望帆科技

　　FileSafeGuard的开发目标：保护企业内部的相关计算机产生的电子文档，在底层使用动态透明加解密技术进行强制保护，使得电子文档在企业内部可以正常流转使用(无需人工加解密)，保证了电子文档即使泄露出去也打不开，包括文档的作者未经授权将文件带出去也无法打开，从而保护企业的各类商业秘密、技术机密等。
　　如上图所示，在企业内部只要能够得到授权服务器的许可，那么相关台式、笔记本计算机指定的程序产生的文件都是加密的，并且在企业内部可以自由的打开、编辑，就和没有加密存在一样，直接打开、保存，用户的一切操作和原有的操作没有任何区别，出差的笔记本电脑只需配置USB的加密锁即可脱网运行。
　　用户的一些细节操作可以根据服务端的配置策略进行控制，例如：是否禁止打印、是否禁止保密程序的内容通过剪贴板粘贴到其他非保密程序中、是否控制拖拽等等。系统带的辅助功能也可以帮助企业控制一些外设，软盘、光盘、USB存储设备可以设置为正常、只读、禁用3种状态，注意是辅助功能，即使不使用此功能也不会导致文件的明文泄露。
　　即使计算机丢失或者硬盘被盗，或者文件未经授权被拷贝出企业环境，相关加密文件在外部都无法打开。如果需要将加密文件转换为明文文件发至外部合作单位，可以使用解密机或者流程解密来解密相关文件便于开展工作。对于频繁交流文件的合作单位，也可以直接发放一个USB的加密锁进行控制而不用经常解密。
　　FileSafeGuard 是C/S + B/S架构由服务端和加密客户端组成，加密客户端分为内网客户端、移动客户端、离线客户端。对于服务端和移动客户端需要使用加密锁(USB接口无驱型)，加密锁插入后操作系统会自动识别。
　　服务端的作用在于给客户端提供各种应答消息，包括客户端的安装、卸载、登录、获取授权，解密机的登录、日志上传等，服务端开机登录后会自动开启，服务端上也可以安装客户端。
　　加密客户端是要进行各种文件加密密及相关控制的计算机，内网客户端和移动客户端的区别仅在于使用服务端许可还是使用加密锁许可。
　　FileSafeGuard 的加密客户端程序分为3大部分，第一部分是完成动态透明加解密的文件过滤驱动程序，第二部分是控制加密文件打开后的保护，为应用层的全局注入程序，第三部分是辅助功能，同时使用了驱动和应用层程序。
　　第一部分：驱动层透明加解密按照微软的MiniFilter标准架构开发，工作方式为保密程序写文件就加密，保密程序发起读取动作时驱动自动解密缓存，保密程序发起写入动作时自动加密写入磁盘的数据，使得保密程序可以正常编辑文件而又保证了保存在磁盘上的文件为密文信息。非保密程序只能获得文件的密文信息。
　　第二部分：应用层全局注入的工作方式为拦截相关程序的各种操作，包括复制粘贴、拖拽、发邮件正文、打印、OLE等。
　　第三部分：辅助功能，驱动层控制各种外设，包括软盘、光盘、USB存储的只读或禁用控制，其它如网络通讯、自动更新、解密机、日志等大多为应用层程序实现。
FileSafeGuard 的辅助功能目前有3个，
第一个是密级权限控制，可以把所有的客户端分成若干个密级，例如普通、秘密、机密、绝密等，高密级的可以打开低密级的文件，低密级的打不开高密级的文件，文件的编辑者可以自行调整每个文件的密级
第二个是流程解密，由于很多单位习惯于经过领导逐级审批后才能拿到解密过的文件，为简化工作提高无纸化办公效率而开发。申请者只需将文件提交申请后由其他领导批准即可获得解密过的文件，使得解密控制更加安全、更加方便。
　　第三个是文件安全管理、安全共享，客户端的操作人员可以自行将文件上传(备份)到服务端中，需要时再下载下来，具备简单的文档管理功能，且可以将文件进行共享，可以指定哪些人只能浏览、哪些人可以下载、哪些人可以编辑替换、哪些人可以删除，这样更方便的进行企业内部的文件授权共享、控制。