截图、U盘、代码打印、日志输出……程序员想带走数据,比你想象的容易100倍
最近公司上了一套私有化IM(企业微信私有版),老板觉得“安全了”。
但我心里清楚:IM私有化 ≠ 数据安全。
为什么?
因为员工想带走数据,根本不需要通过IM。
一个截图、一个U盘、一段日志输出、甚至一个串口烧录……
数据就能悄无声息地流出去。
今天我就跟大家聊聊:
网管真正该担心的泄密漏洞有哪些,以及怎么用一套方案把它们全堵上。
一、你以为的“安全”,其实到处是漏洞
我们先用一个真实场景举例:
研发部小王,用公司私有化IM收到一份核心代码压缩包。
他随手复制代码片段到个人微信,截图发到技术群,甚至用U盘拷走。
你查IM日志?什么都查不到。
因为泄密,根本不是在IM里发生的。
这就是典型的问题:
IM本身再安全,数据一旦落地到终端,你就失控了。
常见泄密方式:
- 截图 / 录屏、U盘 / 移动硬盘拷贝、邮件 / 微信 / QQ 外发、打印 / 刻录;
- 网络上传,通过在公网上自建一个上传服务器,绕过上网行为管理;
- winPE启动,通过光盘或U盘的winPE启动,甚至直接用ISO镜像启动;
- 把代码写到Log日志文件中,或把代码写到共享内存,然后另一个程序读走;
- 编写进程间通信程序,把代码通过socket,消息,LPC,COM,mutex,剪切板,管道等进程间通信方式,中转把数据发走;
- 对于嵌入式开发场景,可以通过串口,U口,网口把代码烧录到设备中转泄密。虚拟机,通过安装VMWare虚拟机,在虚拟机内使用外设U盘,网络;
- 其他非受控电脑中转,即把数据拷贝给网络内其他非受控电脑上,中转;
最后那几条,程序员随手就能写个程序搞定,传统DLP根本防不住。
二、解决方案:
✅ 方案一:把企业IM升级为沙箱化加密IM工具。
通过深信达SDC沙箱,将企业IM升级为沙箱化加密IM工具。
升级为加密IM后,在不影响正常使用的同时,实现以下功能:
IM内聊天内容无法复制到IM外
IM内传输的文件无法另存到IM外
IM聊天窗口无法被截图
IM聊天内容无法被打印、刻录、另存U盘
IM内收到的文件可以进行编辑后在IM内发送不泄露
IM内收到的链接访问仍然受保护
✅ 方案二:把深信达SDC沙箱集成为企业IM的数据保密工具
通过将深信达SDC沙箱集成到企业IM,所有传输文件皆受沙箱保密管控。
升级为加密IM后,在不影响正常使用的同时,实现以下功能:
文件上传自动流入SDC沙箱加密区域
文件修改保存仅能保存在沙箱内
文件下载自动载入SDC沙箱加密区域
企业IM内流转的文件无法被截图泄露
企业IM内流转的文件无法被打印、刻录、另存U盘
企业IM其他使用行为不受沙箱管控,不影响使用习惯或效率
三、和传统文档加密比,强在哪?
|
产品 |
SDC沙箱(代码级) |
文档加密产品 |
|
设计理念 |
代码级安全,不区分进程和文件类型,是一个容器。 |
文档级安全,绑定进程和文件类型,对保存的文件进行透明加密解密 |
|
管控人员 |
精通电脑的,会编程的研发人员 |
主要针对不太懂电脑的办公人员。 |
|
管控内容 |
涉密空间内的文档文件和非文件数据(业务系统表单,数据库) |
指定进程保存的文档文件 |
|
抗破解度 |
可以抵御会编程的人,可支持各种数据变形 |
可以抵御办公人员,会编程人员可以秒破,比如数据变形 |
|
复杂大型图纸加密 |
可以,且无速度损耗,速度快 |
可以,但速度损耗大 |
|
文件破损 |
无文件破损 |
小文件不会破损,大文件容易破损 |
转载自CSDN-专业IT技术社区
原文链接:https://blog.csdn.net/lygtian/article/details/160458531
