源代码防泄密

IBM 发布年度《数据泄露成本报告》，显示 2023 年全球数据泄露平均成本达到 445 万美元，比过去 3 年增加了 15%。创下该报告的历史新高。

报告显示，企业在计划如何应对日益增长的数据泄露频率和成本方面存在分歧。研究发现，虽然 95% 的受访企业经历过一次以上的数据泄露事件，但它们更倾向于将事件成本转嫁给消费者（57%），而不是增加安全投资（51%）。

对于企业来说，将数据泄露事件的成本转嫁给消费者可能是一种短期的解决方案，但这可能会对企业的声誉和客户信任产生负面影响。相比之下，增加安全投资可以提升企业的数据安全防护能力，减少数据泄露事件的发生概率，并在遭受数据泄露时能够更好地应对和恢复。

 企业应该认识到数据泄露的严重性，并采取适当的安全措施来保护数据，包括加强安全投资、加强员工培训、采用先进的安全技术等。这样可以降低数据泄露事件的发生概率，并减少泄露事件对企业的损失。

随着各行各业业务数据信息化发展，各类产品研发及设计等行业，都有关乎自身发展的核心数据，包括业务数据、代码数据、机密文档、用户数据等敏感信息，这些信息数据有以下共性：

— 属于核心机密资料，万一泄密会对企业造成恶劣影响，包括市场占有率下降、丧失核心竞争力、损失客户信心等各种显性与隐性影响；

— 核心数据类型多，还有业务系统数据，非实体文件，管控难；

— 员工计算机水平高，有多种泄密途径；

企业对数据的保护最先考虑的是外部攻击者，容易忽略内部员工。内部人员比外部攻击者更有优势。如果不对其进行管控，设计者和使用者很容易通过各种途径把核心数据复制出去，造成泄密。

    常见泄密途径

由于研发人员比普通办公人员要精通电脑，除了常见的网络，邮件，U盘，QQ等数据扩散方法外，还有很多对于研发人员来说非常容易的方法（未列全）：

物理方法：

— 网线直连，即把网线从墙上插头拔下来，然后和一个非受控电脑直连;  

— winPE启动，通过光盘或U盘的winPE启动，甚至直接用ISO镜像启动；

— 虚拟机，通过安装VMWare虚拟机，在虚拟机内使用外设U盘，网络； 

— 其他非受控电脑中转，即把数据拷贝给网络内其他非受控电脑上，中转；

— 网络上传，通过在公网上自建一个上传服务器，绕过上网行为管理；

数据变形：

— 编写控制台程序，把代码打印到DOS控制台上然后屏幕信息另存；

— 把代码写到Log日志文件中，或把代码写到共享内存，然后另一个程序读走；

— 编写进程间通信程序，把代码通过socket，消息，LPC，COM，mutex，剪切板，管道等进程间通信方式，中转把数据发走；

— 通过IIS/Tomcat等web解析器中转，把代码数据当网页发布出去，然后浏览器浏览后另存，或干脆写个txt框，初始化时把代码都拷贝进来；

外设中转：

— 对于嵌入式开发场景，可以通过串口，U口，网口把代码烧录到设备中转泄密。

深信达SDC沙盒数据防泄密系统，是专门针对敏感数据防泄密的保护系统，尤其是对研发型企业数据防泄密保护。实现对数据的代码级保护，且不影响工作效率，不影响正常使用。所有敏感数据都自动加密并配合多种管控机制，从而得到有效的范围控制，防止泄密。

管理端：系统控制中心，对整个沙盒系统进行管理控制

机密端：源代码及设计文档版本管理服务器，可以有复数台

外发审核服务器(可选)：外发涉密文件

客户端：防泄密终端，可以有复数台，所有终端源代码，文档全盘透明加密

涉密可信网络（在不可信的环境下建立可信网络）

— 客户端和机密服务器通过相互主动认证，建立加密隧道，组成可信网络；-可信网络内，客户端和机密端之间，客户端和客户端之间，自由通信。

— 非客户端或外来PC进入该网络，被主动隔离，无法访问到机密服务器和客户端。

 

客户端所有涉密数据自动加密

客户端从SVN等服务器下载代码、文档等数据都只能存放在加密磁盘内，沙盒内所有文件格式、所有软件读写的数据都自动加密，不区分文件格式，不影响正常开发调试。

终端的涉密数据无法通过U盘，邮件，网络通信，聊天工具，光盘刻录，硬盘拔取等所有泄密途径泄密。

数据可以是源代码、文档、图纸、数据库等。

   智能端口功能

智能端口过滤功能是SDC沙盒防泄密系统的外设控制模块。是通过软件方式，控制外设准入，过滤传出的数据文件，并对通过的数据进行服务器记录追朔。