驳斥《沙盒用于数据防泄密是重大技术原理性失误》

驳斥《沙盒用于数据防泄密是重大技术原理性失误》

 

最近网上出现了一篇名为《沙盒用于数据防泄密是重大技术原理性失误》的文章，作为国内唯一把沙盒技术运用于数据加密防泄密领域的研发者-----深信达公司在此回应，虽然此文明显是针对深信达公司，但深信达公司是注重科研为第一生产力的加密厂商，一贯倡导自由，公平，良性，有序的市场竞争环境，深信达从来不会搞恶性竞争，更不会主动攻击对手，目前出现的客户方选择深信达沙盒防泄密产品替换该公司产品现象，也完全是正常的市场优胜劣汰行为，深信达公司无意和任何一个加密厂家搞对立和进行恶意竞争。

此处，仅对该文（《沙盒用于数据防泄密是重大技术原理性失误》）中的诸多的论述错误，做一些指正，以免误导各位读者。

 

一、关于沙盒技术原理

该文（《沙盒用于数据防泄密是重大技术原理性失误》）中通过安全浏览器，杀毒中使用沙盒(Sandbox)技术，然后就下结论说“防外不防内”，其实这是一个初学者容易犯的一个技术误区。

沙盒技术的核心是对用户空间的虚拟和行为限制以及结果隔离。所谓虚拟，就是对用户的行为，按照严格的规则，进行虚拟化处理，让用户感受到和真实中一样操作；所谓隔离，就是对数据进行分离隔离，只进不出或者只出不进或者彻底物理分开。

在日常的计算机应用中，并不是从SandboxIE开始使用这类技术的，大家熟知的各种IE浏览器，WebIIS，JavaVM等，都有用到虚拟和行为限制，隔离技术。举个简单的例子，IE打开一个网页，网页的脚本运行在浏览器的虚拟空间内，该脚本是不允许访问本机的物理目录和文件等资源的，否则就没安全性可言了。

 

二、关于沙盒技术应用于数据防泄密领域的动因

该文（《沙盒用于数据防泄密是重大技术原理性失误》）中称的动因，作为此技术的研发者，并不认可。

真正的动因是：沙盒既然可以隔离病毒对真实环境的改变，那么在这个虚拟空间内，也应该可以阻止用户的不法操作，这也就形成了沙盒涉密空间概念。在此基础上，继续创新，结合系统的磁盘驱动，卷驱动，文件过滤驱动，网络过滤驱动，应用层引擎等内核级驱动技术，深信达公司研发出了沙盒加密系统，真正把沙盒技术用于数据防泄密上，这的确是一项创新。一般的初学者估计比较难理解如何使用这么多内核驱动技术，所以有质疑声也是可以理解的。

 

三、沙盒加密用于数据防泄密的效果

沙盒加密是在文件透明加密和磁盘加密基础上，结合沙盒原理，而发展起来的内核级纵深加密体系，属于第三代内核纵深加密技术。磁盘过滤驱动，卷过滤驱动，文件过滤驱动，网络过滤驱动，每个过滤层都只做自己最擅长的事情，所以特别稳定，速度快，性能可靠，并且没有磁盘加密产品的漏洞问题。

由于内核级纵深透明加密技术要求高，涉及技术领域广，极其复杂，开发周期长，所以国内拥有该开发能力的厂商不多。目前，深信达公司推出的SDC机密数据保密系统，给人眼前一亮的感觉，其产品是第三代透明加密保密技术的典型产品，其产品主要特点是：

1）采用了磁盘过滤，卷过滤，文件过滤，网络过滤等一系列纵深内核加密技术，采用沙盒加密，和文件类型和软件无关，沙盒是个容器。

2）在操作涉密数据的同时，不影响上外网，QQ,MSN等。

3）保密彻底，包括网络上传，邮件发送，另存，复制粘贴，屏幕截取等，特别是屏幕保密，做得非常炫。

4）服务上存放的是明文，客户端存放的是密文，文件上传服务器自动解密，到达客户端自动加密。服务器上明文，减少了业务连续性对加密软件的依赖。并且通过策略设定，客户端涉密文件可以自动向服务器备份，防止员工恶意删除本地文件；

5）不但可以针对普通文档图纸数据进行保密需求，同时更是研发性质的软件公司(游戏，通讯，嵌入式，各种BS/CS应用系统)源代码保密首选。

6）烧录白名单功能，只有符合要求的bin/hex等文件才能烧录到设备中，并且都被审计。

7）所有打印内容都审计并被记录，比如一个10页的文档，如果允许其打印10页内容全部被记录下来。

 

四、总结

沙盒加密技术是原有磁盘加密产品的升级替代产品，技术得到升级优化，感兴趣的，不相信的，自己实际动手测试一下就明白了。获取软件方法：直接访问深信达公司官方网站，联系客服人员即可。