系統構架”有C/S/C網絡和離散兩種。前者是將各個涉密計算機與系統服務器、解密程序都部署在局域網中，確保它們之間的通信是經過網絡加密傳輸的。后者的涉密機與密鑰管理計算機在網絡上不要求連通，因此密鑰管理計算機也就不能稱為服務器（通常稱“管理機”）；涉密機與管理機不通信，但在安裝時以人工抄號的方式來保證密鑰同步。前者的優勢是：①涉密機與密鑰管理機（即服務器）的通信是實時的、自動的、秘密的，方便了安裝也更加安全；②可以支持各涉密機采用不同的保密策略，并隨時更新，靈活而不僵化。后者的優勢是對于便攜式涉密機的管理可以自然實現。通常而言，第一代產品都采用離散的構架。

 

　　2 “移動用戶的控制”是指對于便攜式涉密計算機的保密效果管理。離散的系統不存在這一問題。只有C/S/C系統會面臨這一問題。有些系統采用的辦法是為離開局域網的便攜式涉密機制定專門的、有時效限制的商務策略。而另外的一些系統要求讓便攜式涉密機用戶攜帶一個存儲有密鑰信息的USB設備。

 

　　3 “可加密的文件格式”是指各系統能夠對哪些后綴的文件以及哪些應用軟件生成的文件進行自動加解密。這與各系統采用的監視技術有關。目前最為常見的監視技術有兩種：文件驅動技術和API Hook技術。前者能夠對Windows平臺下的任何后綴以及任何應用軟件生成的文件都實現自動加解密。而API Hook技術卻只能對特定的應用程序進行加密保護。我們通常將是否可以加密所有的文件格式作為第三代產品和第四代產品最重要的劃分依據。

 

　　4 “防范截屏”是指各個系統如何應對截屏手段的泄密。

 

　　5 “防范復制-粘貼”是指各系統如何防止用戶將涉密文件中的內容進行復制而后粘貼到非涉密文件中。通常的辦法有①禁止所有的復制－粘貼功能（完全屏蔽）；②有涉密應用在運行時，禁止所有的復制－粘貼功能（條件屏蔽）；③ 只有當從涉密應用將數據復制粘貼到非涉密應用時，系統才予以阻止（單向屏蔽）。

 

　　6 “防范打印”是指各系統如何防止密文被涉密機打印紙質文件。支持策略的系統，是通過其策略來控制各涉密機是否可以打印密文，該策略可以實時調整。其他的系統，要么就是禁止打印，要么就是開放打開，均不能進行實時地、差異化地控制。

 

　　7 “防范二次擴散”是指防止外發的涉密文件被接收者再次復制傳閱，對文件的打開機器、打開時間、次數進行限制、控制文件的編輯、復制、保存、打印、截屏等擴散泄密操作。