設計圖紙、合約標書、原始碼這類核心資產,往往散落在研發、商務、工程多個崗位的電腦裡,靠員工自覺壓縮加密只能解決一時一事。Ping64 透明加密把保護邏輯沉到作業系統層面,讓授權軟體在開啟和儲存檔案時自動加解密,讓未授權行程拿到的只能是密文,再透過密級與安全域把誰能看、誰能改、誰能外發說清楚。本文圍繞一個典型問題展開:如何用 Ping64 一次性把圖紙、Office 檔案和原始碼納入透明加密,同時保留日常編輯、協作、外發的合理空間。
許多企業最初依賴壓縮包密碼、Office 文件密碼、雲端硬碟連結口令來保護重要資料。這種做法的問題在於密碼會被複製、會被截圖、會被員工之間口耳相傳,一旦圖紙被某位設計師另存到桌面或 USB 隨身碟,原本的密碼殼就會消失。再加上 CAD、PLM、IDE 這些專業軟體並不天然支援密碼體系,常見作法只能是給壓縮包加密、給共用磁碟做權限,對真正落到本機磁碟的明文檔案幾乎無能為力。
Ping64 透明加密的思路完全不同。當一台終端被納入 Ping64 文件透明加密策略後,凡是屬於授權軟體清單內的行程讀寫指定副檔名的檔案,都會在核心層自動完成加解密;不在授權軟體清單內的行程拿到同一份檔案,看到的只能是無法識別的密文。員工日常使用 AutoCAD、SolidWorks、Word、Visual Studio 時幾乎察覺不到加密的存在,但只要檔案被另存到 USB、上傳到外部網盤或被木馬竊取,離開授權環境後立刻失去可讀性。這種自動、持續、面向行程的保護,比任何形式的臨時密碼都更貼近企業資產真實流轉的邊界。
把透明加密真正落地,單靠一條加密策略並不足夠。Ping64 文件透明加密把能力拆成幾個互相支撐的組成部分。授權軟體是入口,告訴系統哪些行程擁有讀寫密文的資格,CAD 類軟體、Office 套件、原始碼 IDE 通常都會被納入這份清單,並依業務線分組管理。密級和安全域則解決「同樣是密文,誰能開啟」的問題:研發圖紙屬於研發安全域、內部級別為機密的設計稿只允許研發部門擁有同等密級的終端開啟,財務合約走另一條安全域鏈路,彼此之間預設隔離。
延伸場景中,企業還會遇到三類典型訴求。其一是確實需要把加密檔案發給外部供應商或客戶,這就要走外發審批,由 Ping64 把申請人、檔案、接收人、有效期串起來,由審批人決策後才產生可解密的外發包。其二是需要臨時調整檔案密級或歸屬安全域,例如階段性把圖紙密級從絕密降到機密以便跨部門評審,Ping64 會把這類調整也納入審批流程,並在稽核中保留前後值。其三是離線場景下的可控存取,差旅、外勤、臨時斷網期間,Ping64 仍允許員工在策略允許的離線時長內繼續開啟授權軟體讀寫密文,超過授權時長則自動收回存取能力。所有這些動作的最終歸宿都是稽核中心的明細紀錄,誰在什麼時間用什麼行程加密了哪些檔案、又對哪些檔案發起過解密申請,必須可回溯、可統計。
下面把這套思路轉換成可執行的管理員動作。每一步都從一個具體問題出發,給出在 Ping64 主控台裡的位置、要設定的內容、對哪些終端生效、以及在哪裡驗證執行結果。
步驟 1:在安全屬性中先把密級與安全域定義出來
進入 Ping64 主控台左側的「文件加密」分組,開啟「安全屬性」頁面,先在「密級列表」裡維護本企業適用的等級,例如「公開、內部、機密、絕密」,依欄位填入密級名稱與密級編號;再在同一頁面裡維護安全域,例如劃分研發、商務、生產、行政四類。生效對象是後續所有透明加密策略和外發審批,因此這一層一旦定下來要保持穩定。驗證方式是回到「安全屬性」頁面頂部,確認提示語顯示「目前共有若干個可用密級」,並能在密級列表中看到剛剛新增的條目,沒有出現「目前沒有可用密級」這類空狀態提示。
步驟 2:在授權軟體中把可讀寫密文的行程沉澱成清單
切換到 Ping64 的「授權軟體」頁面,單獨維護一份圖紙軟體的授權清單,把 AutoCAD、SolidWorks、CATIA 這類設計軟體的執行檔加入;再為 Office 套件、Visual Studio、JetBrains IDE 分別建立清單。可使用匯入功能批量匯入,匯入完成時主控台會提示「檔案已解析完成,請選擇要加入的授權軟體」與「已成功匯入若干個授權軟體」。每條授權軟體下還可以進一步設定截圖、列印的允許或禁止策略。生效對象是稍後被納入文件加密策略的目標終端群組。驗證方式是進入 Ping64 「授權軟體使用詳情」頁面,確認目標終端在最近活躍的授權軟體清單中出現,覆蓋範圍、活躍程度、使用時長都有真實資料。
步驟 3:在文件加密策略中啟用透明加密模式並綁定授權軟體
回到 Ping64 「策略中心」,新增或編輯一條文件加密策略,頁面標題應顯示為「Ping64 – 新增文件加密策略」或「Ping64 – 文件加密策略詳情」。在策略中打開「透明加密模式」,挑選剛才維護好的授權軟體清單作為允許加解密的行程範圍,並指定需要保護的檔案類型,例如把 dwg、dxf、prt、sldprt、docx、xlsx、cpp、cs 等納入加密檔案副檔名。接著在「校驗密級」開關中選擇「啟用後,只能檢視低於或等於終端自身密級的加密檔案」,讓密級真正參與執行時判斷。生效對象是被該策略覆蓋的終端群組。驗證方式是進入「透明加解密」稽核檢視,讓一台研發終端用 AutoCAD 新建並儲存一份 dwg 檔案,應能看到加密事件記錄到執行主體、行程來源與檔案對象;再以未授權的看圖軟體直接開啟同一份 dwg,檔案呈現亂碼即代表透明加密生效。
步驟 4:在進階設定中開啟安全屬性審批與外發審批
打開同一條策略下的「進階設定」,進入「安全屬性審批設定」,把「啟用後,允許終端透過提交審批調整檔案的安全屬性」打開,並在「選擇調整安全屬性審批流程」中掛接既有的審批流程;同時為加密檔案外發場景指定審批流程,讓員工無法繞過 Ping64 自行將密文帶出。若儲存時主控台提示「啟用安全屬性審批後,請選擇審批流程」或「進階設定不完整」,應回到上方補齊設定。生效對象是該策略覆蓋範圍內所有需要變更密級、變更歸屬或外發密文的員工。驗證方式是用一台普通終端發起一次模擬外發申請與一次密級降級申請,到「審批中心」看到對應工單,再到「稽核中心」查到操作紀錄,並能在「加密檔案外發」檢視中看到外發包的標題、描述、操作時間與檔案詳情。
步驟 5:在終端管理與稽核中心做覆蓋率核對與持續巡檢
進入 Ping64 「終端管理」,依部門或群組篩選納入文件透明加密策略的終端,確認策略已下發並顯示為生效狀態。再進入 Ping64 「稽核中心」下的「透明加解密」與「行為稽核」兩個檢視,按時間區間核對加密、解密、解密申請、外發等事件的數量與分布;若某個群組在一段時間內完全沒有加密事件,應反向檢查授權軟體清單或策略覆蓋是否遺漏。生效對象是面向全員的合規巡檢。驗證方式是使用 Ping64 的「文件透明加密概覽」儀表板核對覆蓋率、活躍終端數與近期事件趨勢,儀表板數字應與稽核明細自洽。
例外路徑:合理的「可讀不加密」與短期豁免
並非所有崗位都適合一次性接入透明加密。對於行政、業務助理這類極少接觸圖紙與原始碼的崗位,可以在 Ping64 策略中只下發「校驗密級」而不啟用透明加密模式,讓他們能檢視必要檔案卻不會產生新的密文。對於需要短期參與外部聯調的工程師,可以在 Ping64 「進階設定」中透過外發審批為其簽發一次性外發包,約定接收人與有效期,到期後外發包自動失效,不需要永久豁免授權軟體清單。如此既保留了核心透明加密的連續性,也避免出現把整組員工長期排除在保護範圍外的灰色地帶。
把圖紙、Office 檔案與原始碼納入透明加密,只是 Ping64 文件加密能力中相對前置的一段。真正決定企業能否長期守住核心資產的,是密級體系是否清晰、授權軟體清單是否隨業務變化持續維護、外發審批是否真正承擔風險判斷、稽核中心是否被定期複核。Ping64 把這些環節集中在同一個主控台,密級、安全域、授權軟體、文件加密策略、審批流程、稽核與儀表板互相串聯,讓管理員從一次開通能力,轉向持續治理一類資產。當 Ping64 的透明加密策略、安全屬性審批與外發稽核三條線都跑順之後,即便檔案被複製、被截圖、被無意帶出,員工日常工作的體驗依舊自然,企業對圖紙與程式碼這類核心資產的可控性也能保持在可解釋、可稽核的水準。
聯絡我們
35 min