场景描述
信息化时代发展迅速,数据防泄露一词也频繁的出现在我们身边。无论企业或政府单位,无纸化办公场景越来越多,数据泄露的时间也层出不穷。例如:世界最大职业中介网站Monster遭到黑客大规模攻击,黑客窃取在网站注册的数百万求职者个人信息,并进行勒索;程序员程稚瀚四次侵入北京移动充值中心数据库,盗取充值卡密码,获利300 多万元。2003 年广东联通7 名人员,利用内部工号和密码,对欠费停机手机进行充值,使联通损失260 万元。2005 年12 月25 日,美国银行披露,2004 年12 月下旬,丢失了包括1200 万信用卡信息的磁带备份.。这类电子文档及业务数据的保护,是我们不得不要面对的问题。
客户痛点
1、 线上交易、远程办公、第三方接入等内外因素,要求数据安全管理粒度更精细;
2、 内部威胁越来越严重,研发、IT运维、获客、运营内控、员工离职越来越成为数据泄露的主因;
3、 与客户、渠道、外包、供应商的业务交互增多,“管控盲区”更易出现安全泄漏。
4、 外部攻击升级,非法获权、非法设备接入、中间人攻击、针对终端攻击等手段,传统安全手段难以应对。
解决方案
深信达SDC沙盒数据防泄密系统,是专门针对核心数据防泄密的保护系统。通过虚拟沙箱技术,在操作系统中生成虚拟的沙盒空间,空间内数据只进不出,要出必须走审批,并结合多种底层驱动控制,实现用户PC公私隔离的效果。各类业务系统服务器也只能在空间内访问,构建出闭环的数据流转环境,保证图文档及业务数据的安全。
竞品分析
| 比较内容 | 安全容器(SDC沙盒) | DLP | 文档加密 | 云桌面 |
| 代表厂家 | *信达 | 卖咖啡、赛门贴科 | 亿*通、IP噶德、*盾、*途 | 四杰、深*服 |
| 设计理念 | 以隔离容器加准入技术为基础,构建只进不出,要出需走审批的数据安全环境,环境内数据一视同仁,不区分文件格式,一律保护。 | 以内容识别和分析为基础,对邮件、U盘拷贝等形式外发的文件进行内容识别,一般是通过寻找敏感关键字来定安全策略,并进行记录或阻止 | 以文件透明加密解密技术为基础,对指定格式的文件进行环境内透明加密解密。 | 本地不保留数据,所有工作数据都在服务器上 |
| 实现方式 | 通过磁盘过滤驱动、卷过滤驱动、文件过滤驱动、设备过滤驱动、网络过滤驱动等构建内核级纵深防御容器安全环境,环境内数据透明加密解密。环境外数据只进不出。 | 以客户端引擎为中心,先对内部文进行扫描识别内容并定级,然后配合邮件、U盘等常见协议进行解析,发现发送敏感内容即阻拦或报警。 | 通过文件过滤驱动对指定进程、指定格式的文件的读写进行透明加密解密。 | 通过在服务器端虚拟出若干工作环境,让使用者远程登陆使用。 |
| 基本防护 (邮件、U盘、网盘、网络) | 被划入安全工作环境内的所有数据都不能外发,要发需要走审批脱密。外部的数据可以自由进来 | 对进出的文件内容进行识别,发现为敏感的内容和文件进行拦截或报警 | 文件可以自由发,不受限制,但被加密的指定格式的文件发到外部是乱码 | 通过物理断网隔离,本地无文件,实现安全。邮件、U盘、网络一旦开通,即无管控 |
| 虚拟机防护 | 容器内可以用VMWare虚拟机,虚拟机遵循容器的安全规则。 | 虚拟机可以绕过客户端引擎,把数据文件可通过虚拟机中转发出。 | 虚拟机内操作无法管控,但已经加密的文件,通过虚拟机中转出是密文。 | 本身是虚拟机 |
| WinPE启动盘 | 从WinPE启动盘启动,看到容器内数据都是加密的 | 从WinPE启动盘启动,可以任意拷贝数据绕过DLP引擎 | 从WinPE启动盘启动,看到指定格式的加密文件仍为加密文件 | 不支持Win PE盘启动 |
| 工具杀进程 | 通过工具杀掉沙盒进程,各驱动仍然工作,容器龟缩防御,控制有效 | 杀掉DLP引擎,控制无效,所有数据自由进出 | 杀掉进程,文件过滤驱动还在,加密仍然有效。 | 没进程可杀 |
| 比较内容 | 安全容器(SDC沙盒) | DLP | 文档加密 | 云桌面 |
| 数据变形 (基本) | 变换格式另存、压缩改名,都在容器内转,仍然有效控制。 | 变换格式另存、压缩改名,特别是加密码压缩,可以绕过引擎检查。 | 变换格式另存、压缩改名,有绕过可能。 | 数据都在服务器上,但不能允许使用网络和外设 |
| 数据变形 (高级) | 通过编程创建新进程进行打印输出另存、日志、socket通信、管道、共享内存等方式无法泄密。把代码转成网页并通过IIS或tomcat发布无法脱离容器,即无法泄密。 | 通过编程创建新进程进行加密输出另存、日志、socket通信、管道、共享内存、网页等方式可以轻松绕过DLP引擎 | 通过编程创建新进程进行打印输出另存、日志、socket通信、管道、共享内存等方式可以泄密。把代码转成网页并通过IIS或tomcat发布可以泄密。 | 数据都在服务器上,但不能允许使用网络和外设。网络和外设需要另行管控 |
| 非文件数据 | 对环境内CRM、ERP系统内的非文件数据和表单报表,可以管控 | CRM、ERP系统内的非文件数据和表单报表,可以管控 | CRM、ERP系统内的非文件数据和表单报表,无法管控,但可以对文件附件加密。 | 数据都在服务器上,但不能允许使用网络和外设 |
| 大文件/重软件 | 无影响 | 分析困难 | 大文件有破损概率,编译类软件容易报错 | 性能慢,UG等不用想,3D类比投入 |
| 智能端口 (U/网/串/并口) | 通过智能端口的协议解析,对设备进行接入准入,并对下传烧录的数据做内容审计。 | 只能禁用,如允许则无管控 | 无管控,仅对支持的加密格式文件下传不解密 | 只能禁用,一旦允许使用,就无控制。 |
| 支持OS | Windows/linux/中标麒麟 | Windows(linux不明) | Windows,部分厂家支持linux | Windows/linux/中标麒麟 |
| 优点 | 针对所有数据,和格式无关,和文件大小无关,可针对代码开发者 | 容易部署,符合国外习惯 | 简单明了,客户容易理解 | 运维方便,看上去很安全并高大上 |
| 缺点 | 不够灵活,部署费力 | 性能慢,过于依赖客户端引擎,易绕过 | 技术单一,运维困难,软件升级是噩梦 | 成本高,效果差,性能低 |
| 适用客户 | 代码研发类企业,并提供研发输出产品加固加密 | 外资企业,大型企业 | Office办公类企业(文档、图纸) | 大型企业,有钱金主,封闭环境 |
| 建议 | 适合安全要求高的企事业单位 | 安全性要求不高的大型企业 | 建议做中小办公设计类企业 | 建议内嵌SDC沙盒的智能端口,就完美了 |
