源代码加密方案
行业现状
软件产业作为我国的基础性、战略性产业,在促进国民经济和社会发展、转变经济增长方式、提高经济运行效率、推进信息化与工业化融合等方面具有重要的地位和作用,是我国重点支持和鼓励的行业。软件开发作为软件企业的核心,为企业的发展、提高竞争力提供了重要保证。然而,一旦这些核心代码泄露必将给企业带来巨大损失,甚至直接威胁到企业的生死存亡。如何保障软件开发行业代码安全、实现源代码防泄密,成为软件开发企业关注的焦点。
对源代码进行主动加密含有较复杂的技术因素,因为企业非常重视的源代码,实际只不过是以最简单的文本形式存在,以文本为载体的应用软件繁多直接导致泄密漏洞极多。而源代码的编译环境的不确定性以及编译的过程的复杂性,对密文状态编译的稳定性是一个考验。因此,铁马推出的与应用程序无关的实时加密引擎,可以很好的解决上述问题。
源代码在开发过程中首先是编辑的问题,和其它类型的文档不同,一般的文档都有固定的应用程序去打开,比如.DOC类型的文档的打开程序是Word,对其保密只需要控制Word程序就可以了,而源代码没有固定的编辑软件,可能是开发环境的内置编辑器(如Visual Studio),也可能使用其它编辑器(如Edit Plus、Ultra Edit,甚至系统内置的记事本),因此针对应用程序定制的保密方案在源代码上都无效。源代码保密还有一个是编译问题。源代码在编辑好后最终都会交给编译器去编译,而根据编程语言的不同和开发目标的不同,编译器是多样的,编译过程也可能十分复杂,可能会经过多道处理过程,源代码在编译过程中可能会产生很多中间文件,而这些中间文件可能也含有源代码,所以必须对这些中间文件也进行保密。我们的实时加解密引擎可以保障加密的源代码被任意编译器正常调用,而传染加密技术又可以保障由加密源代码产生的中间文件都保持加密状态。
源代码而要解决版本管理的问题。一般会采用客户机/服务器形式的CVS或SVN做版本管理,前面已经讲过,我们全面支持B/S或C/S结构的管理平台,因此可以轻松对应源代码和版本管理问题。
令企业头痛的事
1、研发部/设计部员工离职,他负责到产品技术文档、源代码会不会被带走?如果他跳槽去竞争对手那里……
2、公司花了大量到人力、物力研发新产品,眼看就要成功了,万一团队里面有人另有想法怎么办?
3、设计人员保密意识薄弱,随意拷贝图纸、通过网络传送文件,怎么控制?
4、驱、软驱、USB接口都锁起来啦,可是源码、图纸怎么还能出去?
方案效果
铁马加密致力于解决企业的内部数据安全问题。本系统一改传统“防、堵”模式,采用创新的文件全生命周期保护安全策略,实现对机密文档数据的实时保护。铁马加密安全策略不是通过“严防死守”控制文件外流;而是将企业机密数据以加密形态存放和使用。这种加密将企业机密数据与企业外部和企业内部非涉密人员虚拟隔离。
加密的数据只有在企业内部才能被正常识别,企业环境是实时加解密引擎解码数据的必要条件。同样的数据通过复制、网络传送,甚至拆走存放数据的硬盘,一旦离开企业环境,这些数据就是毫无意义的乱码一堆。如同为企业的计算机环境加了一道无形的围墙,这种保密原理从源头上保障企业机密数据的安全。简单地理解,铁马加密的部署目标是:企业机密数据“拷不走”。
铁马加密在源代码加密领域的优势
1、可以在密文状态下直接编译
某些加密软件不支持大型的编译动作,在编译前需要先解密源代码,这样不仅麻烦,还增加了泄密的风险。
2、“传染功能”有效杜绝泄密漏洞
我们知道,源码是普通的文本,而文本的载体软件是很多的,某些加密软件需指定进程名和扩展名作为涉密限制,这通常会造成防不胜防的局面。而我们系统独特的“传染”功能,数据流到哪,那里就强制涉密,完全自动,无需人工干预。
3、无需指定特定的进程名和扩展名为特定的涉密条件
有些编写源码的行业,源码软件更新换代快、种类多,某些加密软件需指定特定的进程名和扩展名为特定的涉密条件,这不仅造成了维护上的不方便,而且有可能员工自己使用的新编程软件完全不受控制。而我们的加密系统,进程、扩展名等只是涉密的辅助条件,“传染”才是各种敏感数据涉密的重要保障,因而无上述困惑。
4、支持各种服务器之间的数据流转
如:PLM服务器、SVN服务器、OA/ERP服务器、Oracle/SQL Server服务器、Linux系统服务器、maxStation编译机、maxPAC I/O编译机、maxDPU MR编译机等。
加密软件产品特点
1、强制、自动
后台自动运行,强制加密,不需要员工配合。
2、不影响速度
即使加密大容量的文件(例如1-2G以上),也不影响操作速度。
3、兼容性强
驱动层产品,支持任何版本到任何应用软件。
4、无破解可能
采用公认无破解可能的AES技术。每个AES证书都是独特的。
部署方案
以某软件开发企业为例,客户的网络由Linux服务器、WIndows编译服务器和Windows研发/设计终端和外出电脑组成。Linux服务器上安装有SVN服务器,Windows编译服务器和Windows客户机通过SVN客户端软件与SVN服务器连接,用于共享和同步内部的开发源代码和相关的开发资源。企业的防泄密目标数据是开发源代码及其关联资源,Linux服务器安置在专用机房内可以设置为安全区域。
所有涉密的 Windows 客户机安装“铁马客户端”软件。客户端通过登录到集控服务器获得加密证书(企业通行证),从而可以正常使用加密文件。 集控服务器在发放加密证书给客户端的同时会把加密策略同时推送给客户端,客户端按照加密策略的定义约束客户端的行为。对于涉密环境中重点保护的文件类型,如设计中的图纸文件(CAD/EDA 类) 、研发中的源代码文件、Office 文件等可设置为敏感文件,敏感文件在生成时会被自动加密。如果员工在部署了加密系统的电脑上注销企业通行证,现有加密文件将不可见(不可用) ,员工也无法保存敏感类型的文件。在涉密环境中, 加密文件对于设计类软件是完全透明的, 操作者无需关心文件是否是加密文件,加密文件的操作和未加密时完全相同。
加密系统客户端的主动加密机制鉴别运行软件的涉密行为,并控制已涉密应用(进程)的数据输出,强制涉密进程的输出数据加密。涉密行为鉴别是自动的,操作者无法干预加密系统的主动加密机制。因此,在涉密环境中,非隔离的应用输出(保存)的文件是否加密完全由加密系统决定,集控管理员可以通过编辑特定策略改变某个应用的主动加密行为。
1、支持各种基于源代码的软件程序开发
2、支持MCU、PLC源代码的加密态直接编译和烧录
3、支持嵌入式系统的加密状态直接编译、调试和刷写
4、支持.net、WEB、Java等各种通用计算机软件系统的源代码开发环境
5、支持VSS、SVN、CSV、PVCS等各种源代码版本管理软件。
