通訊行業研發源代碼如何保密

通訊行業研發源代碼如何保密

手機通信行業的研發部門，廣泛使用各種編譯器，如keil,、DS/RealView、MPLAB、WindowsMobile…，版本不統一。相當多公司内部通過網絡協作開發，各種軟體生成的檔案需要交叉引用，應用環境十分複雜。通常采用CVS、Subversion(SVN)作為軟體版本控制系統，使用者在通過各種有效的用戶端工具來提高工作的效率的同時也帶來一個嚴峻的問題，如何解決企業内部包括SVN伺服器上源代碼的保密，防洩密？      secWall資料圍牆企業版，獨創的主動加密理論和涉密屬性傳染機制，使公司研發部門生成的各類源代碼永遠處于加密狀态，公司設計、操作人員無論是通過複制、網絡傳送，還是引用源代碼的部分代碼，甚至搬走工作用的計算機、拆走存放資料的硬碟，各類源代碼、CAD檔案一旦離開公司環境就将成為毫無意義的亂碼。secWall的實時加解密驅動引擎保障加密資料無需解密就可以直接使用，是以加密的源代碼、圖紙在企業内部和沒有加密前使用時沒有任何不同。從編寫源代碼->編譯->連結成最終目标檔案(bin,hex)，全程所有檔案都是加密的，隻有當目标檔案燒錄至硬體中的時刻，secWall才智能的将其解密後燒錄到硬體中。完美解決通信、嵌入式研發行業中對源代碼加密保密的需求。     secWall企業版的核心元件運作于WINDOWS作業系統底層，與公司的各種應用軟體、環境不直接接觸。支援所有編譯器對各類源代碼的編譯的運作，不針對任何特定應用程式定制，維持各類源代碼項目内各檔案關聯性。在公司環境内，員工無需關心檔案是加密的還是不加密的，因為不改變既有的操作方式和使用習慣，也就不需要為此對員工進行專門的教育訓練，有些部署了secWall保密系統的企業員工很長時間内甚至不知道這套系統的存在。     在secWall企業版系統中，主動加密技術全程監控涉密資料流向，從加密過的圖紙、文檔或源代碼中引用部分資料(剪貼闆複制、滑鼠拖放等)生成的檔案同樣會繼承保密狀态，一個原本沒有加密的檔案，如果把加密檔案的一段資料插入到這個檔案中，新的檔案會因為這片斷加密資料而被全部加密。甚至把涉密圖紙或代碼的視窗通過螢幕拷貝（截屏）儲存的圖像檔案也會自動加密。由于secWall系統的保密不依賴于具體應用軟體，是以對各類CAD圖紙、源代碼的保密隻是其一種行業案例。實際上，secWall系統可以支援各種行業應用軟體的電子化文檔的保密，如平面設計行業的圖形圖像保密、軟體行業的程式源代碼保密、自動化行業的PLC源代碼保密、手機通信行業内各類源代碼保密，當然也适用于日常辦公環境的Office文檔、客戶資料、OA系統中的涉密文檔、ERP系統涉密資料的保密。與具體應用無關的特性主要優勢不僅在于應用面廣泛，更重要的是在客戶的變更了應用軟體或現有軟體更新後，不會導緻保密系統不适用。 secWall典型案例部署 軟體源代碼類客戶       這類應用一般都采用版本管理軟體同步開發成果，在secWall網絡集控版中屬于較複雜的應用，在安全方案上需要作特别的設定完成涉密資訊在客戶機與伺服器之間的傳遞，客戶機獲得證書就可以操作加密檔案。涉密環境中的應用體驗與未部署secWall前幾乎完全相同。未安裝ＳecWall或者未登入secWall的客戶機是無法登入svn伺服器，并下載下傳源代碼的。合法ＳecWall使用者方能登入svn伺服器，但客戶機從伺服器下載下傳的源代碼到達客戶機時永遠處于加密狀态。 系統網絡結構圖 客戶行業範圍 此類客戶應用包括以下類型軟體的應用，實際部署不限于所列行業。通用軟體開發類（所有Windows平台的應用軟體開發）網絡應用開發類（各種基于Web的應用） 嵌入式系統開發類 工控晶片軟體開發類 手機軟體開發類（Windows Mobile，Palm，Android，各種ARM平台，…） 部署步驟 1. 軟體安裝 安裝集控伺服器、定制普通使用者的客戶機、安裝軟體包安裝客戶機軟體、在集控伺服器上開設使用者賬戶、客戶機登入到集控伺服器 （1）. 安裝集控伺服器 選擇網絡中的一台計算機安裝集控伺服器軟體，并将secWall集控伺服器專用IC插到集控伺服器所在計算機的任一USB端口；集控伺服器服務基于TCP/IP協定，安裝集控伺服器時注意配置集控伺服器的服務端口号。如果集控伺服器在防火牆後面，必須在防火牆上開放集控伺服器使用的服務端口。如果伺服器上有多個網絡擴充卡（網卡），必須為集控服務選擇一個網卡，集控服務将在指定網卡的網絡位址段上服務。如果需要同時對其它網段服務（如為内網服務的同時向Internet使用者提供服務），可以使用NAT服務将集控服務端口映射到其它網段。 （2）. 定制普通使用者的客戶機安裝軟體包（可選） 預設的客戶機安裝會同時安裝管理元件。如果不想把管理元件安裝到普通客戶機，可以使用“定制客戶機安裝”重新生成普通使用者的安裝軟體包。 （3）. 安裝客戶機軟體 在涉密客戶機上安裝secWall客戶機軟體。安裝時指定集控伺服器的IP位址和服務端口号。如果安裝時未指定，可以使用“secWall網絡配置”工具指定。指定了正确的伺服器位址和端口号後才能登入到集控伺服器。 （4）. 在集控伺服器上開設使用者賬戶 從安裝了管理者元件的客戶機上運作“secWall集控服務管理器”（也可以從安裝CD光牒裡直接運作），為客戶機開設賬戶。如果是IC使用者，應該以IC序列号添加IC賬戶。 如果使用的設計類軟體需要連接配接License伺服器驗證正版授權（如AutoCAD、SolidWorks等），則需要在目前登入的secWall使用者屬性中設定“安全區域”權限，将驗證License伺服器添加為安全區域。 （5）. 客戶機登入到集控伺服器 如果是IC使用者，在開設賬戶後在客戶機插入IC即可登入到伺服器。如果是普通使用者賬戶，啟動“secWall集控伺服器登入”輸入使用者名和密碼登入。 2. 集控伺服器使用者權限設定 SVN是典型的C/S結構應用，在secWall中的安全方案與ERP類的SQL Server配置方式相同。 此處需要分别設定兩種類型使用者的權限：伺服器端登入使用者，secWall用戶端使用者。下面以SVN為例。 ★伺服器端登入使用者： 該使用者的登入，是為了防止未通過secWall 集控伺服器認證的使用者來通路伺服器端機密的資料（如下載下傳源代碼檔案等）。 在安裝有SVN伺服器（下面統稱為“伺服器”）的計算機上，安裝secWall 客戶機軟體，并設定一個特殊使用者始終登入到secWall 集控服務管理器。設定該使用者的“遠端管理”權限，加密伺服器開放的端口，加密端口為3690（3690端口是SVN在網絡上的服務端口号）。 注意：啟用端口加密功能後，所有端口都會以涉密主動加密的方式工作。是以沒有顯式指定為涉密端口的服務端口在其服務通路過加密檔案後也會會因涉密而被加密。要確定其他無保密要求的端口正常通訊，則需要顯式添加到“開放端口”中。如需要通過“遠端桌面連接配接”功能來遠端操作伺服器，則需要在“遠端管理”中Windows終端服務的服務端口3389添加的“開放端口”清單。 ★secWall 用戶端使用者：      該使用者的設定，是為了確定用戶端能夠在涉密狀态下與“伺服器”正常通信，且下載下傳伺服器端機密資料到本地時，保持加密狀态。       從安裝了管理者元件的客戶機上運作“secWall集控服務管理器”（也可以從安裝CD光牒裡直接運作），設定用戶端使用者。設定用戶端使用者的“安全區域”，添加伺服器的IP位址和端口号，并勾選“與安全區域主機連接配接後涉密”。

東莞市宏禦安科資訊技術有限公司

位址：廣東省東莞市長安新安區圳地好運大廈五樓E座

電話：0769-85318802 81153890

傳真：0769-81153890 EXT:605

全國統一免費電話:4006032098

www.hyaksec.com