在企业secWall安全环境中，任何文件只要引用了机密文件的内容，都将自动加密。保证机密数据/文件的引用和重组安全性。

secWall是万华数据科技有限公司出品的一款文件加密系统。

应用到secWall的情况：

我们公司刚刚设计出来的新产品，怎么对手公司也推出了同样的产品呢？

技术人员王工去了对手的公司，会不会带走我们的最新设计成果呢？

我们花了几百万买来的图纸，怎么对手公司的新产品设计和我们的如此相似？

我们的光驱、软驱、USB接口都封掉了，怎么还是阻止不了图纸外泄呢？

……

我们已经想了很多办法：出入公司要检查、禁止使用U盘等移动存储设备、禁止向外发送邮件、断开公司内外网络、安装防火墙等安全系统……

但是，泄密事件还是发生了。

现在，secWall 企业版（数据围墙）从源头上解决问题！

secWall企业版（数据围墙）致力于解决企业的内部数据防泄密问题。该系统一改传统安全系统“防、堵”的模式，采用创新的文件全生命周期保护安全策略，实现电子化文档数据的实时保护。secWall数据围墙安全策略的出发点不是通过防止文件被带出，而是所有企业机密数据都以加密形态存放和使用，与外部处于虚拟隔离状态。加密的企业数据只有在企业内部才能被正常识别，企业环境是实时加解密引擎解码数据的必要条件。同样的数据通过复制、网络传送，甚至拆走存放数据的硬盘，一旦离开企业环境，这些数据就是毫无意义的乱码一堆。如同为企业的计算机环境加了一道无形的围墙，技术图纸、商务机密、客户资料、财务数据等在墙内没有任何变化，同样是这些数据一旦被带出企业，因为失去了secWall构筑的企业安全环境的支持，这些数据因为无法解码而变得毫无价值。

secWall 数据围墙的目标：构建一个安全的企业办公环境

⑴ 保存企业机密的电子文件在全生命周期（包括在新建、浏览、编辑、更改等操作文件的时候）始终都是加密的。

⑵ 受保护的电子文件只在secWall数据围墙内部的计算机上可用，在其他计算机上不可用。

⑶ secWall安全环境下，以实时加解密引擎为核心。所有应用程序（如Word、各种CAD软件等）不需要解密就直接读写、编辑、更改文件；如果把文件复制到secWall安全环境外，没有secWall安全环境的支持，应用程序就无法处理文件。

⑷ 在企业secWall安全环境中，任何文件只要引用了机密文件的内容，都将自动加密。保证机密数据/文件的引用和重组安全性。

⑸ 在secWall安全环境中，普通用户能正常使用机密文件，但不能通过拷贝粘贴片断机密数据内容经由QQ、MSN等聊天工具将机密内容传递给互联网上的其他人。

安全不能影响工作效率：secWall，安全与易用兼备

secWall系统安全和易用兼备，彻底改变了传统信息安全产品安全性和易用性总是背道而驰的尴尬局面。secWall不需要使用者具有信息安全理念和技术背景，用户甚至不需要知道自己使用的数据是不是加密数据，因为secWall安全系统保密的数据或文档不改变原来存放的位置，也不改变用户原来的操作方式和使用习惯，授权用户可以直接使用。所有与数据安全相关的工作都由secWall系统在后台自动完成和保障。

secWall系统体系结构采用软件和硬件结合的方式，硬件称为secWall IC（本手册中或简称为“IC”），采用标准USB接口，类似常见的U盘外形。secWall IC集智能卡、读卡器和微型安全操作系统功能于一体。可以这样理解secWall单用户版的体系结构：

Ø 没有安全系统的计算机处于全开放状态，任何人都可以从计算机上拿走他想要的数据。

Ø secWall软件平台为计算机系统加了锁，机密数据对其他人是不可见的，即使锁被别人砸坏了。

Ø secWall IC是加了锁的计算机的钥匙。授权使用者只需要插上钥匙使用计算机，操作和感觉与没有安装secWall系统前没有任何不同。

secWall企业版（数据围墙）主要技术特征：

Ø 实时主动强制加密技术

secWall企业版采用智能数据流向追踪技术主动强制加密涉密数据，企业环境中任何设定为涉密数据的文件内容在被复制、引用、转移时都将保持加密状态。加密的数据只能在企业环境中才能被正确解读。

Ø 即插即用的保密文档

secWall IC使用USB接口，secWall系统把USB接口的即插即用特性扩展到保密文档上。用户只需要插上IC，保密的文档无须解密就可以正常使用；拔掉IC，保密的文档就地消失。这一特性源于secWall系统采用了业界领先的实时加解密技术。实时加解密技术加密时不需要搬动文件的位置，使用时也不需要事先解密。由于这种先进技术的引入，secWall系统具有很多一般加密系统无法做到的新特征。

ü 可以加密其他应用程序的程序或数据文件

如可以加密文档资料、即时聊天记录、上网历史记录、通讯录、证券交易软件、网上银行客户端软件等，这种加密其他应用软件程序和数据的特性使secWall系统成为真正的安全平台，用户可以与自己的实际应用环境组合出千变万化的安全解决方案。

ü 可以以文件、文件夹或逻辑盘符（驱动器）为单位进行加密

secWall加密对象的最小单位是单个文件，最大可以是驱动器。在secWall环境下，未授权的用户不能进入加密的驱动器和文件夹，也不能存取加密文件。在secWall安全环境失效（如：自主卸载secWall系统、拆卸数据硬盘进行暴力性攻击）时，加密文件以密文形式存在，攻击者无法获得加密文件的内容。

ü 自动加密操作员新建和保存的文件

secWall加密的文件夹或驱动器具有保密继承属性，任何在加密文件夹或驱动器下生成的文件或文件夹都会保持加密状态。管理员只需要进行一次加密，以后操作员新生成的文件都会自动加密。这一特性使保密可靠性与实际操作员无关，不会因为操作员的操作失误或操作员的保密能力意识欠缺等原因导致机密数据的流失。

ü 加密文件使用过程中不会在磁盘上留下机密资料明文文件

由于secWall加密的文件不需要解密就可以直接使用，不象传统保密软件在使用加密数据前必须先解密成明文文件，因此不存在传统保密系统机密数据使用时的风险。

Ø 高强度分组加密技术

secWall采用了符合AES标准的高强度分组加密技术，采用128分组和256位密钥对数据进行全程编码加密。

Ø 随身携带的密钥

secWall 系统将加密使用的关键密钥放在可随身携带的secWall IC硬件上(集控服务器版密钥在企业服务器上动态分发)，与密文的存储位置在物理上分离，具有极高的安全性。secWall IC自身采用PIN技术识别主人身份，防止他人盗用和消除IC遗失后可能的安全隐患。

Ø 可选的IC自动登录和拔离自动锁定功能

用户在登录计算机时无需输入用户名与密码，只需插入IC，便可登录到计算机。拔掉IC，计算机立即锁定，插回IC，立刻恢复到原来的工作画面。

Ø 增强的硬件身份认证功能

登录系统和解锁计算机时可选择使用强制IC硬件身份认证功能以阻止其他用户通过输入用户名/密码进入计算机。

Ø 加密文件自动隐藏

用户对文件设置保密后，拔掉IC，加密文件自动隐藏；插入IC，加密文件则自动显现并可以正常使用。

典型应用范例

某研究所技术成果保护方案

这是secWall 企业版保护单个重要部门数据的典型应用，适合企业用于单一的保护知识产权目的。

在这个案例中，技术部原有的文件服务器同时兼做secWall服务器，为其所管辖的客户机（图1中黄褐色的工作站）提供存取企业机密资源所必须的解码条件。secWall硬件IC、secWall服务器和加入到secWall服务器中的所有企业计算机节点共同构成企业的安全环境，企业和机密资源只能在这个安全范围内使用。不管以什么手段把企业的机密资源带离这个安全环境，这些机密资源都因为得不到secWall服务器和secWall硬件IC的支持而无法解码。

图1中工作站11和工作站13虽然同处于内网，但因为没有加入到企业安全环境，因而不能存取企业的机密资源。企业可以通过secWall服务器灵活地控制安全环境的组成计算机。

Ø 自动隐藏

自动隐藏打开时，如果当前用户不具备操作加密文档的权限，用户将看不到这些加密文档。

例如：文档A采用证书1加密，文档B采用证书2加密。如果当前用户IC没有插在计算机上，文档A和文档B都不显示；如果用户的IC插在计算机上，IC上有证书1，则文档A会显示，如果IC是有证书2，则文档B会显示。

如果自动隐藏关闭，系统显示所有加密文件的名称。但用户不能存取没有加密证书的加密文件或文件夹。

Ø 加密图标可以给加密文档图标选择添加一个加密标志以区分加密文件。你可以选择这个标志的样式，也可以不使用加密标志。

提示：改变这个设置须重新登录才能生效。

Ø 高级：

反黑功能是从源头切断黑客盗取数据的网络资源，任何计算机程序（包括黑客工具、后门程序、木马程序）在涉密后立刻与外网虚拟隔离（类似于物理隔断），从而将机密数据的存在范围严格限制在用户的计算机内。

启用加密文件反黑功能：勾选此项，则插上IC，与外网断开，无法访问外部网络，QQ、MSN等即时聊天工具也无法进行通讯；拔掉IC，则网络恢复正常。

信任来自内网的连接：勾选此项，则在局域网内的通讯不会受到反黑功能的阻断，可正常进行内部交流。提示：若要取消反黑功能，去掉“启用加密文件反黑功能”复选框内的勾，点击“确定”按钮后，需要验证PIN码，此时必须要通过PIN身份验证才能成功关闭反黑功能。否则将视为无效，反黑功能不关闭。

secWall数据围墙系统中使用的密码，出厂默认值在包装盒的密码封中。用户在使用本套系统时应该设置相应的密码以保障系统的安全性。

Ø IC持有者身份验证（PIN）码

每次IC插上计算机时提示用户输入的密码，用于验证IC持有者的身份，防止其他人获得IC后冒充原IC持有者的身份获得授权。

遗忘处理办法：请IC管理员清除PIN码。

Ø IC管理器密码

IC管理员启动“secWall IC管理器”的密码，也是IC管理员发行历史记录密码。

遗忘处理办法：删除发行历史记录文件。

警告：由于发行历史记录文件被IC管理器密码加密，遗忘IC管理器密码会丢失全部发行历史记录。

Ø IC密码

IC密码是IC管理员操作IC的密码。这个密码一般和IC管理器密码同步，在IC管理器每次写入IC时更新IC密码。IC密码会在IC管理员发行历史记录中存储，因此，除非丢失了发行历史记录，IC管理员在通过IC管理器密码验证后一般不需要再次输入IC密码。

遗忘处理办法：必须回原厂才能清除。

Ø IC集控服务器密码

集控服务器密码实际是集控服务器专用IC的密码。

遗忘处理办法：必须回原厂才能清除。

Ø 日志审计密码

日志审计密码是“secWall日志审计”的密码，也是日志文件的密码。

遗忘处理办法：删除日志文件。

警告：删除日志文件也就删除了全部日志数据。