Chinasec在手機(jī)研發(fā)行業(yè)中的應(yīng)用.doc

chinasec在手機(jī)研發(fā)行業(yè)中的應(yīng)用_信息安全_基礎(chǔ)信息化1.手機(jī)研發(fā)行業(yè)背景 隨著手機(jī)研發(fā)信息化程度的逐漸加深，研發(fā)、生產(chǎn)和銷售等部門運(yùn)營流程越來越依賴于信息系統(tǒng)，單位內(nèi)主要保護(hù)的數(shù)據(jù)有設(shè)計(jì)文檔、代碼和其他設(shè)計(jì)方案等形式的電子資料，由于具有容易復(fù)制、傳輸方便、形式多樣以及手機(jī)編譯軟件眾多等特點(diǎn)，隨著業(yè)界競爭的加劇，這些重要數(shù)據(jù)被泄密的風(fēng)險(xiǎn)越來越大，必須采用技術(shù)手段，結(jié)合企業(yè)保密管理制度，對企業(yè)核心數(shù)據(jù)實(shí)現(xiàn)有效的保護(hù)。2.信息化現(xiàn)狀 由于網(wǎng)絡(luò)規(guī)模大，信息化程度高，終端分布廣以及重要數(shù)據(jù)分散等問題，需要采取完善的管理措施，對核心數(shù)據(jù)進(jìn)行全方位的保護(hù)，具體分析某公司內(nèi)網(wǎng)現(xiàn)狀如下： 1)地理位置分布廣，之間采用專線連接，傳輸過程中沒有采取任何的數(shù)據(jù)保護(hù)措施； 2)具有一定的網(wǎng)絡(luò)監(jiān)控設(shè)備和手段，已經(jīng)達(dá)到了一定的信息化安全等級。 3)需要保護(hù)的計(jì)算機(jī)以研發(fā)科研部門為主，核心代碼、文檔及設(shè)計(jì)方案等涉密數(shù)據(jù)均明文存儲在這類終端上，并且研發(fā)編譯環(huán)境十分復(fù)雜。 4)公司重要的服務(wù)器在本地沒有采取任何保護(hù)措施，僅僅在網(wǎng)絡(luò)層采用了外網(wǎng)防火墻進(jìn)行保護(hù)。 5)普通員工的計(jì)算機(jī)水平較高，桌面應(yīng)用環(huán)境十分復(fù)雜。3.行業(yè)特點(diǎn) 作為研發(fā)型企業(yè)，設(shè)計(jì)文檔、開發(fā)代碼和整機(jī)的設(shè)計(jì)方案等都是手機(jī)研發(fā)企業(yè)的核心知識產(chǎn)權(quán)，也是企業(yè)的核心競爭力所在，如何保護(hù)好這些核心數(shù)據(jù)的安全是重中之重，然而，與其他研發(fā)型企業(yè)相比，手機(jī)研發(fā)行業(yè)又有自己的特點(diǎn)，主要有以下幾個特點(diǎn)： 1)研發(fā)編譯環(huán)境復(fù)雜 某公司有多個開發(fā)平臺比如lotus 平臺、brewster 平臺、 windows mobile 平臺，每一個平臺上面運(yùn)行的軟件達(dá)10幾種，以lotus平臺舉例，其使用的軟件有：python-2.5、activeperl-5.10.0.1002-mswin32-x86-283697、sbuild_rls_2.3.1.win32、scons-0.96.92.win32等。 2)分布式編譯 某公司研發(fā)部門經(jīng)常用到分布式編譯，對于大批量的源文件，單機(jī)需要很長時間才能完成，但是利用網(wǎng)內(nèi)閑置的機(jī)器，搭建一個分布式系統(tǒng)，多臺機(jī)器同時編譯，可以收到明顯效果，在分布式編譯的過程中會產(chǎn)生很多的編譯子進(jìn)程，對這些子進(jìn)程是不能做加密處理的，同時對網(wǎng)絡(luò)有一定的要求，如果這兩方面都達(dá)不到，將會影響編譯速度甚至導(dǎo)致編譯中斷。 3)測試設(shè)備 研發(fā)人員經(jīng)常使用測試設(shè)備進(jìn)行程序調(diào)試，此設(shè)備一般會通過usb口連接到終端電腦，但會走串口并口協(xié)議，實(shí)現(xiàn)測試代碼的傳輸。 4)端口控制 研發(fā)人員經(jīng)常使用usb設(shè)備模擬出串口、并口設(shè)備與測試手機(jī)進(jìn)行程序調(diào)試或測試，通過模擬端口與測試手機(jī)進(jìn)行交互，實(shí)現(xiàn)在開放串口、并口的情況下保證數(shù)據(jù)的安全性。4.需求分析 通過上述行業(yè)特點(diǎn)、公司it現(xiàn)狀以及對數(shù)據(jù)安全的考慮，加強(qiáng)內(nèi)網(wǎng)信息的保密和安全管理，保護(hù)企業(yè)自身的知識產(chǎn)權(quán)成果，手機(jī)研發(fā)行業(yè)內(nèi)網(wǎng)需求主要體現(xiàn)在以下幾個方面： 4.1.網(wǎng)絡(luò)安全傳輸 異地采用專線連接，網(wǎng)絡(luò)傳輸過程中沒有做任何保護(hù)，為保證數(shù)據(jù)的安全性以及完整性，防止數(shù)據(jù)在傳輸?shù)倪^程中被偵聽，因此，需要對網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)采取加密手段。 4.2.移動存儲管理 隨著移動存儲設(shè)備的興起，特別是u盤、移動硬盤容量越來越大，使用也越來越普及，包括各種數(shù)碼產(chǎn)品如mp3、數(shù)碼相機(jī)、手機(jī)等，都成了生活和工作的不可缺少的工具。因此，必須對移動存儲設(shè)備進(jìn)行統(tǒng)一的管理，既要滿足公司內(nèi)部通過移動存儲設(shè)備進(jìn)行數(shù)據(jù)交換又要防止數(shù)據(jù)通過移動存儲設(shè)備造成信息的泄露。 4.3.數(shù)據(jù)的安全存儲 源碼、設(shè)計(jì)文檔等重要數(shù)據(jù)均存放在本地硬盤上，要實(shí)現(xiàn)保證數(shù)據(jù)的安全存儲，當(dāng)硬盤被盜也不會造成數(shù)據(jù)的泄漏。 4.4.各開發(fā)平臺數(shù)據(jù)的獨(dú)立性及保密性 研發(fā)部門擁有多套開發(fā)平臺，隨著3g業(yè)務(wù)的拓展，其開發(fā)平臺將逐漸增多，即要求同一開發(fā)平臺內(nèi)部數(shù)據(jù)通過網(wǎng)絡(luò)、移動存儲設(shè)備均可實(shí)現(xiàn)數(shù)據(jù)的交換，又要求在非授權(quán)的情況下，非同一個開發(fā)平臺下的數(shù)據(jù)不允許交換，最大程度上實(shí)現(xiàn)各平臺數(shù)據(jù)的低耦合，保證業(yè)務(wù)平臺內(nèi)數(shù)據(jù)的安全性。 4.5.服務(wù)器的保護(hù) 服務(wù)器比較多，這些服務(wù)器均存放在機(jī)房中，要防止未經(jīng)授權(quán)的用戶訪問服務(wù)器造成數(shù)據(jù)的泄漏。 4.6.端口管理 研發(fā)人員經(jīng)常使用usb設(shè)備模擬出串口、并口設(shè)備與測試手機(jī)進(jìn)行程序調(diào)試或測試，如何在開放串口、并口的情況下保證數(shù)據(jù)的安全性，即在開放串口、并口的前提下也不會造成數(shù)據(jù)的泄漏。5.具體建設(shè)方案 通過以上的需求分析，chinasec在手機(jī)行業(yè)的應(yīng)用方案將以“數(shù)據(jù)安全”為核心，采用chinasec可信網(wǎng)絡(luò)安全平臺來作為技術(shù)支撐。 5.1.數(shù)據(jù)安全保護(hù) 數(shù)據(jù)安全包括數(shù)據(jù)在存儲、傳輸這兩個過程的安全，數(shù)據(jù)存儲指存儲在終端、服務(wù)器、移動存儲設(shè)備上，數(shù)據(jù)傳輸安全指的是數(shù)據(jù)在網(wǎng)絡(luò)傳輸?shù)陌踩?，因此?shù)據(jù)安全主要考慮終端數(shù)據(jù)安全管理即硬盤數(shù)據(jù)安全、服務(wù)器數(shù)據(jù)安全、移動存儲設(shè)備的數(shù)據(jù)安全、網(wǎng)絡(luò)傳輸數(shù)據(jù)安全，對應(yīng)的解決辦法如下： 1)硬盤數(shù)據(jù)安全 本地磁盤加密后，所有寫入加密分區(qū)的數(shù)據(jù)在磁盤扇區(qū)層進(jìn)行加密處理。用戶正常使用時感覺不到任何變化，但如果將硬盤竊取外接或者重裝操作系統(tǒng)，加密分區(qū)的數(shù)據(jù)無法正常讀取，由于采用了硬盤加密技術(shù)，與用戶具體應(yīng)用系統(tǒng)無關(guān)，這也保證了本平臺在軟件環(huán)境如此復(fù)雜的手機(jī)研發(fā)行業(yè)中順利應(yīng)用和推廣。 2)服務(wù)器數(shù)據(jù)安全 手機(jī)研發(fā)業(yè)內(nèi)網(wǎng)有較多重要服務(wù)器，比如郵件轉(zhuǎn)發(fā)服務(wù)器、版本控制服務(wù)器、cc服務(wù)器、cq服務(wù)器等。而這些服務(wù)器承載了網(wǎng)絡(luò)中大量的數(shù)據(jù)，一旦這些服務(wù)器受到攻擊或者崩潰，會使某公司整個網(wǎng)絡(luò)陷入癱瘓，正常工作難以進(jìn)行，所以對各種服務(wù)器的保護(hù)也是尤為重要，chinasec采用“安全網(wǎng)關(guān)”對服務(wù)器進(jìn)行保護(hù)，對要訪問服務(wù)器的電腦進(jìn)行篩選判斷，如果是授權(quán)的，則可以通過“安全網(wǎng)關(guān)”的過慮，訪問到服務(wù)器的數(shù)據(jù)；反之，如果此機(jī)器沒有授權(quán)，將會被自動過濾掉，通過訪問過濾的方式保證內(nèi)網(wǎng)服務(wù)器的安全。 3)移動存儲設(shè)備的數(shù)據(jù)安全 chinasec可信網(wǎng)絡(luò)系統(tǒng)可以提供對移動存儲設(shè)備的人員、終端、時間、權(quán)限的細(xì)致管理，通過設(shè)置移動存儲介質(zhì)的使用信息，可以將移動存儲介質(zhì)對應(yīng)到管理部門、管理人、使用部門和使用人，從而使移動存儲設(shè)備的使用可以透明化。 4)網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)安全 為了防止數(shù)據(jù)傳輸在網(wǎng)絡(luò)上被偵聽，采用網(wǎng)絡(luò)傳輸加密技術(shù)，網(wǎng)絡(luò)傳輸加密技術(shù)是實(shí)現(xiàn)chinasec可信網(wǎng)絡(luò)安全平臺功能的關(guān)鍵技術(shù)之一。當(dāng)數(shù)據(jù)傳輸加密功能因?yàn)樘囟ú呗员粏⒂煤?，點(diǎn)到點(diǎn)之間的所有數(shù)據(jù)傳輸都將被加密。 5.2.各應(yīng)用平臺數(shù)據(jù)的獨(dú)立及保密 為了保障各開發(fā)平臺內(nèi)的數(shù)據(jù)的獨(dú)立性以及保密性，可以采用可信網(wǎng)絡(luò)保密系統(tǒng)將各平臺劃分為獨(dú)立的保密子網(wǎng)（vcn），同一個保密子網(wǎng)內(nèi)部的計(jì)算機(jī)可以實(shí)現(xiàn)相互自由的數(shù)據(jù)交換（通過網(wǎng)絡(luò)或者存儲設(shè)備），不在同一個保密子網(wǎng)內(nèi)部的計(jì)算機(jī)相互之間不能進(jìn)行正常的數(shù)據(jù)交換，除非獲得管理員的授權(quán)。 通過保密子網(wǎng)的劃分，可以在保障網(wǎng)絡(luò)統(tǒng)一維護(hù)的前提下，對各開發(fā)平臺實(shí)現(xiàn)有效的數(shù)據(jù)隔離，增加內(nèi)網(wǎng)安全級別，降低安全風(fēng)險(xiǎn)。通過保密子網(wǎng)，還可以有效防止非法外連或者非法接入。非法外連不管是基于modem、adsl撥號或者雙網(wǎng)卡，都能夠有效防止。非法接入不管是通過交換機(jī)接入或者通過網(wǎng)線將兩臺計(jì)算機(jī)直連，也都能夠有效防止。不同保密子網(wǎng)（vcn）之間可以設(shè)定信任關(guān)系，從而允許他們的計(jì)算機(jī)之間進(jìn)行數(shù)據(jù)交換。 5.3.終端監(jiān)控審計(jì)管理 通過chinasec可信網(wǎng)絡(luò)保密系統(tǒng)有效的對文檔安全進(jìn)行了管理，做到了事前預(yù)防和事中控制，為了做到事后的審計(jì)形成強(qiáng)大的權(quán)限約束力，可配合監(jiān)控審計(jì)管理進(jìn)行更深入的完善。 1）文件操作記錄 chinasec可信監(jiān)控平臺提供了文件操作記錄審計(jì)，實(shí)現(xiàn)了針對文件的復(fù)制、粘貼、修改、刪除等操作進(jìn)行了記錄，同時可設(shè)置在不同狀態(tài)的記錄事件，比如針對移動存儲設(shè)備，網(wǎng)絡(luò)共享等方式。根據(jù)xxx公司實(shí)際情況，將有權(quán)限可使用明文外帶的用戶和計(jì)算機(jī)進(jìn)行移動存儲的文件操作記錄。有效的監(jiān)督了對于授權(quán)人員和相關(guān)解密人員。 2）端口管理 研發(fā)人員經(jīng)常使用usb設(shè)備模擬出串口、并口設(shè)備與測試手機(jī)進(jìn)行程序調(diào)試或測試，通過模擬端口與測試手機(jī)進(jìn)行交互，如何在開放串口、并口的情況下保證數(shù)據(jù)的安全性，chinasec通過應(yīng)用程序控制和端口控制進(jìn)行組合，只有特定的應(yīng)用程序模擬串口、并口才可以進(jìn)行數(shù)據(jù)的交互，達(dá)到在對串口、并口控制的條件下完成測試手機(jī)調(diào)試。 3）測試手機(jī)的管理 研發(fā)人員經(jīng)常使用測試手機(jī)進(jìn)行程序調(diào)試，在不影響正常工作的前提下如何保證燒錄到測試手機(jī)里面的數(shù)據(jù)安全，即保證只有允許燒錄的文件才可以明文燒錄到手機(jī)里面，其他文件則燒錄后事密文，防止研發(fā)人員通過測試手機(jī)將源碼或其他的文件帶出內(nèi)網(wǎng), chinasec支持自定義文件格式進(jìn)行明文燒錄，只有當(dāng)管理員授權(quán)的文件格式燒錄到測試手機(jī)里是明文，反之，其他文件燒錄到測試手機(jī)都是密文，從而保證數(shù)據(jù)的安全性。 4）打印審計(jì)管理 對打印進(jìn)行控制和審計(jì)管理，設(shè)定特殊機(jī)密部門禁止普通員工使用打印機(jī)，需要打印可由授權(quán)人員審批以后進(jìn)行打印，對重要部門的打印內(nèi)容進(jìn)行完整記錄，便于以后對打印內(nèi)容進(jìn)行查看或者還原。一般數(shù)據(jù)部門可對打印進(jìn)行簡單記錄，記錄打印文件名、操作計(jì)算機(jī)、地址等信息。并將日志信息匯總成報(bào)表供相關(guān)人員可根據(jù)關(guān)鍵字，用戶等信息進(jìn)行綜合查詢。 5）審計(jì)和違規(guī)管理 客戶端的所有操作記錄都能被監(jiān)控審計(jì)，并且能審計(jì)到詳細(xì)的使用者、計(jì)算機(jī)、用戶、權(quán)限以及使用時間，包括在線和離線，對文件的打印、修改、刪除、新建等操作，并且可以準(zhǔn)確的定位到ip地址、時間、操作內(nèi)容、操作用戶。同時可對違規(guī)事件進(jìn)行記錄。比如禁止a用戶使用移動存儲設(shè)備，但是a用戶想去使用，在系統(tǒng)控制的情況下同樣可形成違規(guī)記錄供管理員分析。 通過chinasec可信平臺的報(bào)表程序，可實(shí)現(xiàn)根據(jù)地址、計(jì)算機(jī)、操作內(nèi)容等進(jìn)行篩選查看和日志的輸出。并可支持多種輸出，支持查詢、統(tǒng)計(jì)及報(bào)表的直接打印，并可導(dǎo)出rtf、excel、pdf等多種格式的文件。 5.4.和用戶應(yīng)用環(huán)境的兼容 chinasec通過應(yīng)用程序控制和端口控制進(jìn)行組合達(dá)到在對串口、并口安全控制的條件下完成測試手機(jī)調(diào)試。而對于手機(jī)軟件的燒錄，提供了審核機(jī)制，只有經(jīng)過審核的代碼才可以燒錄到測試手機(jī)中。同時，本系統(tǒng)提供了ip白名單、郵件域名白名單、終端白名單等眾多白名單方式，實(shí)現(xiàn)安全和便利的有機(jī)結(jié)合。6.系統(tǒng)部署示意圖7.方案效果 本方案實(shí)施后，將可以滿足某公司內(nèi)網(wǎng)安全保護(hù)的需要，效果如下。 1)在不影響分布式編譯、本機(jī)編譯速度的前提下，保證源碼數(shù)據(jù)安全。 2)在保證測試手機(jī)正常測試的過程中，防止數(shù)據(jù)通過測試手機(jī)泄露。 3)實(shí)現(xiàn)各開發(fā)平臺內(nèi)數(shù)據(jù)邏輯隔離，達(dá)到各平臺數(shù)據(jù)的安全性及保密性。 4)在安全等級提高的同時，移動存儲設(shè)備得