1.手機研發行業背景
隨著手機研發信息化程度的逐漸加深,研發、生產和銷售等部門運營流程越來越依賴于信息系統,單位內主要保護的數據有設計文檔、代碼和其他設計方案等形式的電子資料,由于具有容易復制、傳輸方便、形式多樣以及手機編譯軟件眾多等特點,隨著業界競爭的加劇,這些重要數據被泄密的風險越來越大,必須采用技術手段,結合企業保密管理制度,對企業核心數據實現有效的保護。
2.信息化現狀
由于網絡規模大,信息化程度高,終端分布廣以及重要數據分散等問題,需要采取完善的管理措施,對核心數據進行全方位的保護,具體分析某公司內網現狀如下:
1)地理位置分布廣,之間采用專線連接,傳輸過程中沒有采取任何的數據保護措施;
2)具有一定的網絡監控設備和手段,已經達到了一定的信息化安全等級。
3)需要保護的計算機以研發科研部門為主,核心代碼、文檔及設計方案等涉密數據均明文存儲在這類終端上,并且研發編譯環境十分復雜。
4)公司重要的服務器在本地沒有采取任何保護措施,僅僅在網絡層采用了外網防火墻進行保護。
5)普通員工的計算機水平較高,桌面應用環境十分復雜。
3.行業特點
作為研發型企業,設計文檔、開發代碼和整機的設計方案等都是手機研發企業的核心知識產權,也是企業的核心競爭力所在,如何保護好這些核心數據的安全是重中之重,然而,與其他研發型企業相比,手機研發行業又有自己的特點,主要有以下幾個特點:
1)研發編譯環境復雜
某公司有多個開發平臺比如Lotus 平臺、Brewster 平臺、 Windows mobile 平臺,每一個平臺上面運行的軟件達10幾種,以Lotus平臺舉例,其使用的軟件有:python-2.5、ActivePerl-5.10.0.1002-MSWin32-x86-283697、SBuild_RLS_2.3.1.win32、scons-0.96.92.win32等。
2)分布式編譯
某公司研發部門經常用到分布式編譯,對于大批量的源文件,單機需要很長時間才能完成,但是利用網內閑置的機器,搭建一個分布式系統,多臺機器同時編譯,可以收到明顯效果,在分布式編譯的過程中會產生很多的編譯子進程,對這些子進程是不能做加密處理的,同時對網絡有一定的要求,如果這兩方面都達不到,將會影響編譯速度甚至導致編譯中斷。
3)測試設備
研發人員經常使用測試設備進行程序調試,此設備一般會通過USB口連接到終端電腦,但會走串口\并口協議,實現測試代碼的傳輸。
4)端口控制
研發人員經常使用USB設備模擬出串口、并口設備與測試手機進行程序調試或測試,通過模擬端口與測試手機進行交互,實現在開放串口、并口的情況下保證數據的安全性。
4.需求分析
通過上述行業特點、公司IT現狀以及對數據安全的考慮,加強內網信息的保密和安全管理,保護企業自身的知識產權成果,手機研發行業內網需求主要體現在以下幾個方面:
4.1.網絡安全傳輸
異地采用專線連接,網絡傳輸過程中沒有做任何保護,為保證數據的安全性以及完整性,防止數據在傳輸的過程中被偵聽,因此,需要對網絡中傳輸的數據采取加密手段。
4.2.移動存儲管理
隨著移動存儲設備的興起,特別是U盤、移動硬盤容量越來越大,使用也越來越普及,包括各種數碼產品如MP3、數碼相機、手機等,都成了生活和工作的不可缺少的工具。因此,必須對移動存儲設備進行統一的管理,既要滿足公司內部通過移動存儲設備進行數據交換又要防止數據通過移動存儲設備造成信息的泄露。
4.3.數據的安全存儲
源碼、設計文檔等重要數據均存放在本地硬盤上,要實現保證數據的安全存儲,當硬盤被盜也不會造成數據的泄漏。
4.4. 各開發平臺數據的獨立性及保密性
研發部門擁有多套開發平臺,隨著3G業務的拓展,其開發平臺將逐漸增多,即要求同一開發平臺內部數據通過網絡、移動存儲設備均可實現數據的交換,又要求在非授權的情況下,非同一個開發平臺下的數據不允許交換,最大程度上實現各平臺數據的低耦合,保證業務平臺內數據的安全性。
4.5.服務器的保護
服務器比較多,這些服務器均存放在機房中,要防止未經授權的用戶訪問服務器造成數據的泄漏。
4.6. 端口管理
研發人員經常使用USB設備模擬出串口、并口設備與測試手機進行程序調試或測試,如何在開放串口、并口的情況下保證數據的安全性,即在開放串口、并口的前提下也不會造成數據的泄漏。
5.具體建設方案
通過以上的需求分析,Chinasec在手機行業的應用方案將以“數據安全”為核心,采用Chinasec可信網絡安全平臺來作為技術支撐。
5.1.數據安全保護
數據安全包括數據在存儲、傳輸這兩個過程的安全,數據存儲指存儲在終端、服務器、移動存儲設備上,數據傳輸安全指的是數據在網絡傳輸的安全,因此數據安全主要考慮終端數據安全管理即硬盤數據安全、服務器數據安全、移動存儲設備的數據安全、網絡傳輸數據安全,對應的解決辦法如下:
1)硬盤數據安全
本地磁盤加密后,所有寫入加密分區的數據在磁盤扇區層進行加密處理。用戶正常使用時感覺不到任何變化,但如果將硬盤竊取外接或者重裝操作系統,加密分區的數據無法正常讀取,由于采用了硬盤加密技術,與用戶具體應用系統無關,這也保證了本平臺在軟件環境如此復雜的手機研發行業中順利應用和推廣。
2)服務器數據安全
手機研發業內網有較多重要服務器,比如郵件轉發服務器、版本控制服務器、CC服務器、CQ服務器等。而這些服務器承載了網絡中大量的數據,一旦這些服務器受到攻擊或者崩潰,會使某公司整個網絡陷入癱瘓,正常工作難以進行,所以對各種服務器的保護也是尤為重要,Chinasec采用“安全網關”對服務器進行保護,對要訪問服務器的電腦進行篩選判斷,如果是授權的,則可以通過“安全網關”的過慮,訪問到服務器的數據;反之,如果此機器沒有授權,將會被自動過濾掉,通過訪問過濾的方式保證內網服務器的安全。
3) 移動存儲設備的數據安全
Chinasec可信網絡系統可以提供對移動存儲設備的人員、終端、時間、權限的細致管理,通過設置移動存儲介質的使用信息,可以將移動存儲介質對應到管理部門、管理人、使用部門和使用人,從而使移動存儲設備的使用可以透明化。
4) 網絡傳輸的數據安全
為了防止數據傳輸在網絡上被偵聽,采用網絡傳輸加密技術,網絡傳輸加密技術是實現Chinasec可信網絡安全平臺功能的關鍵技術之一。當數據傳輸加密功能因為特定策略被啟用后,點到點之間的所有數據傳輸都將被加密。
5.2. 各應用平臺數據的獨立及保密
為了保障各開發平臺內的數據的獨立性以及保密性,可以采用可信網絡保密系統將各平臺劃分為獨立的保密子網(VCN),同一個保密子網內部的計算機可以實現相互自由的數據交換(通過網絡或者存儲設備),不在同一個保密子網內部的計算機相互之間不能進行正常的數據交換,除非獲得管理員的授權。
通過保密子網的劃分,可以在保障網絡統一維護的前提下,對各開發平臺實現有效的數據隔離,增加內網安全級別,降低安全風險。通過保密子網,還可以有效防止非法外連或者非法接入。非法外連不管是基于Modem、ADSL撥號或者雙網卡,都能夠有效防止。非法接入不管是通過交換機接入或者通過網線將兩臺計算機直連,也都能夠有效防止。不同保密子網(VCN)之間可以設定信任關系,從而允許他們的計算機之間進行數據交換。
5.3. 終端監控審計管理
通過Chinasec可信網絡保密系統有效的對文檔安全進行了管理,做到了事前預防和事中控制,為了做到事后的審計形成強大的權限約束力,可配合監控審計管理進行更深入的完善。
1) 文件操作記錄
Chinasec可信監控平臺提供了文件操作記錄審計,實現了針對文件的復制、粘貼、修改、刪除等操作進行了記錄,同時可設置在不同狀態的記錄事件,比如針對移動存儲設備,網絡共享等方式。根據XXX公司實際情況,將有權限可使用明文外帶的用戶和計算機進行移動存儲的文件操作記錄。有效的監督了對于授權人員和相關解密人員。
2) 端口管理
研發人員經常使用USB設備模擬出串口、并口設備與測試手機進行程序調試或測試,通過模擬端口與測試手機進行交互,如何在開放串口、并口的情況下保證數據的安全性,Chinasec通過應用程序控制和端口控制進行組合,只有特定的應用程序模擬串口、并口才可以進行數據的交互,達到在對串口、并口控制的條件下完成測試手機調試。
3) 測試手機的管理
研發人員經常使用測試手機進行程序調試,在不影響正常工作的前提下如何保證燒錄到測試手機里面的數據安全,即保證只有允許燒錄的文件才可以明文燒錄到手機里面,其他文件則燒錄后事密文,防止研發人員通過測試手機將源碼或其他的文件帶出內網, Chinasec支持自定義文件格式進行明文燒錄,只有當管理員授權的文件格式燒錄到測試手機里是明文,反之,其他文件燒錄到測試手機都是密文,從而保證數據的安全性。
4) 打印審計管理
對打印進行控制和審計管理,設定特殊機密部門禁止普通員工使用打印機,需要打印可由授權人員審批以后進行打印,對重要部門的打印內容進行完整記錄,便于以后對打印內容進行查看或者還原。一般數據部門可對打印進行簡單記錄,記錄打印文件名、操作計算機、地址等信息。并將日志信息匯總成報表供相關人員可根據關鍵字,用戶等信息進行綜合查詢。
5) 審計和違規管理
客戶端的所有操作記錄都能被監控審計,并且能審計到詳細的使用者、計算機、用戶、權限以及使用時間,包括在線和離線,對文件的打印、修改、刪除、新建等操作,并且可以準確的定位到IP地址、時間、操作內容、操作用戶。同時可對違規事件進行記錄。比如禁止A用戶使用移動存儲設備,但是A用戶想去使用,在系統控制的情況下同樣可形成違規記錄供管理員分析。
通過Chinasec可信平臺的報表程序,可實現根據地址、計算機、操作內容等進行篩選查看和日志的輸出。并可支持多種輸出,支持查詢、統計及報表的直接打印,并可導出RTF、Excel、PDF等多種格式的文件。
5.4. 和用戶應用環境的兼容
Chinasec通過應用程序控制和端口控制進行組合達到在對串口、并口安全控制的條件下完成測試手機調試。而對于手機軟件的燒錄,提供了審核機制,只有經過審核的代碼才可以燒錄到測試手機中。同時,本系統提供了IP白名單、郵件域名白名單、終端白名單等眾多白名單方式,實現安全和便利的有機結合。
6. 系統部署示意圖
7. 方案效果
本方案實施后,將可以滿足某公司內網安全保護的需要,效果如下。
1) 在不影響分布式編譯、本機編譯速度的前提下,保證源碼數據安全。
2) 在保證測試手機正常測試的過程中,防止數據通過測試手機泄露。
3) 實現各開發平臺內數據邏輯隔離,達到各平臺數據的安全性及保密性。
4) 在安全等級提高的同時,移動存儲設備得到更有效的管理。
5) 服務器得到有效的保護,并且實現了服務器明文存儲。
6) 有效防止了非法外連和非法接入。
7) 核心保密數據實施嚴格的控制,未經授權,不能通過任何途徑將數據帶出保密內網信息系統。
8) 授權人員可以將數據安全帶出內網,但是其行為和操作將被記錄。
總之,通過Chinasec可信網絡系統,既可以實現授權用戶和計算機安全訪問核心數據,防止核心數據的泄密,又實現了對內網所有計算機的監控審計,最終實現了內網安全事件的事前預防,事中控制,事后審計的安全管理。