比較內容

安全容器(SDC沙盒)

DLP

文檔加密

云桌面

代表廠家

*信達

賣咖啡、賽門貼科

億*通、IP噶德、*盾、*途

四杰、深*服

設計理念

以隔離容器加準入技術為基礎，構建只進不出，要出需走審批的數據安全環境，環境內數據一視同仁，不區分文件格式，一律保護。

以內容識別和分析為基礎，對郵件、U盤拷貝等形式外發的文件進行內容識別，一般是通過尋找敏感關鍵字來定安全策略，并進行記錄或阻止

以文件透明加密解密技術為基礎，對指定格式的文件進行環境內透明加密解密。

本地不保留數據，所有工作數據都在服務器上

實現方式

通過磁盤過濾驅動、卷過濾驅動、文件過濾驅動、設備過濾驅動、網絡過濾驅動等構建內核級縱深防御容器安全環境，環境內數據透明加密解密。環境外數據只進不出。

以客戶端引擎為中心，先對內部文進行掃描識別內容并定級，然后配合郵件、U盤等常見協議進行解析，發現發送敏感內容即阻攔或報警。

通過文件過濾驅動對指定進程、指定格式的文件的讀寫進行透明加密解密。

通過在服務器端虛擬出若干工作環境，讓使用者遠程登陸使用。

基本防護
（郵件、U盤、網盤、網絡）

被劃入安全工作環境內的所有數據都不能外發，要發需要走審批脫密。外部的數據可以自由進來

對進出的文件內容進行識別，發現為敏感的內容和文件進行攔截或報警

文件可以自由發，不受限制，但被加密的指定格式的文件發到外部是亂碼

通過物理斷網隔離，本地無文件，實現安全。郵件、U盤、網絡一旦開通，即無管控

虛擬機防護

容器內可以用VMWare虛擬機，虛擬機遵循容器的安全規則。

虛擬機可以繞過客戶端引擎，把數據文件可通過虛擬機中轉發出。

虛擬機內操作無法管控，但已經加密的文件，通過虛擬機中轉出是密文。

本身是虛擬機

WinPE啟動盤

從WinPE啟動盤啟動，看到容器內數據都是加密的

從WinPE啟動盤啟動，可以任意拷貝數據繞過DLP引擎

從WinPE啟動盤啟動，看到指定格式的加密文件仍為加密文件

不支持Win PE盤啟動

工具殺進程

通過工具殺掉沙盒進程，各驅動仍然工作，容器龜縮防御，控制有效

殺掉DLP引擎，控制無效，所有數據自由進出

殺掉進程，文件過濾驅動還在，加密仍然有效。

沒進程可殺

比較內容

安全容器(SDC沙盒)

DLP

文檔加密

云桌面

數據變形
(基本)

變換格式另存、壓縮改名，都在容器內轉，仍然有效控制。

變換格式另存、壓縮改名，特別是加密碼壓縮，可以繞過引擎檢查。

變換格式另存、壓縮改名，有繞過可能。

數據都在服務器上，但不能允許使用網絡和外設

數據變形
(高級)

通過編程創建新進程進行打印輸出另存、日志、socket通信、管道、共享內存等方式無法泄密。把代碼轉成網頁并通過IIS或tomcat發布無法脫離容器，即無法泄密。

通過編程創建新進程進行加密輸出另存、日志、socket通信、管道、共享內存、網頁等方式可以輕松繞過DLP引擎

通過編程創建新進程進行打印輸出另存、日志、socket通信、管道、共享內存等方式可以泄密。把代碼轉成網頁并通過IIS或tomcat發布可以泄密。

數據都在服務器上，但不能允許使用網絡和外設。網絡和外設需要另行管控

非文件數據

對環境內CRM、ERP系統內的非文件數據和表單報表，可以管控

CRM、ERP系統內的非文件數據和表單報表，可以管控

CRM、ERP系統內的非文件數據和表單報表，無法管控，但可以對文件附件加密。

數據都在服務器上，但不能允許使用網絡和外設

大文件/重軟件

無影響

分析困難

大文件有破損概率，編譯類軟件容易報錯

性能慢，UG等不用想，3D類比投入

智能端口
(U/網/串/并口)

通過智能端口的協議解析，對設備進行接入準入，并對下傳燒錄的數據做內容審計。

只能禁用，如允許則無管控

無管控，僅對支持的加密格式文件下傳不解密

只能禁用，一旦允許使用，就無控制。

支持OS

Windows/linux/中標麒麟

Windows(linux不明)

Windows，部分廠家支持linux

Windows/linux/中標麒麟

優點

針對所有數據，和格式無關，和文件大小無關，可針對代碼開發者

容易部署，符合國外習慣

簡單明了，客戶容易理解

運維方便，看上去很安全并高大上

缺點

不夠靈活，部署費力

性能慢，過于依賴客戶端引擎，易繞過

技術單一，運維困難，軟件升級是噩夢

成本高，效果差，性能低

適用客戶

代碼研發類企業，并提供研發輸出產品加固加密

外資企業，大型企業

Office辦公類企業（文檔、圖紙）

大型企業，有錢金主，封閉環境

建議

只做研發型企業

安全性要求不高的大型企業

建議做中小辦公設計類企業

建議內嵌SDC沙盒的智能端口，就完美了