應(yīng)用軟件研發(fā)行業(yè)源代碼防泄密解決方案

一．需求背景

1.應(yīng)用軟件研發(fā)行業(yè)范圍很廣
應(yīng)用軟件是為滿足用戶不同領(lǐng)域、不同問題的應(yīng)用需求而提供的軟件，主要包括：辦公室類軟件，基于網(wǎng)絡(luò)B/S，C/S軟件，多媒體軟件，計(jì)算計(jì)輔助設(shè)計(jì)，計(jì)算機(jī)游戲，分析類軟件，統(tǒng)計(jì)軟件，協(xié)作軟件，商務(wù)軟件，會(huì)計(jì)軟件，ERP,CRM,PDM等。這些軟件系統(tǒng)的研發(fā)源代碼，都是企業(yè)的生命支柱。

2. 應(yīng)用軟件研發(fā)行業(yè)保密現(xiàn)狀
   目前大環(huán)境下，研發(fā)人員流動(dòng)性很強(qiáng)，這就要求企業(yè)建立一套機(jī)制，對(duì)企業(yè)自己的知識(shí)庫和項(xiàng)目源代碼，技術(shù)文檔等進(jìn)行安全控制，不但要對(duì)在職人員的主動(dòng)泄密行為進(jìn)行管控，更要杜絕離職人員拿走公司的核心資料，避免因泄密給企業(yè)造成損失。但現(xiàn)實(shí)情況是，這些研發(fā)人員在研發(fā)過程中，基本上都自己備份一份源代碼以及技術(shù)文檔，甚至還在家中備份一份。這些源代碼及技術(shù)圖紙，極容易造成泄密。常見的泄密途徑:

?機(jī)密電子文件通過U盤等移動(dòng)存儲(chǔ)設(shè)備從電腦中拷貝帶出

?內(nèi)部人員將自帶筆記本電腦接入公司網(wǎng)絡(luò)，將機(jī)密電子文件復(fù)制帶走

?通過互聯(lián)網(wǎng)將機(jī)密電子文件通過電子郵件、QQ、MSN等發(fā)送

?內(nèi)部人員通過預(yù)覽機(jī)密電子文件，對(duì)預(yù)覽文件進(jìn)行光盤刻錄、屏幕截屏帶出公司

?內(nèi)部人員將機(jī)密電子文件打印、復(fù)印后帶出公司

?通過internet網(wǎng)絡(luò)存儲(chǔ)，進(jìn)行保存

?內(nèi)部人員把含有機(jī)密電子文件的電腦或電腦硬盤帶出公司

?含有機(jī)密電子文件的電腦因?yàn)閬G失，維修等原因落到外部人員手中

很多公司也意識(shí)到信息安全的重要性，也采取了些措施，常見的方法如封閉USB接口，不允許上外網(wǎng)等，行為監(jiān)控等，但效果都不好，帶來的負(fù)面影響也比較大：

?互聯(lián)網(wǎng)是個(gè)巨大的知識(shí)庫，舍棄不用，屬于本末倒置

?過度監(jiān)控，影響員工工作情緒甚至造成法律糾紛；

?增加企業(yè)運(yùn)營成本，降低工作效率

?軟件開發(fā)人員比較懂電腦，仍然可能泄密

?&無法根治內(nèi)部泄密行為，同時(shí)存在因噎廢食之嫌

?出差用筆記本就必須要把源代碼資料拿到現(xiàn)場進(jìn)行調(diào)試，無法管控了

顯而易見，傳統(tǒng)的信息安全管理體系已經(jīng)明顯不能滿足安全要求了，為此針對(duì)工業(yè)控制研發(fā)機(jī)構(gòu)的特點(diǎn)，需要建立新的完整的內(nèi)網(wǎng)信息安全管理體系，使企業(yè)信息安全風(fēng)險(xiǎn)降到最低。

3.應(yīng)用軟件行業(yè)的開發(fā)調(diào)試環(huán)境

應(yīng)用軟件的開發(fā)環(huán)境也比較復(fù)雜，服務(wù)器一般都是Windows和Linux并存，員工PC以Windows為主，少量Linux，部分采用虛擬機(jī)。調(diào)試方式包括本地，以太網(wǎng)遠(yuǎn)程調(diào)試。

開發(fā)語言：Java/C/C++/C#/.NET/PHP/Delphi等；

開發(fā)工具：Visual Studio2005/2008/2010,Eclipus,Delphi以及各種專用IDE；

制圖類：AutoCAD/SolidWoks/3DMax/Pro.e/photoshop

版本管理:SVN,VSS,GIT

編譯：gcc,java,cl（嵌入式）

4. 應(yīng)用軟件行業(yè)的防泄密需求

1）能夠適應(yīng)復(fù)雜的開發(fā)環(huán)境

由于開發(fā)環(huán)境復(fù)雜，針對(duì)進(jìn)程，逐一控制的方式顯然行不通。不能因?yàn)殚_發(fā)工具版本升級(jí)，造成無法保密控制。

2）在企業(yè)內(nèi)開發(fā)人員，在不影響開發(fā)調(diào)試效率的前提下，不能通過移動(dòng)存儲(chǔ)，網(wǎng)絡(luò)，郵件，屏幕截圖等泄密方式泄密。任何涉密文件拿出都必須經(jīng)過嚴(yán)格的審批流程，并有可追溯的日志記錄。

3）最好源代碼文檔在服務(wù)器上是明文，在員工開發(fā)機(jī)器上是密文，減少對(duì)加密軟件依賴性，防止安全事故。

4）具有較強(qiáng)的抗破解能力，研發(fā)人員技術(shù)水平都比較高，不能被輕易找到軟件漏洞。不能讓通過添加資源文件把源代碼打包帶出。

二．解決方案-采用SDC沙盒防泄密系統(tǒng)進(jìn)行防泄密

SDC沙盒防泄密方案采用世界上領(lǐng)先的第三代透明加密技術(shù)—內(nèi)核縱深沙盒加密，基于操作系統(tǒng)底層，吸收云的概念，對(duì)環(huán)境進(jìn)行加密管控，不依賴軟件，文件類型，文件大小，高可靠性防泄密解決方案。是一套高擴(kuò)展性，可定制化的解決方案。系統(tǒng)本身集成網(wǎng)絡(luò)驗(yàn)證、文件加密、打印控制、程序控制、上網(wǎng)控制、非認(rèn)證PC入網(wǎng)限制、反移動(dòng)存儲(chǔ)、光盤刻錄、反截屏等防泄密功能于一體，真正做到：

  ? 全透明加密，不影響員工工作效率和習(xí)慣

  ?可以保護(hù)所有文件格式，包括所有文檔格式，所有源代碼格式，圖紙格式

  ?不對(duì)文件進(jìn)行控制，安全穩(wěn)定，不破壞文件

  ?服務(wù)器上的數(shù)據(jù)在使用過程中不落地或落地即加密

  ?外發(fā)文檔審計(jì)，加密，防泄密處理

  ?外發(fā)郵件申請，審計(jì)業(yè)務(wù)流

  ?無需對(duì)PC機(jī)做任何的控制就能進(jìn)行防止泄密

  ?從涉密環(huán)境向外拿任何文件，都需要走審批流程。

當(dāng)員工工作的時(shí)候，在本地會(huì)啟動(dòng)一個(gè)加密的沙盒，沙盒會(huì)和服務(wù)器認(rèn)證對(duì)接，形成一個(gè)涉密的，加密的工作空間，員工在沙盒中工作：

--服務(wù)器上的數(shù)據(jù)在使用過程中不落地或落地即加密。

--所有開發(fā)的成果都必須存放到服務(wù)器上，或者本地的加密沙盤中。

--沙盤是和外界隔絕的，所以不會(huì)泄密。

--根據(jù)策略可以設(shè)定員工開機(jī)后立即進(jìn)入沙盒模式。

--不啟動(dòng)沙盒的PC都被隔離，無法訪問服務(wù)器和進(jìn)入沙盒的員工PC。

--直接登錄服務(wù)器也無法從服務(wù)器上把應(yīng)用系統(tǒng)的數(shù)據(jù)拷貝走。

加密的沙盒，是個(gè)容器，什么都能裝；是對(duì)環(huán)境的加密，不關(guān)心個(gè)體是什么；所以和進(jìn)程無關(guān)，和文件格式無關(guān)，和文件大小無關(guān)，不會(huì)去破壞文件。不像其他的加密軟件一樣，修改文件自身內(nèi)容。 所以不影響軟件編譯調(diào)試，不影響版本管理，版本對(duì)比。