據網絡上的統計報告報名,企業在遭遇數據泄露事件時,有百分之八十的概率是出現在內部人員身上。這樣的結果表明,內部數據安全問題遠遠比網絡攻擊更加可怕。尤其是在研發型企業里,代碼這種重要又值錢的數據,是最容易讓別有用心之人動歪心思的。
而代碼數據的泄露,對企業造成的打擊和影響也是不可估量的,對於研發部門來說,重要的數據可不僅僅是代碼,還有很多核心數據需要保護。關於這塊可以看看《研發部門數據安全保護最佳實踐》這個白皮書資料,從理論和實踐,詳細介紹了企業要如何保護核心代碼這些數據的安全性。
感興趣的可以點擊這里免費下載,或者搜索“飛馳雲聯”進行下載,或者添加feifeimei2008發送資料。
下面我們就從不同角度看看,有哪些技術手段可以保護代碼不泄露。
對代碼本身采用的技術手段:
1、代碼混淆:也稱為模糊處理,其技術原理是代碼重命名,也就是說原先具有含義的方法名稱,重命名為毫無意義的(A,B,C 諸如此類)。弱點:無法隱藏調用的系統的函數
2、代碼隱藏:因為代碼混淆改變了方法簽名,在很多時候是有問題的,例如程序集要被其他人使用的時候。因為方法名變成了毫無意義的一些字符,將造成使用者極大的麻煩。也可以導致現有引用程序集的失效。
3、非托管代碼編:使用非托管代碼編寫核心代碼(例如核心算法),然后使用平台交互的方式進行調用,非托管代碼比較難反編譯。
4、強名稱簽名:這種方法,用通俗的話說就是對文件按照Microsoft的算法對文件進行Hash,然后將hash出來的數據(publickeytoken )寫入文件。在運行或者對文件進行調用的時候,SDK會檢查publickeytoken ,若不符合則拋出異常,退出。
5、代碼加密:改變MSIL和JIT的通信,根據底層的需要來解密代碼。破解的難度大,較安全,內存無完整代碼。但是這種方式可能會導致編程的難度大,若利用專門的加密軟件,則會加大系統的開發成本。
6、代碼本地化:代碼完全編譯成本機代碼,同win32下的應用程序一樣,完全失去了.NET的優越性。
7、代碼加水印:簡單的說,就是讓特定的字符串以圖片的形式,繪制在程序的界面上,用來提示軟件是否注冊,這種保護方法,關鍵的地方就是對圖片繪制條件的判斷,如果僅僅是用true 或者false 來判斷,就形同虛設了。
研發部門內部管控手段:
8、禁用U口:企業可以通過禁用USB接口,這種方式可以有效防止惡意的數據拷貝,如果需要對外發送的話,需要經過審核后由專人拷貝出來再外發。
9、控制訪問權限:網站白名單,只允許訪問工作需要的網站,其他一律禁止掉。這個算是比較嚴格的限制方式了。采用應用過濾,禁止掉所有的文件傳輸、網盤、郵件等。這個方案相對有效,但是不能排除通過未知的應用協議來傳文件,而且會給日常工作帶來一些不便。還是需要慎用的。
10、部署DLP(數據防泄漏)系統:有條件的企業可能會在內外網邊界部署DLP(數據防泄漏)系統,所有內部向外部發出的數據,都要經過DLP系統的內容掃描,在確保不包含敏感信息的情況下才允許發出。這也是比較常見的一種方式,可以有效防止各個渠道的外發泄密。
11、第三方身份驗證:現在有許多基於標准且高度安全的身份驗證產品可供選擇,這樣的話,你的員工/客戶等等就不需要一個個記住賬號密碼了,這樣就能減少賬號泄密的風險了。
12、服務器上備份文件:及時的將重要文件備份,以便丟失后能及時找回,同時可以減少無意的泄密帶來損失。
13、特殊部門不允許進行文件外發:比如研發部門或者財務部門這種,核心和敏感數據較多,不允許他們直接的對外發送文件,如果需要發送的話,需要經過審批后,由專人進行發送。
14、監控電腦的文件外發動作:這個就需要有帶有監控功能的軟件了,可以監控到每個人的電腦操作行為,一旦產生外發動作,就會給管理員發出警報。
15、雲桌面:雲桌面也是一種很流行的方式,很多研發型企業都在使用,它的成本比較低,使用靈活,可以快速響應企業和開發需求,比如企業規模擴大時,可快速實現資源配置和擴展。最重要的是,數據都集中在服務器上,開發人員的終端不再保存數據和存儲,實現代碼等數據不落地,對於企業來說,不僅僅是便於管理了,而且更能保障信息安全。
16、網絡隔離:這個算是目前最流行的方式了。將研發網與辦公網、測試網、外網等進行隔離,防止不同部門、不同業務之間的違規數據交換。通過網絡隔離的方式,可以有效防止內部核心代碼數據泄露。
17、對企業數據信息存儲介質做滲透測試:滲透測試是完全模擬黑客可能使用的攻擊技術和漏洞發現技術,對目標系統的安全做深入的探測,發現系統最脆弱的環節。
18、內部設備的管理:很多企業會疏於對打印機、傳真機等設備的管控,殊不知這些也是泄密渠道之一!必要的時候可以安裝一些打印管理軟件,實現打印內容監控、打印計數、打印審核等。
防止外部攻擊的方法:
19、使用多種抵御手段:安裝各種防火牆、入侵檢測系統、DDoS防護服務、防病毒等產品來防范黑客的攻擊和病毒的入侵。可以有效抵御外部的攻擊導致的數據泄露,對企業整個網絡安全環境起到一定的保護作用。
20、監視攻擊:有很多很好的監控工具,但是你需要投入時間和精力來確保隨時可以監控到異常。選擇監控系統時,你得確保你知道自己在監控什么以及如何回應。
21、分析各種網絡日志:日志的搜集與分析可幫助企業偵測針對性攻擊。IT和安全人員可從中發現關於黑客的一些寶貴信息,例如黑客如何進入網絡,以及黑客的攻擊策略。
22、高防服務器:高防服務器就是能夠幫助網站拒絕服務攻擊,並且定時掃描現有的網絡主節點,查找可能存在的安全漏洞的服務器類型。
以上,都是從技術層面進行的分享,其他方法還有很多,比如法律層面、意識層面等,如果覺得沒看夠的話,那就下載《研發部門數據安全保護最佳實踐》這個白皮書資料看看吧,這里面會分析的更全面一些。