《软件开发企业防泄密解决方案.pdf》由会员分享,可在线阅读,更多相关《软件开发企业防泄密解决方案.pdf(14页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、 软件开发行业 防泄密解决方案 -四川巨城信息安全科技有限公司杭州分公司 杭州文盾科技有限公司总经销 地址:杭州市西湖区杨梅山路 351 号 一、需求背景 1、软件开发行业范围 软件开发是为满足用户不同领域、不同问题的而提供的软件,主要包括:办公室类软件,基于网络 B/S,C/S软件,多媒体软件,计算计辅助设计,计算机游戏,分析类软件,统计软件,协作软件,商务软件,会计软件,ERP,CRM,PDM等。这些软件系统的研发源代码,都是企业的生命支柱。2、软件开发行业保密现状 目前大环境下,研发人员流动性很强,这就要求企业建立一套机制,对企业自己的知识库和项目源代码,技术文档等进行安全控制,不但要对
2、在职人员的主动泄密行为进行管控,更要杜绝离职人员拿走公司的核心资料,避免因泄密给企业造成损失。但现实情况是,这些研发人员在研发过程中,基本上都自己备份一份源代码以及技术文档,甚至还在家中备份一份。这些源代码及技术图纸,极容易造成泄密。常见的泄密途径:机密电子文件通过 U 盘等移动存储设备从电脑中拷贝带出 内部人员将自带笔记本电脑接入公司网络,将机密电子文件复制带走 通过互联网将机密电子文件通过电子邮件、QQ、MSN等发送 内部人员通过预览机密电子文件,对预览文件进行光盘刻录、屏幕截屏带出公司 内部人员将机密电子文件打印、复印后带出公司 通过 internet网络存储,进行保存 内部人员把含有机
3、密电子文件的电脑或电脑硬盘带出公司 含有机密电子文件的电脑因为丢失,维修等原因落到外部人员手中 针对上述存在的一些问题,很多公司也意识到信息安全的重要性,也采取了些措施,常见的方法如封闭 USB接口,不允许上外网等,行为监控等,但效果都不好,带来的负面影响也比较大:互联网是个巨大的知识库,舍弃不用,属于本末倒置;过度监控,影响员工工作情绪甚至造成法律纠纷;增加企业运营成本,降低工作效率;软件开发人员比较懂电脑,仍然可能泄密;无法根治内部泄密行为,同时存在因噎废食之嫌;出差用笔记本就必须要把源代码资料拿到现场进行调试,无法管控了;同时这类型软件产品都存在以下致命缺陷:该类软件通常需要在每台计算机
4、上安装客户端,这些客户端软件常常被杀毒软件拦截导致失控或异常;该类软件通常采用“封堵”型设计,封堵了计算机的某些端口,导致使用极其不方便,影响工作,员工产生抵触情绪;存在外来机非法接入内网或双机对联而泄密的风险。存在主机丢失或磁盘丢失而泄密的风险。存在恶意删除本地涉密数据和共享涉密文件的风险。存在本地硬盘故障时全盘数据丢失的风险。对系统环境的依赖性强,如系统升级或改变、受控软件升级或改变、受控文件类型增加或改变等可能导致异常或失控。存在客户端监控软件反安装而失去控制的风险(如杀进程、删文件、格式化系统重装、Ghost还原系统、安装双系统)。管理维护困难,常常此时正常过段时间就出问题了,陷于失控
5、-升级-失控-升级-失控的尴尬境地。3、软件行业的开发调试环境 软件的开发环境也比较复杂,服务器一般都是 Windows和 Linux并存,员工 PC 以 Windows为主,少量 Linux,部分采用虚拟机。调试方式包括本地,以太网远程调试。开发语言:Java/C/C+/C#/.NET/PHP/Delphi等;开发工具:Visual Studio2005/2008/2010,Eclipus,Delphi以及各种专用 IDE;制图类:AutoCAD/SolidWoks/3DMax/Pro.e/photoshop 版本管理:SVN,VSS,GIT 编译:gcc,java,cl(嵌入式)4、软件行
6、业的防泄密需求 能够适应复杂的开发环境 由于开发环境复杂,针对进程,逐一控制的方式显然行不通。不能因为开发工具版本升级,造成无法保密控制。在企业内开发人员,在不影响开发调试效率的前提下,不能通过移动存储,网络,邮件,屏幕截图等泄密方式泄密。任何涉密文件拿出都必须经过严格的审批流程,并有可追溯的日志记录。具有较强的抗破解能力,研发人员技术水平都比较高,不能被轻易找到软件漏洞。不能让通过添加资源文件把源代码打包带出。在未经授权的情况下,研发人员无法通过邮件、聊天工具及网盘上传等上网方式将公司代码或开发文档擅自泄露;研发人员可以访问互联网方便查找资料,但是客户端源代码、技术文档等涉密文件此时应处于绝
7、密保护状态;研发人员的电脑可以接入 USB硬件设备作测试,但不能使用 U盘等移动存储设备拷贝机密资料;代码服务器只能在工作需要的情况下进行访问,禁止不受控下载到本地电脑并带走;连接不到企业服务器,即使硬盘拆下安装在其他电脑上,其内部涉密数据也无法显示;数据保护系统要尽量减少对研发人员的电脑性能的影响,且不 改变研发人员的日常使用习惯;数据保护系统要求足够安全、稳定,并且禁止非法终止或卸载。二、解决方案 365安全存储与防泄密系统的设计理念彻底颠覆了传统的堵漏型的本地数据防泄密的技术思路,从根本上解决了纯软件防泄密产品的上述缺陷。365三合一服务器采用专利技术,以服务器加 USBKey登录器的方
8、式,同时解决集中存储、自动备份和防内部泄密三大功能,真正实现了自由工作而不泄密的目标。在保证自由工作的前提下,实现了内部办公不泄密、网络办公不泄密、移动办公不泄密、数据移动不泄密、文件发布不泄密。产品用途 同时解决集中存储、自动备份和防泄密三大问题高容灾大容量网络存储、自动同步备份终端数据、防内部泄密与防外部窃密 自由工作而不泄密内部办公不泄密 移动办公不泄密 网络办公不泄密 365三合一服务器(专利技术),国内唯一硬件解决方案,真正实现了自由工作而不泄密的目标 产品构成 365安全存储与防泄密系统由 365三合一服务器、365终端登录器、内部专用 U 盘、移动办公不泄密 U 盘组成。365数
9、据安全中心关键技术 365数据安全中心核心技术包括高性能的安全服务器技术、存储重定向技术、虚拟加密磁盘技术、无源虚拟文件技术、身份认证技术、透明加密技术、芯片加密技术、访问控制技术等。365数据安全中心部署 在不改变原来系统功能和工作模式的条件下增加一种安全的工 作模式。部署简单、使用简单、维护简单。USBKey使用简单,无需光盘安装,无需系统配置,即插即用;客户机无须重装应用软件,不改变原有软件部署;无须重装操作系统,不改变 PC 机系统配置;无须新购网络设备,不增加网络设备;无须网络布线工程,不改变网络结构。如图:工作原理 (1)USBKey身份认证 在客户机上插入 365登录器,双击弹出
10、登录界面,输入服务器IP、登录用户和登录密码,提交 USBKey硬件信息给 365服务器进行身份验证(此后本机硬盘上的涉密数据将全部转移至 365服务器即网 络虚拟磁盘 U:,本地磁盘上不能再创建或保存涉密数据,即使开机不插 365USBKey也无法在本地磁盘打开受控程序和创建受控文件)。(2)进入安全工作模式 只要是涉密工作就必须使用 365USBKey登录到 365服务器,经过身份验证后,由 365服务器为客户机分配网络虚拟磁盘 U、V、W。U为私有加密磁盘,V为小组共享磁盘,W为全局共享磁盘。客户机只能在网络虚拟磁盘 U里工作,数据无法从 U:里以各种方式转移出文件(即不能本地拷贝、内容
11、拷贝粘帖、移动 U 盘拷贝、共享拷贝、文件另存、邮件外发、上网外发、文件打印、双机对联、外来机接入)。(3)退出到普通工作模式 点退出可从服务器安全工作模式切换到本机普通工作模式。一旦退出网络虚拟磁盘 U,将强制关闭文件,清除内存,关闭磁盘 U:V:W:,并恢复终端电脑的原有功能。系统功能特点 文件只存服务器、本地无涉密数据、合法用户拿不走、黑客木马窃不走、非法用户登不了、文件共享宕不走、网络外联发不走、自动备份不怕删、非法拷贝被禁止、文件打印受控制、移动 U 盘拷不走、自动阻断外来机、移动办公不泄密、磁盘电脑不怕丢、自由工作不泄密、协同办公不泄密、移动办公不泄密。特点一:内部办公不泄密 非法
12、用户进不来:必须使用登录器,并进行身份识别、帐户和密码验证才能登录服务器上获取密码,非法用户是登不了服务器的。合法用户拿不走:登录 365三合一服务器后会在本地自动生成一个服务器虚拟磁盘,跟本地磁盘一样自由使用,但透明加密盘的文件是不能以各种方式弄出去的。非法外联出不去:登录 365三合一服务器后,不影响上网功能,但服务器网络磁盘里的文件是禁止通过互联网外发的,也不能通过双机对联拷贝出去。移动存储拷不走:登录 365三合一服务器后,各种移动存储设备自动被禁止使用,或者设置为只读,只能拷入而不能拷出。因此移动存储是拷不走的。黑客木马窃不走:登录 365三合一服务器后,服务器网络磁盘里的文件只能被
13、授权程序访问,黑客木马病毒等有害程序是自动被拦截阻止访问的,使得黑客木马不能侵入窃取文件。自动阻断外来机:由于只跟服务器 P2P专线连接,其它局域网连接被隔离,因此外来机接入内网时是被自动阻断的。电脑丢失不泄密:由于数据只存透明加密盘,本地普通盘不留存涉密数据,因此即使主机被盗或硬盘被偷,也不会导致数据外泄。特点二:移动办公不泄密 在实际工作中,必然会与合作单位发生文件数据交换。那么如何防范拷贝出去的文件的泄密隐患呢?透明加密 U 盘 透明加密 U 盘的设计采用了独家专利技术,彻底解决文件通过 U盘拷走回家加班、外出协同工作或为用户展示过程中的源文件泄密难题。透明加密 U 盘的使用过程是将本单
14、位文件拷贝进 U 盘,插入对方计算机的 USB接口,通过授权密码打开 U 盘,此时您可以在 U 盘里 进行文件编辑修改和开发设计,但 U 盘里的文件无法以各种方式搞出去,从而达到既可外出工作而又不泄密的目的。特点三:文件发布不扩散 在计算机网络时代,对外发布文件是不可避免的。那么如何防范对外发布文件的扩散隐患?无源虚拟文件发布系统 无源虚拟文件发布系统的使用过程是将需要发布的文件制作成无源虚拟文件,拷贝到 U 盘里或者通过网络发送给对方。这些文件可限制打开次数、有效天数、不可更改、不可打印、不可拷贝,过期自毁。由于无源虚拟文件里无源文件,因此不存在破解窃取源文件而扩散的安全隐患。特点四:数据交
15、换不泄密 在计算机网络时代,在一个局域网内协同工作是常见的一种工作模式。那么如何方便地进行内部网络数据交换而又不泄密呢?内部专用 U 盘、365三合一服务器小组共享 V 盘和全局共享 W 盘 内部专用 U盘只能在单位内部使用,离开单位就无法使用。小组共享 V 盘用于一个独立小组之间的网络协同工作和文件数据交换。全局共享 W 盘用于整个单位内部的文件共享和信息发布。特点五:软件无须升级 目前常见的存储防泄密产品,往往对使用环境的依赖性强,一旦使用环境发生变化,很可能导致控制异常或失效,使得管理维护困难,陷于失控-升级-失控-升级-失控的尴尬境地。365安全存储与防泄密之解决方案采用了应用环境弱耦
16、合性设计技术:不因系统升级、应用软件升级变化而失控;与第三方软件兼容性好,未发现有冲突现象;与协议无关性,不因协议改变而失控;不因反安装而失控;对网络无特别要求。特点六:受控文件类型无限制 一些文件加密类软件常常以文件扩展名作为文件类别的控制依据,而文件扩展名容易被篡改,另存的时候也可以改变扩展名 365安全存储与防泄密之解决方案采用了文件扩展名无关性设计技术,不管透明加密盘里是什么类型文件,一律受控制。特点七:唯一适用于开发编译环境 由于开发编译环境相对比较复杂,编译包含配置文件、代码文件、库文件、程序文件、中间文件等,未见有效的防泄密产品应用。堵漏型防泄密产品存在反安装缺陷,使应用受到局限;加密型防泄密产品对文件加密的同时,破坏了开发编译环境设置,导致编译失败。本系统方案采用了数据盒设计技术,开发编译在数据盒里进行,不影响开发编译环境设置的。特点八:简单、方便、易用 在原客户机基础上增加一种安全的工作模式,而不影响客户机的原有功能:无须光盘安装软件(硬件登录器即插即用)无须重装应用软件(不改变原有软件部署)无须重装操作系统(不改变 PC 机系统配置)无须软件操作培训(不改变原来工作模式)无须新购网络设备(不增加网络设备)无须网络布线工程(不改变网络结构)