最近調研了一下研發資產安全保護方案,簡單地說就是,如何避免開發人員把核心代碼和核心資料據爲己有,離職時偷偷帶走!網上有好多人認爲這個東西沒有必要做,或者根本不能根本杜絕。認爲現在的軟件產品拼的是業務和運營,代碼真心不重要,即使把微信的源碼給某某公司,又能怎麼樣呢?你能防住手抄寫或者拍照嗎?其實想想是這個道理,光有源碼沒有用戶有何用啊!有同學認爲,源碼泄漏出去也沒關係,自帶混淆不說,搞懂的effort遠大於再造一套新的代碼的effort!更有同學表示大多數軟件公司是依靠程序員的自尊心…泄露出去了實在特麼丟人啊!
在這裏我先不討論對研發資產保護的必要性,我僅把自己調研的一些方法share給大家,希望能給大家一點點幫助!目前業界的主要方案包括:雲桌面、公司自建安全體系制度監管、購買第三方軟件產品監管
BAT等大廠
每個人的電腦中都裝有自己開發的監控軟件(限制上網行爲,封閉U口,不能傳輸文件,限制使用軟件)、工作中進行視頻監控、網絡監控等。當然這些公司錢多人牛逼,有能力開發出適合公司自己的產品,但是對於絕大多數公司來說該方案的投入與回報是不成正比的!
雲桌面方案
雲桌面又稱桌面虛擬化、雲電腦,是替代傳統電腦的一種新模式。採用雲桌面後,用戶無需再購買電腦主機,主機所包含的CPU、內存、硬盤等組件全部在後端的服務器中虛擬出來。前端設備主流的是採用瘦客戶機(與電視機頂盒類似的設備)連接顯示器和鍵鼠,用戶安裝客戶端後通過特有的通信協議訪問後端服務器上的虛擬機主機來實現交互式操作,達到與電腦一致的體驗效果。具體如下圖所示,傳統的機箱變成了類似機頂盒的東東
優點:
1.數據安全:數據存放在服務器後端,跨磁盤、服務器備份,有效防止數據損壞、丟失;同時可對雲終端實施USB設備權限控制,防止數據泄露。
2.局域網安全:每臺虛擬機均獨立運行,一臺發生故障或中毒,不會影響其他虛擬機。
3.電力費用節省、IT費用低。
缺點:
1.改造影響範圍大,通常是公司級別(個人覺得不適合技術類公司)
2.會有網絡延遲。
3.改造費用較高 。
公司自己構建安全體系
主要包括籤保密協議、日常教育、代碼權限控制、封閉u口、視頻監控、網絡監控、入職背景調查,這是一系列的行爲管理方法。這個體系個人覺得最重要的就是籤保密協議,一旦發現員工有泄漏公司源碼資產的行爲,直接告!在員工入職時重點強調,相信會有很強的警示作用。
購買第三方軟件產品保護文件
目前該類別第三方軟件產品都是以收費爲主的主要技術手段包括數據安全隔離和文件加密解密兩種。
•數據安全隔離(DSA)
不做複雜的監控,構建安全區域保障敏感數據安全,在實現安全保障的同時,不影響效率,不改變操作習慣,安全性最高,具體產商這裏就不提及了。關於安全區的概念如下所示:
該方案主要優點包括:
1、不影響編譯、調試性能:調試過程中不用先解 密再調試再加密;
2、不破壞文件:虛擬文件磁盤加密技術;
3、難破解:多重隔離(內核)、網絡通信加密;
5、不需要配置複雜的安全策略;
6、特別適合源代碼(多文件)和設計圖紙(大文 件)等企業核心智慧資產的安全保護
7、不影響使用者對網絡資源的訪問應用
該方案更適合研發類文件加密,因爲工程中涉及的源碼文件數目衆多,頻繁對文件加密解密勢必會影響客戶端性能,而研發人員對於電腦卡頓這件事是灰常灰常介意的,你可以加密,但是你不能讓我卡啊!但目前該方案對於終端是mac的本本沒有解決方案,這點是比較遺憾的。
•文件加密解密
該方案簡單地說就是,利用加密算法對文件進行加密,授權的客戶端可以打開加密的文件,這樣即使文件被拷貝走,也無法在其他的客戶端中查看。主要加解密技術包括透明和半透明兩種。
透明:對企業內部所有涉密文檔進行強制加密處理,從文件創建開始即可自動加密保護
半透明:本地自己生成的文件都不加密,而能打開公司內部的加密文件,並確保這些加密文件去編輯保存還是處於加密狀態。
該方案需要頻繁對文件加解密,會對客戶段的性能有一定的損失,安全性不如DSA。同樣的,具體產商這裏就不提及了。