安全角度的数据防泄密
文档透明加密、沙盒防泄密都同属于典型的进程级数据防泄密。文档透明加密:进程HOOK+透明加解密;沙盒防泄密:进程HOOK+沙盒隔离;从安全角度看,系统安全强度取决于其中的最短板。因此,尽管文档透明加密与沙盒防泄密表面看起来不同,但从安全角度看,两者都同属于进程级数据防泄密机制,无本质区别。
文档透明加密-进程级数据防泄密
依据进程,在文件创建起即对文件自身进行透明加密、并与用户、权限相结合。文件加密后的密文,合法用户正常打开使用,非法用户则显示为乱码。当然,文档透明加密通常只强调文档加密后的安全性,比如256位密钥、一次一密等等。
沙盒防泄密-进程级数据防泄密
依据进程,区分涉密与非涉密进程。涉密进程(如开发进程)可访问磁盘涉密代码文件,但不能上网;非涉密进程(如QQ等应用进程)不能访问磁盘涉密代码文件,但可以上网;注意:磁盘涉密文件,并未真实加密保护。(所谓纵深加密,实质仅是修改了磁盘目录,以避免进程被绕过直接读取。)