驱动加密更安全，可以兼顾到应用层加密的不足，请看客注意，
下面内容并不代表市场主流和观点也并不正确。

驱动内核级与应用级的认识误区
——文档安全产品工作在哪一级更安全（其实更安全的是驱动层加密技术）

　　透明加解密技术是近年来针对企业文件保密需求应运而生的一种文档安全加密技术。所谓透明，是指对使用者来说是不可见的。当使用者在打开或编辑相关文档时，系统将自动对未加密的文档进行加密，对已加密的文档自动解密。文件在硬盘上是密文，在内存中是明文。一旦离开使用环境，由于应用程序无法获得自动解密的服务而无法打开，从而起到保护文件内容的效果。

系统内核层完成动态加解密

      可以取得访问这些文件的进程信息和用户信息等，文件过滤驱动层 ( III 和文件系统层 ( IV 不只可以取得文件的各种信息。因而，能够研制出功用十分强大的文档安全产品。就动态加解密产品而言，有些文件系统本身就支持文件的动态加解密，如 Window 系统中的 NTFS 文件系统，其自身就提供了 EFS Encryption File System 支持，但作为一种通用的系统，固然提供了细粒度的控制才能 ( 如能够控制到每个文件 ) 但在实践应用中，其加密对象普通以分区或目录为单位，难以做到满足各种用户个性化的请求，主要是不能满足企业的文件必需加密，和自动加密，不受员工的习惯和改变而改变，不能说员工想加密就加密，不想加密就不加密，如自动加密某些类型文件等。固然有某些缺乏，但支持动态加密的文件系统在某种水平上能够提供和磁盘级加密技术相匹敌的平安性。由于文件系统提供的动态加密技术难以满足用户的个性化需求，因而，为第三方提供动态加解密平安产品提供了足够的空间。

固然与详细的操作系统有关，    要研发在文件级的动态加解密平安产品。但仍有多种办法可供选择，普通可经过 Hook 或过滤驱动等方式嵌入到文件系统中，使其成为文件系统的一局部，从某种意义上来说，第三方的动态加解密产品能够看作是文件系统的一个功用扩展，这种扩展常常以模块化的方式呈现，可以依据需求停止挂接或卸载，从而可以满足用户的各种需求，这是作为文件系统内嵌的动态加密系统难以做到

驱动加密更安全，可以兼顾到应用层加密的不足，请看客注意，驱动加密更安全，这是不争的事实。
下面内容并不代表市场主流和观点也并不正确。

　　透明加解密技术是与操作系统紧密结合的一种技术，它工作于操作系统底层，从技术角度看，可分为内核级加密和应用级加密两类。内核级通常采用文件过滤驱动技术，应用级通常采用 API HOOK（俗称钩子）技术，其基本原理都是要接管文件 IO（读写）操作，通过监视涉密进程（受保护程序）的磁盘读写，对保密文档进行动态的加密和解密。由于这些操作都在底层自动完成，除了速度可能稍有降低外，用户在使用方式上与平时没有差异。驱动加密更安全，可以兼顾到应用层加密的不足，请看客注意，下面内容并不代表市场主流和观点也并不正确。
　　个别基于内核级开发的产品厂商喜欢向用户宣称，用文件系统过滤驱动来实现透明加解密更加底层，安全性自然也最强。事实上，他们忽略了一个基本的原则——加密应尽可能早，解密应尽可能晚。只有当应用程序刚产生机密数据的时候就立即加密，而直到应用程序需要使用数据的前一刻才解密它，才能最大程度地降低机密信息被中途截取的可能。一味地追求底层，恰恰与以上原则背道而驰。
　　这里并不打算让大家相信产品完全工作在应用层才最安全，只是想让大家明白，文档安全产品的安全性并非完全体现在产品基于内核级或应用级开发。客观地说，基于内核级与应用级的文件 IO 接管、对象访问控制等工作，在原理上并无本质不同，都属于广义的 HOOK 技术。由于内核级代码工作在驱动层，相对应用级代码更难于被恶意用户绕过，所以用于访问控制与自我保护的效果优于应用级。但另一方面，由于内核级代码工作在系统最底层，代码中稍有疏忽必将导致系统蓝屏和文件损坏，甚至其他应用软件的“不规范”操作也可能导致透明加解密产品的内核代码崩溃，稳定性与兼容性远不及应用级代码。这些特性迫使内核级开发人员必须尽可能保持代码的“简洁”，逻辑复杂一点、功能细致一点，开发与调试的难度都会成倍增长。我们针对竞争对手的产品测试结果也从侧面证明了以上观点：某内核级加解密产品对受保护程序的验证依据，仅仅是可执行程序的文件名。用户只要把任意一个网络程序改名为 Office 执行程序名，就可以将加密文档解密外发了。这样的文档安全产品虽然完全工作在内核级，但是有安全性可言吗？

　　综合以上原因，电子文档安全系统采用内核级与应用级技术相结合的实现方案：
　　1、加解密模块采用应用级 API HOOK 技术，在受保护程序读写文件的过程中，确保加密时机最早而解密时机最晚，最大限度缩短明文信息在内存中的可访问路径。同时强化各项验证的判断处理，降低程序实现的复杂性，避免纯驱动级文件透明加解密的实现方案中，可能由于任何细节处理不当而导致系统蓝屏、文件损坏的现象发生。
　　2、加解密模块在设计上不可拆分，若应用层 HOOK 模块被以任何方式摘除，则加解密功能同时失效，无法单独绕过加密流程。由此可保证受保护程序永远遵循以下规则：若能读取加密文档，则产生的所有文档均强制被加密；若产生的文档不加密，则无法读取任何被加密的文档。
　　3、访问控制及自我保护模块工作在内核级，确保控制、防护机制难以被上层程序绕过。

作者推荐：

　优盾智能加密防泄密系统，采用驱动层加密技术，有效控制加密文件的安全，也同时弥补了应用层加密的不足。

     安装优盾公司开发的"优盾智能防信息泄密系统"，对公司电脑的管理不再需要安装监控软件，设置访问权限，封USB接口，禁上敏感部门上网等这些老套的而且没有技术含量的措施，因为只要安装优盾的"优盾智能防信息泄密系统" 无论谁通过什么存储介质或电子邮件带走的文档图纸，只要未经公司授权解密，在公司以外的电脑上无法使用。作为公司再也不用为内部泄密担心。加密软件  图纸加密软件  文件加密软件(文档office) 文件夹加密软件  光盘加密软件  硬盘加密软件  U盘加密软件  视频文件加密软件  图形文件加密软件

版本：优盾文件加密保护系统 V2.0

为何需要本产品？