入CMOS设置和进入操作系统均要输入密码；设置为Setup时仅开机进入CMOS设置要输入密码），按Esc键回到主页面；

2、在主页面将光标移到“Set Supervisor Password(超级管理员密码)”回车，在出现的窗口中输入密码并回车，在出现的窗口中再次输入同一密码并回车，CMOS便回将密码记录下来并返回主页面。

3、在主页面将光标移到“Save & Exit(存储退出)”回车，按Y键，再回车即可。

在第2步选择“Set User Password（设置用户密码）”可以设置用户密码，用户密码与超级管理员密码的区别是：用用户密码进入CMOS设置只能查看不能修改。

上述三种密码中以系统启动密码的安全性最高，用户密码其次，BIOS密码的安全性最低。BIOS密码可以通过将主板上的电池取下而消除；用户密码在网上也可以找到很多破解方法；但启动密码还很难找到破解方法。建议同时设置启动密码和用户密码，这样就有双重密码保护，不但开机时要输入密码，而且在暂时离开时可以通过同时按Windows徽标键（Ctrl和Alt之间的那个键）和字母L键锁定计算机（锁定时，计算机返回登录的画面，必须输入用户密码才能返回系统进行正常操作），使他人无法使用。

什么是加密文件系统

大多数计算机加密系统都属于以下两种类型之一：

对称密钥加密

公钥加密

对称密钥加密中，每台计算机都有一个密钥（代码），用于对通过网络发送到另一台计算机的信息包进行加密。对称密钥要求您知道将要与哪些计算机通信，以便您能够在每台计算机上安装密钥。对称密钥加密实际上与密码相同，两台计算机都必须知道密码才能对信息进行解码。该代码提供了用于对信息进行解码的钥匙。下面是一个简单的例子：您创建一条消息并进行编码，将原消息中的每个字母都替换为其在字母表中后两位的字母，然后发送给朋友。这样“A”变成了“C”，“B”变成了“D”。您告诉自己信任的朋友，代码是“后移两位”。这样您的朋友收到消息时就可以进行解码，从而得知消息的内容。任何其他看到该消息的人看到的只是无意义的内容

公钥加密中的密钥以散列值为基础。这个值是使用散列算法、根据输入的一个基础数字计算出来的。从本质上讲，散列值是原始值的概要。关于散列值的重要一点是，如果不知道用于创建散列值的数据，就几乎不可能推导出原始输入数字。下面是一个简单示例：

输入数字 散列算法 散列值

10,667 输入数字乘以143 1,525,381

您可以看到，要确定值1,525,381原来是10,667和143相乘的结果是多么困难。但是，如果您知道乘数是143，就很容易计算出值10,667。公钥加密实际上比该示例复杂得多，但基本原理相同。

公钥通常使用复杂算法和非常大的散列值来进行加密，其中包括40位甚至128位数字。128位可以有2128个不同组合！

加密文件系统有很多种，应用场景、用途也不一样。推荐一款企事业单位专用的透明加密防泄密系统

透明加密技术是近年来针对企业文件保密需求应运而生的一种文件加密技术。所谓透明，是指对使用者来说是未知的。当使用者在打开或编辑指定文件时，系统将自动对未加密的文件进行加密，对已加密的文件自动解密。文件在硬盘上是密文，在内存中是明文。一旦离开使用环境，由于应用程序无法得到自动解密的服务而无法打开，从而起来保护文件内容的效果。

透明加密有以下特点：

自动强制加密：安装系统后，所有指定类型文件都是强制加密的；

使用方便习惯：不影响原有操作习惯，不需要限止端口；

原有习惯保持：内部交流时不需要作任何处理便能交流；

对外严禁泄露：一旦文件离开使用环境，文件将自动失效，从而保护知识产权。

1、为什么需要透明文件加密

每个单位都有很重要的数据文件；比如对企业来说财务报表、用户名单、进货渠道、设计图纸、投标文件等等；那么这些资料你允许别人随意拿走吗？

如果你不想被拿走，你可能部署了比如网络监控等方式，但远远不够的，因为人是活的，既然你不想别人拿走，人家要拿的时候就千方百计的方式了；防不胜防；比如，压缩后发个邮件出去，修改名字后你也看不懂这个是什么再QQ传输出去；

那么你就应加密，比如采用压缩加密方式，或把文件夹加密，可是你会很快发现不现实也无什么用；比如压缩加密好了，你总是要打开的，要是你天天都要用的，你就烦了每天都加密解密；再比如假如你这个是设计的图纸，你的员工设计的，他手里还有一份呢，他抄走呢？再比如，一个大型的设计可能很多人需要参加，那你加密别人就无法参与了，可你解密后别人立即抄走了；也就是说你打开他们就抄走了，你不打开别人就无法工作了；这个时候，你就需要透明文件加密了；

2、什么叫透明文件加密

透明文件加密区别于常见的文件密码加密方式；对你想加密的机密文件进行保护时，系统在不改变用户原有工作流程和文件使用习惯的前提下，对需要保护的进程生成的所有文件(无论该文件原来是明文还是密文)进行强制加密保护。简单说：就是对你需要加密的文件自动加密又不改变原来的操作习惯，而能看的人又无法抄走（即使非法复制出去都是乱码的无法看的加密格式的文件）；这样，你的员工可以像往常一样工作和参与，但却无法抄走（无论是网络方式、U盘方式、或改名转存方式等等）；除非获得授权；

3、透明加密的基本功能

强制、自动、透明加密电子文档，防止第一作者泄密； 设置文档阅读权限，防止越权读取；

自动备份加密文档，防止恶意删除； 全程记录文件操作行为；

有效控制传输途径：设备限制（USB存储设备、光驱/软件只读或禁用，打印机禁用）；禁止截屏、拖拽；禁止内容复制； 三重密钥管理，安全可靠； 灵活离线策略，在方便员工短期外出、在家办公或长期出差的同时，仍防泄密；在线解密申请，授权高管解密后方可文件外发；

4、透明文件加密软件的部署

一般安装都很简单，在管理端安装一个引擎驱动，用于管理以及建立密钥等；被加密电脑安装工作站，然后就开始根据你管理端设置的规则自动加密了；剩余的只是对管理过程（比如授权、加密规则等）

5、透明加密技术原理

透明加密技术是与windows紧密结合的一种技术，它工作于windows的底层。通过监控应用程序对文件的操作，在打开文件时自动对密文进行解密，在写文件时自动将内存中的明文加密写入存储介质。从而保证存储介质上的文件始终处于加密状态。

监控打开（读）、保存（写）可以在windows操作文件的几个层面上进行。现有的32位CPU定义了4种（0~3）特权级别，或称环（ring）。其中0级为特权级，3级是最低级（用户级）。运行在0级的代码又称内核模式，3级的为用户模式。常用的应用程序都是运行在用户模式下，用户级程序无权直接访问内核级的对象，需要通过API函数来访问内核级的代码，从而达到最终操作存储在各种介质上文件的目的。

为了实现透明加密的目的，透明加密技术必须在程序读写文件时改变程序的读写方式。使密文在读入内存时程序能够识别，而在保存时又要将明文转换成密文。Window 允许编程者在内核级和用户级对文件的读写进行操作。内核级提供了虚拟驱动的方式，用户级提供Hook API的方式。因此，透明加密技术也分为API HOOK广度和VDM（Windows Driver Model）内核设备驱动方式两种技术。API HOOK俗称钩子技术，VDM俗称驱动技术；

6、钩子透明加密技术简介

所有Windosw应用程序都是通过windows?API函数对文件进行读写的。程序在打开或新建一个文件时，一般要调用windows的CreateFile或OpenFile、ReadFile等Windows API函数；而在向磁盘写文件时要调用WriteFile函数。

同时windows提供了一种叫钩子（Hook）的消息处理机制，允许应用程序将自己安装一个子程序到其它的程序中，以监视指定窗口某种类型的消息。当消息到达后，先处理安装的子程序后再处理原程序。这就是钩子。

钩子透明加密技术就是将上述两种技术组合而成的。通过windows的钩子技术，监控应用程序对文件的打开和保存，当打开文件时，先将密文转换后再让程序读入内存，保证程序读到的是明文，而在保存时，又将内存中的明文加密后再写入到磁盘中。

钩子透明加密技术与应用程序密切相关，它是通过监控应用程序的启动而启动的。一旦应用程序名更改，则无法挂钩。同时，由于不同应用程序在读写文件时所用的方式方法不尽相同，同一个软件不同的版本在处理数据时也有变化，钩子透明加密必须针对每种应用程序、甚至每个版本进行开发。

目前不少应用程序为了限止黑客入侵设置了反钩子技术，这类程序在启动时，一旦发现有钩子入侵，将会自动停止运行。

7、驱动透明加密技术简介

驱动加密技术基于windows的文件系统（过滤）驱动（IFS）技术，工作在windows的内核层。我们在安装计算机硬件时，经常要安装其驱动，如打印机、U盘的驱动。文件系统驱动就是把文件作为一种设备来处理的一种虚拟驱动。当应用程序对某种后缀文件进行操作时，文件驱动会监控到程序的操作，并改变其操作方式，从而达到透明加密的效果。

驱动加密技术与应用程序无关，他工作于windows API函数的下层。当API函数对指定类型文件进行读操作时，系统自动将文件解密；当进入写操作时，自动将明文进行加密。由于工作在受windows保护的内核层，运行速度更快，加解密操作更稳定。

但是，驱动加密要达到文件保密的目的，还必须与用户层的应用程序打交道。通知系统哪些程序是合法的程序，哪些程序是非法的程序。驱动透明加密工作在内核层。驱动加密技术虽然有诸多的优点，但由于涉及到windows底层的诸多处理，开发难度很大。如果处理不好与其它驱动的冲突，应用程序白名单等问题，将难以成为一个好的透明加密产品。

8、钩子透明加密技术与驱动透明加密技术比较

两种加密技术由于工作在不同的层面，从应用效果、开发难度上各有特点。从几个方面进行了简单比较：

工作层：钩子透明加密工作在用户层，驱动透明加密工作在内核层；

工作方式：钩子透明加密使用HOOK，驱动透明加密接受系统IRP；

应用关联性：钩子透明加密直接和应用关联，所以应用更新或新的加密类导致需要重新更新开发；驱动透明加密和应用无关，但要提供应用加密列表；

加解密可靠性：钩子透明加密由于应用层上所以速度慢容易死机等，特别是处理大文件或资源不足的时候；驱动透明加密采用内核加解密，受操作系统保护，稳定而且速度快；

网络操作：钩子透明加密没有限制，驱动透明加密需要单独编写对应程序处理；

开发难度：钩子透明加密相对容易但容易被当成病毒误杀或禁止；驱动透明加密开发难度大，开发驱动的过程可能连续一天反复重新启动100次电脑；

9、透明加密最新原理——信息防泄漏三重保护

信息防泄漏三重保护，不仅为防止信息通过U盘、Email等泄露提供解决方法，更大的意义在于，它能够帮助企业构建起完善的信息安全防护体系，使得企业可以实现“事前防御—事中控制—事后审计”的完整的信息防泄漏流程，从而达到信息安全目标的透明性、可控性和不可否认性的要求。

信息防泄漏三重保护包括详尽细致的操作审计、全面严格的操作授权和安全可靠的透明加密三部分。

l详尽细致的操作审计是三重保护体系的基础，也是不可或缺的部分，它使得庞大复杂的信息系统变得透明，一切操作、行为都可见可查。

审计不仅可以用作事后审计以帮助追查责任，更能够帮助洞察到可能的危险趋向，还能够帮助发现未知的安全漏洞。

l全面严格的操作授权从网络边界、外设边界以及桌面应用三方面实施全方位控制，达到信息安全目标中的“可控性”要求，防止对信息的不当使用和流传，使得文档不会轻易“看得到、改得了、发得出、带得走”。

l安全可靠的透明加密为重要信息提供最有力的保护，它能够保证涉密信息无论何时何地都是加密状态，可信环境内，加密文档可正常使用，在非授信环境内则无法访问加密文档，在不改变用户操作习惯的同时最大限度保护信息安全。

第一重保护：详尽细致的操作审计

详细的审计是三重保护的基石，全面记录包括文档操作在内的一切程序操作，及时发现危险趋向，提供事后追踪证据！

文档全生命周期审计

完整而详细地将文档从创建之初到访问、修改、移动、复制、直至删除的全生命周期内的每一项操作信息记录下来，同时，记录共享文档被其它计算机修改、删除、改名等操作。

另外，对于修改、删除、打印、外发、解密等可能造成文档损失或外泄的相关操作，可以在相关操作发生前及时备份，有效防范文档被泄露、篡改和删除的风险。

文档传播全过程审计

细致记录文档通过打印机、外部设备、即时通讯工具、邮件等工具进行传播的过程，有效警惕重要资料被随意复制、移动造成外泄。

桌面行为全面审计

还拥有屏幕监视功能，能够对用户的行为进行全面且直观的审计。通过对屏幕进行监视，企业甚至可以了解到用户在ERP系统或者财务系统等信息系统中执行了哪些操作。

第二重保护：全面严格的操作授权

通过全面严格的第二重保护管控应用程序操作，防止信息通过U盘、Email等一切方式泄露，全面封堵可能泄密漏洞！

文档操作管控

控制用户对本地、网络等各种位置的文件甚至文件夹的操作权限，包括访问、复制、修改、删除等，防范非法的访问和操作，企业可以根据用户不同的部门和级别设置完善的文档操作权限。

移动存储管控

能够授予移动存储设备在企业内部的使用权限。可以禁止外来U盘在企业内部使用，做到外盘外用；同时还可对内部的移动盘进行整盘加密，使其只能在企业内部使用，在外部则无法读取，做到内盘内用。

终端设备规范

能够限制USB设备、刻录、蓝牙等各类外部设备的使用，有效防止信息通过外部设备外泄出去。

网络通讯控制

能够控制用户经由QQ、MSN、飞信等即时通讯工具和E-mail等网络应用发送机密文档，同时还能防止通过上传下载和非法外联等方式泄露信息。

网络准入控制

及时检测并阻断外来计算机非法接入企业内网从而窃取内部信息，同时还能防止内网计算机脱离企业监管，避免信息外泄。

桌面安全管理

设置安全管理策略,关闭不必要的共享,禁止修改网络属性,设定登录用户的密码策略和账户策略。

第三重保护：安全可靠的透明加密

透明加密作为最后一道最强防护盾，对重要文档自动加密，保证文档无论何时何地都处在加密状态，最大限度保护文档安全！

强制透明加密

能对电子文档进行强制性的透明加密，授信环境下加密文档可正常使用，非授信环境下加密文档则无法使用。同时，鉴于内部用户主动泄密的可能性，会在加密文档的使用过程中默认禁止截屏、打印，以及剪切、拖拽加密文档内容到QQ、Email等可能造成泄密的应用。

内部权限管理

对于多部门多层级的组织，提供了分部门、分级别的权限控制机制。根据文档所属部门和涉密程度贴上标签，拥有标签权限的用户才能够访问加密文档，控制涉密文档的传播范围，降低泄密风险。

文档外发管理

对于合作伙伴等需要访问涉密文档的外部用户，提供了加密文档阅读器，通过阅读器企业可以控制外发加密文档的阅读者、有效访问时间以及访问次数，从而有效避免文档外发后的二次泄密。

双备防护机制

采用备用服务器机制以应对各种软硬件及网络故障，保证加密系统持续不断的稳定运行。加密文档备份服务器可以对修改的加密文档实时备份,给客户多一份的安心保证。

功能和特点

1、悄无声息：在图陵加密软件的办公环境中，计算机界面无任何改变，图文信息传递使用无任何改变，日常操作习惯无任何改变，用户丝毫不会感觉图陵加密软件的存在。

2、守护无限：通过图陵独创的实时加密和智能监控技术，确保在企业办公环境中，所有图文信息为自由使用状态，不影响正常工作；而一旦离开企业环境，无论以任何方式存储或转移，所有图文信息将会自动加密，不必担心信息泄密。

3、实时加密：图陵加密软件可以提供对设计、办公等软件产生的文件进行实时加密的功能。计算机在安装图陵加密软件后，用户使用设计软件和办公软件所产生的所有图文档都将自动加密。

4、全程防守：图陵加密软件采用的是过程加密技术，即在图纸文档整个设计制作过程中，该文件都是加密的。图陵的过程加密技术有效的防止了编辑文档的期间将该图文档拷贝走的漏洞。

5、删除控制：独创的防删除功能，能在删除受保护的文件时，自动、悄悄的放置到一个指定隐含的目录中，在加密的同时也能防止恶意破坏。

6、全程纪录：只有授权的管理者才能进行文件解密工作，管理机将通过慧眼智能和记忆功能，轻松实现对用户、操作日志、加解密权限等方面的高级管理功能；对解密的文件发放进行跟踪。

7、大道至简：图陵加密软件产品安装轻松，使用简便。客户机无需任何操作，计算机启动立即生效；管理机操作界面简洁且易于使用。管理机可一次性完成对所有原有图文信息的初始化加密处理工作。

8、无缝集成：图陵加密软件能与企业原有信息管理系统（如PDM、OA系统）集成，对信息管理系统中形成的图文档，实现和其他图文档信息同样的加密功能，以此提升企业现有信息管理系统的安全性。

9、终极捍卫：图陵加密软件对图文信息在应用程序中采取的另存、复制、剪切、打印、截屏、录屏、发邮件、插入对象等任何可能泄密的不安全操作均进行控制。对图陵加密软件支持的每一个应用程序、版本和操作系统环境，我们都经过了超严密、大负荷、长时间的可靠性和稳定性测试，确保安全稳定。

10、密匙唯一：图陵加密软件在设计中充分考虑了各种破解可能，特别引入无穷多非对称加密方式和算法，针对不同企业采取截然不同的加密算法和加密验证机制，确保图文信息互不通用。甚至对同一企业的不同部门，图陵加密软件也通过不同的加密验证机制设置是否通用的权限，从而最大限度地保障图文信息安全。