1. 防止通过网线直连非受控电脑泄密
|--------------|---|----------------------------------------------------------|
| 使用场景 | 通过网线直连非受控电脑传输涉密数据 ||
| 测试要求 | 禁止沙箱内数据通过网线直连的非受控电脑传输,拦截复制、共享写入、局域网传输等操作 ||
| 预置条件 | 1. 环境搭建、初始化完毕,系统运行正常; 2. 准备1台安装沙箱的受控客户端、1台未安装沙箱的非受控电脑,以及网线1根; 3. 受控客户端沙箱内预置涉密文件; 4. 受控客户端通过网线直连非受控电脑后,已成功访问非受控电脑的共享文件夹(能看到文件夹目录,确认网络连通) ||
| 测试步骤 || 预期结果 |
| 1. 用内网网线与非受控电脑直接连接,在受控客户端上,通过 "此电脑" 输入共享文件夹路径,验证能正常访问该文件夹(仅查看,不传输文件); 2. 在受控客户端沙箱内打开预置的涉密文件,右键选择 "复制",尝试粘贴到非受控电脑的共享文件夹,打开沙箱内的文件传输工具,添加涉密文件后,向非受控电脑发送传输请求; || 1. 受控客户端能正常访问共享文件夹目录(网络连通验证通过); 2. 复制粘贴、文件传输、拖拽操作均被沙箱拦截; |
| 测试结果 | □ ||
| 备注 | 针对 "网线直连" 泄密途径 ||
2 . 防止 WinPE 启动窃取涉密数据
|--------------|---|-----------------------------------------------------------------------|
| 使用场景 | 通过 WinPE 介质启动电脑,绕开沙箱访问涉密数据 ||
| 测试要求 | WinPE 环境下无法识别沙箱加密盘及工作空间,拦截涉密数据访问 ||
| 预置条件 | 1. 环境搭建、初始化完毕,系统运行正常; 2. 受控客户端安装沙箱,已创建含涉密数据(如研发代码)的沙箱加密盘;受控客户端沙箱内预置涉密文件; 3. 准备可正常启动的 WinPEU 盘 / 光盘 ||
| 测试步骤 || 预期结果 |
| 1. 将 WinPE 介质插入受控客户端,设置从 WinPE 启动; 2. 进入 WinPE 系统后,查看磁盘分区,尝试访问沙箱加密盘; 3. 用 WinPE 文件管理工具搜索沙箱工作空间目录,尝试读取文件 || 1. WinPE 系统中无沙箱加密盘标识,仅显示普通磁盘; 2. 无法定位沙箱工作空间,无法访问; 3. 无法读取、复制任何沙箱内涉密数据 |
| 测试结果 | □ ||
| 备注 | 针对 "WinPE 启动" 泄密途径 ||
3 . 防止通过虚拟机外设或网络泄密
|--------------|---|-------------------------------------------------------------------------|
| 使用场景 | 在受控客户端的 VMWare 等虚拟机内,通过连接 U 盘外设或使用虚拟机网络,尝试传输沙箱内涉密数据 ||
| 测试要求 | 拦截虚拟机对沙箱涉密数据的访问,禁止通过虚拟机外设、网络外发数据 ||
| 预置条件 | 1. 环境搭建、初始化完毕,系统运行正常; 2. 受控客户端安装沙箱(含涉密文件)及 VMWare / 虚拟机软件,虚拟机已启用 USB 设备和网络支持; 3. 准备空白 U 盘 1 个 ||
| 测试步骤 || 预期结果 |
| 1. 启动虚拟机并进入系统,将 U 盘插入受控客户端,在虚拟机中连接该 U 盘; 2. 在沙箱内打开涉密文件,尝试复制到虚拟机已连接的 U 盘; 3. 关闭 U 盘连接,在虚拟机中打开浏览器,尝试通过网络将沙箱内涉密文件上传至外部服务器 || 1. 复制操作被拦截,弹出 "禁止复制" 提示; 2. 虚拟机网络上传请求被阻断,显示 "网络访问受限",上传失败; 3. U 盘内无涉密文件 |
| 测试结果 | □ ||
| 备注 | 针对 "虚拟机外设 / 网络" 泄密途径 ||
4 . 防止通过非受控电脑中转泄密
|--------------|---|---------------------------------------------------------------------------------------|
| 使用场景 | 将沙箱内涉密数据,通过内网共享、局域网传输工具等方式,中转至同一内网的非受控电脑 ||
| 测试要求 | 拦截沙箱数据向内网非受控电脑的传输,禁止通过共享目录、局域网工具外发涉密内容 ||
| 预置条件 | 1. 环境搭建、初始化完毕,系统运行正常; 2. 受控客户端(安装沙箱,含涉密文件)与非受控电脑处于同一内网,网络互通; 3. 非受控电脑已设置可读写的共享目录,安装局域网传输工具(如飞秋、局域网 QQ); 4. 受控客户端已验证可访问非受控电脑的共享目录和传输工具。 ||
| 测试步骤 || 预期结果 |
| 1. 在沙箱内打开涉密文件(如项目设计方案),尝试通过 "复制 - 粘贴" 操作,将文件写入非受控电脑的共享目录; 2. 打开沙箱内的局域网传输工具,添加涉密文件后,向非受控电脑发送传输请求; 3. 尝试通过拖拽方式,将沙箱内涉密文件拖至非受控电脑的共享目录窗口。 || 1. 复制粘贴、拖拽操作均被沙箱拦截,弹出 "文件共享访问拒绝" 提示; 2. 局域网传输工具显示连接不上; 3. 非受控电脑共享目录中无该涉密文件,所有中转操作均失败; |
| 测试结果 | □ ||
| 备注 | 针对 "非受控电脑中转" 泄密途径,覆盖内网共享、局域网传输工具场景 ||
5 . 防止通过公网自建服务器泄密
|--------------|---|--------------------------------------------------------------------------------------------------------|
| 使用场景 | 在受控客户端沙箱内,通过浏览器或专用上传工具,尝试将涉密数据上传至个人在公网搭建的服务器(如家用 NAS、云服务器) ||
| 测试要求 | 1. 阻断沙箱内数据向公网自建服务器的传输请求,禁止涉密文件上传至非授权公网地址 2. 允许沙箱内访问该公网服务器并下载普通文件,仅限制上传操作 ||
| 预置条件 | 1. 环境搭建、初始化完毕,系统运行正常; 2. 受控客户端安装沙箱,沙箱内预置涉密文件(如核心项目代码压缩包); 3. 准备公网自建服务器(如阿里云 ECS、家用穿透 NAS),搭建 HTTP/FTPS 文件上传服务,记录服务器公网 IP / 域名及上传路径; 4. 受控客户端网络可正常访问该公网自建服务器,提前验证非沙箱环境可正常上传 / 下载文件。 ||
| 测试步骤 || 预期结果 |
| 1. 在受控客户端沙箱内打开浏览器,输入公网自建服务器的下载页面地址,尝试下载普通文件; 2. 在受控客户端沙箱内打开浏览器,输入公网自建服务器的上传页面地址,发起上传请求; 3. 关闭浏览器,使用沙箱内的 FTP 工具,配置服务器地址、账号密码,尝试手动上传涉密文件; 4. 尝试通过命令行工具(如 curl),在沙箱内执行文件上传命令(如curl -T 涉密文件.zip ftp://公网IP/) || 1. 沙箱内可正常访问公网服务器下载页面,普通文件下载操作成功完成; 2. 访问上传页面时禁止访问加密盘,不可上传; 3. FTP 工具连接服务器失败"; 4. 命令行上传无响应,沙箱后台阻断该网络请求; |
| 测试结果 | □ ||
| 备注 | 针对 "公网自建服务器" 泄密途径,覆盖浏览器、FTP、命令行三种上传方式 ||
6 . 防止通过即时通讯工具泄密
|--------------|---|--------------------------------------------------------------------------------------------------------------------|
| 使用场景 | 在沙箱内,通过微信、QQ、钉钉等即时通讯工具,尝试发送涉密文件或截图给外部联系人 ||
| 测试要求 | 阻断沙箱内涉密文件通过即时通讯工具的传输,禁止涉密内容的粘贴、发送、截图分享 ||
| 预置条件 | 1. 环境搭建、初始化完毕,系统运行正常; 2. 受控客户端安装沙箱及微信、QQ、钉钉等客户端,沙箱内预置涉密文件); 3. 即时通讯工具已登录账号,且添加有外部联系人。 ||
| 测试步骤 || 预期结果 |
| 1. 在沙箱内打开涉密需求文档,同时启动微信客户端,打开与外部联系人的聊天窗口,尝试拖拽涉密文档至聊天框发送; 2. 复制涉密文档中的核心文字内容,尝试粘贴到聊天框发送; 3. 对涉密文档页面进行截图,尝试将截图发送给外部联系人; 4. 切换至 QQ、钉钉客户端,重复步骤。 || 1. 拖拽文件发送时,提示 "禁止拖拽涉密文件",传输请求被阻断; 2. 文字粘贴发送失败,聊天框无法粘贴沙箱内的涉密文本内容; 3. 截图被拦截,禁止截屏涉密区; 4. 微信、QQ、钉钉等工具的传输记录中无涉密内容相关记录。。 |
| 测试结果 | □ ||
| 备注 | 针对 "即时通讯工具" 泄密途径,覆盖主流办公、社交类 IM 工具 ||
7 . 防止通过邮件客户端 / 网页邮箱泄密
|--------------|---|-------------------------------------------------------------------------------------------------------------------------------------|
| 使用场景 | 在沙箱内,通过 Outlook 等邮件客户端或网页版邮箱(如网易邮箱、企业邮箱),尝试发送涉密文件或内容至外部邮箱地址 ||
| 测试要求 | 阻断沙箱内涉密数据通过邮件渠道外发,禁止附件上传、涉密文本粘贴发送 ||
| 预置条件 | 1. 环境搭建、初始化完毕,系统运行正常; 2. 受控客户端安装沙箱,沙箱内预置涉密文件; 3. 沙箱内已配置邮件客户端(QQ邮箱),且浏览器可正常访问网页版邮箱,均已登录账号; 4. 准备外部邮箱地址 1 个。 ||
| 测试步骤 || 预期结果 |
| 1. 打开沙箱内的邮件客户端,新建邮件,填写外部邮箱地址为收件人; 2. 点击 "添加附件",选择沙箱内的涉密文件,尝试上传; 3. 复制涉密文件中的核心文本内容,粘贴到邮件正文,点击 "发送"; 4. 关闭邮件客户端,打开浏览器登录网页版邮箱,重复步骤 1-3 的操作; || 1. 涉密文件及压缩包的附件上传操作被拦截,提示 "禁止托盘访问涉密文件"; 2. 涉密文本粘贴至邮件正文失败,提示 "剪切板复制拒绝"; 3. 外部邮箱未收到任何包含涉密内容的邮件; 4. 沙箱日志记录本次违规邮件发送尝试(含邮箱类型、收件人地址、操作时间)。 |
| 测试结果 | □ ||
| 备注 | 针对 "邮件客户端 / 网页邮箱" 泄密途径,覆盖附件上传、正文粘贴两种方式 ||
8 . 防止通过打印 / 扫描设备泄密
|--------------|---|--------------------------------------------------------------------|
| 使用场景 | 在沙箱内,通过连接本地或网络打印机、扫描仪,尝试打印或导出沙箱内涉密文件的纸质 / 电子副本 ||
| 测试要求 | 阻断沙箱内涉密文件的打印、扫描导出操作,禁止生成纸质或电子副本 ||
| 预置条件 | 1. 环境搭建、初始化完毕,系统运行正常; 2. 受控客户端安装沙箱,沙箱内预置涉密文件; 3. 受控客户端已连接本地打印机,且可访问内网网络打印机; 4. 准备扫描仪 1 台,已配置好扫描至电脑的电子导出功能。 ||
| 测试步骤 || 预期结果 |
| 1. 在沙箱内打开涉密设计图纸,点击文件菜单中的 "打印" 选项,选择本地打印机,发起打印请求; 2. 切换打印机为内网网络打印机,重复步骤 1 的打印操作; 3. 将涉密文件的纸质草稿放入扫描仪,在沙箱内启动扫描软件,尝试将扫描内容导出为 PDF 格式保存至本地; || 1. 本地 / 网络打印机打印请求被拦截,弹出 "打印拒绝" 提示,打印机无响应; 2. 网络打印机打印拒绝。 3. 扫描操作失败; |
| 测试结果 | □ ||
| 备注 | 针对 "打印 / 扫描设备" 泄密途径,覆盖本地 / 网络打印机 ||
9 . 防止通过剪贴板窃取涉密内容
|--------------|---|------------------------------------------------------------------------------------------------|
| 使用场景 | 将沙箱内涉密文本 / 文件路径复制到剪贴板,尝试在沙箱外粘贴使用,或通过剪贴板同步工具传输至外部设备 ||
| 测试要求 | 限制沙箱内剪贴板内容的跨域流转,禁止沙箱外读取沙箱内剪贴板数据,阻断剪贴板同步工具的传输请求 ||
| 预置条件 | 1. 环境搭建、初始化完毕,系统运行正常; 2. 受控客户端安装沙箱,沙箱内预置涉密文本和文件; 3. 受控客户端安装剪贴板同步工具(如 Ditto、系统自带剪贴板历史),并开启跨设备同步功能; 4. 准备 1 台外部终端(如个人手机),已绑定剪贴板同步工具账号。 ||
| 测试步骤 || 预期结果 |
| 1. 在沙箱内打开涉密文档,复制核心文本内容或涉密文件的完整路径,切换到沙箱外的系统桌面,新建文本文档,尝试粘贴剪贴板内容; 2. 打开剪贴板同步工具,查看是否同步了沙箱内复制的涉密内容; 3. 在外部终端登录同一剪贴板同步账号,查看是否能获取沙箱内的剪贴板数据。 || 1. 沙箱外粘贴操作失败,文本文档中无任何涉密内容,提示 "剪贴板复制拒绝"; 2. 剪贴板同步工具中无沙箱内复制的涉密数据记录; 3. 外部终端无法获取沙箱内的剪贴板内容,同步列表为空; |
| 测试结果 | □ ||
| 备注 | 针对剪贴板跨域 / 跨设备泄密途径,覆盖本地剪贴板和同步工具场景 ||
10 . 防止通过远程控制工具泄密
|--------------|---|-------------------------------------------------------|
| 使用场景 | 在受控客户端沙箱内,通过 ToDesk、向日葵等远程控制工具,让外部设备访问并窃取沙箱内涉密数据 ||
| 测试要求 | 阻断远程控制工具对沙箱内涉密数据的访问权限,禁止外部设备读取、复制沙箱文件 ||
| 预置条件 | 1. 环境搭建、初始化完毕,系统运行正常; 2. 受控客户端安装沙箱及远程控制工具(TeDesk、向日葵),沙箱内预置涉密文件; 3. 准备 1 台外部控制端设备(如个人笔记本),已安装对应远程控制工具并完成账号配对; 4. 受控客户端与外部控制端网络互通,可正常建立远程连接。 ||
| 测试步骤 || 预期结果 |
| 1. 在受控客户端启动远程控制工具,与外部控制端建立连接,外部控制端操作受控客户端,尝试打开沙箱内的涉密文档; 2. 在受控客户端启动文件传输工具,与外部控制端建立连接,外部控制端操作受控客户端,尝试传输沙箱内的涉密文档; || 1. 外部控制端远程,不可将加密盘文件已远程的方式传出; 2. 远程文件传输请求成功,但只可访问外发目录; |
| 测试结果 | □ ||
| 备注 | 针对远程控制工具泄密途径,覆盖主流远程协助软件场景 ||
11 . 防止通过外设中转(串口 / 网口)泄密
|--------------|---|-------------------------------------------------------------------------|
| 使用场景 | 在沙箱内,通过串口、网口连接外部开发设备,尝试将涉密代码 / 数据烧录、传输至外部设备 ||
| 测试要求 | 阻断沙箱数据向串口 / 网口外设的传输,禁止涉密内容写入外部开发设备 ||
| 预置条件 | 1. 环境搭建、初始化完毕,系统运行正常; 2. 受控客户端安装沙箱,沙箱内预置涉密代码 / 固件文件; 3. 受控客户端已连接串口开发板、网口设备,且驱动正常; 4. 沙箱内已安装烧录工具(如串口烧录软件)。 ||
| 测试步骤 || 预期结果 |
| 1. 打开沙箱内的串口烧录工具,选择涉密固件文件,发起向开发板的烧录操作; 2. 通过网口连接外部存储设备,尝试将沙箱内涉密代码复制至该设备的存储分区; 3. 连接 U 口调试器,尝试通过调试工具将沙箱内的涉密数据写入外部硬件; 4. 更换不同型号的串口 / 网口 / U 口设备,重复上述传输操作。 || 1. 串口烧录操作被拦截,工具提示 "智能端口",申请后方可烧录; 2. 网口烧录如上; 3. U口烧录如上; 4. 不同型号设备结果都一致。 |
| 测试结果 | □ ||
| 备注 | 针对图中 "外设中转" 泄密途径,覆盖串口、网口、U 口三类开发场景 ||
12 . 防止通过进程 / 资源共享泄密
|--------------|---|-----------------------------------------------------------------------------|
| 使用场景 | 在沙箱内,通过共享内存、信号量、管道等进程间通信资源,将涉密数据传递至沙箱外进程,再向外转发 ||
| 测试要求 | 阻断沙箱内进程与外部进程的资源共享通道,禁止涉密数据跨进程流转 ||
| 预置条件 | 1. 环境搭建、初始化完毕,系统运行正常; 2. 受控客户端沙箱内预置涉密数据,沙箱外已启动接收进程; 3. 沙箱内已配置进程通信开发环境(如 C++/Python),可创建共享资源。 ||
| 测试步骤 || 预期结果 |
| 1. 在沙箱内编写程序,创建共享内存区域并写入涉密数据,尝试让沙箱外进程读取; 2. 通过管道(Pipe)在沙箱内进程与外部进程间建立通信,尝试传输涉密文本; 3. 使用信号量、消息队列等同步资源,传递涉密数据的标识信息,配合外部进程获取数据。 || 1. 共享内存创建被沙箱拦截; 2. 管道通信请求被阻断,沙箱外进程无法接收涉密数据; 3. 同步资源的涉密数据传递失败,外部进程无有效数据获取记录; |
| 测试结果 | □ ||
| 备注 | 针对图中 "数据变形 - 进程通信" 泄密途径,覆盖共享内存、管道、同步资源场景 ||
13 . 防止代码通过 Windows 命名管道(Named Pipe)的方式泄密
|--------------|---|--------------------------------------------------------------|
| 使用场景 | 阻断沙箱内 IDEA 编写的涉密代码通过"命名管道"保存到本地后通过向日葵拖拽至外部设备的泄密行为 ||
| 测试要求 | 1. 沙箱拦截命名管道的代码写入 / 读取操作,或阻断向日葵的文件拖拽传输; 2. 外部设备无法接收到经命名管道存储的涉密代码文件; ||
| 预置条件 | 1. 受控端(装沙箱):已安装 IDEA、向日葵客户端,具备创建 Windows 命名管道的系统权限,沙箱已配置 "命名管道管控 + 向日葵文件传输拦截" 策略; 2. 外部设备:已安装向日葵服务端,与受控端网络互通; ||
| 测试步骤 || 预期结果 |
| 1. 受控端(开启沙箱)打开 IDEA,编写核心代码(如main.java)并复制完整内容;受控端通过命令行创建 Windows 命名管道,将复制的代码写入管道,再从管道读取内容并保存; 2. 受控端打开向日葵客户端,登录后远程连接外部设备,在受控端本地桌面选中代码文件,直接拖入向日葵远程桌面窗口; 3. 检查外部设备的接收目录是否存在该文件; || 1. 本地未生成代码文件; 2. 向日葵拖入操作提示 "传输失败",拖拽进度无响应; 3. 外部设备未检测到该代码文件。 |
| 测试结果 | □ ||
| 备注 | 验证沙箱对 "本地存储 + 远程拖入" 组合泄密行为的阻断能力 ||
14 . 防止通过屏幕录制 / 截屏工具泄密
|--------------|---|-------------------------------------------------------------------------------------------------------|
| 使用场景 | 在沙箱内,使用 OBS、Snipaste、系统自带截屏工具等,录制或截取涉密文件的屏幕内容,尝试保存或分享 ||
| 测试要求 | 阻断沙箱内涉密内容的屏幕录制、截屏操作,禁止生成涉密内容的图像 / 视频文件 ||
| 预置条件 | 1. 环境搭建、初始化完毕,系统运行正常; 2. 受控客户端安装沙箱及主流录屏 / 截屏工具(EA、Snipaste),沙箱内打开涉密文件(如项目架构图、核心数据报表); 3. 录屏 / 截屏工具已配置保存路径(本地磁盘、桌面),权限正常; 4. 验证非沙箱环境下录屏 / 截屏功能可正常使用。 ||
| 测试步骤 || 预期结果 |
| 1. 在沙箱内打开涉密架构图文档,启动 EA,选择 "全屏录制" 模式,点击开始录制; 2. 切换至 Snipaste 工具,尝试截取涉密报表的核心数据区域; 3. 使用系统快捷键(Win+Shift+S、PrintScreen)对沙箱内涉密窗口进行截屏; 4. 尝试将录屏 / 截屏文件保存至本地,或直接分享至沙箱外文件夹。 || 1. EA录制受控区黑屏,视频文件生成; 2. Snipaste 截屏,无法截取沙箱内涉密窗口内容,同上; 3. 系统快捷键截屏后,生成的图片为黑屏,无涉密内容,同上; 4. 保存至本地的文件也是黑屏。 |
| 测试结果 | □ ||
| 备注 | 针对屏幕录制 / 截屏泄密途径,覆盖专业工具、系统自带工具两类场景 ||
15 . 防止通过云盘 / 网盘同步泄密
|--------------|---|---------------------------------------------------------------------|
| 使用场景 | 研发人员在沙箱内,通过百度网盘、阿里云盘、微云等云盘工具,尝试同步或上传涉密数据至非授权云存储 ||
| 测试要求 | 阻断沙箱内数据与非授权云盘的同步 / 上传通道,禁止涉密文件写入云存储 ||
| 预置条件 | 1. 环境搭建、初始化完毕,系统运行正常; 2. 受控客户端安装沙箱及主流云盘客户端(百度网盘、阿里云盘),沙箱内预置涉密文件(如数据库备份包、项目源码); 3. 云盘客户端已登录非企业授权账号,开启 "自动同步" 功能; 4. 受控客户端网络可正常访问云盘服务器,非沙箱环境可验证同步功能正常。 ||
| 测试步骤 || 预期结果 |
| 1. 在沙箱内打开云盘客户端,手动添加沙箱内的涉密文件至同步目录,等待云盘自动同步周期触发,观察同步状态; 2. 尝试通过云盘网页版上传沙箱内涉密文件至个人云存储空间; 3. 对涉密文件压缩加密后,重复步骤 1-3 的同步 / 上传操作。 || 1. 手动添加无法选取加密盘文件,文件未加入同步队列; 2. 网页版上传也选取不到加密盘; 3. 加密压缩包同步 / 上传同样被阻断。 |
| 测试结果 | □ ||
| 备注 | 针对 "云盘 / 网盘同步" 泄密途径,覆盖客户端自动同步、手动上传、网页版上传及加密压缩场景 ||
16 . 防止通过代码仓库泄密
|--------------|---|------------------------------------------------------------------------------|
| 使用场景 | 在沙箱内,通过 Git、SVN 等版本控制工具,尝试将涉密项目代码提交至 GitHub、Gitee 等非授权代码托管平台 ||
| 测试要求 | 阻断沙箱内涉密代码向非授权代码仓库的提交、推送操作,禁止代码泄露至外部平台 ||
| 预置条件 | 1. 环境搭建、初始化完毕,系统运行正常; 2. 受控客户端安装沙箱及 Git/SVN 客户端,沙箱内存储涉密项目源码; 3. 已配置非授权代码托管平台(GitHub/Gitee)的远程仓库地址,验证非沙箱环境可正常推送代码; 4. 受控客户端网络可访问外部代码托管平台。 ||
| 测试步骤 || 预期结果 |
| 1. 在沙箱内打开终端,进入涉密项目代码目录,执行 git add . 命令暂存所有代码文件,执行 git commit -m "提交涉密项目代码" 完成本地提交; 2. 执行 git push origin main 尝试将代码推送至非授权远程仓库; 3. 切换至 SVN 客户端,尝试将涉密代码提交至外部 SVN 服务器; 4. 网页尝试; || 1. Git 暂存、提交操作可在本地执行。 2. git push命令执行失败; 3. SVN 提交请求被阻断; 4. 网页版上传代码压缩包操作被拦截; |
| 测试结果 | □ ||
| 备注 | 针对代码仓库 / 代码托管平台泄密途径,覆盖 Git/SVN 两类主流版本控制工具场景 ||
17 . 防止涉密文件篡改任意后缀后通过外发泄密
|--------------|---|----------------------------------------------------------------------------------------------------|
| 使用场景 | 1. 获取沙箱内预置的涉密密文文件,复制到本地目录; 2. 尝试将密文文件修改为任意常见后缀(.java/.txt/.docx/.pdf/.jpg等),企图通过篡改格式还原为明文代码; 3. 尝试外发修改后缀后的文件 ||
| 测试要求 | 1. 沙箱基于文件内容特征而非后缀识别涉密密文文件,优先拦截密文文件的违规复制操作; 2. 仅授权的合规文件可正常通过外发传输 ||
| 预置条件 | 1. 受控端(装沙箱):已预置涉密密文文件(基于内容加密,沙箱已录入该文件的内容特征指纹),沙箱外发功能已启用,且配置 "内容特征识别" 策略; 2. 准备常见文件后缀样本(.java/.txt/.docx/.pdf/.jpg),用于测试篡改; 3. 非沙箱验证:修改后缀后的文件无法被普通工具识别为同一文件(仅验证后缀篡改有效性) ||
| 测试步骤 || 预期结果 |
| 1. 受控端(开启沙箱)定位到沙箱内涉密密文文件,执行复制操作,将副本粘贴到桌面;对桌面密文副本依次修改后缀,完成伪装: 第一次:改为.java(代码格式); 第二次:改为.txt(文本格式); 第三次:改为.docx(文档格式); 第四次:改为.jpg(图片格式); 依次选中 4 个修改后缀后的文件,通过沙箱外发功能发起传输请求; 1. 观察沙箱外发功能的拦截提示,记录每一次操作结果;登录沙箱管理后台,查询文件识别记录和外发拦截日志 || 1. 沙箱外发功能基于内容特征,精准识别所有修改后缀后的文件为原始涉密密文文件,每次传输均提示不可外发; 2. 沙箱后台可清晰显示:识别依据为文件内容特征匹配,而非文件后缀,且标注出原始文件名称; |
| 测试结果 | □ ||
| 备注 | 核心体现沙箱内容特征识别的核心优势:无视文件后缀篡改,只要文件内容特征未变,即可精准识别原始涉密文件; ||