将爱数AnyShare的Windows客户端进程名（tray.exe和ShareWebWindows.exe）加入到 DLP 加密系统的透明加解密策略（Hook名单）中，可以实现：从AnyShare客户端上传到服务端的文件自动解密，从AnyShare客户端下载到本地的文件自动加密。也就是：存储在AnyShare服务端的文件都为明文，存放在终端桌面的文件都为密文（包括AnyShare本地缓存目录）。
优点1：爱数和加密厂商都不用做集成开发，实施简单易于部署，只需要加密系统在现场配置策略即可，后期双方也不用做过多的版本维护。
优点2：可以通过灵活的配置满足不同客户的要求，目前遇到的有两类使用场景：
l 一类是需要在终端桌面加密，而对于AnyShare要保留完整的云盘功能（文件内容处理相关功能），这种就可以在加密系统那端添加策略的方式满足。
l 另一类对安全要求更严格，不仅在终端桌面要加密，文件上传到AnyShare服务器也要加密（客户宁愿牺牲一部分云盘功能），这种就不需要在加密系统那端添加策略，各自部署即可。

文件加解密实现方案

总体原则：上传解密、下载加密

前置条件：DLP 客户端将爱数 AnyShare 客户端程序添加到透明加解密策略名单中，钩挂 (hook) 爱数客户端对于文件的操作行为。

1 当文件将要上传时，DLP 客户端拦截到爱数的文件读取行为，对文件内容进行解密，爱数再将文件内容上传到服务端。这样云端的文件即为明文。

2 当文件从服务端下载到本地， DLP 客户端拦截到爱数的文件写入行为，对文件内容进行加密。这样本地的文件即为密文。

3 在本地，不管是爱数云盘缓存目录，还是磁盘分区目录，都由 DLP 客户端控制文件的加解密行为，爱数不进行干预。

下面以某DLP安全管理系统配置为例作为演示：
1. 在终端分别安装AnyShare客户端和DLP加密客户端，然后各自登录普通用户。

2. 在DLP的Web管理控制台，先使用配置管理员登录，在位置 [配置管理] -> [程序控制管理] 下，选中“程序配置”节点，右键【添加配置】，创建专用于AnyShare的程序策略，生成一个子节点。

3. 然后选中该子节点，继续创建进程策略。

4. 再选中进程策略下的子子节点“受控类型”，继续创建受控的文件格式类型，建议把常用的办公文档格式都添加进去。

5. 然后生成如下的配置策略：

6. 按照以上步骤，把AnyShare客户端的两个进程 tray.exe和ShareWebWindows.exe都分别配置好。

7. 在DLP的Web管理控制台，使用系统管理员登录，在位置 [安全策略中心] -> [安全管理策略] 下，添加一个安全策略（专用于AnyShare）。

8. 在新增的策略编辑页面中，点击展开“受控程序设置”栏，将之前已创建的AnyShare程序名单添加到右侧的“已选策略”中，并点击上方的【确定】按钮进行保存。

9. 在DLP客户端的托盘右键菜单里点击【策略更新】，重新获取服务端的管理策略。

达成效果

此时将AnyShare缓存目录以外的某个本地文件进行手动加密或自动加密，手动加密是要选中文件并右键选择加密：

将这个加密的文件放入AnyShare缓存目录，触发上传操作，DLP客户端进程会自动将文件解密，上传到AnyShare服务端后变为明文，可以被全文检索和在线预览。
反之，将AnyShare服务端的文件下载到缓存目录或拷出盘外，DLP客户端也会自动将文件加密，落到本地后变为密文。

合作集成的边界原则

爱数 AnyShare 负责管控云端的文件，以及文件在终端与云端之间的协同过程

DLP 系统（合作方）负责管控终端桌面的文件，以及文件的外发过程