一般指通过采用计算机系统、网络通讯、数据加密技术等手段而开发的用来防止国家机关或企业内部机密数据或商业秘密通过非法途径如木马入侵、黑客入侵、非法下载、U盘复制、邮件外发、QQ。MSN网络传送、非法打印、截屏等泄露或扩散的计算机安全管理软件。

在当今信息社会中，商业间谍、黑客、不良员工对企业的信息安全形成了巨大的威胁。而网络的普及和USB接口的大量使用给企业获取和交换信息带来巨大方便的同时，也给这些威胁大开方便之门。如何来管理这些情况呢？大多数企业是采用拆除光驱软驱，封掉USB接口。限制上网等方法来尽可能的减少信息交换，以达到信息防泄密的目的。或者安装一些监控软件。监控员工的日常工作，使其不敢轻举妄动。但这些方法都严重影响工作的方便性，并容易引起员工的抵触情绪，甚至可能会带来法律方面的问题。并且现在大量事实证明这种方法效果不是很好，重要的文件往往依旧会泄漏。

2003 年，美国的执法机构FBI 和CSI对数百家企业进行了调查。该调查结果认为绝大多数泄密事件是由内部人员所为，或者由内外勾结造成的。IDC 的报告也得出了类似的结论：70%的安全损失是由内部造成的。这些都印证了中国的一句古话 “家贼难防”。由于内部人员熟悉文件的存放，还可以接触到密级高、范围广的文件，所以一旦发生内部人员故意泄密事件，其危害程度是大大超过外部人员的盗取（例如黑客攻击行为）。可见，从数据防泄密角度来讲要内外兼防、甚至要防内终于防外。

合力天下防泄密系统(HL-dataAS)用于保护企业的知识产权、客户资料、财务数据、技术图纸、应用系统等一切机密信息化数据不外泄。简单地说，”合力天下”防泄密系统让企业机密数据和应用系统的重要资料“拷不走”、“屏幕截取不走”、“另存不走”、“打印不走” 、“内容复制不走”、“MSN、QQ、邮件发送不走”。

一、支持各种文件格式加密（CAD、OFFICE、PDF、图纸、计算机程序、游戏、数码照片、视频…..），用户也可以根据自己的需要定制；支持出差人员管理；支持文档外发管理；杜绝涉密文档非法扩散。

二、 支持局域网部署和互联网部署模式，支持总部和异地分支机构分别部署；支持单机部署模式；确保公司内部资料的相互流通。

三、支持各种应用系统：支持基于Windows的B/S、C/S的各种业务应用软件加密，如PDM、PLM、ERP、OA、CRM、CAM、HR、采编软件、流程管理软件、电子商务软件、财务软件、文档管理软件、网站系统。

四、 支持任意格式文档类型：Office、Open office、Wps、PDF、outlook、FOXMAIL、ARM、ANSYS、Easypro、OA系统、ERP、MSVISIO、 AutoCAD、Autodesk Inveator、Autovue、ACDSee、Pro/E、Inventor、CAXA、CAJviewer、Protel、PReS、Keil、Quartus、AVR Studio、 ARM Studio、Siemens Wicc、Xtcapp55、TurboCAD、开目CAD、TwinCAD、CATIA、Solid Edge、UG、PowerDraft、Photoline、清华天河CAD 、中望CAD、英泰CAD、浩辰CAD、凯思CAD、JEwelCAD、Code Wright、ULTRAEdit、Solidworks、SVN、ZDDS、IAR、PowerDesigner、FPWIN GR、FX-PCS-DU-WIN-C、FXGPWIN、PhptoShop、DreamWeaver、MTcardEdit、CorelDraw、Fireworks、Flash、ACDSee、ZineMarker、 HITACHI Embedded workshop、HIGH-Performance Embedded workshop、Embedded workshop、CAM350、Matlab、 Labview、Illustrator、 MAYA、3D MAX、realplay、media player、Cakewalk、Flash、LRC Editor、Lightscape、Beyond Compare、Java、Delphi、VS. C、 VB、VC、C++、Java虚拟机、Source Insight、WINRAR、EDITplus、IBM ClearCase、PowerBuilder、PowerPCB、Powerlogic、Power mill 、数控传输软件、视频文件、编程ICC、打标机（票据打印）、CAMtastic、DELcam-Exchange、cimatron、Macrumedia、Microchip、 MasterCAM、MyEclipse、Eclipse、Tomcat、MultiGen Creator、FoxPro、Access、MSSQL、Oracle、WinMerge、XOREAX、InCrediBuid、 ZBrush3、JDPaint、BodyPaint 3D、安卓手机源码等各种文档格式，即可自定义加密任意文件格式。

五、支持操作系统：支持Windows 2000、XP、2003、2008、Vista、win7、win8(32 64)、linux等。

六、 支持中文、英文、日文、德文、韩文、法文、西班牙文等各种语言网络环境，支持中文、英文、日文、德文、韩文、法文、西班牙文等世界各种语言文档加密。

防泄密系统采用的加密技术分类：

（1）基于应用程序插件的主动加密

这类技术是最累的加密技术，其原理是为每一个应用程序写一个插件程序（也称“外壳”），应用程序在加载时会自动加载插件程序，插件程序加载后会监视所有的数据输出，必要时加密数据，如果一个操作不能主动加密，就强制取消对应的操作。

这种技术采用的是一对一的直观思维，因此其支持的目标是以应用程序为单位的，而且一般和应用程序的版本还有关系，因为同一个应用程序未必能够支持不同版本的插件。也不是所有的应用程序都支持插件技术。事实上，能够支持插件的应用程序仅限于Office、CAD等大型通用化应用软件，专用软件和一般的小型软件都不支持外挂插件。因此，这种技术应用环境受到诸多限制，而且由于从原理上不能保证受支持应用软件之外的软件的适用性，因此这种技术基本面临淘汰。不过，现在国内一些加密软件厂商还在使用，特点是用户的文档格式可以自定义，不需要厂家参与。

（2）基于API拦截的主动加密

这种技术比起上面的技术来在通用性上有所进步，大部分“标准”的应用程序能够得到支持，实现上也相当简单，不需要考虑不同的应用程序。其缺点是API拦截是基于应用层的，不是所有的应用程序都使用标准的API操作数据，一旦应用程序的数据操作使用的驱动方式，或者直接使用VMM的内存映射文件，这种方式就会出现不能正常解密或泄密漏洞。因此，这种技术也只能适用于已经测试通过的环境。另外，API拦截不是标准的系统开发技术，使用API拦截后系统性能下降明显，与反病毒软件和一些工具软件往往也存在兼容性问题，这些都是API拦截技术的诟病。常见的涉密U盘类防泄密系统部分厂家还在采用本技术。特点是人手一盘，通过经过授权的U盘进行身份认证来访问加密文档。

（3）基于文件系统驱动技术的主动加密

这种技术是理论上最完美的技术。驱动技术是标准的系统开发技术，因此不存在兼容性问题（本身有程序BUG的下三滥驱动除外）。所有应用程序（包括操作系统本身）都必须通过文件系统驱动获取磁盘数据，因此在驱动中对数据进行控制几乎无一漏网。另外，由于驱动运行于操作系统核心层，其效率、性能和抗攻击性不是应用层的API拦截所能达到的。

（4）最新技术是“AES智能透明加密技术”。

什么是AES智能透明加密技术？

所谓透明，是指对使用者来说是未知的。当使用者在打开或编辑指定文件时，系统将自动对未加密的文件进行加密，对已加密的文件自动解密。文件在硬盘上是密文，在内存中是明文。一旦离开使用环境，由于应用程序无法得到自动解密的服务而无法打开，从而起来保护文件内容的效果。

所谓智能，是指防泄密系统并不依赖可执行程序的名称来确定是否是受控程序，而是有一套专用智能识别算法。智能识别技术，无论怎么改变程序的名称，甚至用UPX等软件压缩可执行程序来改变MD5值，依旧不会逃过防泄密软件的监测。只要文件的内容是需要受控的话，无论将其保存成为什么扩展名，都将被自动加密。

AES算法加密速度可达到几百兆每秒，高于硬盘读写速度。从理论上说，读文件的解密操作与写文件的加密操作是一个流水线的过程，整个过程只增加0.8~8%的开销，用户主观上感觉不到延迟。

对于网络异常断线，机器异常断电等突发异常，防泄密系统可确保文档不被破坏。网络断线时，采用客户端内存数据验证，断线时间可以设定，能够适应任何复杂的网络环境。

防泄密软件常用的加密算法有三种，IDEA 算法、RSA算法、AES算法，加密强度来讲，AES最好。

IDEA算法属于对称加密算法， 对称加密算法中，数据加密和解密采用的都是同一个密钥，因而其安全性依赖于所持有密钥的安全性。

对称加密算法的主要优点是加密和解密速度快，加密强度高，且算法公开.

缺点是实现密钥的秘密分发困难，在大量用户的情况下密钥管理复杂，而且无法完成身份认证等功能，不便于应用在网络开放的环境中。

对称加密算法的特点是算法公开、计算量小、加密速度快、加密效率高。

对称加密算法过程是将数据发

IDEA是International Data Encryption Algorithm的缩写,是1990年由瑞士联邦技术学院来学嘉(X.J.Lai)和Massey提出的建议标准算法,称作PES(Proposed Encryption Standard).Lai和Massey在1992年进行了改进,强化了抗差分分析的能力,改称为IDEA.它也是对64bit大小的数据块加密的分组加密算法.密钥长度为128位.它基于“相异代数群上的混合运算”设计思想,算法用硬件和软件实现都很容易,它比DES在实现上快得多 。

RSA算法是非对称加密算法，非对称加密算法的保密性比较好，它消除了最终用户交换密钥的需要，但加密和解密花费时间长、速度慢，它不适合于对文件加密而只适用于对少量数据进行加密。

对称加密算法、非对称加密算法和不可逆加密算法可以分别应用于数据加密、身份认证和数据安全传输。　RSA算法是建立在大数分解和素数检测的理论基础上。

RAS密钥的产生过程：

独立地选取两个互异的大素数p和q（保密）。

计算n=p×q（公开），则ф(n)=（p－1）*（q－1）(保密)

随机选取整数e，使得1＜e＜ф(n)并且gcd(ф(n),e)=1（公开）

计算d，d=e-1mod(ф(n))保密。

RAS私有密钥由{d，n}，公开密钥由{e，n}组成

RAS的加密/解密过程：

首先把要求加密的明文信息M数字化，分块；

然后，加密过程：C=Me(mod n)

解密过程：M=Cd(mod n)

非对称密钥加密体制的优点与缺点：

解决了密钥管理问题，通过特有的密钥发放体制，使得当用户数大幅度增加时，密钥也不会向外扩散；由于密钥已事先分配，不需要在通信过程中传输密钥，安全性大大提高；具有很高的加密强度。

与对称加密体制相比，非对称加密体制的加密、解密的速度较慢。

AES加密算法属于不可逆加密算法，不可逆加密算法的特征是加密过程中不需要使用密钥，输入明文后由系统直接经过加密算法处理成密文，这种加密后的数据是无法被解密的，只有重新输入明文，并再次经过同样不可逆的加密算法处理，得到相同的加密密文并被系统重新识别后，才能真正解密。

1997年4月15日,美国国家标准和技术研究所NIST发起了征集AES算法的活动,并成立了专门的AES工作组,目的是为了确定一个非保密的,公开披露的,全球免费使用的分组密码算,法用于保护下一世纪政府的敏感信息,并希望成为秘密和公开部门的数据加密标准.1997年9月12日,在联邦登记处公布了征集AES候选算法的通告.AES的基本要求是比三重DES快而且至少和三重DES一样安全,分组长度128比特,密钥长度为128/192/256比特.1998年8月20日,NIST召开了第一次候选大会,并公布了15个候选算法.1999年3月22日举行了第二次AES候选会议,从中选出5个.AES将成为新的公开的联邦信息处理标准(FIPS--Federal Information Processing Standard),用于美国政府组织保护敏感信息的一种特殊的加密算法.美国国家标准技术研究所(NIST)预测AES会被广泛地应用于组织,学院及个人.入选AES的五种算法是MARS,RC6,Serpent,Twofish,Rijndael.2000年10月2日,美国商务部部长Norman Y. Mineta宣布,经过三年来世界著名密码专家之间的竞争,Rijndael数据加密算法最终获胜.　为此而在全球范围内角逐了数年的激烈竞争宣告结束.这一新加密标准的问世将取代DES数据加密标准,成为21世纪保护国家敏感信息的高级算法.