用户背景
用户设有国家级、省部级、市级等不同层级实验室,配备大量科研设备设施。这些实验室不仅是学生实践教学、科研创新的平台,通过参与实验课程、科研项目及创新创业活动,助力培养学生实践、创新能力与科研素养,还在多个领域收获了丰硕科研成果。
需求分析
这些科研项目和实验课程中存在了大量的源代码数据,若是被居心叵测的人数据逆向,反编译,那么用户几年乃至十几年的科研成果将造成巨大的损失,因此,保护源代码数据安全至关重要。
针对该大学实验室场景,整理以下需求点:
(1)对于有特殊工作需求的人员,允许其使用 U 盘,以便开展工作;对于普通人员,限制其使用 U 盘,防止因不当使用导致数据泄露、病毒传播等风险。
(2)主控服务器需配备双网卡,分别用于研发网与办公网。在这两个网络环境中,均设有受控端,以此满足不同业务场景下的数据交互与管控需求,保障网络运行的稳定性和安全性 。
(3)研发办公室,会利用 U 口、串口、网口、并口连接外设做调试与烧录。为确保数据安全、工作顺畅,要对这些接口及外设使用状况进行监控和管控。
(4)有独立的代码、编译服务器,承载关键数据与核心业务,需统一防护,用来抵御网络威胁、保障稳定运行 。
解决方案
1. 沙盒针对U盘处理方案
(1)U盘在沙盒内默认是只读模式,只允许U盘数据拷贝到沙盒。如需要便捷使用U盘,可以将U盘加密成沙盒专用U盘,届时U盘在公司内可以相互使用(仅限沙盒客户端),如果在没有沙盒的电脑上将无法打开U盘。
2.根据不同场景安装不同客户端
(1)研发人员的电脑,因为要进行调试编译,直接安装沙盒重型客户端;
(2)非研发人员(无需编译调试)的电脑安装沙盒轻型客户端;
3.外设烧录调试保护
根据对外设调试烧录的保护需求,员工的日常工作需要对设备进行调试,烧录,沙盒对其过程进行限制、监控、审计。
(1) 只有允许通过的设备才能够进行连接调试;
(2) 在连接调试的同事,可以限制只允许烧录某些类型的文件,其他类型文件无法进行烧录;
(3) 文件被烧录之后,沙盒会对其进行备份,传至日志服务器进行审计;
(4) 日志服务器上可直接看到哪些人在什么时候烧录了哪些文件;
(5) 文件的防冒充,避免通过直接修改后缀等方式,泄漏文件;
4.涉密可信网络(在不可信的环境下建立可信网络)
(1)客户端和机密服务器通过相互主动认证,建立加密隧道,组成可信网络;可信网络内,客户端和机密端之间,客户端和客户端之间,自由通信;
(2)非客户端或外来PC进入该网络,被主动隔离,无法访问到机密服务器和客户端;