BLP防数据泄露安全操作系统：道里云公司参展英特尔北京IDF峰会产品介绍（二）

上一讲中介绍了二极管单向防火墙技术：通过控制网络数据流的方向---数据只准从外部流入内部---这一手段防止数据泄露。

一个操作系统还有存储设备：磁盘，U盘，光盘，等等。这些设备都是以本地总线方式连接到计算机的，对这些设备的数据输入输出不走网络，所以网络防火墙技术无法对流向这些设备的数据进行监控。比如内部人员可以很方便将数据拷贝到U盘或光盘带出，造成信息泄露。

运行在虚拟化技术底层的虚拟机监控器可以实时截获存储设备的输入/输出事件，对数据施加实时加解密处理：输入时解密，输出时加密，使得存到外部存储器上的数据都是密文。这种以设备为单位的密码学处理技术与通常我们熟悉的以文件为单位的加解密技术十分不同，设备上所有数据都被自动加密了：比如临时文件（夹），回收桶中的数据，防系统蓝屏死机时的恢复文件，系统swap数据，系统休眠数据，...,哪怕是入侵的恶意代码或间谍软件企图发回大本营的数据（由于被反向设置的二极管阻挡而未能成功发回的），所有数据都被自动加密了，任何可能违规泄露的漏洞都被堵死了。

应英特尔公司之邀，道里云公司携带自主研发的BLP防数据泄露安全操作系统将于4月11-12日参展英特尔北京IDF峰会展览（http://www.intel.com/idf/beijing/index.htm），欢迎有兴趣同仁来道里云公司展台参观该产品。

下一讲介绍BLP的含意，并论述为什么道里云公司的这一技术可以被称之为一款安全操作系统，而且还是云安全操作系统。

下图是BLP防数据泄露安全操作系统的工作原理图。