一、安全性

1.   隐形加密

      所谓隐形加密（也称透明加密、无感加密），具有强制加密、自动加密、实时加密、动态加密和无损加密的特点，对文件加密和解密是自动进行的，无需用户干预，用户实际上是无知觉的，在文件编辑和使用过程中，不需要明文过渡，不产生明文。一旦离开使用环境，加密的文件无法打开或打开是乱码。隐形加密从根源上解决文档安全问题。

2.   UUID设计说明

每个用户单位拥有全球唯一性UUID识别码，并作为文件加密因子，不同用户单位之间的密文不能互解；解密工具以UUID为识别依据，只能解密自己单位的密文，不能解密其他单位的密文；每个用户单位内部，密文可以在指定范围内互通，无障碍流转。

3.   安装无痕

用户看不到找不到安装路径，安装目录不可见，即使用专业工具找到了安装目录，也不可访问。

4.   防反安装

不留安装信息，无法通过控制面板去卸载，卸载专用工具也找不到安装信息；对安装目录做了访问控制，防篡改删除。

5.   进程保护

防止加密进程被强制结束 。若进程被非正常退出，如用工具杀死进程，即自动关机重启保护，不留操作时间，保护数据不被窃取。

6.   强制启动

目前常用的开机自动启动的设置，可用杀毒拦截、Msconfig工具或用360简单操作可禁止自动启动，均可简单破解。——采用了一种新的强制启动方法，用服务进程实现开机自动启动，基本解除不了，且不会被杀毒拦截。服务进程启动后即自行退出，不驻留在系统里。

7.   客户端软件安全性

（1）    客户端只加密，不解密，软件里无解密函数，无法利用客户端软件来破解解密，理论上增加了破解难度。

（2）    客户端软件安装需要Key激活，这样，限制了软件的随意传播，规范了软件的使用范围，降低了破解几率

（3）    客户端软件开机强制启动，安装无痕，运行无痕，加密无痕，不能退出，不能卸载，杀进程即自动关机保护。

（4）    理论上，对密文进行暴力破解的难度相对大，对软件进行逆向工程来破解的难度相对小，尤其是破解DLL中的函数，实现加密解密函数的调用，是破解者常用的手段。对于此种情况，我们增强了对dll函数导出的保护，同时还额外增加了对函数调用的保护，即使破解了Dll里加密解密函数，函数调用仍旧会失败

8.   绑定硬件KEY

需要插Key才能解密文件，需要插Key才能安装，KEY限制了无限传播的可能性，传播范围小，减小了破解几率。采用国密认证的key。

9.   加密算法

一文一密。加密算法包括自定义算法、MD5、Browfish、AES。

10. 驱动保护

试图取消\FileSystem\FltMgr的设备过滤行为，不可解除加密机制。

11. 远程限制

试图通过远程桌面方式已被禁止；远程控制进程被列为非法进程，试图访问密文被自动拒绝。

12. 日志防护

客户机日志要达到的保护目标：看不见、找不到、拷不走、打不开。

二、功能特点

1.   流转范围

     加密的文件，原则上不同电脑之间不能互解，但可以定义一定范围内的电脑可以互解。更进一步地，流转范围可以定义为：本设备、只本人、班团内、部门内、单位内、集团内。流转范围在软件安装激活时确定。

2.   即装即用

     安装极简化。由安装包自动完成驱动安装、服务安装及软件安装，，即使在低权限的user用户账户下安装，只跟系统一次人机交互，就可以顺利完成安装。

3.   解密工具Key

     解密工具要能识别UUID，只能解密自己公司的密文，不能解密其他公司的密文；解密工具绑定Key，只有插Key才能使用，包括4个模块:

（1）    用户管理模块（超级管理员权限）

（2）    日志审计模块（审计员权限）

（3）    单个文件解密（解密员权限）

（4）    批量文件解密（解密员权限）

l  超级管理员拥有全部功能

l  审计员只有日志审计功能

l  解密员只有文件解密功能

4.   日志审计

      提供客户机日志检查工具，能检查该客户机的文件创建、改名、删除、覆盖等文件操作日志记录，以及文件解密日志、文件编辑日志，还有进程启动和结束的日志。

日志审计工具包括2个：

（1）    解密检查Key。解密日志审计集成在解密工具Key里。解密工具软件Key使用者（解密员）的文件解密日志审计；解密日志加密保存在本地，Key里只保存最近日志；

（2）    保密检查key（客户机日志审计），单独key；

5.   安装Key参数

     用户管理员可以自定义安装Key参数，包括组织机构信息和密文流转范围定义，并将参数记录在Key里，当安装客户端软件时，自动读取Key里参数，作为文件加密参数和密文流转依据。