一、安全性
1. 隐形加密
所谓隐形加密(也称透明加密、无感加密),具有强制加密、自动加密、实时加密、动态加密和无损加密的特点,对文件加密和解密是自动进行的,无需用户干预,用户实际上是无知觉的,在文件编辑和使用过程中,不需要明文过渡,不产生明文。一旦离开使用环境,加密的文件无法打开或打开是乱码。隐形加密从根源上解决文档安全问题。
2. UUID设计说明
每个用户单位拥有全球**性UUID识别码,并作为文件加密因子,不同用户单位之间的密文不能互解;解密工具以UUID为识别依据,只能解密自己单位的密文,不能解密其他单位的密文;每个用户单位内部,密文可以在指定范围内互通,无障碍流转。
3. 安装无痕
用户看不到找不到安装路径,安装目录不可见,即使用专业工具找到了安装目录,也不可访问。
4. 防反安装
不留安装信息,无法通过控制面板去卸载,卸载专用工具也找不到安装信息;对安装目录做了访问控制,防篡改删除。
5. 进程保护
防止加密进程被强制结束 。若进程被非正常退出,如用工具杀死进程,即自动关机重启保护,不留操作时间,保护数据不被窃取。
6. 强制启动
目前常用的开机自动启动的设置,可用杀毒拦截、Msconfig工具或用360简单操作可禁止自动启动,均可简单破解。——采用了一种新的强制启动方法,用服务进程实现开机自动启动,基本解除不了,且不会被杀毒拦截。服务进程启动后即自行退出,不驻留在系统里。
7. 客户端软件安全性
(1) 客户端只加密,不解密,软件里无解密函数,无法利用客户端软件来破解解密,理论上增加了破解难度。
(2) 客户端软件安装需要Key激活,这样,限制了软件的随意传播,规范了软件的使用范围,降低了破解几率
(3) 客户端软件开机强制启动,安装无痕,运行无痕,加密无痕,不能退出,不能卸载,杀进程即自动关机保护。
(4) 理论上,对密文进行暴力破解的难度相对大,对软件进行逆向工程来破解的难度相对小,尤其是破解DLL中的函数,实现加密解密函数的调用,是破解者常用的手段。对于此种情况,我们增强了对dll函数导出的保护,同时还额外增加了对函数调用的保护,即使破解了Dll里加密解密函数,函数调用仍旧会失败
8. 绑定硬件KEY
需要插Key才能解密文件,需要插Key才能安装,KEY限制了无限传播的可能性,传播范围小,减小了破解几率。采用国密认证的key。
9. 加密算法
一文一密。加密算法包括自定义算法、MD5、Browfish、AES。
10. 驱动保护
试图取消FileSystemFltMgr的设备过滤行为,不可解除加密机制。
11. 远程限制
试图通过远程桌面方式已被禁止;远程控制进程被列为非法进程,试图访问密文被自动拒绝。
12. 日志防护
客户机日志要达到的保护目标:看不见、找不到、拷不走、打不开。
二、功能特点
1. 流转范围
加密的文件,原则上不同电脑之间不能互解,但可以定义一定范围内的电脑可以互解。更进一步地,流转范围可以定义为:本设备、只本人、班团内、部门内、单位内、集团内。流转范围在软件安装激活时确定。
2. 即装即用
安装极简化。由安装包自动完成驱动安装、服务安装及软件安装,,即使在低权限的user用户账户下安装,只跟系统一次人机交互,就可以顺利完成安装。
3. 解密工具Key
解密工具要能识别UUID,只能解密自己公司的密文,不能解密其他公司的密文;解密工具绑定Key,只有插Key才能使用,包括4个模块:
(1) 用户管理模块(超级管理员权限)
(2) 日志审计模块(审计员权限)
(3) 单个文件解密(解密员权限)
(4) 批量文件解密(解密员权限)
l 超级管理员拥有全部功能
l 审计员只有日志审计功能
l 解密员只有文件解密功能
4. 日志审计
提供客户机日志检查工具,能检查该客户机的文件创建、改名、删除、覆盖等文件操作日志记录,以及文件解密日志、文件编辑日志,还有进程启动和结束的日志。
日志审计工具包括2个:
(1) 解密检查Key。解密日志审计集成在解密工具Key里。解密工具软件Key使用者(解密员)的文件解密日志审计;解密日志加密保存在本地,Key里只保存*近日志;
(2) 保密检查key(客户机日志审计),单独key;
5. 安装Key参数
用户管理员可以自定义安装Key参数,包括组织机构信息和密文流转范围定义,并将参数记录在Key里,当安装客户端软件时,自动读取Key里参数,作为文件加密参数和密文流转依据。
具体详情请参考sesoffice网站: http://sesoffice.cn 以及可以在线体验
也可关注微信公众号随时可以在线体验软件的各项功能,微信公众号:sesoffice