沙盒U盤-移動安全辦公解決方案

1酌予、系統(tǒng)架構(gòu)

深信達U盤沙盒移動安全辦公環(huán)境系統(tǒng)(沙盒防泄密系統(tǒng))由管理端，客戶端二部分組成。管理端是整個系統(tǒng)的控制中心缚窿，可以編輯定制修改客戶端策略端礼；客戶端是內(nèi)嵌在U盤里的安全辦公環(huán)境弱睦。

管理端：

對系統(tǒng)中的客戶端進行策略管理原叮，組織管理务漩；客戶端日志收集温赔；

企業(yè)加密密鑰管理蛤奢；客戶端卸載管理；機密服務(wù)器，外發(fā)審核服務(wù)器認證管理啤贩；

客戶端：

透明加密解密待秃，真正和格式無關(guān)的加密”砸伲可信網(wǎng)絡(luò)認證章郁，機密資源認證。

打印控制志衍，禁止打印暖庄，指定打印機打印，打印內(nèi)容日志回傳楼肪。

離線控制培廓；文檔外發(fā)等
 

2、基本功能

2.1客戶端涉密文件自動加密

采用內(nèi)核級縱深加密技術(shù)春叫，對所有涉密文件都進行透明加密處理肩钠，真正做到不區(qū)分文件格式，不區(qū)分軟件類型象缀。只要是涉密信息蔬将，不管Office系列，PDF等常用文檔央星，還是AutoCAD等制圖類軟件霞怀，或者是Microsoft Visual Studio, Eclipse等軟件開發(fā)工具，一律自動加密莉给，不但包括源代碼毙石，源圖紙，而且編譯中間文件等都自動加密颓遏，關(guān)鍵的是不影響本地編譯徐矩，不影響性能。對于需要提交服務(wù)器進行編譯的也能輕松適用叁幢。

客戶端透明加密解密示意圖

加密的數(shù)據(jù)不能通過移動存儲(如U盤)滤灯，光盤，網(wǎng)絡(luò)曼玩，郵件鳞骤，文件另存，內(nèi)容復(fù)制黍判，截屏錄屏等泄密途徑泄密豫尽，甚至把硬盤拔走都不會造成泄密。

2.2涉密網(wǎng)絡(luò)內(nèi)部通暢顷帖，隔離外來PC

進入涉密沙盒模式下的客戶端美旧，形成一個涉密地渤滞，安全的網(wǎng)絡(luò)空間，在涉密網(wǎng)絡(luò)內(nèi)部榴嗅，信息傳輸是透明的妄呕，流暢的。傳輸方式包括文件共享嗽测，C/S,B/S構(gòu)架的應(yīng)用趴腋，和布置SDC前比，沒什么區(qū)別论咏。涉密網(wǎng)絡(luò)內(nèi)优炬，飛秋，IPMSG等局域網(wǎng)內(nèi)部聊天工具照程埃可以使用蠢护。

但是，沒有進入沙盒模式的客戶端养涮，或者外來PC接入網(wǎng)絡(luò)葵硕，由于無法通過認證，立即被隔離贯吓，成為孤島懈凹，不能訪問機密服務(wù)器，不能訪問其他涉密客戶端悄谐，局域網(wǎng)通訊工具也無法和涉密的客戶端進行對話介评。

外來PC被隔離示意圖

2.3非涉密受限白名單

在策略允許前提下，客戶端在涉密工作的同時爬舰，在保證不會泄密的前提下们陆，允許安某些程序進行非涉密上網(wǎng)。在策略允許的前提下情屹，上網(wǎng)可以進行的行為包括：

--瀏覽互聯(lián)網(wǎng)進行必要的資料查詢坪仇；

--QQ,微信的使用；

--非涉密郵件的使用垃你，如WebMail或者OutLook/Foxmail的非涉密收發(fā)郵件椅文；

上述非涉密上網(wǎng)過程中，涉密的文件內(nèi)容無法通過復(fù)制粘貼惜颇，文件上傳皆刺，鼠標(biāo)拖拽，屏幕截取等方式被非涉密程序使用官还。

舉例說明：用戶正在編輯涉密的一個AutoCAD圖紙芹橡，此時可以通過IE上互聯(lián)網(wǎng)查找資料毒坛，通過QQ和業(yè)內(nèi)人士討論望伦，但是涉密AutoCAD中的圖片林说，文字，文件等都無法通過IE和QQ發(fā)送出去屯伞。QQ的截屏等任何截屏軟件腿箩，錄屏軟件都無法截去涉密AutoCAD畫面。劣摇。

當(dāng)然珠移，如果覺得該員工上網(wǎng)會影響工作效率的話，通過策略設(shè)定末融，可以把外網(wǎng)完全斷開钧惧。安全隔離上網(wǎng)功能，極大地提高了員工查找資料的便利性勾习。

安全隔離非涉密受限上網(wǎng)示意圖

2.4打印內(nèi)容日志

系統(tǒng)默認策略是不允許打印浓瞪，當(dāng)需要打印時，可以指定打印機進行打印巧婶，但是打印的首頁面內(nèi)容將被記錄并傳會服務(wù)器乾颁，以備日后審計。

以上艺栈，為加密軟件的主要功能英岭，詳細功能列表后附。

通過深信達沙盒防泄密軟件和U盤系統(tǒng)相結(jié)合湿右，除了受限于U盤本身硬件限制外诅妹，在其他方面深信達加密U盤遠優(yōu)于其他便攜式辦公，并且更具有價格上的優(yōu)勢毅人。并且內(nèi)置的SDC沙盒防泄密軟件漾唉，可以有效的保護機密文件外泄，為企業(yè)數(shù)據(jù)安全保駕護航堰塌。

3赵刑、盤沙盒移動安全辦公環(huán)境基本參數(shù)

包含了U盤沙盒移動辦公環(huán)境軟件的的U盤，主要由高速固態(tài)U盤硬件和深信達沙盒防泄密軟件組成场刑。

深信達加密U盤使用高速固態(tài)U盤制作般此，讀寫速度Seq寫入：260MB/S,Seq讀取：260MB/S牵现，采用企業(yè)級SLC芯片铐懊，擁有10萬PE級別的壽命，U盤本身耐用程度高瞎疼，安裝系統(tǒng)穩(wěn)定科乎。既適合長期存儲數(shù)據(jù)也適合日常讀寫非常頻繁的客戶。

深信達加密U盤內(nèi)置Win10企業(yè)版系統(tǒng)贼急，不依賴于硬件可在大部分電腦上運行啟動茅茂，可以良好的兼容USB 2.0和USB 3.0連接以及BIOS和UEFI固件捏萍。為防止系統(tǒng)數(shù)據(jù)的丟失，如在U盤系統(tǒng)打開狀態(tài)U盤被移除空闲，系統(tǒng)將處于“凍結(jié)”狀態(tài)令杈，用戶要在60秒內(nèi)插回U盤才能繼續(xù)運行。否則電腦將自動關(guān)閉碴倾，為防止顯示在屏幕上的或儲存于RAM的信息被泄漏逗噩。

深信達加密U盤的操作和任何其他Windows一樣，但一些例外情況除外跌榔。這些例外情況包括：

• 內(nèi)部磁盤處于離線狀態(tài)异雁。為確保數(shù)據(jù)不會意外泄露，啟動進入 加密U盤工作區(qū)時僧须，主計算機上的內(nèi)部硬盤處于離線狀態(tài)片迅。誠如將 加密U盤插入正在運行的系統(tǒng)時，加密U盤將不在 Windows 資源管理器中顯現(xiàn)一樣皆辽。
• 默認情況下柑蛇，禁用存儲。通過存儲授權(quán)的應(yīng)用程序?qū)⑦B接到硬件上進行授權(quán)驱闷。如果加密U盤不會在多臺主機之間漫游耻台，則可以啟用存儲。

4空另、計算機系統(tǒng)支持

·    不支持從運行 Windows RT的計算機運行 盆耽。

·    僅支持在2012年之后的 Mac 計算機上運行 。

·    需要滿足Windows 8的硬件要求扼菠。

·    BIOS需要支持USB啟動摄杂。