最近調(diào)研了一下研發(fā)資產(chǎn)安全保護(hù)方案，簡(jiǎn)單地說(shuō)就是，如何避免開(kāi)發(fā)人員把核心代碼和核心資料據(jù)為己有，離職時(shí)偷偷帶走!網(wǎng)上有好多人認(rèn)為這個(gè)東西沒(méi)有必要做，或者根本不能根本杜絕。認(rèn)為現(xiàn)在的軟件產(chǎn)品拼的是業(yè)務(wù)和運(yùn)營(yíng)，代碼真心不重要，即使把微信的源碼給某某公司，又能怎么樣呢?你能防住手抄寫(xiě)或者拍照嗎?其實(shí)想想是這個(gè)道理，光有源碼沒(méi)有用戶有何用啊!有同學(xué)認(rèn)為，源碼泄漏出去也沒(méi)關(guān)系，自帶混淆不說(shuō)，搞懂的effort遠(yuǎn)大于再造一套新的代碼的effort!更有同學(xué)表示大多數(shù)軟件公司是依靠程序員的自尊心…泄露出去了實(shí)在特么丟人啊!

在這里我先不討論對(duì)研發(fā)資產(chǎn)保護(hù)的必要性，我僅把自己調(diào)研的一些方法share給大家，希望能給大家一點(diǎn)點(diǎn)幫助!目前業(yè)界的主要方案包括：云桌面、公司自建安全體系制度監(jiān)管、購(gòu)買第三方軟件產(chǎn)品監(jiān)管

BAT等大廠

每個(gè)人的電腦中都裝有自己開(kāi)發(fā)的監(jiān)控軟件(限制上網(wǎng)行為，封閉U口，不能傳輸文件，限制使用軟件)、工作中進(jìn)行視頻監(jiān)控、網(wǎng)絡(luò)監(jiān)控等。當(dāng)然這些公司錢(qián)多人牛逼，有能力開(kāi)發(fā)出適合公司自己的產(chǎn)品，但是對(duì)于絕大多數(shù)公司來(lái)說(shuō)該方案的投入與回報(bào)是不成正比的!

云桌面方案

云桌面又稱桌面虛擬化、云電腦，是替代傳統(tǒng)電腦的一種新模式。采用云桌面后，用戶無(wú)需再購(gòu)買電腦主機(jī)，主機(jī)所包含的CPU、內(nèi)存、硬盤(pán)等組件全部在后端的服務(wù)器中虛擬出來(lái)。前端設(shè)備主流的是采用瘦客戶機(jī)(與電視機(jī)頂盒類似的設(shè)備)連接顯示器和鍵鼠，用戶安裝客戶端后通過(guò)特有的通信協(xié)議訪問(wèn)后端服務(wù)器上的虛擬機(jī)主機(jī)來(lái)實(shí)現(xiàn)交互式操作，達(dá)到與電腦一致的體驗(yàn)效果。具體如下圖所示，傳統(tǒng)的機(jī)箱變成了類似機(jī)頂盒的東東

優(yōu)點(diǎn)：

1.數(shù)據(jù)安全：數(shù)據(jù)存放在服務(wù)器后端，跨磁盤(pán)、服務(wù)器備份，有效防止數(shù)據(jù)損壞、丟失;同時(shí)可對(duì)云終端實(shí)施USB設(shè)備權(quán)限控制，防止數(shù)據(jù)泄露。

2.局域網(wǎng)安全：每臺(tái)虛擬機(jī)均獨(dú)立運(yùn)行，一臺(tái)發(fā)生故障或中毒，不會(huì)影響其他虛擬機(jī)。

3.電力費(fèi)用節(jié)省、IT費(fèi)用低。

缺點(diǎn)：

1.改造影響范圍大，通常是公司級(jí)別(個(gè)人覺(jué)得不適合技術(shù)類公司)

2.會(huì)有網(wǎng)絡(luò)延遲。

3.改造費(fèi)用較高 。

公司自己構(gòu)建安全體系

主要包括簽保密協(xié)議、日常教育、代碼權(quán)限控制、封閉u口、視頻監(jiān)控、網(wǎng)絡(luò)監(jiān)控、入職背景調(diào)查，這是一系列的行為管理方法。這個(gè)體系個(gè)人覺(jué)得最重要的就是簽保密協(xié)議，一旦發(fā)現(xiàn)員工有泄漏公司源碼資產(chǎn)的行為，直接告!在員工入職時(shí)重點(diǎn)強(qiáng)調(diào)，相信會(huì)有很強(qiáng)的警示作用。

購(gòu)買第三方軟件產(chǎn)品保護(hù)文件

目前該類別第三方軟件產(chǎn)品都是以收費(fèi)為主的主要技術(shù)手段包括數(shù)據(jù)安全隔離和文件加密解密兩種

•數(shù)據(jù)安全隔離(DSA)

不做復(fù)雜的監(jiān)控，構(gòu)建安全區(qū)域保障敏感數(shù)據(jù)安全，在實(shí)現(xiàn)安全保障的同時(shí)，不影響效率，不改變操作習(xí)慣，安全性最高，具體產(chǎn)商這里就不提及了。關(guān)于安全區(qū)的概念如下所示：

該方案主要優(yōu)點(diǎn)包括：

1、不影響編譯、調(diào)試性能：調(diào)試過(guò)程中不用先解 密再調(diào)試再加密;

2、不破壞文件：虛擬文件磁盤(pán)加密技術(shù);

3、難破解：多重隔離(內(nèi)核)、網(wǎng)絡(luò)通信加密;

5、不需要配置復(fù)雜的安全策略;

6、特別適合源代碼(多文件)和設(shè)計(jì)圖紙(大文 件)等企業(yè)核心智慧資產(chǎn)的安全保護(hù)

7、不影響使用者對(duì)網(wǎng)絡(luò)資源的訪問(wèn)應(yīng)用

該方案更適合研發(fā)類文件加密，因?yàn)楣こ讨猩婕暗脑创a文件數(shù)目眾多，頻繁對(duì)文件加密解密勢(shì)必會(huì)影響客戶端性能，而研發(fā)人員對(duì)于電腦卡頓這件事是灰?；页＝橐獾?，你可以加密，但是你不能讓我卡啊!但目前該方案對(duì)于終端是mac的本本沒(méi)有解決方案，這點(diǎn)是比較遺憾的。

•文件加密解密

該方案簡(jiǎn)單地說(shuō)就是，利用加密算法對(duì)文件進(jìn)行加密，授權(quán)的客戶端可以打開(kāi)加密的文件，這樣即使文件被拷貝走，也無(wú)法在其他的客戶端中查看。主要加解密技術(shù)包括透明和半透明兩種。

透明：對(duì)企業(yè)內(nèi)部所有涉密文檔進(jìn)行強(qiáng)制加密處理，從文件創(chuàng)建開(kāi)始即可自動(dòng)加密保護(hù)

半透明：本地自己生成的文件都不加密，而能打開(kāi)公司內(nèi)部的加密文件，并確保這些加密文件去編輯保存還是處于加密狀態(tài)。

該方案需要頻繁對(duì)文件加解密，會(huì)對(duì)客戶端的性能有一定的損失，安全性不如DSA。同樣的，具體產(chǎn)商這里就不提及了。