如何采取切实有效的安全措施,以确保核心数据资产——源代码的安全,已成为摆在我们面前亟待解决的重要课题。然而源代码防泄密的安全强度、稳定运行和性能损耗控制是一个复杂而系统的任务。需要综合考虑各种因素,采取综合性的措施来应对这些挑战,或许彻底抛弃依赖进程的安全思路才是明智之举。
一、源代码防泄密方案总体概述 在开发终端、代码服务器(GIT/SVN)上,采用数据安全隔离技术(DSA),同时创键安全区,并在此基础上组建安全子网,与外部环境相隔离(磁盘、网络、存储、端口、外设等多重底层隔离),形成软件开发部门专属的安全开发空间。在安全区/安全子网内,数据存储、传输、使用等正常开发工作不受影响,但其中数据无法向外泄露、扩散。 二、从宏观看源代码防泄密方案 1)创建安全区/安全子网,与外部环境相隔离,形成软件开发部门专属的安全开发空间; 2)在软件开发部门专属的安全开发空间内,U盘、内外网络、磁盘等均可使用,但无法向外拷贝数据。外部数据能拷进,内部数据无法拷出; 三、从使用者角度看源代码防泄密方案 1)开发人员正常开机工作即可-默认自动进入安全区/安全子网-专属安全开发空间; 2)安全区/安全子网-专属安全开发空间内,不向外拷贝数据,不会受到任何限制。向外拷贝数据的唯一合法出口是外发审核-点击右下角图标走审核流程; 四、从安全角度看源代码防泄密方案 1)不对代码文件自身进行任何处理,不碰代码文件; 2)底层安全隔离技术,不依赖任何应用、进程设定任何安全策略;
网络上用户数量众多,相互之间建立信任是一个很复杂的问题。为解决这个问题,在公钥管理的过程中采取了将公钥和公钥所有人信息绑定的办法,产生了用户数字证书(Digital Certificate)。另外,为了确保数字证书的真实性,数字证书必须由一个所有用户都信任的、权威的机构颁发,由其验证和担保作为证书主体的证书所有者与证书中的公钥具有对应关系。在过程中涉及的权威机构称为数字证书认证中心。
在数据经济时代,软件源代码已成为关键的核心资产之一 ,这引发了全新的源代码防泄密场景的出现。首先,代码文件的数量众多且相互调用关系复杂,这加大了保密的难度。其次,软件开发人员的技术能力不容小觑,这进一步提升了防泄密的难度。
源代码防泄密场景中,数据安全隔离在安全与便捷之间取得平衡的思路:在安全价值得以充分体现的前提下,不影响开发部门内部网络的使用(安全区/加密子网),不影响外部网络的使用(虚拟桌面),在安全与便捷性之间取得平衡;
通过创建代码存储、流转、使用的安全空间(安全区/加密子网),实现对内部软件开发代码的安全管理,防止其向外泄露、扩散。
通过DSA源代码防泄密基本原理分析,判断其安全关键点,从而明确DSA源代码防泄密安全强度如何。
传统针对文档类的防泄密技术(透明加密、沙盒防泄密等)之所以难以移植到源代码防泄密场景中,根本原因就在于传统技术核心原理,均须对代码自身进行处理,同时在后台依赖进程进行一系列安全策略设定;更重要的是安全强度不行,网上存有大量实质性PJ内容,安全价值几乎为零;
通过DSA数据安全隔离系统,在代码服务器以及PC终端上创建以安全区为基础的加密子网,保障代码存储、流转、使用全周期安全,防止其中代码泄露、扩散。
Copyright © 2005-2024 51CTO.COM 版权所有 京ICP证060544号
