駁斥《沙盒用於數據防泄密是重大技術原理性失誤》
最近網上出現了一篇名爲《沙盒用於數據防泄密是重大技術原理性失誤》的文章,作爲國內唯一把沙盒技術運用於數據加密防泄密領域的研發者-----深信達公司在此迴應,雖然此文明顯是針對深信達公司,但深信達公司是注重科研爲第一生產力的加密廠商,一貫倡導自由,公平,良性,有序的市場競爭環境,深信達從來不會搞惡性競爭,更不會主動***對手,目前出現的客戶方選擇深信達沙盒防泄密產品替換該公司產品現象,也完全是正常的市場優勝劣汰行爲,深信達公司無意和任何一個加密廠家搞對立和進行惡意競爭。
此處,僅對該文(《沙盒用於數據防泄密是重大技術原理性失誤》)中的諸多的論述錯誤,做一些指正,以免誤導各位讀者。
一、關於沙盒技術原理
該文(《沙盒用於數據防泄密是重大技術原理性失誤》)中通過安全瀏覽器,殺毒中使用沙盒(Sandbox)技術,然後就下結論說“防外不防內”,其實這是一個初學者容易犯的一個技術誤區。
沙盒技術的核心是對用戶空間的虛擬和行爲限制以及結果隔離。所謂虛擬,就是對用戶的行爲,按照嚴格的規則,進行虛擬化處理,讓用戶感受到和真實中一樣操作;所謂隔離,就是對數據進行分離隔離,只進不出或者只出不進或者徹底物理分開。
在日常的計算機應用中,並不是從SandboxIE開始使用這類技術的,大家熟知的各種IE瀏覽器,WebIIS,JavaVM等,都有用到虛擬和行爲限制,隔離技術。舉個簡單的例子,IE打開一個網頁,網頁的腳本運行在瀏覽器的虛擬空間內,該腳本是不允許訪問本機的物理目錄和文件等資源的,否則就沒安全性可言了。
二、關於沙盒技術應用於數據防泄密領域的動因
該文(《沙盒用於數據防泄密是重大技術原理性失誤》)中稱的動因,作爲此技術的研發者,並不認可。
真正的動因是:沙盒既然可以隔離病毒對真實環境的改變,那麼在這個虛擬空間內,也應該可以阻止用戶的不法操作,這也就形成了沙盒涉密空間概念。在此基礎上,繼續創新,結合系統的磁盤驅動,卷驅動,文件過濾驅動,網絡過濾驅動,應用層引擎等內核級驅動技術,深信達公司研發出了沙盒加密系統,真正把沙盒技術用於數據防泄密上,這的確是一項創新。一般的初學者估計比較難理解如何使用這麼多內核驅動技術,所以有質疑聲也是可以理解的。
三、沙盒加密用於數據防泄密的效果
沙盒加密是在文件透明加密和磁盤加密基礎上,結合沙盒原理,而發展起來的內核級縱深加密體系,屬於第三代內核縱深加密技術。磁盤過濾驅動,捲過濾驅動,文件過濾驅動,網絡過濾驅動,每個過濾層都只做自己最擅長的事情,所以特別穩定,速度快,性能可靠,並且沒有磁盤加密產品的漏洞問題。
由於內核級縱深透明加密技術要求高,涉及技術領域廣,極其複雜,開發週期長,所以國內擁有該開發能力的廠商不多。目前,深信達公司推出的SDC機密數據保密系統,給人眼前一亮的感覺,其產品是第三代透明加密保密技術的典型產品,其產品主要特點是:
1)採用了磁盤過濾,捲過濾,文件過濾,網絡過濾等一系列縱深內核加密技術,採用沙盒加密,和文件類型和軟件無關,沙盒是個容器。
2)在操作涉密數據的同時,不影響上外網,QQ,MSN等。
3)保密徹底,包括網絡上傳,郵件發送,另存,複製粘貼,屏幕截取等,特別是屏幕保密,做得非常炫。
4)服務上存放的是明文,客戶端存放的是密文,文件上傳服務器自動解密,到達客戶端自動加密。服務器上明文,減少了業務連續性對加密軟件的依賴。並且通過策略設定,客戶端涉密文件可以自動向服務器備份,防止員工惡意刪除本地文件;
5)不但可以針對普通文檔圖紙數據進行保密需求,同時更是研發性質的軟件公司(遊戲,通訊,嵌入式,各種BS/CS應用系統)源代碼保密首選。
6)燒錄白名單功能,只有符合要求的bin/hex等文件才能燒錄到設備中,並且都被審計。
7)所有打印內容都審計並被記錄,比如一個10頁的文檔,如果允許其打印10頁內容全部被記錄下來。
四、總結
沙盒加密技術是原有磁盤加密產品的升級替代產品,技術得到升級優化,感興趣的,歡迎客戶聯繫深信達公司,前來諮詢和測試。聯繫方法:直接訪問深信達公司官方網站,聯繫客服人員即可。