四大类源代码防泄密方案的实测分享

比较内容

安全容器(SDC沙盒)

DLP

文档加密

云桌面

设计理念

以隔离容器加准入技术为基础，构建只进不出，要出需走审批的数据安全环境，环境内数据一视同仁，不区分文件格式，一律保护。

以内容识别和分析为基础，对邮件、U盘拷贝等形式外发的文件进行内容识别，一般是通过寻找敏感关键字来定安全策略，并进行记录或阻止

以文件透明加密解密技术为基础，对指定格式的文件进行环境内透明加密解密。

本地不保留数据，所有工作数据都在服务器上

实现方式

通过磁盘过滤驱动、卷过滤驱动、文件过滤驱动、设备过滤驱动、网络过滤驱动等构建内核级纵深防御容器安全环境，环境内数据透明加密解密。环境外数据只进不出。

以客户端引擎为中心，先对内部文进行扫描识别内容并定级，然后配合邮件、U盘等常见协议进行解析，发现发送敏感内容即阻拦或报警。

通过文件过滤驱动对指定进程、指定格式的文件的读写进行透明加密解密。

通过在服务器端虚拟出若干工作环境，让使用者远程登陆使用。

基本防护（邮件、U盘、网盘、网络）

被划入安全工作环境内的所有数据都不能外发，要发需要走审批脱密。外部的数据可以自由进来

对进出的文件内容进行识别，发现为敏感的内容和文件进行拦截或报警

文件可以自由发，不受限制，但被加密的指定格式的文件发到外部是乱码

通过物理断网隔离，本地无文件，实现安全。邮件、U盘、网络一旦开通，即无管控

虚拟机防护

容器内可以用VMWare虚拟机，虚拟机遵循容器的安全规则。

虚拟机可以绕过客户端引擎，把数据文件可通过虚拟机中转发出。

虚拟机内操作无法管控，但已经加密的文件，通过虚拟机中转出是密文。

本身是虚拟机

WinPE启动盘

从WinPE启动盘启动，看到容器内数据都是加密的

从WinPE启动盘启动，可以任意拷贝数据绕过DLP引擎

从WinPE启动盘启动，看到指定格式的加密文件仍为加密文件

不支持Win PE盘启动

工具杀进程

通过工具杀掉沙盒进程，各驱动仍然工作，容器龟缩防御，控制有效

杀掉DLP引擎，控制无效，所有数据自由进出

杀掉进程，文件过滤驱动还在，加密仍然有效。

没进程可杀

比较内容

安全容器(SDC沙盒)

DLP

文档加密

云桌面

数据变形(基本)

变换格式另存、压缩改名，都在容器内转，仍然有效控制。

变换格式另存、压缩改名，特别是加密码压缩，可以绕过引擎检查。

变换格式另存、压缩改名，有绕过可能。

数据都在服务器上，但不能允许使用网络和外设

数据变形(高级)

通过编程创建新进程进行打印输出另存、日志、socket通信、管道、共享内存等方式无法泄密。把代码转成网页并通过IIS或tomcat发布无法脱离容器，即无法泄密。

通过编程创建新进程进行加密输出另存、日志、socket通信、管道、共享内存、网页等方式可以轻松绕过DLP引擎

通过编程创建新进程进行打印输出另存、日志、socket通信、管道、共享内存等方式可以泄密。把代码转成网页并通过IIS或tomcat发布可以泄密。

数据都在服务器上，但不能允许使用网络和外设。网络和外设需要另行管控

非文件数据

对环境内CRM、ERP系统内的非文件数据和表单报表，可以管控

CRM、ERP系统内的非文件数据和表单报表，可以管控

CRM、ERP系统内的非文件数据和表单报表，无法管控，但可以对文件附件加密。

数据都在服务器上，但不能允许使用网络和外设

大文件/重软件

无影响

分析困难

大文件有破损概率，编译类软件容易报错

性能慢，UG等不用想，3D类比投入

智能端口(U/网/串/并口)

通过智能端口的协议解析，对设备进行接入准入，并对下传烧录的数据做内容审计。

只能禁用，如允许则无管控

无管控，仅对支持的加密格式文件下传不解密

只能禁用，一旦允许使用，就无控制。

支持OS

Windows/linux/中标麒麟/Macos

Windows(linux不明)

Windows，部分厂家支持linux

Windows/linux/中标麒麟

优点

针对所有数据，和格式无关，和文件大小无关，可针对代码开发者

容易部署，符合国外习惯

简单明了，客户容易理解

运维方便，看上去很安全并高大上

缺点

不够灵活，部署费力

性能慢，过于依赖客户端引擎，易绕过

技术单一，运维困难，软件升级是噩梦

成本高，效果差，性能低

适用客户

代码研发类企业，并提供研发输出产品加固加密

外资企业，大型企业

Office办公类企业（文档、图纸）

大型企业，有钱金主，封闭环境

建议

只做研发型企业

安全性要求不高的大型企业

建议做中小办公设计类企业

建议内嵌SDC沙盒的智能端口，就完美了