一、前言
•
各类嵌入式研发及平台软件研发行业,都有自己的核心数据以及核心文档,用户数据等敏感信息,这些信息数据有以下共性:
–
属于核心机密资料,万一泄密会给造成恶劣影响
–
核心数据类型多,有源代码数据,员工计算机水平高
–
很多数据是业务系统中,不是文件
•
如果不管控,设计者和使用者很容易通过各种途径把该数据复制出去,造成泄密。
二、常用泄密途径
•
由于研发人员比普通
办公
人员要精通电脑,除了常见的网络,邮件,
U
盘,
QQ
等数据扩散方法外,还有很多对于研发人员来说非常容易的方法(未列全):
•
物理方法:
–
网线直连,即把网线从墙上插头拔下来,然后和一个非受控电脑直连;
–
winPE
启动,通过光盘
或
U
盘的
winPE
启动,甚至直接用
ISO
镜像启动。
–
虚拟机,通过安装
VMWare
虚拟机,在虚拟机内使用外设
U
盘,网络。
–
其他非受控电脑中转,即把数据拷贝给网络内其他非受控电脑上,中转
–
网络上传,通过在公网上自建一个上传服务器,绕过上网行为管理
•
数据变形:
–
编写控制台程序,把代码打印到
DOS
控制台上然后屏幕信息另存;
–
把代码写到
Log
日志文件中,或把代码写到共享内存,然后另一个程序读走。
–
编写进程间通信程序,把代码通过
socket
,消息,
LPC
,
COM
,
mutex
,剪切板,管道等进程间通信方式,中转把数据发走;
–
通过
IIS/Tomcat
等
web
解析器中转,把代码数据当网页发布出去,然后浏览器浏览后另存,或干脆写个
txt
框,初始化时把代码都拷贝进来;
•
外设中转
–对于嵌入式开发场景,可以通过串口,U口,网口把代码烧录到设备中转泄密
三、SDC沙盒数据防泄密系统
•深信达SDC沙盒数据防泄密系统,是专门针对敏感数据进行防泄密保护的系统,实现数据的代码级保护,不会影响工作效率,不影响正常使用。所有敏感信息和文件都自动加密,从而得到有效的范围控制,防止泄密。
沙盒数据防泄密系统,系统架构如下:
•
管理端:
系统控制中心,策略管理
•
机密端:
源代码及设计文档版本管理服务器,可以有复数台
•
外发审核服务器
(
可选
):
外发涉密文件,邮件审核
•
客户端:
防泄密终端,可以有复数台。所有终端源代码,文档全盘透明加密
三、SDC沙盒数据防泄密系统主要功能介绍
•客户端所有涉密数据自动加密
–客户端从SVN等服务器下载代码,文档等都只能在沙盒内进行,沙盒内所有文件格式,所有软件读写的文件都自动加密,不区分文件格式,不影响正常开发调试。
–终端的涉密数据无法通过U盘,邮件,网络通信,聊天工具,光盘刻录,硬盘拔取等所有泄密途径泄密。
–数据可以是源代码、文档、图纸、数据库等。.
•安全隔离上网
–对于在涉密状态下需要上外网查找资料的客户提供此功能模块。
–在涉密状态下,通过该模块,可以正常上网查找资料,QQ,GoogleTalk等可用,Web邮件可用。但因是和涉密状态是隔绝的,只进不出,所以
•无法把机密文件的内容复制粘贴出去
•无法把涉密文件QQ或邮件或网站上传出去。
•无法通过QQ截图等把涉密屏幕发送出去。
•anywork零信任
•anywork零信任功能是SDC沙盒防泄密系统的内外网访问控制模块。是通过anywork网关,控制外网准入,在没有VPN的情况下,外网客户端可通过anywork网关访问内网机密端服务器。
•智能端口
•智能端口过滤功能是SDC沙盒防泄密系统的外设控制模块。是通过软件方式,控制外设准入,过滤传出的数据文件,并对通过的数据进行服务器记录追朔。
297
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
