通讯行业研发源代码如何保密

secwall

通讯行业研发源代码如何保密

手机通信行业的研发部门，广泛使用各种编译器，如keil,、ADS/RealView、MPLAB、Windows Mobile…，版本不统一。相当多公司内部通过网络协作开发，各种软件生成的文件需要交叉引用，应用环境十分复杂。通常采用CVS、Subversion(SVN)作为软件版本控制系统，用户在通过各种有效的客户端工具来提高工作的效率的同时也带来一个严峻的问题，如何解决企业内部包括SVN服务器上源代码的保密，防泄密？
6 R0 `! P* ]; O" ^7 W& r! |0 lsecWall数据围墙企业版，独创的主动加密理论和涉密属性传染机制，使公司研发部门生成的各类源代码永远处于加密状态，公司设计、操作人员无论是通过复制、网络传送，还是引用源代码的部分代码，甚至搬走工作用的计算机、拆走存放数据的硬盘，各类源代码、CAD文件一旦离开公司环境就将成为毫无意义的乱码。secWall的实时加解密驱动引擎保障加密数据无需解密就可以直接使用，所以加密的源代码、图纸在企业内部和没有加密前使用时没有任何不同。从编写源代码->编译->链接成最终目标文件(bin,hex)，全程所有文件都是加密的，只有当目标文件烧录至硬件中的时刻，secWall才智能的将其解密后烧录到硬件中。完美解决通信、嵌入式研发行业中对源代码加密保密的需求。
secWall企业版的核心组件运行于WINDOWS操作系统底层，与公司的各种应用软件、环境不直接接触。支持所有编译器对各类源代码的编译的运行，不针对任何特定应用程序定制，维持各类源代码项目内各文件关联性。在公司环境内，员工无需关心文件是加密的还是不加密的，因为不改变既有的操作方式和使用习惯，也就不需要为此对员工进行专门的培训，有些部署了secWall保密系统的企业员工很长时间内甚至不知道这套系统的存在。
在secWall企业版系统中，主动加密技术全程监控涉密数据流向，从加密过的图纸、文档或源代码中引用部分数据(剪贴板复制、鼠标拖放等)生成的文件同样会继承保密状态，一个原本没有加密的文件，如果把加密文件的一段数据插入到这个文件中，新的文件会因为这片断加密数据而被全部加密。甚至把涉密图纸或代码的窗口通过屏幕拷贝（截屏）保存的图像文件也会自动加密。由于secWall系统的保密不依赖于具体应用软件，因此对各类CAD图纸、源代码的保密只是其一种行业案例。实际上，secWall系统可以支持各种行业应用软件的电子化文档的保密，如平面设计行业的图形图像保密、软件行业的程序源代码保密、自动化行业的PLC源代码保密、手机通信行业内各类源代码保密，当然也适用于日常办公环境的Office文档、客户资料、OA系统中的涉密文档、ERP系统涉密数据的保密。与具体应用无关的特性主要优势不仅在于应用面广泛，更重要的是在客户的变更了应用软件或现有软件升级后，不会导致保密系统不适用。
3 ]& L. O) u+ v% F3 k/ K5 R0 t
secWall典型案例部署
) ~& ?5 z/ I6 l* S软件源代码类客户
0 n/ c/ h* z1 I" p$ V9 d2 h这类应用一般都采用版本管理软件同步开发成果，在secWall网络集控版中属于较复杂的应用，在安全方案上需要作特别的设定完成涉密信息在客户机与服务器之间的传递，客户机获得证书就可以操作加密文件。涉密环境中的应用体验与未部署secWall前几乎完全相同。未安装secWall或者未登录secWall的客户机是无法登录svn服务器，并下载源代码的。合法secWall用户方能登录svn服务器，但客户机从服务器下载的源代码到达客户机时永远处于加密状态。
! H3 x6 E7 f; e) y, `

" A  h4 \- X" n1 r

4 W1 z! }8 E" u9 j        
4 v- t9 I2 u4 a; w1 G. i, r* w


- c4 e  y( k$ H: @- X9 g
9 K  x, t7 E; \; G( T客户行业范围
此类客户应用包括以下类型软件的应用，实际部署不限于所列行业。
4 Q, T/ O1 Z0 M通用软件开发类（所有Windows平台的应用软件开发）
* r8 x/ o: A& ^$ H6 E网络应用开发类（各种基于Web的应用）
  F/ t: v: }) ?; h9 Y7 U: `嵌入式系统开发类
工控芯片软件开发类
手机软件开发类（Windows Mobile，Palm，Android，各种ARM平台，…）
" O7 V/ `; @' j( e0 g部署步骤
6 e) d' G5 ?- A1. 软件安装
安装集控服务器、定制普通用户的客户机、安装软件包安装客户机软件、在集控服务器上开设用户账户、客户机登录到集控服务器
* a$ Q8 r$ D0 ~（1）. 安装集控服务器
选择网络中的一台计算机安装集控服务器软件，并将secWall集控服务器专用IC插到集控服务器所在计算机的任一USB端口；
集控服务器服务基于TCP/IP协议，安装集控服务器时注意配置集控服务器的服务端口号。如果集控服务器在防火墙后面，必须在防火墙上开放集控服务器使用的服务端口。
+ D. [8 A8 N# N& m% G如果服务器上有多个网络适配器（网卡），必须为集控服务选择一个网卡，集控服务将在指定网卡的网络地址段上服务。如果需要同时对其它网段服务（如为内网服务的同时向Internet用户提供服务），可以使用NAT服务将集控服务端口映射到其它网段。
, m6 U5 z6 `. Z$ l( f8 h（2）. 定制普通用户的客户机安装软件包（可选）
: t, H) x) X! [2 u6 v默认的客户机安装会同时安装管理组件。如果不想把管理组件安装到普通客户机，可以使用“定制客户机安装”重新生成普通用户的安装软件包。
  Z& R6 z, t$ @* o4 n+ m( S（3）. 安装客户机软件
2 U8 g4 N- y9 n2 ~  A0 `" J在涉密客户机上安装secWall客户机软件。安装时指定集控服务器的IP地址和服务端口号。如果安装时未指定，可以使用“secWall网络配置”工具指定。指定了正确的服务器地址和端口号后才能登录到集控服务器。
4 G) ?# o+ }0 J* d; J* _- R& ?（4）. 在集控服务器上开设用户账户
0 m- T$ o8 J0 R) w; y4 j2 d$ n从安装了管理员组件的客户机上运行“secWall集控服务管理器”（也可以从安装光盘里直接运行），为客户机开设账户。如果是IC用户，应该以IC序列号添加IC账户。
如果使用的设计类软件需要连接License服务器验证正版授权（如AutoCAD、SolidWorks等），则需要在当前登录的secWall用户属性中设置“安全区域”权限，将验证License服务器添加为安全区域。
; y5 }: G5 A7 j! f" t0 u3 v（5）. 客户机登录到集控服务器
如果是IC用户，在开设账户后在客户机插入IC即可登录到服务器。如果是普通用户账户，启动“secWall集控服务器登录”输入用户名和密码登录。

8 ?2 H: }! _7 R4 D$ X5 e+ ?2. 集控服务器用户权限设置
SVN是典型的C/S结构应用，在secWall中的安全方案与ERP类的SQL Server配置方式相同。
( ^4 x& ^+ P0 L& v此处需要分别设置两种类型用户的权限：服务器端登录用户，secWall客户端用户。下面以SVN为例。
★服务器端登录用户：
# \9 N  F7 Y2 q2 I# A/ x2 L该用户的登录，是为了防止未通过secWall 集控服务器认证的用户来访问服务器端机密的数据（如下载源代码文件等）。
在安装有SVN服务器（下面统称为“服务器”）的计算机上，安装secWall 客户机软件，并设置一个特殊用户始终登录到secWall 集控服务管理器。设置该用户的“远程管理”权限，加密服务器开放的端口，加密端口为3690（3690端口是SVN在网络上的服务端口号）。
; |% ~3 Y/ G( n% V注意：启用端口加密功能后，所有端口都会以涉密主动加密的方式工作。因此没有显式指定为涉密端口的服务端口在其服务访问过加密文件后也会会因涉密而被加密。要确保其他无保密要求的端口正常通讯，则需要显式添加到“开放端口”中。如需要通过“远程桌面连接”功能来远程操作服务器，则需要在“远程管理”中Windows终端服务的服务端口3389添加的“开放端口”列表。
( F: D5 X6 ?6 B# w8 @& O$ `& C
6 A: j$ X& M. Q$ J★secWall 客户端用户：
2 H+ e, s# k* f" k( O& G& y1 N该用户的设置，是为了确保客户端能够在涉密状态下与“服务器”正常通信，且下载服务器端机密资料到本地时，保持加密状态。
" K% n5 V$ F3 R1 S7 m5 Y5 f! a从安装了管理员组件的客户机上运行“secWall集控服务管理器”（也可以从安装光盘里直接运行），设置客户端用户。设置客户端用户的“安全区域”，添加服务器的IP地址和端口号，并勾选“与安全区域主机连接后涉密”。