泰然神州研发安全管理方案 研发管理挑战

||2011-01-07

随着信息系统应用的逐步增加，企业的核心竞争力将更多地来自于技术发明、专利、创新等。与此同时，随着计算机的普遍应用，越来越多技术发明、创新等依赖计算机技术，因此，很多核心的研发机密文档以电子化形式存储在计算机上，甚至绝大多数的企业核心技术文档本身就是设计图纸、程序源代码等的电子文档。近年来研发信息外泄案件呈现上升的势头，如何构建有效的研发机密信息安全管控机制，已成为研发型高科技企业的重大挑战。

1、研发管理挑战

当前许多企业在各地建立了研发机构，在同一个项目的研发上经常需要数十甚至数百位员工协作研发，由于工作需要涉及高密文档的环节以及人员众多，给知识产权的保护带来了管理上的困难。在以往的商业机密案例中，由于在知识产权损失的取证和赔偿方面的鉴定技术要求较高，以及我国现有知识产权保护法律尚有许多需要完善的地方，企业的损失往往是巨大而无法挽回的。在这种现状下，企业通过各种途径对自有知识产权进行严密保护，是必然的选择。

虽然公司可以制订针对性的规章制度对各种机密图纸的流转以及保密工作进行强化管理，但是由于传统的措施和电子文档管理以及传统安全产品仍然无法杜绝重要知识产权信息（例如重要产品设计图纸、程序源代码，公司预研方向阶段性成果等等）泄漏的安全隐患，同时不可避免因为安全的原因，而导致工作效率的下降以及公司资源的浪费（例如对重要文档进行借阅申请，复印，并且销毁），也不利于公司内部研发部门之间进行协同工作和沟通。

长期以来，研发型高科技企业宁愿采取物理隔离的方式来保护企业的核心研发数据，认为物理隔离是目前最安全的方法。但是，我们又不得不重视另外一个问题，那就是物理隔离所带来的成本问题，不仅包括经济成本，还有时间成本。物理隔离可能需要为研发人员每人配备多台电脑，虽然表面上仍然是既能上网又能工作，但是这就相当于正常的每人一台工作电脑的双倍成本。而且物理隔离会让研发人员难以交互数据，在使用的过程当中感到不方便。

如何让众多研发人员高效地协同开发，同时又能保证研发成果不被非法带走？

如何让企业的合作伙伴和客户受限制地访问技术文档以协同工作，同时又能防止企业机密被恶意复制？

如何有效地利用计算机文档管理带来的便捷，让得到授权员工能查阅、使用机密文档，同时又能控制这些文档的外泄？

这些问题都困扰着企业的研发管理者和决策者。

2、解决方案

为解决以上问题，企业一方面需要完善各种保密制度，利用法律、法规保护自己的知识产权，同时一定要寻找一种切实有效的技术手段从根本上防止泄密事件的发生。

泰然神州推出的Janeos安全堡垒平台，并甚于此推出的研发安全管理解决方案，就成功地打破了传统的安全性与便利性只能二者选一的局面，实现了安全性与便利性的完美平衡。

Janeos安全堡垒平台，作为一个单独的应用交付平台，在不修改应用软件的前提下，把各种平台上的应用（MS Office SharePoint、IBM Lotus Notes、AutoCAD、ACDSee、Acrobat、Viewdraw、cam350、PDM系统、……）以web的方式交付给终端用户，同时无须对企业现有网络结构进行升级、改造。在使用过程中Janeos只传输经过压缩和加密的键盘、鼠标操作信息和屏幕的变化信息，不传输任何机密文档或图纸的内容及其本身，仅“展示”给用户机密文档或图纸的屏幕图像，而用户所有的使用及操作均集中于信息中心的文档服务器上，所有的数据交换亦在数据中心的内部网络中，这也就意味着在整个工作流程中，终端用户和文档服务器没有直接的网络连接，不会有任何敏感数据被下载到终端用户的设备上，从根本上保护机密文档等数据的安全。由于终端用户所操作的是数据中心的服务器，用户将不再需要安装任何软件，仅需要标准浏览器即可使用。此外，Janeos采用瘦客户访问技术，对网络带宽占用非常少，客户端仅需要20K左右的带宽即可，同时所有的数据交换均经过128位SSL加密，从而有效地解决了企业对研发机密文档、敏感信息等的安全性需求和访问的便利性需求。

3、技术特点

应用虚拟化，从根源杜绝数据外泄

Janeos安全堡垒平台采用应用虚拟化技术，通过集中在严密保护的服务器上运行应用系统，将运行的屏幕信息回传到没有存储功能的客户端浏览，可以从根本上杜绝高密信息泄漏途径，从而达到既保护企业重要知识产权信息，又不影响工作效率的目的。

数据可看可用但不可取走

开发人员可以根据其享有的权限查阅、在权限范围内更改、编辑图纸文档，但是不能将设计图纸及文档本身或者内容复制到终端用户本地的任何设备上，这样，所有的机密图纸、数据统一集中地保存在计算中心专门的服务器上，既有效又安全，从根本上杜绝的机密文档的泄漏。

集中部署与管理，客户端零维护

所有的应用系统（包括开发工具、PDM、文档阅读和管理工具、其他需要集中的应用等等）和机密文档全部集中在数据中心，应用程序集中于应用服务器群，机密文档保存于文档服务器。机密的文档中心和外部网络完全隔离，只通过Janeos安全堡垒平台发布应用系统的操作界面。所有用户无需安装任何客户端的软件，使用普通浏览器，经过身份认证服务器的身份验证后登陆Janeos平台，使用权限范围内的各种浏览或开发工具、文档阅读或管理工具以及其他应用，根据授权浏览或修改机密文档，所有的存取操作都在服务器端，客户端任何对文档的输入输出操作均可被管理或禁止，用户的操作流程和习惯与原来一样，兼顾高安全性同时又不妨碍员工正常工作。

端点安全控制

可以管理或禁止客户端对设计图纸或文档的任何存储操作，包括硬盘存储、软盘存储、光盘存储、U盘存储以及其他客户端存储设备。可以管理或禁止客户端对设计图纸或文档的其他输出操作，包括打印、文档编辑中的复制/粘贴操作、E-mail操作。可以管理或禁止客户端对设计图纸或文档进行复制/粘贴或屏幕拷贝等操作。

强身份认证

Janeos安全堡垒平台支持多种第三方身份认证方式，在后台的身份认证服务器上验证通过后，用户才能登陆Janeos进行工作流程的查阅、编辑等操作，从根本上杜绝由于用户密码泄露造成的安全隐患。

4、方案特点

上收开发环境，进行源代码保护，严格控制数据拷贝、导出及打印等行为

所有的开发环境都在受到严格保护的服务器端搭建，开发人员的的桌面电脑仅作为录入工具和显示屏幕变化信息，不具备存储功能，也不允许保存到U盘、移动硬盘等外接设备或者打印设备等，堵住所有源代码可能外泄的途径。从源头上对源代码进行保护。

上收所有后台运维的用户名和口令统一将权限指定给相应的管理人员

对所有的开发系统的后台运维进行集中化管理，开发人员不具备开发系统的后台运维管理权限，统一将权限指定对相应的管理人员，并提供完整的审计功能，对管理人员的所有操作进行审计。

自动生成各种开发和测试环境，对产品进行全生命周期管理

可以根据开发人员的具体情况，在服务器端配置生成相应的开发和测试环境，并对产品从市场调查、立项、开发、测试到正式发布的全生命周期进行全程管控，让项目组的成员既能协同工作，又能有效地防止开发源代码信息被恶意复制。研发管理人员也可以随时掌握研发项目的总体进度，便于及时发现和解决问题，既节省了资源又加快了产品的开发周期。

5、方案价值

接近于物理隔离的高安全性

Janeos安全堡垒平台，能够实现任何终端设备与文档服务器的网络隔离，有效杜绝各种文档泄漏的可能性。它集成了企业内部的安全需求，如文档管理、数据传输的控制、客户端不留任何信息等，可以灵活地放置在内网、DMZ区，甚至直接与Internet连接。即使Janeos平台本身受到攻击，因为其堡垒主机的结构，Janeos后面的应用服务器或文档服务器也非常安全。这种架构上的安全性接近于物理隔离。

此外，所有传输均通过128位的SSL加密，并且在整个使用过程中不会在客户端残留任何临时文件。认证系统可以与公司现有认证系统结合，确保信息资料的安全。

最大限度保留用户习惯的高可用性

该方案还可以在保证高安全性的同时，不影响研发人员的正常使用，可以最大限度保持原来的使用和操作习惯，让研发人员感受到与在本地电脑上操作完全一致的体验，没有被时刻监视的感觉，避免了员工的抵触情绪。

其高可用性还表现在可以同时适用于各种软硬件环境，可以同时适用于各种类型的文档，可以同时适用于内部使用和外部使用；降低开发需求，能快速实施投入生产，效果立竿见影，节约大量人力物力成本。

高稳定性和易扩展性

当应用类型较多或者应用负载非常大时，需要部署多台应用服务器，并利用Janeos安全堡垒平台的应用级负载均衡功能，提高业务的连续性与可靠性。整个系统经过整体测试，能适应不间断高负荷运行，确保整个系统24×7×365小时不间断运行的高可靠性能，并为将来的扩展留有充分的余地。

转载请注明来源：泰然神州研发安全管理方案 研发管理挑战

本文链接地址：http://www.ccmw.net/article/78125.html