DACS凌域采用内核级安全沙箱技术，在单台终端上创建出一个或多个与本地环境相互隔离且企业自主管控的独立安全工作空间，从数据读写、剪切板、外设连接、打印接口等方面进行全面隔离管控，从而实现安全空间内的数据隔离效果，禁止终端用户通过任何方式泄露到安全空间外。同时采用磁盘加密方式将所有数据定向存储于高强度加密的磁盘空间内，仅允许安全空间内的授信应用程序可以读取加密磁盘内的企业数据，在安全空间以外运行的任何应用程序均无法读取到企业数据。

数据读写管控

DACS凌域采用数据重定向的方式，默认将安全空间内产生的所有数据重定向到指定的虚拟存储区域内，只有本安全空间内运行的授信应用程序可读取该虚拟存储区域内的数据。个人空间内的应用程序正常与本地磁盘交互，无法读写安全空间内的数据，即在个人空间无法查看、搜索、修改安全空间内的数据。

数据加密存储

DACS凌域采用磁盘加密的方式，使用AES-256或SM4等高强度加密算法将安全空间所创建的整个虚拟存储区域进行加密处理，在虚拟存储区域的外层增加加密模块，所有写入数据的操作都会经过此加密模块加密处理后再存储到安全空间指定路径下的虚拟存储区域，实现在安全空间内新建/下载/外部接收文件时，文件自动存储在加密的虚拟环境中。

进程间通讯隔离

DACS凌域支持安全空间内外的进程隔离，阻止空间内外进程之间的通讯，保护安全空间内运行的进程不受到外界干扰，防止企业数据泄露，包括但不限于：各类IPC、COM接口、网络通讯、消息、注册表等通讯方式的隔离。

剪切板管控

DACS凌域支持对安全空间的剪切板操作行为进行灵活的管控，默认情况下，对安全空间内的剪切板操作进行拦截隔离，终端用户将无法从安全空间内复制文本或图片到个人空间。

打印管控

打印是数据外泄的常见方式之一，DACS凌域支持拦截安全空间内的文件打印行为。但考虑到日常办公中不可避免的打印需求。同时支持在允许打印的情况下，将打印的内容自动增加明文水印，并且打印内容上传管理后台审计留痕。

外设连接管控

对于无泄密风险的外设默认允许在安全空间内使用，如鼠标、键盘、手写板、耳机、音响、麦克风等设备。

对于有泄密风险的外设可通过功能开关来控制禁止/允许连接，如U盘、移动硬盘、刻录机等，另外还支持MTP、ADB等移动设备通讯协议层面的控制。

离线访问控制

当安全空间由于网络环境变化导致处于离线状态时，管理员可灵活设置允许指定用户离线使用指定安全空间内的数据以及使用时长。

若禁止离线访问，则安全空间离线后进入锁闭状态，无论任何手段均无法获取到其中的数据，包括物理破坏终端设备，直接读取磁盘上的原始数据，保护企业数据在任何情况下均无法被窃取。