防泄密-工業自動化控制行業源代碼防泄密以及技術文檔防泄密解決方案

工業自動化控制行業

源代碼及技術文檔防泄密解決方案

一．需求背景

1.工業自動化控制技術發展狀況

隨着計算機技術、通信技術和控制技術的發展，工業自動化控制已經開始向網絡化方向發展，從最初的CCS（計算機集中控制系統），到第二代的DCS（分散控制系統），發展到現在流行的FCS（現場總線控制系統）。現階段，又將諸如嵌入式技術、多標準工業控制網絡互聯、無線技術等多種當今流行技術融合進來，從而拓展了工業控制領域的發展空間，又帶來新的發展機遇。

但同時，也帶來了全新的挑戰，在當前的激烈競爭大環境下，如何保持自己的競爭優勢，尤其是如何安全，有效的使用控制系統的核心源代碼以及技術文檔，成爲工業控制機構所關心的重要課題，核心信息安全防泄密也成爲一項重要的業務需求。

2.工業自動化控設備研發機構保密現狀

   目前大環境下，研發人員流動性很強，這就要求企業建立一套機制，對企業自己的知識庫和項目源代碼，技術文檔等進行安全控制，不但要對在職人員的主動泄密行爲進行管控，更要杜絕離職人員拿走公司的核心資料，避免因泄密給企業造成損失。但現實情況是，這些研發人員在研發過程中，基本上都自己備份一份源代碼以及技術文檔，甚至還在家中備份一份。這些源代碼及技術圖紙，極容易造成泄密。常見的泄密途徑:

  ? 機密電子文件通過U盤等移動存儲設備從電腦中拷貝帶出

  ? 內部人員將自帶筆記本電腦接入公司網絡，將機密電子文件複製帶走

  ? 通過互聯網將機密電子文件通過電子郵件、QQ、MSN等發送

  ? 內部人員通過預覽機密電子文件，對預覽文件進行光盤刻錄、屏幕截屏帶出公司

  ? 內部人員將機密電子文件打印、複印後帶出公司

  ? 通過internet網絡存儲，進行保存

  ? 內部人員把含有機密電子文件的電腦或電腦硬盤帶出公司

  ? 含有機密電子文件的電腦因爲丟失，維修等原因落到外部人員手中

很多公司也意識到信息安全的重要性，也採取了些措施，常見的方法如封閉USB接口，不允許上外網等，行爲監控等，但效果都不好，帶來的負面影響也比較大：

  ? 互聯網是個巨大的知識庫，捨棄不用，屬於本末倒置

  ? 過度監控，影響員工工作情緒甚至造成法律糾紛；

  ? 增加企業運營成本，降低工作效率

  ? 軟件開發人員比較懂電腦，仍然可能泄密

  ? 無法根治內部泄密行爲，同時存在因噎廢食之嫌

  ? 出差用筆記本就必須要把源代碼資料拿到現場進行調試，無法管控了

顯而易見，傳統的信息安全管理體系已經明顯不能滿足安全要求了，爲此針對工業控制研發機構的特點，需要建立新的完整的內網信息安全管理體系，使企業信息安全風險降到最低。

3.工控設備研發機構的開發調試環境

工業控制企業的開發環境也比較複雜，服務器一般都是Windows和Linux並存，員工PC以Windows爲主，少量Linux，部分採用虛擬機。調試的設備有PLC設備，仿真器，USB設備等，調試方式包括以太網，串口（PC串口以及USB轉串口），以及USB仿真器直接調試等。

開發語言：C/C++，彙編，專用SDK庫

開發工具：IRSLINX.EXE,仿真器，CCS（Code Composer Studio）,Eclipus

VC,GVIM,UltraEdit,Source Insight,Tornado

製圖類：AutoCAD/SolidWoks/3DMax/Pro.e

版本管理:SVN,VSS,GIT

編譯：gcc,java,cl（嵌入式）

調試：Visual Studio,Tornado,GDB

4.工控設備研發機構的防泄密需求

1）防泄密系統必須具有極高的穩定性

由於工業控制設備都工業設備的大腦，在工業生產中不容出任何偏差，這就要求最好不要對單個文件做任何加密處理，避免由於文件內容破損造成事故；

2）在企業內開發人員，在不影響開發調試效率的前提下，不能通過移動存儲，網絡，郵件，屏幕截圖等泄密方式泄密。任何涉密文件拿出都必須經過嚴格的審批流程，並有可追溯的日誌記錄。

3）最好源代碼文檔在服務器上是明文，在員工開發機器上是密文，減少對加密軟件依賴性，防止安全事故。

二．解決方案-採用SDC沙盒防泄密系統進行防泄密

SDC沙盒防泄密方案採用世界上領先的第三代透明加密技術—內核縱深沙盒加密，基於操作系統底層，吸收雲的概念，對環境進行加密管控，不依賴軟件，文件類型，文件大小，高可靠性防泄密解決方案。是一套高擴展性，可定製化的解決方案。系統本身集成網絡驗證、文件加密、打印控制、程序控制、上網控制、非認證PC入網限制、反移動存儲、光盤刻錄、反截屏等防泄密功能於一體，真正做到：

  ? 全透明加密，不影響員工工作效率和習慣

  ? 可以保護所有文件格式，包括所有文檔格式，所有源代碼格式，圖紙格式

  ? 不對文件進行控制，安全穩定，不破壞文件

  ? 服務器上的數據在使用過程中不落地或落地即加密

  ? 外發文檔審計，加密，防泄密處理

  ? 外發郵件申請，審計業務流

  ? 無需對PC機做任何的控制就能進行防止泄密

當員工工作的時候，在本地會啓動一個加密的沙盒，沙盒會和服務器認證對接，形成一個涉密的，加密的工作空間，員工在沙盒中工作：

--服務器上的數據在使用過程中不落地或落地即加密。

--所有開發的成果都必須存放到服務器上，或者本地的加密沙盤中。

--沙盤是和外界隔絕的，所以不會泄密。

--根據策略可以設定員工開機後立即進入沙盒模式。

--不啓動沙盒的PC都被隔離，無法訪問服務器和進入沙盒的員工PC。

--直接登錄服務器也無法從服務器上把應用系統的數據拷貝走。

加密的沙盒，是個容器，什麼都能裝；是對環境的加密，不關心個體是什麼；所以和進程無關，和文件格式無關，和文件大小無關，不會去破壞文件。不像其他的加密軟件一樣，修改文件自身內容。 所以不影響軟件編譯調試，不影響版本管理，版本對比。