防泄密-應用軟件研發行業源代碼防泄密及技術文檔防泄密解決方案

應用軟件研發行業

源代碼及技術文檔防泄密解決方案

一．需求背景

1.應用軟件研發行業範圍很廣
應用軟件是爲滿足用戶不同領域、不同問題的應用需求而提供的軟件，主要包括：辦公室類軟件，基於網絡B/S，C/S軟件，多媒體軟件，計算計輔助設計，計算機遊戲，分析類軟件，統計軟件，協作軟件，商務軟件，會計軟件，ERP,CRM,PDM等。這些軟件系統的研發源代碼，都是企業的生命支柱。

2. 應用軟件研發行業保密現狀
   目前大環境下，研發人員流動性很強，這就要求企業建立一套機制，對企業自己的知識庫和項目源代碼，技術文檔等進行安全控制，不但要對在職人員的主動泄密行爲進行管控，更要杜絕離職人員拿走公司的核心資料，避免因泄密給企業造成損失。但現實情況是，這些研發人員在研發過程中，基本上都自己備份一份源代碼以及技術文檔，甚至還在家中備份一份。這些源代碼及技術圖紙，極容易造成泄密。常見的泄密途徑:
 

?機密電子文件通過U盤等移動存儲設備從電腦中拷貝帶出

?內部人員將自帶筆記本電腦接入公司網絡，將機密電子文件複製帶走

?通過互聯網將機密電子文件通過電子郵件、QQ、MSN等發送

?內部人員通過預覽機密電子文件，對預覽文件進行光盤刻錄、屏幕截屏帶出公司

?內部人員將機密電子文件打印、複印後帶出公司

?通過internet網絡存儲，進行保存

?內部人員把含有機密電子文件的電腦或電腦硬盤帶出公司

?含有機密電子文件的電腦因爲丟失，維修等原因落到外部人員手中

很多公司也意識到信息安全的重要性，也採取了些措施，常見的方法如封閉USB接口，不允許上外網等，行爲監控等，但效果都不好，帶來的負面影響也比較大：

?互聯網是個巨大的知識庫，捨棄不用，屬於本末倒置

?過度監控，影響員工工作情緒甚至造成法律糾紛；

?增加企業運營成本，降低工作效率

?軟件開發人員比較懂電腦，仍然可能泄密

?&無法根治內部泄密行爲，同時存在因噎廢食之嫌

?出差用筆記本就必須要把源代碼資料拿到現場進行調試，無法管控了

顯而易見，傳統的信息安全管理體系已經明顯不能滿足安全要求了，爲此針對工業控制研發機構的特點，需要建立新的完整的內網信息安全管理體系，使企業信息安全風險降到最低。

3.應用軟件行業的開發調試環境

應用軟件的開發環境也比較複雜，服務器一般都是Windows和Linux並存，員工PC以Windows爲主，少量Linux，部分採用虛擬機。調試方式包括本地，以太網遠程調試。

開發語言：Java/C/C++/C#/.NET/PHP/Delphi等；

開發工具：Visual Studio2005/2008/2010,Eclipus,Delphi以及各種專用IDE；

製圖類：AutoCAD/SolidWoks/3DMax/Pro.e/photoshop

版本管理:SVN,VSS,GIT

編譯：gcc,java,cl（嵌入式）

4. 應用軟件行業的防泄密需求

1）能夠適應複雜的開發環境

由於開發環境複雜，針對進程，逐一控制的方式顯然行不通。不能因爲開發工具版本升級，造成無法保密控制。

2）在企業內開發人員，在不影響開發調試效率的前提下，不能通過移動存儲，網絡，郵件，屏幕截圖等泄密方式泄密。任何涉密文件拿出都必須經過嚴格的審批流程，並有可追溯的日誌記錄。

3）最好源代碼文檔在服務器上是明文，在員工開發機器上是密文，減少對加密軟件依賴性，防止安全事故。

4）具有較強的抗破解能力，研發人員技術水平都比較高，不能被輕易找到軟件漏洞。不能讓通過添加資源文件把源代碼打包帶出。

二．解決方案-採用SDC沙盒防泄密系統進行防泄密

SDC沙盒防泄密方案採用世界上領先的第三代透明加密技術—內核縱深沙盒加密，基於操作系統底層，吸收雲的概念，對環境進行加密管控，不依賴軟件，文件類型，文件大小，高可靠性防泄密解決方案。是一套高擴展性，可定製化的解決方案。系統本身集成網絡驗證、文件加密、打印控制、程序控制、上網控制、非認證PC入網限制、反移動存儲、光盤刻錄、反截屏等防泄密功能於一體，真正做到：

  ? 全透明加密，不影響員工工作效率和習慣

  ?可以保護所有文件格式，包括所有文檔格式，所有源代碼格式，圖紙格式

  ?不對文件進行控制，安全穩定，不破壞文件

  ?服務器上的數據在使用過程中不落地或落地即加密

  ?外發文檔審計，加密，防泄密處理

  ?外發郵件申請，審計業務流

  ?無需對PC機做任何的控制就能進行防止泄密

  ?從涉密環境向外拿任何文件，都需要走審批流程。

當員工工作的時候，在本地會啓動一個加密的沙盒，沙盒會和服務器認證對接，形成一個涉密的，加密的工作空間，員工在沙盒中工作：

--服務器上的數據在使用過程中不落地或落地即加密。

--所有開發的成果都必須存放到服務器上，或者本地的加密沙盤中。

--沙盤是和外界隔絕的，所以不會泄密。

--根據策略可以設定員工開機後立即進入沙盒模式。

--不啓動沙盒的PC都被隔離，無法訪問服務器和進入沙盒的員工PC。

--直接登錄服務器也無法從服務器上把應用系統的數據拷貝走。

加密的沙盒，是個容器，什麼都能裝；是對環境的加密，不關心個體是什麼；所以和進程無關，和文件格式無關，和文件大小無關，不會去破壞文件。不像其他的加密軟件一樣，修改文件自身內容。 所以不影響軟件編譯調試，不影響版本管理，版本對比。