烧录场景下的源代码防泄密方案分享

如何进行源代码防泄密工作

各类嵌入式研发及平台软件研发行业，都有自己的核心数据以及核心文档，用户数据等敏感信息，这些信息数据有以下共性：

属于核心机密资料，万一泄密会给造成恶劣影响

核心数据类型多，有源代码数据，员工计算机水平高

很多数据是业务系统中，不是文件

如果不管控，设计者和使用者很容易通过各种途径把该数据复制出去，造成泄密。

• 研发人员常用的涉密途径

由于研发人员比普通办公人员要精通电脑，除了常见的网络，邮件，U盘，QQ等数据扩散方法外，还有很多对于研发人员来说非常容易的方法（未列全）：

物理方法：

网线直连，即把网线从墙上插头拔下来，然后和一个非受控电脑直连；

winPE启动，通过光盘或U盘的winPE启动，甚至直接用ISO镜像启动。

虚拟机，通过安装VMWare虚拟机，在虚拟机内使用外设U盘，网络。

其他非受控电脑中转，即把数据拷贝给网络内其他非受控电脑上，中转

网络上传，通过在公网上自建一个上传服务器，绕过上网行为管理

数据变形：

编写控制台程序，把代码打印到DOS控制台上然后屏幕信息另存；

把代码写到Log日志文件中，或把代码写到共享内存，然后另一个程序读走。

编写进程间通信程序，把代码通过socket，消息，LPC，COM，mutex，剪切板，管道等进程间通信方式，中转把数据发走；

通过IIS/Tomcat等web解析器中转，把代码数据当网页发布出去，然后浏览器浏览后另存，或干脆写个txt框，初始化时把代码都拷贝进来；

外设中转

对于嵌入式开发场景，可以通过串口，U口，网口把代码烧录到设备中转泄密

• SDC沙盒防泄密软件

深信达自主研发的SDC沙盒防泄密产品，采用内核纵深级防御，是驱动级的防泄密软件。不对文件加密，沙盒犹如一个容器，容器里是我们的机密资料。我们工作的文件都是在沙盒里。沙盒与普通电脑完全隔离。你或许会问，我要访问外网怎么办，所有要上网的程序都从托盘启动，如浏览器，聊天软件等。SDC沙盒分成如下几个部分：管理端，机密端，文件外发，客户端。

管理端：沙盒控制中心，控制所有的客户端。对客户端的控制涵盖方方面面。那我就举几个控制功能： 反截屏 当有人想通过远程到员工电脑查看公司的一些机密信息时，SDC客户端会对远程的软件进行控制，远程的人看到的是黑屏。但是员工这边电脑正常使用。能控制就能放开。 剪贴板 沙盒模式下员工想通过剪贴板复制粘贴文件之类的公司资料到外网，SDC沙盒是控制的，可以控制最大剪贴字数。

机密端：为服务器保驾护航，普通电脑无权访问机密服务器。只有沙盒电脑能访问，不对公司资料进行任何加密行为，最大程度保护好资料。

客户端：普通模式及沙盒模式。所有软件安装都要在沙盒模式下。工作必须在沙盒模式下，因为所有的工作资料在加密盘，只有沙盒模式才能访问加密盘。沙盒模式下与外界是隔离的。要访问外网只有从托盘启动的程序才能，而且遵循只进不出的原则，能从外网获取文件到沙盒电脑，但要从本机将文件发到外网只有走文件审批。

文件外发：一台电脑上装上文件外发系统。这台电脑的ip即是文件外发的地址。每个沙盒员工匹配一个文件外发的账号。具体审批的方法不在这里累赘。

​