如何做好源代码防泄密

​

 一、前言

•   各类嵌入式研发及平台软件研发行业，都有自己的核心数据以及核心文档，用户数据等敏感信息，这些信息数据有以下共性：

–属于核心机密资料，万一泄密会给造成恶劣影响

–核心数据类型多，有源代码数据，员工计算机水平高

–很多数据是业务系统中，不是文件

•   如果不管控，设计者和使用者很容易通过各种途径把该数据复制出去，造成泄密。

二、常用泄密途径

•   由于研发人员比普通办公人员要精通电脑，除了常见的网络，邮件，U盘，QQ等数据扩散方法外，还有很多对于研发人员来说非常容易的方法（未列全）：

•   物理方法：

–网线直连，即把网线从墙上插头拔下来，然后和一个非受控电脑直连；

–winPE启动，通过光盘或U盘的winPE启动，甚至直接用ISO镜像启动。

–虚拟机，通过安装VMWare虚拟机，在虚拟机内使用外设U盘，网络。

–其他非受控电脑中转，即把数据拷贝给网络内其他非受控电脑上，中转

–网络上传，通过在公网上自建一个上传服务器，绕过上网行为管理

•   数据变形：

–编写控制台程序，把代码打印到DOS控制台上然后屏幕信息另存；

–把代码写到Log日志文件中，或把代码写到共享内存，然后另一个程序读走。

–编写进程间通信程序，把代码通过socket，消息，LPC，COM，mutex，剪切板，管道等进程间通信方式，中转把数据发走；

–通过IIS/Tomcat等web解析器中转，把代码数据当网页发布出去，然后浏览器浏览后另存，或干脆写个txt框，初始化时把代码都拷贝进来；

•   外设中转

–对于嵌入式开发场景，可以通过串口，U口，网口把代码烧录到设备中转泄密

三、SDC沙盒数据防泄密系统

•深信达SDC沙盒数据防泄密系统，是专门针对敏感数据进行防泄密保护的系统，实现数据的代码级保护，不会影响工作效率，不影响正常使用。所有敏感信息和文件都自动加密，从而得到有效的范围控制，防止泄密。

沙盒数据防泄密系统，系统架构如下：

•管理端：系统控制中心，策略管理

•机密端：源代码及设计文档版本管理服务器，可以有复数台

•外发审核服务器(可选):外发涉密文件，邮件审核

•客户端：防泄密终端，可以有复数台。所有终端源代码，文档全盘透明加密

三、SDC沙盒数据防泄密系统主要功能介绍

•客户端所有涉密数据自动加密

–客户端从SVN等服务器下载代码，文档等都只能在沙盒内进行，沙盒内所有文件格式，所有软件读写的文件都自动加密，不区分文件格式，不影响正常开发调试。

–终端的涉密数据无法通过U盘，邮件，网络通信，聊天工具，光盘刻录，硬盘拔取等所有泄密途径泄密。

–数据可以是源代码、文档、图纸、数据库等。.

•安全隔离上网 

        –对于在涉密状态下需要上外网查找资料的客户提供此功能模块。

        –在涉密状态下，通过该模块，可以正常上网查找资料，QQ,GoogleTalk等可用，Web邮件可用。但因是和涉密状态是隔绝的，只进不出,所以

                •无法把机密文件的内容复制粘贴出去

                •无法把涉密文件QQ或邮件或网站上传出去。

               •无法通过QQ截图等把涉密屏幕发送出去。

•anywork零信任

 •anywork零信任功能是SDC沙盒防泄密系统的内外网访问控制模块。是通过anywork网关，控制外网准入，在没有VPN的情况下，外网客户端可通过anywork网关访问内网机密端服务器。

​

•智能端口

 •智能端口过滤功能是SDC沙盒防泄密系统的外设控制模块。是通过软件方式，控制外设准入，过滤传出的数据文件，并对通过的数据进行服务器记录追朔。

​

​