一、前言 • 各類嵌入式研發及平台軟體研發行業,都有自己的核心資料以及核心文檔,使用者資料等敏感資訊,這些資訊資料有以下共性: – 屬于核心機密資料,萬一洩密會給造成惡劣影響 – 核心資料類型多,有源代碼資料,員工計算機水準高 – 很多資料是業務系統中,不是檔案 • 如果不管控,設計者和使用者很容易通過各種途徑把該資料複制出去,造成洩密。 二、常用洩密途徑 • 由于研發人員比普通 辦公 人員要精通電腦,除了常見的網絡,郵件, U 盤, QQ 等資料擴散方法外,還有很多對于研發人員來說非常容易的方法(未列全): • 實體方法: – 網線直連,即把網線從牆上插頭拔下來,然後和一個非受控電腦直連; – winPE 啟動,通過CD光牒 或 U 盤的 winPE 啟動,甚至直接用 ISO 鏡像啟動。 – 虛拟機,通過安裝 VMWare 虛拟機,在虛拟機内使用外設 U 盤,網絡。 – 其他非受控電腦中轉,即把資料拷貝給網絡内其他非受控電腦上,中轉 – 網絡上傳,通過在公網上自建一個上傳伺服器,繞過上網行為管理 • 資料變形: – 編寫控制台程式,把代碼列印到 DOS 控制台上然後螢幕資訊另存; – 把代碼寫到 Log 日志檔案中,或把代碼寫到共享記憶體,然後另一個程式讀走。 – 編寫程序間通信程式,把代碼通過 socket ,消息, LPC , COM , mutex ,剪切闆,管道等程序間通信方式,中轉把資料發走; – 通過 IIS/Tomcat 等 web 解析器中轉,把代碼資料當網頁釋出出去,然後浏覽器浏覽後另存,或幹脆寫個 txt 框,初始化時把代碼都拷貝進來; • 外設中轉 –對于嵌入式開發場景,可以通過序列槽,U口,網口把代碼燒錄到裝置中轉洩密
三、SDC沙盒資料防洩密系統
•深信達SDC沙盒資料防洩密系統,是專門針對敏感資料進行防洩密保護的系統,實作資料的代碼級保護,不會影響工作效率,不影響正常使用。所有敏感資訊和檔案都自動加密,進而得到有效的範圍控制,防止洩密。
沙盒資料防洩密系統,系統架構如下:
• 管理端: 系統控制中心,政策管理 • 機密端: 源代碼及設計文檔版本管理伺服器,可以有複數台 • 外發稽核伺服器 ( 可選 ): 外發涉密檔案,郵件稽核 • 用戶端: 防洩密終端,可以有複數台。所有終端源代碼,文檔全盤透明加密
三、SDC沙盒資料防洩密系統主要功能介紹
•用戶端所有涉密資料自動加密
–用戶端從SVN等伺服器下載下傳代碼,文檔等都隻能在沙盒内進行,沙盒内所有檔案格式,所有軟體讀寫的檔案都自動加密,不區分檔案格式,不影響正常開發調試。
–終端的涉密資料無法通過U盤,郵件,網絡通信,聊天工具,CD光牒刻錄,硬碟拔取等所有洩密途徑洩密。
–資料可以是源代碼、文檔、圖紙、資料庫等。.
•安全隔離上網
–對于在涉密狀态下需要上外網查找資料的客戶提供此功能子產品。
–在涉密狀态下,通過該子產品,可以正常上網查找資料,QQ,GoogleTalk等可用,Web郵件可用。但因是和涉密狀态是隔絕的,隻進不出,是以
•無法把機密檔案的内容複制粘貼出去
•無法把涉密檔案QQ或郵件或網站上傳出去。
•無法通過QQ截圖等把涉密螢幕發送出去。
•anywork零信任
•anywork零信任功能是SDC沙盒防洩密系統的内外網通路控制子產品。是通過anywork網關,控制外網準入,在沒有VPN的情況下,外網用戶端可通過anywork網關通路内網機密端伺服器。
•智能端口
•智能端口過濾功能是SDC沙盒防洩密系統的外設控制子產品。是通過軟體方式,控制外設準入,過濾傳出的資料檔案,并對通過的資料進行伺服器記錄追朔。
