保护企业的核心数据

2021年6月10日，第十三届全国人民代表大会常务委员会第二十九次会议通过《中华人民共和国数据安全法》，自2021年9月1日起施行。

与已实施的网络安全法不同，数据安全法更强调了数据本身的安全。随着数字经济的发展，数据在社会发展、日常生活中扮演了重要角色。针对企业，网络安全是必要的，但数据本身的安全也是重中之重。关键数据的泄露可能会导致罚款、声誉影响、核心竞争力下降，甚至是导致企业破产。

相对于常见的威胁，人往往是最薄弱的环节。出于报复、商业间谍、社会工程攻击、受到胁迫等各种意图，甚至是人员疏忽导致数据泄露。

内部人员常见的泄密方式，除了常用的U盘拷贝、网络发送、邮件泄密等途径，还包括但不限于网线直连、虚拟机中转、WinPE模式启动系统、网络中转、数据变形、隐写术、外设中转等高阶泄密方式。

常见的防护措施包括机箱加固，封死USB口、串口，纯内网办公环境，部署DLP数据防丢失系统等物理、行政和技术方面的方式。这些方式在一定程度上可以拦截普通用户的数据泄露，但技术水平高的用户往往掌握企业重要数据。

在信息安全治理的过程中，一直强调最小特权原则和知其所需、知其必须原则，给予用户在使用关键资源时最小的特权，保障其能够完成工作即可，防止用户访问到其不该知晓的信息，从根本上防止机密数据扩散。

最小特权的最佳示例是沙箱（SandBox，又称沙盒），沙盒是一种安全机制，为运行中的程序提供隔离环境，通常是作为对来源不明、或者是破坏力不明的恶意程序的实验观察工具。沙盒通常严格控制其中的程序所能访问的资源，比如，沙盒可以提供用后即回收的磁盘及内存空间。在沙盒中，网络访问、对真实系统的访问、对输入设备的读取通常被禁止或是严格限制，防止沙盒内的进程数据逃逸到外部。

那能否套用沙盒的概念，将关键的数据、进程放到一个密封隔离的环境内，这些数据、进程可以在隔离环境内使用，但无法将数据从隔离环境内部拿出。

调研发现，现在市场上大多终端防泄密都是通过文档加密的方式，在有软件认证的环境内，文档可以解密使用，文档在软件认证环境外，打开是乱码，该形式可在一定程度上防止普通水平的用户将数据泄露。但高水平用户可以通过非常规手段将数据拷贝传输出来。

该类型软件不符合沙盒的概念，又发现一款SDC沙盒软件，采用沙盒的理念，接管整个系统，对系统做一个环境加密。在环境内，系统、进程运行、数据使用都是正常操作，不受影响。但是，如果想要将数据从电脑上拿出来，操作是失败的，直接执行拦截。仔细研究之后，发现该软件有多个设计巧妙之处。

巧思

首先，软件安装之后，会对系统的磁盘执行加密，这样就防止硬件丢失后，磁盘数据被扫描恢复。磁盘加密之后，只有在正常进系统之后，沙盒软件会接管系统，这些加密磁盘的数据能正常读写，而且对于使用者来说，这个加密是无感的，只有在PE模式、磁盘挂载到其他系统时，用户才会发现，磁盘是打不开，数据是读不到的。

其次，软件安装之后，会对网络进行接管，正常情况下，是无法访问网络，直接切断通过网络传输的形式将数据泄露，但是，它能与公司内其他安装有该软件的电脑进行通信。还可以通过软件的设置，允许浏览器、即时通讯工具上网，或者是开发软件上午，具有很大的灵活性。

再次，软件安装之后，接管外设驱动，U盘设备数据只可往电脑内部拷贝，不可将机密数据拷贝到U盘内，避免U盘的使用导致数据泄露。串口烧录也有专门的驱动控制，可对有烧录开发需求的企业提供认证、过滤、备份、审计功能。

最后，使用此类软件时，都考虑到软件与自身网络环境、应用环境的兼容性，SDC沙盒软件从系统底层出发，兼容性好。

综合来讲，SDC沙盒软件是一款能够实现针对内部员工的数据防泄密需求的软件，且能防住高水平泄密手段，且完全的自主研发，也有众多国内大企业在使用。