# SDC沙箱防泄密方案全景解读
## 一、方案定位
SDC沙箱(Secret Data Cage)是面向研发、设计、制造等高价值场景的**容器级防泄密系统**。它将“内核级纵深加密+零信任+模块化隔离”三种能力叠加在同一客户端,形成“只进不出”的数据流向控制,让源代码、CAD图纸、GIS影像等核心资产**可用不可拿**。
## 二、技术架构(四件套)
1. 管理端(MC)——策略中心、密钥中心、审计中心
2. 机密端(SC)——密文仓库,仅沙箱客户端可连接
3. 外发审核『服务器』(OC)——审批、水印、次数/时限控制
4. 沙箱客户端(AC)——容器引擎、驱动套件、零信任代理
所有组件支持单机合并或分布式部署,『Windows』/Linux/信创三平台一套授权。
## 三、核心功能
1. **容器级环境加密**
- 磁盘/文件/网络三重过滤驱动,在系统盘之外建立加密容器;落盘即密文,读盘自动解密,应用零感知。
- 与进程、文件格式、文件大小无关,不修改文件自身结构,避免大文件编译失败或速度损耗。
2. **代码级纵深管控**
- 控制台重定向、Socket、管道、共享内存、Log打印、截屏、录屏、烧录、虚拟机镜像导出等20+高级变形通道全部拦截。
- 研发人员常用手段(重命名进程、调试器转存、内存搜索)无法绕过。
3. **零信任+微隔离**
- 每次访问需身份-设备-环境三重验证;策略可随用户行为动态收紧。
- 单终端可同时接入多安全域(红/蓝/绿区),域间数据流转需审批。
4. **模块化沙箱形态**
- 重型沙箱:高密研发、源代码、大型图纸,全容器加密。
- 轻型沙箱:普通办公、轻保密,仅业务系统窗口加密,本机其余区域不受限。
- 反向沙箱(SPN):安全上网场景,主机与外网物理隔离,沙箱内上网,数据单向流入。
5. **外发持续控制**
- 审核流程支持多级会签、移动端审批。
- 外发文件自带密码、次数、时长、硬件指纹、水印五重控制,防止二次扩散。
6. **信创与国密合规**
- 支持龙芯/飞腾/兆芯/鲲鹏 + 麒麟/统信/UOS;内置 SM2/SM3/SM4 算法,通过国密局二级模块认证,满足等保 2.0 和行业密评要求。
## 四、典型应用场景
- **源代码与算法**:VC、Eclipse、IDEA、Git/SVN 全链路加密,调试、编译、烧录无卡顿。
- **大型 CAD/CAE**:10 GB 级装配体实时加密,无速度损耗,支持 STEP、CATPart、SolidWorks 等格式。
- **GIS/遥感影像**:Tiff、Img、HDF 单文件百 GB 级别,加密读写与本地打开速度一致。
- **嵌入式烧录**:通过 SafeBoX 端口过滤网关,对 J-Link、ST-Link、串口、并口数据流做白名单+审计,确保烧录文件不落地。
- **安全上网**:反向沙箱提供外网查阅资料环境,主机数据无法复制、截屏、上传到外网,实现“上网不涉密,涉密不上网”。
## 五、部署与运维
1. **快速上线**:PoC 阶段 1 天安装,20 台终端即可验证;批量推送支持 AD、域脚本、云桌面模板。
2. **灰度策略**:先轻型后重型,先办公后研发,降低业务冲击。
3. **一人千点**:Web 集中管控,策略、补丁、版本远程灰度,单管理员可维护 1000+ 终端,年均运维工时下降 60 %。
## 六、客户成效
- **无人机龙头**:阻断“控制台重定向 + 压缩包”外泄,日志精准定位到人。
- **大型金融机构**:18 个月 2.3 万次外发请求零成功绕过,一次性通过监管审计。
- **汽车电子厂商**:800 点研发环境,3 年 TCO 比原计划 VDI 节省 322 万元,烧录效率提升 15 %。
## 七、总结
SDC 沙箱以“容器级加密+零信任+模块化”三位一体,为企业提供**可用、可审、可管、可合规**的硬隔离方案,让核心数据“只进不出”,让降本增效“看得见、算得清”。在预算紧缩与威胁升级的双重压力下,它是兼顾安全、成本与效率的务实选择。
