DSE源代码加密解决方案
1. 需求分析
1、 软件源代码VS、VC、ECLIPSE、DELPHI、VB等是公司的核心数据,一旦泄漏,会导致无可预估的经济损失,所有的源代码都必须进行保护。
2、 在不影响开发调试效率的前提下,有效管控网络,邮件,屏幕截图等泄密途径。
3、 支持同SVN、CVS、VSS等版本管理服务器无缝结合,当源代码更新上传至服务器时自动解密,下载至终端时自动加密保护。
4、 能够提供安全离线策略,既方便研发人员外出工作或者回家加班,又能保证笔记本上的加密数据安全。
5、 鉴于研发岗位的重要性和特殊性,不但要对在职人员的主动泄密行为进行管控,更要杜绝离职人员拿走公司的核心资料,避免因泄密给企业造成损失。
6、 能够控制USB移动存储介质使用行为,防止使用USB移动存储介质非法拷贝涉密数据。
7、 研发人员所有操作行为都必须有可追溯的日志记录,一旦安全事件发生,可提供有力审计依据。
8、 研发人员自身计算机水平比较高、攻击破解能力强、不能容忍出现数据损坏或者影响开发效率等。
2. 产品介绍
数据安全专家(DSE)是一款功能强大,极其稳定的数据加密软件,不仅集合了USB端口管控的所有功能,并且支持所有文件类型的加密,它不但能够对办公类office、WPS、PDF等文档加密,并支持大型作图软件的加密,如AutoCAD、3DMAX、Solidworks、CATIA 、UG等,最重要的是DSE支持源代码加密,并提供安全、可靠、全面的源代码加密解决方案,支持源码加密是同行业产品中DSE特有的功能。
一、DSE对源码加密的特性
源代码加密需要不限后缀,必须通过驱动层加密技术方可实现,通过应用层HOOK的这类加密软件无法做到。
源代码需要加密的文件数量巨大,一个项目通常包含有几万个文件,所以要求加密软件必须非常稳定。
项目在编译过程中可能调用大量的子进程,还有可能编译器或编译工具也是编译出来的,导致每次编译器或编译工具程序校验值都不相同。无法通过校验值来配置加密策略。
数据安全专家(DSE)正满足了源码加密的特性,DSE是基于驱动层技术加密,并且非常稳定,针对编译过程中调用大量子进程的情况,只需到父进程配置好,其他子进程与父进程使用相同的配置即可实现加密,界面展示如下:
二、DSE在源码版本管理工具中的应用
针对源代码版本管理工具(,CVS,SVN,clearcase,VSS等)中源码的加密,传统的处理方式是,版本管理程序没有注册成合法进程,只是将加密的源码以密文形式上传到服务器保护起来,这种加密方式会带来诸多不便和安全隐患,以SVN为例说明:
1.密文形式上传到SVN Server,上传的是二进制代码,SVN在比较改动的地方时,每次都不相同,导致每次都是全部上传,致使SVN Server数据库越来越大。
2. SVN Server上现有的老的版本没有办法加密,客户端下载下来的老版本是明文。
3.集成到开发工具中的版本管理工具,开发工具注册为合法进程,下载下来的密文编辑以后变成明文,示意图如下:
基于以上问题,数据安全存储专家(DSE)提供了很好的解决方案,具体如下:
1.所有需要加密的机器和SVN服务器都部署DSE的客户端。
1.将版本管理工具程序注册成合法进程,例,SVN Server配置为合法进程,加密后缀配置一个用不到的后缀:pdf。SVNclient配置为合法进程,加密所有后缀,
2.开发编译工具父进程配置为合法进程,子进程与该进程使用相同的配置。
cdrw的rw是什么意思3.采用网络数据流加密技术,配置SVN Server和SVN client允许访问网络,界面如下:
这样SVN Server和Client之间的传输变成明文传输,不会导致Server上的数据库增大过快,同时杜绝了数据泄漏的隐患,示意图如下:
DSE从最安全的角度为源代码加密提供最合理的解决方案,同时根据各单位不同的应用环境提供具体的解决方案。
3.功能简介
3.1客户端加密文件管控
权限动作 | 功能描述 |
1:另存控制 | 加密文档另存为时产生的所有文件自动加密 |
2:反截屏控制 | 1、独特的反截屏控制,当启动截屏操作时,允许非涉密内容截屏操作,但所有『涉密内容』窗口会自动隐藏,防止涉密内容被截取泄密; 2、广泛支持当前市面上截屏软件的截屏操作,包括windows自带的截屏键。 |
3:OLE控制 | 控制其他的进程通过OLE方式插入加密的文件,防止通过本方式泄密。 |
4:剪贴板控制 | 无法将加密文件内容复制到其他非加密进程当中,可以设定仅仅允许复制部分字符到非加密进程当中。 |
5、屏幕浮水印 | 可以设置客户端屏幕文字内容,比如主机名、认证账号、Windows用户名,另外可以支持自定义内容。同时可以设置客户端屏幕图片 |
6:进程水印 | 可设置加密的进程窗口显示浮水印,防止截屏与拍照。可以自定义计算机名、IP地址、用户名等信息。 |
7:加密文件显示加密图标 | 加密文件显示一个盾牌图标,表示与普通文件的区别。不同密级文件可自定义对应密级图标 |
8:加密文件只读打开 | 方便和人性化的只读打开模式: 1、通过右键点击『只读打开』即可随时打开加密文件,无需做任何进程策略配置;仅允许查阅,不允许编辑; 2、在打开加密文件窗口时,可同时打开查看非加密文件,自由轻松切换,提高工作效率。既安全又快捷。 |
9:智能半透明加密 | 当用户双击打开文件时,则系统会自动判断且进行智能化处理: 1、打开的文件为加密文件,则编辑保存后仍加密; 2、打开的文件为非加密文件,则编辑保存后仍不加密; 3、系统采用高级『沙盒技术』,对加密进程与非加密进程进行自动隔离处理,在同一桌面同时打开多个加密文件与非加密文件时,相互之间互不冲突,自由轻松切换,大大提高工作效率与生产力。既安全又快捷。 |
10:手动加密与手动解密及加密密级变更 | 客户端手动批量加密与解密,支持添加与拖放文件以及文件夹,支持文件类型过滤。支持加密密级选择,也可手动变更加密文件密级 |
11:加密程序访问网络控制 | 控制加密进程的网络访问,并且可以指定访问的IP,指定哪些网络的数据需要加密。严防加密进程通过网络将明文数据(明文文件)发送出去。 |
12:加密进程只读不允许修改 | 设置后,加密的进程在加密状态不能修改任何文件,只能打开阅读。 |
13:打印水印 | 可以根据进程设置打印策略,水印内容可以包括计算机名、IP地址、用户、时间、自定义等丰富内容。文字字体、颜、透明度、大小等 |
14:打印日志 | 备份打印的页面,用于内容审计。通过策略进行设置。打印的记录以及打印的内容 |
15:非法进程上报 | 未注册的进程自动上传到服务器,控制台上可以下载这些文件,用于排查或者手动添加与注册这些进程。 |
16:密级控制 | 自定义密级组,限制打开的机密列表,级别不同打开的文件不同。企业可以自定义角,对文件密级进行控制。 |
17:内部授权文件 | 针对内部人员或计算机进行文件权限设定【指定某些文档给特定的人员或计算机进行查看和操作】,具体如下: 1、设定打开次数、有效打开时间、是否允许打印、是否允许截屏、是否允许编辑; 2、依据具体情况可随时收回『已授权的文件权限』; 3、同一桌面可同时打开多个本机『已有的加密文件或非加密文件』与其他部门『已授权过的加密文件』。 |
18:密级变更 | 1:可设置允许更改密级,客户端自行对文件进行密级修改:2:可设置密级变更申请,通过审批流程变更加密文件密级 |
发表评论