工业控制系统的设备如何加密防勒索病毒

场景描述

信息化时代发展迅速,数据防泄露一词也频繁的出现在我们身边。无论企业或政府单位,无纸化办公场景越来越多,数据泄露的时间也层出不穷。例如:世界最大职业中介网站Monster遭到黑客大规模攻击,黑客窃取在网站注册的数百万求职者个人信息,并进行勒索;程序员程稚瀚四次侵入北京移动充值中心数据库,盗取充值卡密码,获利300 多万元。2003 年广东联通7 名人员,利用内部工号和密码,对欠费停机手机进行充值,使联通损失260 万元。2005 年12 月25 日,美国银行披露,2004 年12 月下旬,丢失了包括1200 万信用卡信息的磁带备份.。这类电子文档及业务数据的保护,是我们不得不要面对的问题。

客户痛点

1、 线上交易、远程办公、第三方接入等内外因素,要求数据安全管理粒度更精细;

2、 内部威胁越来越严重,研发、IT运维、获客、运营内控、员工离职越来越成为数据泄露的主因;

3、 与客户、渠道、外包、供应商的业务交互增多,“管控盲区”更易出现安全泄漏。

4、 外部攻击升级,非法获权、非法设备接入、中间人攻击、针对终端攻击等手段,传统安全手段难以应对。

解决方案

深信达SDC沙盒数据防泄密系统,是专门针对核心数据防泄密的保护系统。通过虚拟沙箱技术,在操作系统中生成虚拟的沙盒空间,空间内数据只进不出,要出必须走审批,并结合多种底层驱动控制,实现用户PC公私隔离的效果。各类业务系统服务器也只能在空间内访问,构建出闭环的数据流转环境,保证图文档及业务数据的安全。

工业控制系统的设备如何加密防勒索病毒_第1张图片

竞品分析

比较内容 安全容器(SDC沙盒) DLP 文档加密 云桌面
代表厂家 *信达 卖咖啡、赛门贴科 亿*通、IP噶德、*盾、*途 四杰、深*服
设计理念 以隔离容器加准入技术为基础,构建只进不出,要出需走审批的数据安全环境,环境内数据一视同仁,不区分文件格式,一律保护。 以内容识别和分析为基础,对邮件、U盘拷贝等形式外发的文件进行内容识别,一般是通过寻找敏感关键字来定安全策略,并进行记录或阻止 以文件透明加密解密技术为基础,对指定格式的文件进行环境内透明加密解密。 本地不保留数据,所有工作数据都在服务器上
实现方式 通过磁盘过滤驱动、卷过滤驱动、文件过滤驱动、设备过滤驱动、网络过滤驱动等构建内核级纵深防御容器安全环境,环境内数据透明加密解密。环境外数据只进不出。 以客户端引擎为中心,先对内部文进行扫描识别内容并定级,然后配合邮件、U盘等常见协议进行解析,发现发送敏感内容即阻拦或报警。 通过文件过滤驱动对指定进程、指定格式的文件的读写进行透明加密解密。 通过在服务器端虚拟出若干工作环境,让使用者远程登陆使用。
基本防护
(邮件、U盘、网盘、网络)
被划入安全工作环境内的所有数据都不能外发,要发需要走审批脱密。外部的数据可以自由进来 对进出的文件内容进行识别,发现为敏感的内容和文件进行拦截或报警 文件可以自由发,不受限制,但被加密的指定格式的文件发到外部是乱码 通过物理断网隔离,本地无文件,实现安全。邮件、U盘、网络一旦开通,即无管控
虚拟机防护 容器内可以用VMWare虚拟机,虚拟机遵循容器的安全规则。 虚拟机可以绕过客户端引擎,把数据文件可通过虚拟机中转发出。 虚拟机内操作无法管控,但已经加密的文件,通过虚拟机中转出是密文。 本身是虚拟机
WinPE启动盘 从WinPE启动盘启动,看到容器内数据都是加密的 从WinPE启动盘启动,可以任意拷贝数据绕过DLP引擎 从WinPE启动盘启动,看到指定格式的加密文件仍为加密文件 不支持Win PE盘启动
工具杀进程 通过工具杀掉沙盒进程,各驱动仍然工作,容器龟缩防御,控制有效 杀掉DLP引擎,控制无效,所有数据自由进出 杀掉进程,文件过滤驱动还在,加密仍然有效。 没进程可杀
比较内容 安全容器(SDC沙盒) DLP 文档加密 云桌面
数据变形
(基本)
变换格式另存、压缩改名,都在容器内转,仍然有效控制。 变换格式另存、压缩改名,特别是加密码压缩,可以绕过引擎检查。 变换格式另存、压缩改名,有绕过可能。 数据都在服务器上,但不能允许使用网络和外设
数据变形
(高级)
通过编程创建新进程进行打印输出另存、日志、socket通信、管道、共享内存等方式无法泄密。把代码转成网页并通过IIS或tomcat发布无法脱离容器,即无法泄密。 通过编程创建新进程进行加密输出另存、日志、socket通信、管道、共享内存、网页等方式可以轻松绕过DLP引擎 通过编程创建新进程进行打印输出另存、日志、socket通信、管道、共享内存等方式可以泄密。把代码转成网页并通过IIS或tomcat发布可以泄密。 数据都在服务器上,但不能允许使用网络和外设。网络和外设需要另行管控
非文件数据 对环境内CRM、ERP系统内的非文件数据和表单报表,可以管控 CRM、ERP系统内的非文件数据和表单报表,可以管控 CRM、ERP系统内的非文件数据和表单报表,无法管控,但可以对文件附件加密。 数据都在服务器上,但不能允许使用网络和外设
大文件/重软件 无影响 分析困难 大文件有破损概率,编译类软件容易报错 性能慢,UG等不用想,3D类比投入
智能端口
(U/网/串/并口)
通过智能端口的协议解析,对设备进行接入准入,并对下传烧录的数据做内容审计。 只能禁用,如允许则无管控 无管控,仅对支持的加密格式文件下传不解密 只能禁用,一旦允许使用,就无控制。
支持OS Windows/linux/中标麒麟 Windows(linux不明) Windows,部分厂家支持linux Windows/linux/中标麒麟
优点 针对所有数据,和格式无关,和文件大小无关,可针对代码开发者 容易部署,符合国外习惯 简单明了,客户容易理解 运维方便,看上去很安全并高大上
缺点 不够灵活,部署费力 性能慢,过于依赖客户端引擎,易绕过 技术单一,运维困难,软件升级是噩梦 成本高,效果差,性能低
适用客户 代码研发类企业,并提供研发输出产品加固加密 外资企业,大型企业 Office办公类企业(文档、图纸) 大型企业,有钱金主,封闭环境
建议 适合安全要求高的企事业单位 安全性要求不高的大型企业 建议做中小办公设计类企业 建议内嵌SDC沙盒的智能端口,就完美了

 

你可能感兴趣的:(数据库)