更新历史

• 2013-11-06，v1.0，创建文档
• 2013-11-08，v1.1，添加智能加密、多密钥、策略组等内容

说明

铁卷电子文档安全系统FAQ主要面对文件加密（透明加解密、驱动加解密、内核加解密）用户群。涉及的产品包括铁卷、铁卷加解密网关、密信及配套的小工具。

---

铁卷技术原理

铁卷的运行原理是什么？

简单来说，铁卷采用的原理是内核文件实时透明加解密。

稍详细一些，可以这么理解：

1、铁卷在操作系统底层对文件进行加解密操作，不影响人员的原有使用习惯； 2、安装铁卷的用户在使用文件时，运行于驱动层的用户终端自动将文件实时加解密； 3、文件的接收者必须经过管理中心端的认证，才能够根据许可权限对文件进行操作； 4、所有的文档在用户创建、修改、保存时自动加密，完全无需用户手动操作。

---

铁卷采用的加密方式安全吗？

铁卷默认采用的是业界最先进的AES 256加密算法，该算法获得过多项国际认证，并且运算速度快、资源消耗低，已经成为包括金融、电信、政府等各行各业公认具备高安全强度的加密算法。

同时铁卷还内置了多种算法，如RC4、RC6等供用户自行选择。

另外，铁卷的允许用户采用自定义算法对数据进行加密，也就是说，部份对安全有特殊要求的行业，可以使用中国自主研发的算法，甚至采用自己的算法来保护文档。

因此：

1、铁卷的加密方式是安全的； 2、如果担心算法有问题，企业/单位可以使用自己信任的算法，铁卷产品提供了相关的接口。

---

试用铁卷过程中的问题

铁卷“体验版”与“正式版”有什么区别？

铁卷“体验版”与“正式版”在功能和加密算法方面都完全一样。主要区别是：

1. 体验版使用默认的固定密钥加密，可以用我们公开的通用解密工具批量解密。正式版使用USBKEY产生的唯一密钥，被加密的文档无法使用通用工具解密。
2. 体验版不需要USBKEY即可使用，正式版必须插USBKEY；
3. 体验版通常限制了5用户，1个月的使用时间，正式版根据采购合同确定用户数。

---

问题：试用过铁卷后卸载，可是文件都打不开了，该怎么办？

由于铁卷的保护机制极其完善，在安装完软件后，所有操作过的文档均会被透明加密，这可以确保文档不会因为意外情况导致泄露。所以我们建议您在测试前应该考虑：

1、不要在生产机（或任何重要机器）上直接对软件进行测试； 2、测试前将可能测试过程中可能使用到的文档先进行备份； 3、可以考虑使用虚拟机（Vmware、Virtual box等）进行测试。

无论如何，如果您测试铁卷过程中遇到任何问题，都可以：

1、直接联系给您提供试用软件的经销商； 2、拨打大成天下的400电话：400-1122-918。

---

未安装铁卷用户终端的计算机是否无法正常打开铁卷文档？

是的，在使用未安装铁卷的计算机上打开已经加密文档的时候，会出现乱码的情况，无法正常查阅文件内容。

但需要提醒的是：在安装铁卷用户端的计算机打开加密文件如word文档时，可能将文档中的某些乱码符号当作换行符处理。此时请不要将此文档保存，否则可能导致文档永久损坏。

---

铁卷最新版的服务器支不支持server 2008

支持的，目前铁卷已经发布的正式版本，服务端建议部署在windows 2003或windows 2008 server，32位与64位的服务器均能支持。

---

铁卷的服务器可以装在虚拟机上吗？加密狗在虚拟机里能认吗？

1、虚拟机在Windows实体机上，将加密狗插在实体机上，虚拟机可以认出加密狗； 2、可以使用anywhere usb硬件设备，远程映射加密狗到虚拟机，这种方式适合加密狗集中管理的架构中。

---

多人共用一台电脑的情况下，铁卷的加密和审计是否能区分不同人？

可以按照不同用户审计，前提是需要建立多个windows账户，每个使用电脑的是用自己的windows账户登录系统 这时候就会记录为不同用户的日志。每个用户还可以设置不同策略。

---

铁卷mysql的mysql-bin.xxxx文件是否可以删除？

MySQL数据库中，mysql-bin.000001、mysql-bin.000002等文件是数据库的操作日志，例如UPDATE一个表，或者DELETE一些数据，即使该语句没有匹配的数据，这个命令也会存储到日志文件中，还包括每个语句执行的时间，也都会记录。

因此数据库运行时间稍长，binlog就会占据非常大的空间。

对未配置负载均衡的铁卷服务器，处理方式很简单：

1、删除日志

mysql -u root -p Enter password: (输入密码) Welcome to the MySQL monitor. Commands end with ; or \g. Your MySQL connection id is 264001 Server version: 5.1.35-log Source distribution

Type ‘help;’ or ‘\h’ for help. Type ‘\c’ to clear the current input statement.

mysql> reset master; (清除日志文件) Query OK, 0 rows affected (8.51 sec)

mysql>

2、如果希望不启用bin-log，可以在配置文件中禁用

注释掉my.cnf中的log-bin=mysql-bin即可。

3、可以设置bin-log自动清理

在my.cnf中设置expire_logs_days = 10，表示自动清理10天前的日志。

修改配置文件后，需要重启mysql服务。

---

客户端生成新的策略时是否需要重新启动？

客户端成功生成新的策略不会强制重启，多数策略部署是不需要重新启动系统的，但是加解密hook模块有关的新策略需要重启。

建议您在部署新策略后重新启动客户机。

---

客户端装了铁卷，怎样才能够测试加密效果？

因为铁卷的使用完全透明，因此安装后并不影响用户的日常使用，普通用户可能反而无法感知到“已经安装了文档加密软件”。

要判断出铁卷的应用效果，您可以按以下流程测试铁卷功能：

1. 创建一份新的word（或者excel、pdf、dwg等，只要是受保护范围内的都可以）文档；
2. 检验文件防拷贝功能：将该文档复制到另一台电脑的windows共享目录，文档将被加密；通过email将文件传出到未安装铁卷的电脑上，文档将无法打开；将文件复制到U盘或移动硬盘，到未安装铁卷的电脑上打开，文档将无法打开；
3. 检验文字防拷贝、防截屏功能：打开任意word文档后，选中一段文字，打开记事本，复制文字后尝试粘贴到记事本中，文字将无法复制；采用PrtScreen键或任意截屏软件，尝试截取当前word文档的图片，将无法下载截取图片。

---

安装铁卷客户端后，是否需要学习如何使用？

铁卷的用户终端完全无须用户干预，因此核心驱动设计成为没有用户操作界面，仅有一个申请离线功能需要用户干预，因此您可以完全不用考虑使用问题。它的系统资源占用非常小，用户几乎不会发现它的存在。它对使用者来说是完全透明并且无法由用户自行终止的，会随 Windows 系统自动启动。用户端的加密文件类型、访问方式、离线策略由服务端控制。

---

公司试用铁卷体验版后采购了，要换正式版，之前加密的文档是否需要先解密，然后再重新加密

铁卷的正式版本可以兼容体验版（DEMO版）的通用密钥，所以从体验版转为正式版后，不对文档做重新加密的转换处理，也可以正常打开——而且在使用正式版一段时间后，只要打开过的文档，都会自动被新密钥重新加密。

当然，铁卷的体验版加密的文件，都是使用通用密钥加密的，如果对安全性要求很高，可以全部转换到正式版密钥加密。

我们也可以提供相应的批量处理工具。

---

试用过铁卷后卸载，有时打开文档时提示”模板已损坏”，该怎么办？

因为每次打开Office文档时，OFFICE软件均会对模板文件normal.dot进行操作，因此该文件会被铁卷加密。

如果我们设定不对该文档加密，又有可能导致一个normal.dot成为一个”泄密渠道”，即：恶意用户有可能将每个文档另存为normal.dot后再转寄出去，而系统不加干涉。考虑到上述可能存在的风险，我们采用了严格的策略，截断所有明文文件外泄的可能性。

当您遇到这类提示时，只需要点击”是”，Office便会采用系统内置的文档模板替换当前模板，下次再打开文件时，就不会出现该提示了。

---

铁卷功能问题

铁卷客户端高级设置中的简单记录和详细记录日志有何区别？

简单日志记录的内容主要包括：文件的复制、移动、重命名、删除，打印文件，切换到个人模式、工作模式，自行解密操作，终端启动；

详细日志记录的内容在简单日志的基础上还有打开文件和写文件。

---

铁卷能否防止用户拷贝粘贴？

从一份机密文件中拷贝部份关键数据，粘贴到QQ、MSN或是邮件中发出去。这是一种常见的“泄密场景”。

铁卷的防拷贝设计十分贴心，安装了铁卷的用户机器上：

1、用户无法从受信任进程（例如OFFICE）文件将文字或图片等内容往非受信进程（例如QQ、MSN）中拷贝； 2、用户无法采用各种应用软件特有的拖拽等机制将文字拷出；

但是反向操作，是允许的，即：用户可以从非受信进程（相对安全级别较低）将文字、图片、表格等内容复制到受信进程（相对安全级别较高）。

---

铁卷日常运维

怎样升级客户PC机上的铁卷用户终端？

在管理中心的终端列表中选择要升级的在线终端，右键菜单选择“升级终端程序”功能。在弹出的对话框中选中由管理中心创建的的新版本终端程序“terminal.exe”，点击确定即可。

升级成功会在管理员日志记录，客户PC机重新启动计算机升级完成。

---

怎样查看用户PC机上铁卷用户终端的版本？

铁卷管理员可以通过管理中心查看客户机上安装的铁卷用户终端版本号列表栏，终端用户可以查看关于菜单中的信息。

---

如果管理员要通过域推送安装铁卷，怎样操作？

1. 目前，域推送安装只支持msi安装文件，不支持exe安装文件的推送。可以利用Visual Studio 2005把铁卷客户端安装程序exe格式制作成msi格式。

2. 在服务器上新建一个网络共享文件夹，并把制作好的msi文件拷贝进去。设置访问权限，请确保需要进行软件安装的所有终端均能正常访问此文件夹。

3. 选择需要进行软件安装的AD域，把Computers容器下需要进行软件安装的终端计算机移动到新建的组织单元中。

4. 利用组策略安装MSI包，进入“组策略编辑器”对计算机进行指派软件。

5. 设置完成后，该组织单元下的所用终端计算机重新启动时，会自行安装指派的程序。

---

普通的U盘成为密钥后，是否还能作为其他的用途？

普通的U盘不可以作为U Key使用的，铁卷配套使用的U Key是特殊定制内涵专门芯片的，U Key没有存储功能。

---

铁卷的轮询方式对网络的拓扑穿越是否有问题，比如穿越NAT？

不存在问题，只要可以从外网telnet 2001、2001、2003这三个端口就可以。

---

文件外发申请审批，申请处理之前审批者修改其文档内容能否解密成功？

不能解密成功。

文件的外发解密申请在审批之前，如果对源文件进行了修改保存操作，审批会提示申请人文件已变化请重新申请。

---

如果将来要卸载“铁卷”，已加密的文档怎么办？

安装“铁卷”正式版后，应先通过主界面菜单中的“导出KEY”将密钥导出并保存。需要批量解密的文档时候，使用我们提供的解密工具将保存的 KEY 文件导入，就可以批量解密了。

KEY 文件被导出时可设置密码，所以别人在不知道密码的情况下，即使拿到了 KEY 文件和解密工具，加密文档也是安全的。

---

大规模部署“铁卷”前应该注意什么？

“正式版”的 License 由 Center 导出的注册文件（.inf）产生，安装完成后自带的 License 只允许 5 个终端连接。故安装“正式版”后应立即获取正式的 License 文件并导入。

“正式版”的 Center 端程序导出的 Key 文件内包含密钥信息，直接关系到加密文档是否能被解密，所以需要在安装 Center 后立即导出并妥善保存，以便在需要的时候可以批量解密文档。

由于每个 Center 安装时根据 USBKEY 信息产生密钥，所以若在多个部门部署多个 Center，且各个部门文档需要互通，就必须在安装第一个 Center 后导出 Key 文件，并在安装其他 Center 后分别导入，这样才能保证所有终端均采用相同的密钥加密文档。

---

铁卷客户端无法和服务端正常通讯时如何处理？

1. 检查服务器上2000端口是否打开，在服务器上运行“程序->附件->命令提示符”，使用命令telnet 127.0.0.1 2000测试端口是否开放；

2. 如果在服务端测试端口是正常的，那么可能是Windows自带的防火墙或者是安装了一些防火墙产品阻止客户机与服务端2000端口通信，通过设置防火墙打开2000端口。

---

操作系统重装，已加密的文件是否会无法打开？

不能打开已加密的文件，但只需重新安装一下铁卷客户端即可，无需做任何设置。

---

铁卷客户端安装完成后是否加密电脑上的全部文档？

是的，这可以确保所有用户机器上的文档都处于加密状态，没有泄密的可能。

应该说，铁卷客户端可以做到“按需加密”，管理员可以很轻易地实现在铁卷安装完成后，就对某些指定类型文档自动加密。如果管理员不想怎么做，也是可以的——随时可以通过策略的灵活下发与调整来改变这一切。

---

为什么我的离线功能突然失效了？

出现离线功能失效的情况时： 请您先确认是否对电脑时间做了回调操作。 当电脑处于离线状态时，不允许对机器时钟进行回调等操作，如果铁卷判断到有类似操作，便会立即禁用离线阅读功能。

这时只能重新接入网络，铁卷用户终端会与管理中心自动联系，这时您可以重新发送离线申请。

---

带着笔记本电脑出差，如何能正常访问文档？

铁卷支持离线申请功能，用户如果需要携带笔记本电脑出差或加班，只需要通过用户终端进行离线申请，在管理中心批准后，即可以批准时间段内离线正常访问文档。

实现离线可用功能还可以导入离线授权文件或插入U key。

---

系统管理员不能清楚了解各个部门的文档密级情况，如何能有效地进行审批操作？

这种公司内部业务复杂导致系统管理员操作不便的问题很常见，铁卷可以很好的解决。

1. 铁卷允许为每个部门设置一个或多个代理管理员，同部门成员发送申请后可由相应的代理管理员执行解密申请和离线申请的审批操作；
2. 当该部门代理管理员掉线的情况下，申请可上达到上一级部门的代理管理员处进行审批操作。

---

铁卷的服务器是否可以架设在公网上？

可以的。大成天下有部份客户：

1、单位中全是经常出差的用户； 2、有多个分支机构，但又没有VPN；

这时最方便的方式就是把铁卷服务器搭建于公网上。服务器架设在公网上，需要注意几个问题：

1、设置的UPS时间要尽量长一些，避免因为网络问题导致无法使用系统； 2、服务器的安全设置要做好，避免因为服务器被入侵引入的问题。

另外，也可以架设在公网上，允许用户通过VPN拨入后进行验证。

---

铁卷能够设置组织结构和部门分支吗？

在铁卷管理中心可以设置组织结构，可以划分部门和子部门。一个员工（铁卷终端）可以属于A部门也可以属于B部门，能够灵活分配。

---

设置了“申请解密前上传服务器”，哪里可以找到上传的文件？

1. TFG安装目录下有DecryptFiles：该路径为“申请时上传服务器”时，文件存放的地方；
2. 我的文档里/tfg/DecryptFiles：为管理员在查看解密申请时若选择查看文件时，文件存放的地方。

---

铁卷客户端自动消失，怎么操作？

由于终端的环境复杂，目前铁卷客户端在极少数用户机器上曾经出现过客户端自动退出的状况——表现出来就是右下角的铁卷托盘图标自动消失了。

这种情况下，只需要运行电脑中的C:\Program Files\TFG\Agent \Agent.exe文件，即可重新呼出铁卷客户端，对文件进行透明加解密。

铁卷需要支持工业制图软件、SAP、PDM等管理系统？

铁卷支持Windows NT、2000、XP、2003系统，支持AutoCAD 2002-2007所有版本、Pro-E等工业制图软件。 SAP、用友、PDM等管理系统要现场测试，目前很多客户有用到这些应用系统，铁卷全部都很好支持。

---

通过内存转储，是否能绕过铁卷的加密机制？

内存转储是系统崩溃时，将内存中的数据转储保存在转储文件中，通常用于提供给软件研发人员进行排错分析。

通常内存转储时，如果有加密文档正在被打开，就可能有明文数据被存入内存DUMP文件中。铁卷通过以下几种技术手段，能够有效防止内存转储导致的数据泄露，保证安全最大化：

1、禁止Windows系统中的多种内存转储指令； 2、内存分段安全化处理。

---

在铁卷系统中可以直接找到加密所使用的密钥吗？

高水平的技术人员是有可能从铁卷系统中逆向得到加密所使用的密钥的——这点目前所有的防泄密产品都无法避免。

当然，铁卷系统的私钥已经经过高强度加密，在现有的计算能力下，即使使用高性能服务器也无法破解。

用户将文档另存为其它格式，铁卷能保护吗？

凡是受保护的文件，另存为其它格式（例如：html、txt、xml、jpg等等）时，均会受铁卷控制，以加密形式储存，绝无泄密困扰。

铁卷能否防止各种截取屏幕的软件截屏泄密？

铁卷能够很好地防止截屏软件截屏泄密。

铁卷的防截屏具备不同的强度：

1、最简单的只防止Print Screen按键； 2、普通防截屏能够防止大多数国内常用截图软件； 3、增强型截屏防御，则是从设备驱动底层直接阻断屏幕截获的请求，全球上千种屏幕捕获录像软件，均无法捕获正在打开的被保护文件屏幕内容。

铁卷测试版破解的回答？

关于破解用的是测试版，所有测试版的加密算法都是统一的，以通用规则作为算法基础（即通用密钥），所以只要知道了这个密钥，是可以破解的，这个和其他软件是一样的。

但铁卷正式版本是根据每台服务器的硬件信息、加密狗信息、操作系统信息等多种因素生成的哈希码作为算法基础，生成唯一的密钥，在不知道这个算法基础（也就是密钥）的前提下是不可能破解的。

铁卷符合国际商用密码加密规范，支持AES，RC4,RC5以及自定义的加密算法，这是其他软件不具备的。而这些加密算法破解难度非常大，比如美国军方采用的就是这样的加密算法。

能否透明整合现有信息系统和今后的其他系统和软件，不能影响功能性能？

铁卷对应用系统的支持不能说完全支持，需要现场测试进一步确定。现能够很好兼容主流的如PDM管理系统，有可能需要对方技术人员合作开发。

终端发生离线解密申请实现有无信息提示？

终端用户发送的离线申请和解密申请如果被管理员批准会有提示信息，如果被管理员拒绝会有管理员拒绝原因的提示信息。

数据库突然连接不上，怎样操作？

这个问题问得有些“突兀”，铁卷根据版本不同，曾经采用过不同的数据库软件（包括了MySQL与Postgresql），因此可能需要根据您遇到的具体版本来分析。

以我们的实施与售后经验来分析，数据库如果之前一直很正常，突然连接不上，很可能是以下原因：

1、在线用户数量很多，并且进行了大量的操作，导致数据库繁忙甚至服务中断； 2、有人更改过配置文件，导致连接数据库的配置信息错误； 3、硬件故障导致数据库中的文件受损，无法正确读取数据库的内容。

如果铁卷设置了“UPS时间”，短暂中断不会影响业务，就可以尝试以下几种操作：

1、重启数据库相关服务； 2、重启服务器； 3、检查配置文件信息； 4、检查数据库日志信息； 5、打开DEBUG日志，分析日志内容； 6、直接拨打铁卷的售后服务热线寻求支持。

查看信息对话框提示解密失败错误代码32，怎样操作？

早期版本的铁卷在错误提示方面做的人性化程度不够，因此才会有“错误代码32”这样的提示信息。从2011年开始正式发布的铁卷，已经将所有这类“错误代码XX”的提示信息用“用户易于识别与理解”的语言来描述了。

铁卷软件产品一直在进步 :)

铁卷有哪些语言版本？

铁卷电子文档安全系统自2005年发布第一个版本至今，已经在多个国家和地区有发售，因此也具备多语言版本。

支持的语种包括：简体中文、繁体中文、英文、日文、韩文。

铁卷的USBKey如果遗失，是否会导致数据泄露？

铁卷USBKey遗失，不会导致数据泄露，原因如下：

1、通常USBKey在初始化设置的时候，我们就建议管理员设置一个恰当的有效期，例如1-2个月，到期需要管理员重新授权，否则就不能使用； 2、每一支USBKey都还设有个人使用密码，不知道密码也是无法使用的。因此即便有心人拾到了也不知道密码，无法使用； 3、每个USBKey使用者都可以自己修改自己的USBKey密码。

因此，USBKey总体安全性是很高，经常出差的用户与笔记本用户建议配备。

假如两家公司都使用同一套防泄密系统，他们产生的密文是否可以相互查看？

通常情况下，同一家防泄密厂商的产品部署在不同客户，势必要采用不同的加密密钥，因此不同企业间的密文，是无法相互查看的。

一般加密密钥可以随机产生，或是根据硬件信息、USBKey信息、时间等参数加上随机数后产生，不可能产生碰撞。

当然，许多厂商的试用版本是采用统一密钥的——如果采用了同一密钥，那么相互之间的密文就可以相互查看。

铁卷能否控制非授权的文件打印？

铁卷可以对打印操作进行控制，并可自定义控制程度。铁卷可以设置仅允许用户在管理中心注册的打印机上进行打印操作，并且能够控制虚拟打印机输出，有效防止用户将文档打印成OCR、FLASH等格式后传播扩散。

如果用户将电脑做了Ghost镜像后，铁卷还能否起到保护作用？

铁卷仍可有效保护，因为铁卷在安装时会根据硬件信息生成唯一验证串后由服务器存储。如果将电脑做了Ghost镜像后在另一台机器恢复，由于硬件信息变化，将无法接入铁卷服务器进而无法解密查看加密文档。

安全性与破解

如果用户修改Office程序名称，再创建新的Word文档还能加密吗？

新创建的word文档会被铁卷加密，因为铁卷并不仅仅根据应用程序名称和文件名称来进行可信进程判断的，而是综合多种特征进行判别，最大程度保证安全性。

铁卷能否防止用户以“插入对象”的形式带走文件？

可以防止。铁卷对包括Office系列在内的多种应用程序中“插入对象”的功能进行了深入研究，可以完全控制对“插入对象”方法的安全控制。

铁卷能否防止一些内核工具分别禁用内核钩子后导出明文文件？

铁卷可以禁用这些工具操作，铁卷通过对内核钩子运行结果的判断，能有效防止内核工具单独禁用铁卷的某些功能，安全的保护加密数据。

用引导盘启动，把硬盘里边的文档复制出来能用吗？

引导盘启动把文件复制出来也无法打开。因为文档在加密的时候采用防泄密系统进行了重新编码，没有得到解密的文档拿出去打开也是乱码。

USB Key相关

U key的目的何在？

U key的用处：

1. 当服务器出现故障或网络故障导致客户端电脑连不上服务器的时候提供离线认证的功能；
2. 可以授权员工出差办公使用，便于查阅文件；
3. U key不仅具有客户端认证功能，还包括一系列高级权限（自行加解密功能、绑定机器码、代理管理员、个人模式、部门匹配），可由管理员设置。

USB key万一被盗或丢失，是否会有泄密风险？

U key的安全性是非常高的，建议出差、和笔记本用户配备。U key在设置的时候就可以设置有效期，一般给1到2个月，到期了就不能用，需要管理员重新授权，所有丢失后也不用担心。 另外U key还有私人使用密码，别人捡到了也不知道密码，就算是自己公司的人拿到了想自己用，不知道密码也是无法使用的。每个U key使用者都可以自己修改自己的U key密码。

必须使用U key才能实现自行解密吗？

U key是否具有自行解密的权限是由管理员配置的，U key不仅有客户端认证的功能，还具有高级权限，包括自行解密、自行加密、个人模式、所属部门、代理管理员、绑定机器码。

普通员工需要解密文件只能进行申请，公司领导要解密文件可以由管理员配置权限，让领导能自己解密文件。

使用U key能只解密指定机器吗？

U key绑定机器码后就只能在指定的某台机器上使用，但绑定机器并不代表能解密文件，只是身份认证的功能。

使用了U key是否视同为在线？

是的，当电脑连不上服务器了客户端不能得到认证，这时候插入U KEY然后输入正确的使用密码就能使用。

效率

使用铁卷后打开文档时的速度是否有延迟？

打开文档时，铁卷将把解密后的数据递交给应用程序，解密的速度延迟跟铁卷所使用的加密算法和您使用的计算机硬件有关。经过我们测试，在使用AES 256算法，Pentium III 1G，256M内存的情况下，打开一个3M的DOC文档的延迟大约是0.3秒，几乎不会对您的体验产生任何影响。

使用场景

使用铁卷时，文档之间能互相粘贴吗？

都受铁卷保护的应用程序，软件文档之间是可以相互复制粘贴的。

员工回家工作或出差时要使用文件，这些情况如何处理？

解决办法:

1. 文件申请解密使用，但是存在安全隐患。
2. 在员工家里电脑上安装铁卷客户端，使用U key认证。但是这样可能会造成员工将自己 的私人文件也被加密。
3. 在员工电脑上安装铁卷客户端，使用离线申请或离线授权文件认证使用。

##　如果公司网络或服务器发生意外中断的情况，“铁卷”是否有应急措施？

应急措施方案如下：

1. 服务器方面，若需要保证不间断服务，建议同时在服务器 A、B 上安装“铁卷”。平时只启动 A 服务器上的 Center 程序，并定期备份配置信息。当 A 服务器发生故障时，将 USBKEY 换到 B 服务器上，立即启动 B 服务器的 Center 程序并导入配置信息，随后将 B 的 IP 地址更改为与 A 相同即可。
2. 网络方面，若某些终端由于意外原因无法连接到服务器，可通过终端任务栏图标的右键菜单切换至“USBKEY模式”。这时只要插入有效的“USBKEY”，终端程序便可正常工作，与连接到服务器无异。当故障排除后，可切换回常规模式，并收回“USBKEY”。

为什么刚已成功解密的文档，我通过 U 盘复制给别人依然无法打开？

出现这种情况是因为管理员创建 terminal.exe 时，同时设置了“强制加密以下类型的文档”和“复制时强制加密”功能，这样在向 U 盘中复制特定后缀名的文档时会再次加密。 对于需要向外传递解密文档的机器，创建 terminal.exe 时应该去掉“复制时强制加密”的选项，或者先将文档复制到U盘后再发送解密申请。

为什么我不能卸载铁卷？

由于铁卷要执行对电子文档的“强制透明保护”，因此在驱动层将文件、注册表和进程进行了保护。 铁卷只允许管理员通过管理中心进行远程卸载，或者在用户机器上输入密码通过验证后才可以自行卸载。注意：用户一旦卸载铁卷，将无法打开企业内部的任何加密文档。

其实，在客户端上，没有任何程序是真正“卸载不了”的。举个极端的例子，比如：用户可以通过格式化并重装电脑，来卸载铁卷。

因此铁卷并不仅仅强调“防卸载”功能，而是通过“让用户离不开铁卷”来防卸载。为什么这么说呢——因为，用户一旦卸载了铁卷，就无法打开企业内部的机密文档，当然也就无法正常工作了。

另外，用户通过任何手段强制卸载铁卷，最终会在服务器端产生相应的日志，管理员也可以通过日志审计，发现相应的违规行为。

在我当前电脑上，如何判断一份文件是否已经被铁卷加密过呢？

因为铁卷独特的透明加解密机制，使普通用户完全无需改变使用习惯，因此无法察觉文件已经被加密。 如果系统管理员希望察看某份文件是否被加密，可以采用UltraEdit或类似的十六进制编辑器打开该文档，通过察看文件头来判断文件是否已经被加密。

通常情况下，铁卷加密过的文档，如果使用未被加进“可信程序”的二进制编辑器打开，或者直接用普通文本编辑器打开，会看到最前面的几个字母是“IGEF”，如果你看到以IGEF开头的文本，说明这个文本被加密了。

铁卷能否批量解密多个不同类型的加密文件？

铁卷可以在系统管理员提供正确的硬件标识、密钥的情况下将加密文档批量解密，可以批量解密多种类型的加密文件。

但是为了保证系统的安全性，批量解密功能组件在一家企业只能由信息主管持有，并且需要授权使用。

铁卷的用户终端（Agent）能在UNIX系统上使用吗？

暂时不能支持UNIX系统。目前铁卷采用的是在内核中对文件进行加解密，虽然理论上可行，但目前暂时没有成规模的需求，因此UNIX终端的开发计划尚未启动。

经常需要对外发送大量文件，每次解密会很麻烦，如何解决？

对于经常需要外发文件的部门或者个人，可以设置为自行解密文件的权限；该功能不需要发送解密文件的申请，自己可解密要外发的文件，我们对自行解密操作做了详细记录以便日后审计。

根据我们的经验，对有些部门设置专门对外的人员，有要外发的文件都由专人外发。这样能够更加安全、更好控制、便于追查。

有些销售人员没有电脑，但经常在外地接收公司邮件如何处理？

对于这种情况建议解密文件后发出去，否则在外面接收到也无法正常查阅使用。如果想要防止外发文件被转发、复制、打印进一步扩散造成泄密，可以使用TSP文件锁、铁卷密信等软件对外发文件进一步控制保护。

铁卷如何处理高管的电脑？

高管电脑上可以设置允许自己解密文件，这样他们要查看已加密的文件就不需要发送解密申请。高管的自行解密操作会记录到日志中，便于事后追查。

跨地域的公司能否通过部署铁卷来同时保障多个分支机构的安全？

跨区域企业可以通过部署铁卷保障分支机构的数据安全，铁卷采用client-server的架构模式，只要配合一定的网络设置就可以让处于不同地点的分支机构同时使用铁卷。

通常有以下几种部署方式：

1. 通过ADSL或VPN连接总部的小型分支机构，可以无需部署服务器，直接连接总部的防泄密服务器；
2. 对于大型分支机构，担心远程网络连接的带宽不足，可以考虑在每个分支机构部署一台服务器，并设置数据库与总部的主服务器保持策略、用户、日志的同步即可；
3. 网络质量很差的小型分支机构，总部如果对日志没有实时性要求，则可以直接在分支机构部署一台“采用同样密钥”的服务器，总部定期进行日志审计工作。

有员工马上要离职了，可以随时禁止他阅读文档吗？

可以。在管理中心选中该员工的主机，右键菜单选择“拒绝接入”功能。当您看到该员工的电脑图标变为灰色后，员工被禁止连接到服务器则该员工的阅读权限已经被取消。

合作伙伴无法提供一台专用的PC让我们安装用户终端怎么办？

如果合作伙伴的PC上还需要执行其它任务，无法专用时，可以采用专用的USB Key来实现文档共享并且禁止传播。

1. USB Key插入电脑时，合作伙伴可以打开加密文档，但此时新建、复制、另存的文档全部是加密文档，因此无法再传播。
2. USB Key拨下后，所有加密文件就无法被打开。但此时用户新建的文件均为不加密文件，可以不影响合作伙伴电脑的正常运作。

铁卷的管理中心能否开放给外部用户使用？

可以。铁卷采用标准的TCP/IP协议进行通讯，如果您有外部用户需要接入，需要他有对外的IP地址，并且需要在防火墙上开放铁卷应用的端口，就能够正常接入。

使用自己的U盘，会不会出现将U盘内的文件加密而无法在其他地方查看？

当U盘插入后有以下两种情况：

1. 如果不打开查看相应文件但不保存修改是不会被加密的；
2. 如果打开u盘里面的文件并做了修改后就会被加密。

如果需要安全级别设置很高，也可以做到打开文件不修改关闭后就加密。可灵活的根据需要修改。

铁卷的心跳监测会产生多大的网络流量，是否影响网速？

在产品完全部署后，一个客户端每5秒会产生一个字节的心跳信息，因此一个200个客户端的部署环境在一个小时内大约将有(6060/5)/8/1024200≈17M的非并发流量产生。这对于一个10/100M的LAN来说，几乎不构成任何压力。

用内部网的QQ发送保护文档的内容行不行？

保护文档的内容不可以复制到内部网里面的QQ，如果能确保内部网的QQ使用安全，不能将信息发送到互联网，或者全公司都装了防泄密系统。那么也可以把内部网QQ添加到保护软件列表。那么就可以复制内同到内部网QQ里面去发送了。

铁卷能按照部门类型设置不同的策略吗？

可以按照部门设置不同的策略，也可以按照单独的个人设置不同的策略，组织结构与部门分支的策略都可以灵活设置使用。

我们采用了某某杀毒软件，为什么会出现病毒提示？

出现病毒提示是因为铁卷采用了操作系统底层的文档安全防护技术，在这种情况下，会有少量杀毒软件的“启发式检测”功能产生误报。只需要在防病毒软件的中央服务器上将铁卷的用户终端程序设置为可信程序即可。

在目前我们测试的二十多种杀毒软件中，仅有一种软件（NOD32）会产生类似的误报。

运行SolidWorks 2010窗口闪一下就消失了，是什么原因？

之前我们也曾经有铁卷的客户向我们咨询该问题，经过研发同事分析发现，该用户硬盘扇区被写入了特殊的数据，目前怀疑是SOLIDWORKS的反盗版措施在起作用。

在网上搜索“sw2010+闪一下”还是可以看到不少类似情况的。可以确定的是，网上提这些问题的用户，都未装铁卷：

http://www.google.com/search?channel=fs&q=solidworks++%E9%97%AA%E4%B8%80%E4%B8%8B&ie=utf-8&oe=utf-8。

如果该用户安装了铁卷，可按照如下方式确认：

1、在该电脑上卸载铁卷； 2、重装SOLIDWORKS； 3、重新破解； 4、看是否还能运行。

如果现象如果仍然是“一闪就没了”，那就可以确认，至少该问题不是铁卷导致的。

如果用户未安装铁卷，可以尝试：

1、重装系统； 2、寻求熟悉硬盘结构者帮助，将相应的磁盘数据摘除；

防泄密（尤其是透明加解密）产品，貌似实际的时候兼容性很难保证啊？

客户端产品的特殊性在于“每个客户端环境都有可能不同”，所以很有可能在多数客户环境中运行的很好的产品，到了某台机器上，就可能不稳定。所以，“在其它环境中没出问题，XX产品就没问题”这样的论断确实是不成立的。

而所有的客户端产品，稳定性都是随着部署量的增大，更加趋于稳定的。铁卷目前稳定部署并通过验收的客户端数量在“透明加解密行业”是最多的，并且具有几个过万点稳定运行的项目，这在很大程度上使铁卷产品稳定性更加有保障。

并且，铁卷项目组对每个客户遇到的实际问题，都会认真对待，最快处理。

开启铁卷时编辑文件突然断电，文件是否会受铁卷影响在通电重启后被损坏，如未损坏是密文还是明文？

首先在没有铁卷的情况下突然断电也有可能导致文档损坏，如果安装铁卷后加密的文档正在操作，突然断电不会造成损坏，因为铁卷在操作一个加密的文件时会备份一个文件在当前目录。

如果操作过程顺利完成备份文件就自动删除，如果中途停电中断重启后文件损坏，可以通过回复备份的那个文件得到修改前的版本。铁卷在编辑文件的时候所有产生的临时文件都是加密的。

所以在开启铁卷的情况下编辑受保护进程文件时，突然断电重启后不会损坏源文件，文件仍以密文形式保存。

TSP虚拟打印机打印的文件转格式后是能否已加密？

使用TSP文件锁将成功的转换出一个tspf文件，tspf文件默认使用TSReader阅读器（TSReader.exe）才能打开查阅。如果不使用改阅读器，无法阅读已被加密的打印文件。

当有外发文件需要时，只需要将tspf文件文件传送给对方，对方机器上安装了配套的阅读器就可以正常查看了。TSReader阅读器底部的状态栏明确显示文档阅读限制条件，方便用户查看当前可阅读次数和文档过期时间。

TSReader阅读器下载地址：http://www.unnoo.com/whitepager.html

考虑以后铁卷服务器可能会重装或更换，需要都做那些数据的备份，怎样实现？

我们一般建议客户装好服务器后立刻备份密钥和配置信息。在管理中心以最高权限管理员登陆就可以进行相关备份操作。备份后的文件建议刻盘或者压缩加密存储在互联网上。

一旦服务器损坏，立刻就能重装一个服务器，将备份的信息导入，IP地址改成原有的IP就可以了，整个恢复工作只需要10分钟。

是否支持分开部署？怎样操作实现？

铁卷服务端包括管理中心、数据库、服务器三个部分，这三部分可以自定义组合进行分开部署。

分开部署时，服务器需要修改数据库配置数据。如果是本机器数据库则IP地址填写“127.0.0.1”，如果是数据库在其他机器上则填写那台机器的IP地址。数据库连接端口默认是5432，建议不要更换。

已被其他加密软件加密的文件，使用铁卷后是否会被重复加密？如重复加密，可否按照原次序解密？或是永久性的损坏文档？

已经被其他加密软件加密过的文件，使用铁卷后是可以对该文件重复加密的。

使用铁卷的解密功能原理上是可以进行依次解密的，可以解密到之前加密过的文件格式，一般情况不会损坏文件。但是用户不知道被哪个程序先加密的，在解密的时候也就不知道先用哪个程序解密。

所以不建议重复加密，除非是被铁卷加密后的文件在用其他手动加解密的系统再次加密。不能采用两套都是自动加解密的系统。

是否可以通过打开次数和使用时间来控制文件的生命周期？

铁卷团队研发的TSP文件锁和铁卷密信产品都可以可以文件打开次数和打开有效时间，还可以自定义打开密码、只允许特定机器阅读，设定文件过期后自动销毁和限制文件再次被打印。

TSP（Total Safe Printer）是一款基于虚拟打印技术的文档外发控制软件。通过TSP将图纸或文件转换为标准矢量图形式，需要专用阅读器才能打开查看。铁卷密信则不需要专门的阅读器。但TSP可以和铁卷电子文档安全系统一起部署，同台管理，也可以作为独立产品单独使用。

TSP文件锁试用版下载地址：http://www.unnoo.com/whitepager.html

服务器崩溃，若无备份如何最快恢复？期间对客户端影响如何？

可以使用批处理，每隔一段时间对数据库内容进行备份。如果出现题目中所述的情况，数据库中的数据一般是不会损坏的，可以复制数据库后重新安装铁卷的服务端。安装完成后，将复制的数据库覆盖新安装的数据库。

服务器崩溃后，客户端无法正常连接会掉线。但是重新安装好服务器之后，对客户端不会有任何影响。

Minifilter是什么？

minifilter是微软提供的一种新的驱动开发框架，主要用于于文件过滤驱动的研发。相比之前主流的传统驱动框架，minifilter有很多优点：

1. 更好的兼容性、更好的系统支持。minifilter是目前微软强力推荐的开发框架
2. 提供了更易于使用、更丰富、更有针对性的函数
3. 支持动态加载、卸载和解除绑定等特性 等等。

什么是layerfsd？

主要解决windows平台下，一个文件，不同的内容展现的问题。

防泄密产品中使用的layerfsd，通常指分层的文件过滤驱动。 简单来说，就是通过使用多层次的文件过滤驱动，或者自定义的虚拟文件系统，或者两者相结合的方式，来实现对文件的多重过滤功能。相比常见的单文件过滤驱动，layerfsd有很多优点：

1. 更高的效率
2. 更好的稳定性
3. 更好的兼容性

能实现虚拟打印的插件非常多，可否统一控制？

可以的，大成天下的铁卷、密信产品都对虚拟打印做了控制，无论是虚拟打印为PDF、FLASH或任何格式的文档，都可以有效控制，不致导致机密外流。

铁卷服务器开了哪些端口？

80，21

客户电子元器件编程软件一般由器件厂家提供，用他们来编辑的可执行文件能否加密，是不是要完全依赖厂家调整系统来实现新的加密策略？

原则上是需要厂商来做支持的，但是如果经常有新的软件出现，我们可以提供策略制作工具，让用户的IT人员掌握制作技术。

对于软件生成的可执行文件是可以做到加密的，但是可执行文件本身要执行的时候需要解密后运行。

制作离线授权文件时的累计时间选项是什么意思？

主要作用是：可以限制客户端在某一段时间内可以离线多少分钟，最大值是9999，时间段和离线累计时间是一个与的关系。离线时间段和累计时间这个两个条件有一个到期了离线可用功能就会失效。

代理管理员在个人模式下能否收到别人的离线申请或解密申请？

代理管理员切换到个人模式下，还是能接收并审批解密申请的。

终端发离线申请和解密申请，管理中心不会弹出来吗？

管理中心是没有设置有申请就弹出的机制。

一般的管理机制是建立多个部门，把用户发送到指定部门，然后在每个部门选择一个用户或者多名用户设置为部门代理管理员，用来处理部门内部的申请。一旦部门内有用户发出申请，部门代理管理员的客户端就会出现一个信封一样的闪动图标。代理管理员点击即可处理申请。

« 首页