1、研发部门数据安全保护研发部门数据安全保护最佳实践最佳实践保护代码产权保护代码产权防止信息泄露防止信息泄露Ftrans飞驰云联 2021目录目录 /CONTENT/CONTENT前言前言 3 3第一章第一章 研发部门有哪些资料需要保护？研发部门有哪些资料需要保护？5 5 研发部门会产生哪些数据资料？5 哪些数据是需要保护的 6 第二章第二章 研发部门的泄密方式研发部门的泄密方式 7 7 第三章第三章 研发代码泄密对企业造成的影响研发代码泄密对企业造成的影响 12 12造成数据泄密的人为原因 7造成数据泄密的技术原因 8第四章第四章 代码等数据的常见保护方法代码等数据的常见保护方法 1616数据泄

2、密的方式 9近年代码泄密事故 13代码泄密对企业的影响 14针对代码本身的技术保护手段 16研发部门内部管控手段 18第五章第五章 网络隔离方式介绍网络隔离方式介绍 2222DMZ区隔离 22双网卡主机隔离 22防火墙隔离 23VLAN隔离 23网闸/光闸隔离 23虚拟桌面隔离 24目录目录 /CONTENT/CONTENT第六章第六章 研发数据如何跨隔离网安全交换？研发数据如何跨隔离网安全交换？25 25 研发数据需要跨隔离网交换 25 开端口 26 人工操作 26网闸摆渡 27FTP传输 27专用跨网文件交换方案介绍 28几种常见的跨网文件交换方案对比 30研发部门数据保护的最佳实践 31

3、附录：跨网文件交换附录：跨网文件交换DemoDemo视频演示视频演示 3232研发部门数据安全保护最佳实践前言前言4经过三次审议的中华人民共和国数据安全法（以下简称数据安全法）公布，于今年2021年9月1日起施行。这是数据领域的基础性法律，也是国家安全领域的一部重要法律，使数据的有效监管实现了有法可依，填补了数据安全保护立法的空白，完善了网络空间安全治理的法律体系。在数据海量聚集的当下，这部法律的出台，可以说是正当其时，其助力守好安全底线，支持创新应用，有利于促进数字经济良性发展。数安法的颁布实施，给数据安全市场带来了“春天”，也为数据安全产品技术的发展注入了一剂强心剂，无论是普通的公民，还是

4、在数据安全市场耕耘的厂商以及国家职能监管部门，通过此法应该对数据安全的概念及应用领域都有了更加深刻的认识，也将共同为促进中国的“数据安全”健康发展贡献更大的力量与智慧。研发部门数据安全保护最佳实践第一章第一章 研发部门有哪些资料需要保护？研发部门有哪些资料需要保护？研发部门会产生哪些数据资料？研发部门会产生哪些数据资料？l 项目章程l 项目计划l 资源计划l 预算文档l 沟通方案5我们先以一个完整的软件项目开发过程为例，看看这个过程中有哪些文档资料产出：l 开发文档l 代码文件l 测试计划l 测试用例l 测试报告l 需求变更流程l 需求列表l RQMl 需求文档l 设计文档研发部门数据安全保护

5、最佳实践哪些数据是需要保护的？哪些数据是需要保护的？那么，知识产权包括哪些呢？主要包括专利（发明专利、实用新型专利、外观专利）、软件著作权、作品著作权、集成电路布图设计、商标等。这些大部分都是跟研发部门相关的，比如专利、软件著作权、集成电路布图设计等，都是研发部门的智慧成果。尤其是软件开发类、游戏、手机等企业的源代码、技术专利等，都是企业尤为重要的核心数据。6数据来源：Freebuf我们先来看一组国内领先的网络安全行业门户Freebuf就对网络安全专业人士进行的一项在线调查，一半以上（60%）的受访者认为客户信息需要保护，这个无可厚非，毕竟大部分企业的生存是需要靠客户的。有一半（49%）的受访

6、者认为知识产权是需要保护的数据。研发部门数据安全保护最佳实践第二章第二章 研发部门的泄密方式研发部门的泄密方式7造成数据泄密的人为原因造成数据泄密的人为原因据安全专家统计报告说明，企业在遭遇数据泄露事件时，有百分之八十的概率是出现在内部人员泄密身上。这样的结果表明，内部数据安全问题远远比网络攻击更加可怕。尤其是在研发型企业里，代码这种重要又值钱的数据，是最容易让别有用心之人动歪心思的。其原因就是在于企业数据管理上，没有部署有效的保护体系，让数据安全一次次遭受严重打击。企业内部人员泄密主要有这么几种可能：l 过于分散-很多重要文件和科研成果都分散存储在个人电脑上，无法集中管控，无法控制数据主动或

7、无意的外泄l 离职跳槽-离职创业或者高薪跳槽，为了谋求更好的发展，有意识的窃密；l 共享泄密-文件共享过程中，无法控制使用者的权限，给数据安全造成巨大隐患l 为谋私利-员工受到金钱诱惑出卖公司的机密文件；l 商业间谍-竞争对手获取商业机密常用的手段；l 无意泄密-员工使用计算机和互联网的过程中无意识的泄密研发部门数据安全保护最佳实践8造成数据泄密的技术原因造成数据泄密的技术原因1、数据通信安全：网络端口、数据传输等都会因各种原因造成电磁泄露，企业数据库存储未安置防护设施，信息在通信传输过程中未进行加密处置(SSL证书)，窃听、非法终端接入、利用非应用方式侵入数据库、线路干扰等方式都可以得知通信

8、信息数据。2、数据库管理系统脆弱性：数据及数据库管理系统通常以分级管理，由此DBMS必然存在很多弱点。另外，为了方便访问数据，DBMS会留下不少接口，但其与操作系统的配套必然存在不少不足之处，而且这种不足是先天的，无法完全克服。3、病毒与非法入侵：由于病毒或者非法入侵而导致数据泄漏，病毒入侵感染后，破坏数据、勒索加密数据等导致数据不可用，甚至盗取拖库，非法入侵指恶意攻击者运用不道德的手段侵入数据库或者数据存储空间，盗取数据。4、系统漏洞：系统内数据库漏洞、操作系统漏洞，硬件上防火墙、存储设备等网络产品的漏洞，补丁更新不及时或不安全配置，导致恶意攻击者主动发现了系统存在的漏洞，从而窃取数据。5、

9、访问控制和权限管理不善：人和数据的权限分层、安全分级，帐号的生命周期管理，安全的访问控制，以及因为人的脆弱性存在而导致的数据泄露屡见不鲜。研发部门数据安全保护最佳实践 数据泄密的方式数据泄密的方式9窃密窃密攻击者主动窃密：恶意攻击者或外部竞争对手，基于经济利益或政治原因驱动，通过层出不穷的高超技术手段，窃取企业的各种重要数据。每年都会披露出来多起外部恶意攻击导致的数据泄露事件，大部分都是中大型企业，从小型的入侵窃密事件到超大型的入侵窃密事件，从黑客激进分子（hacktivism）到网络间谍，再到为钱作案的网络犯罪集团，有太多太多的事情发生了。这一类的泄密途径主要来自于外部的威胁，网络上的各种木

10、马、蠕虫、勒索软件层出不穷，通过服务器缝隙、桌面缝隙、移动代码、在邮件中选用嵌入式HTML、对HTTP和HTTPS的遍及访问、cookie窃取、通过大量ping攻击服务器、脚本攻击对应网站研发部门数据安全保护最佳实践10泄密泄密这一类的泄密不仅仅是主动泄密，也包括被动泄密。泄密的途径主要有：离职人员泄密：由于权限管理疏忽等，离职人员在离职时有意或无意违规带走大量核心数据(专利著作及源码数据等)。内部人员泄密：l 由于内部员工安全意识薄弱，数据安全分级不明确，操作失误，部分涉密人员无意中泄露数据；l 将企业内部文档私自拷贝外带及复用泄密(USB/网络/即时通讯/刻录);l 通过截屏/录屏/复制等

11、方式泄露企业机密信息l 盗用他人账号及设备非法访问数据泄密l 通过打印机、传真机等将敏感数据进行介质转换泄密l 对敏感数据的恶意传播及扩散泄密;l 对核心应用系统的非安全接入及访问泄密;l 移动笔记本、USB存储设备遗失或失窃导致数据泄密l 邮件或网络误操作、误发送等，数据的误用引起的泄密l 感染病毒、木马后引发的敏感数据泄密;l 将存放重要数据的机器、存储介质随意交与他人使用引发的泄密l 不遵守管理制度的其他导致数据泄密的行为等研发部门数据安全保护最佳实践11失密失密权限失控失密：由于帐号生命周期管理不善，权限划分及认证鉴别方式失控，导致人员对数据的密级访问权限不对等，高密级数据流向低权限帐

12、号，涉密数据流向无权限帐号等。数据维护及处置失密：不安全的加密方式或明文存储、公开的存储位置、管理密钥或存储介质丢失、未完全擦除报废，存储数据发生泄露。信息发布失密：合作渠道商管理不善数据交互泄露，发布信息审核不当涉及密级数据泄露，信息数据流入未授权、竞争关系的第三方。因此，需要技术手段和管控制度相结合研发部门数据安全保护最佳实践第三章第三章 研发代码泄密对企业造成的影响研发代码泄密对企业造成的影响12近年代码泄密事故近年代码泄密事故 2017年，大疆前员工将含有公司商业机密的代码上传到了GitHub的公有仓库中，造成源代码泄露的事件。根据当时的报道，通过这些源代码，攻击者能够访问客户的敏感信

13、息，比如用户信息、飞行日志等等。2018年2月，一位名为“ZioShiba”的用户在开源代码托管平台GitHub上泄露了苹果公司专有的iBoot源代码。根据苹果公司的声明，遭到泄露的是两年前iOS9的源代码，与现在相隔甚远，不会导致大规模安全事件。但仍然可能被相关iOS安全研究人员和越狱爱好者加以利用，在iPhone锁定系统中发现其他新的漏洞。2019年4月，B站整个网站后台工程源码泄露，并且“不少用户密码被硬编码在代码里面，谁都可以用”。当天，在开源及私有软件项目托管平台GitHub上，出现了名为“哔哩哔哩bilibili网站后台工程源码”的项目。导致当日B站股价跌3.27%。关于代码泄露的

14、报道，我们在网上也经常看到，代码泄露不但是小公司，连苹果、微软这样防范严密的大公司也无法幸免，国内的大疆、B站也都发生过，下面是最近几年的几个事例：研发部门数据安全保护最佳实践13 2020年3月，AMD发布了一条公告，宣布有黑客窃取了AMD现在及即将发布的图形产品及子集的测试文件，尽管目前已知的并不是AMD图形产品的核心机密，但还不确定黑客是否还拥有其他任何AMD IP。2020年7月，包括微软、Adobe、联想、AMD、高通、联发科、通用电气、任天堂、迪士尼在内的50家知名公司的源代码泄露，并被发布在了公开网络上。据报道，泄露的代码由某瑞士软件开发人员收集，并以机密&专有(exco con

15、fidential)的名称放在公开访问的GitLab存储库中。该公共仓库中大约包含了超过 50 家公司的源码。2021年1月，三井住友银行的一名前员工，为了找工作，在开源网站GitHub上传了自己写过的三井住友银行的部分源代码。1月29日，三井住友银行（SMBC）1月29日公开回应，网传的银行系统源代码泄露确有其事，但是泄露的代码已经是6年前的版本，对客户信息和交易安全不会产生影响。除了三井住友银行之外，还有许多知名日企如NTT data、NEC的源代码也同时泄露。研发部门数据安全保护最佳实践14企业公众声望受损企业公众声望受损当企业发生数据泄露时，公众会对企业产生不信任感，这种不信任感会影响

16、公众的选择，因此，数据泄密事故可能会令企业失去一批客户，包括潜在客户。比如雅虎邮箱曝出泄密事件后，大批用户弃用，正在商谈收购事宜的雅虎甚至一度难以卖出。企业经济利益受损企业经济利益受损一方面，数据本身就是企业财产的一部分，当数据泄露，这部分数据资产相当于拱手让给别人，对企业的竞争力会产生威胁，间接提高了成本、且减少收益。另一方面，声望折损会导致企业股价下跌、用户流失，这都将对企业经济利益产生直接影响。之前，趣店发生用户数据泄露时，股价出现连续下跌，甚至一度出现开盘跳水30%。面临诉讼等法律指控面临诉讼等法律指控数据一旦发生泄露，必定会出现受害者，受害者可能是数据来源者本身，也可能是企业的下游客

17、户或遭受数据泄露影响的其他合作者。美国征信巨头EquiFax发生1.43亿用户泄露后，面临一场美国波特兰联邦法庭的集体诉讼，赔偿金额高达700亿美元。代码泄密对企业的影响代码泄密对企业的影响研发部门数据安全保护最佳实践15内部易产生不和谐因素内部易产生不和谐因素有的数据泄露是黑客攻击造成的，有的则是内部管理不善造成的，后者更容易让员工对企业产生不信任感，继而影响企业整体的团结。世界500强公司之一的英国超市Morrisons曾发生一起泄漏事故10万名员工的工资细节、住址、银行账户等被内部审计员盗取并泄露贩卖，不仅审计员入狱，Morrisons也因此被5千多名员工集体告上法庭，要求企业为此负责并

18、赔偿。引发高层震荡引发高层震荡一场数据泄露背后必然有企业内部的各种问题，而当企业发生严重的数据泄露时，通常会有高管为此担责甚至被下台。美国小姐CEO被曝出邮件丑闻后，该CEO随即离职；Uber曝出10万黑客封口费后，首席安全官被罢免。由此看来，数据泄露的代价对于企业来说的确是十分昂贵的，损失不可估量，有的小型或者创业期企业，一旦发生核心数据泄密，会导致企业身家性命丢了一半，甚至因此而倒闭。研发部门数据安全保护最佳实践第四章第四章 代码等数据的常见保护方法代码等数据的常见保护方法16代码混淆代码混淆也称为模糊处理，其技术原理是代码重命名，也就是说原先具有含义的方法名称，重命名为毫无意义的（A,B

19、,C 诸如此类）。弱点：无法隐藏调用的系统的函数代码隐藏代码隐藏因为代码混淆改变了方法签名，在很多时候是有问题的，例如程序集要被其他人使用的时候。因为方法名变成了毫无意义的一些字符，将造成使用者极大的麻烦。也可以导致现有引用程序集的失效。弱点：内存有完整的代码，利用软件可以将内存dump出来，得到完整的代码。非托管代码编写非托管代码编写使用非托管代码编写核心代码（例如核心算法），然后使用平台交互的方式进行调用，非托管代码比较难反编译。针对代码本身的技术保护手段针对代码本身的技术保护手段研发部门数据安全保护最佳实践17强名称签名强名称签名这种方法，用通俗的话说就是对文件按照Microsoft的算

20、法对文件进行Hash，然后将hash出来的数据（publickeytoken）写入文件。在运行或者对文件进行调用的时候，SDK会检查publickeytoken，若不符合则抛出异常，退出。弱点：反编译后将publickeytoken 部分去掉即可。代码加密代码加密改变MSIL和JIT的通信，根据底层的需要来解密代码。破解的难度大，较安全，内存无完整代码。弱点：编程的难度大，若利用专门的加密软件，则会加大系统的开发成本。代码本地化代码本地化代码完全编译成本机代码，同win32下的应用程序一样，完全失去了.NET的优越性。代码加水印代码加水印简单的说，就是让特定的字符串以图片的形式，绘制在程序的界

21、面上，用来提示软件是否注册，这种保护方法，关键的地方就是对图片绘制条件的判断，如果仅仅是用true 或者false 来判断，就形同虚设了。研发部门数据安全保护最佳实践18研发部门内部管控手段研发部门内部管控手段禁用禁用U U口口企业可以通过禁用USB接口，这种方式可以有效防止恶意的数据拷贝，如果需要对外发送的话，需要经过审核后由专人拷贝出来再外发。但是这种方法不能算一个完美的方案，比如员工真想拷贝的话，可以直接开机把硬盘拿出来拷贝数据。其实说白了就是终端安全防护这块，禁用USB接口只是终端安全防护的一种，还有禁止打印、禁用光驱等等。加密软件加密软件文件透明加密是一种比较常见的数据安全保护手段。

22、不影响员工日常的操作，加密的文件只能在单位内部电脑上正常使用，一旦脱离单位内部的网络环境，在外部电脑上使用是乱码或无法打开。这样可以有效防止内部员工的主动泄密。这种方式尤其适合图纸、代码等科技研发型企业或者高新制造业。研发部门数据安全保护最佳实践19控制访问权限控制访问权限网站白名单，只允许访问工作需要的网站，其他一律禁止掉。这个算是比较严格的限制方式了。采用应用过滤，禁止掉所有的文件传输、网盘、邮件等。这个方案相对有效，但是不能排除通过未知的应用协议来传文件，而且会给日常工作带来一些不便。还是需要慎用的。部署部署DLPDLP（数据防泄漏）系统（数据防泄漏）系统有条件的企业可能会在内外网边界部

23、署DLP（数据防泄漏）系统，所有内部向外部发出的数据，都要经过DLP系统的内容扫描，在确保不包含敏感信息的情况下才允许发出。这也是比较常见的一种方式，可以有效防止各个渠道的外发泄密。研发部门数据安全保护最佳实践20第三方身份验证第三方身份验证现在有许多基于标准且高度安全的身份验证产品可供选择，这样的话，你的员工/客户等等就不需要一个个记住账号密码了，这样就能减少账号泄密的风险了。服务器上备份文件服务器上备份文件及时的将重要文件备份，以便丢失后能及时找回，同时可以减少无意的泄密带来损失。特殊部门不允许进行文件外发特殊部门不允许进行文件外发比如研发部门或者财务部门这种，核心和敏感数据较多，不允许他

24、们直接的对外发送文件，如果需要发送的话，需要经过审批后，由专人进行发送。监控电脑的文件外发动作监控电脑的文件外发动作这个就需要有带有监控功能的软件了，可以监控到每个人的电脑操作行为，一旦产生外发动作，就会给管理员发出警报。研发部门数据安全保护最佳实践21云桌面云桌面云桌面也是一种很流行的方式，很多研发型企业都在使用，它的成本比较低，使用灵活，可以快速响应企业和开发需求，比如企业规模扩大时，可快速实现资源配置和扩展。最重要的是，数据都集中在服务器上，开发人员的终端不再保存数据和存储，实现代码等数据不落地，对于企业来说，不仅仅是便于管理了，而且更能保障信息安全。网络隔离网络隔离这个算是目前最流行的

25、方式了。绝大多数企业采取的第一个步骤是将企业内网与互联网进行隔离，将内部数据“困在”内网，同时也能够有效屏蔽外部网络攻击的风险。较大规模的企业还可能对内部网络实施进一步的隔离，比如划分为办公网、研发网、生产网、测试网等，主要用来屏蔽不同部门、不同业务之间的违规数据交换。通过网络隔离的方式，可以有效防止内部核心代码数据泄露。研发部门数据安全保护最佳实践第五章第五章 网络隔离方式介绍网络隔离方式介绍22双网卡主机隔离双网卡主机隔离在一台物理主机上安装两个网卡，一个连接内部网络，一个连接外部网络。这种隔离方式实际上是构造了一个同时能够连接两个网络的特殊设备，一般需要有专人管理。当需要进行跨网文件交换

26、时，发送者将数据传输到该主机上，由专人进行文件内容的审查和登记后，再将数据由这台主机发送到另一个网络内。DMZDMZ区隔离区隔离DMZ（Demilitarized Zone，隔离区）它是为了解决安装防火墙后外部网络的访问用户不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区。一般来讲，企业在内外网间架设两道防火墙，两道防火墙中间的区域即为DMZ区。内部网络可以主动访问DMZ区，DMZ区可以主动访问外部网络，这样就形成了一个中间缓冲区，从而可以达到更高的安全标准。DMZ防火墙为要保护的内部网络增加了一道安全防线，通常认为是非常安全的。同时它提供了一个区域放置公共服务器，从

27、而又能有效地避免一些互联应用需要公开，而与内部安全策略相矛盾的情况发生。为了让特定业务跨网，需要使其穿透DMZ区，这一般要求在DMZ区内部署针对该业务的代理（中转）设备。研发部门数据安全保护最佳实践23防火墙隔离防火墙隔离在内部网和外部网之间、专用网与公共网之间的边界上构造的保护屏障。在两个网络之间架设防火墙，默认阻断所有跨网通信。为了让特定业务跨网，可以在防火墙上配置针对于该业务的特殊规则，使该业务的通信可以穿过防火墙。使用防火墙的好处有：保护脆弱的服务，控制对系统的访问，集中地安全管理，增强保密性，记录和统计网络利用数据以及非法使用数据情况。VLANVLAN隔离隔离VLAN 隔离技术根据特

28、定的策略，把物理上形成的局域网（Local Area Network，LAN）划分成不同的逻辑子网，把数据链路层广播报文隔离在逻辑子网之内，形成各自的广播域，每个逻辑子网就是一个“虚拟的局域网（Virtual LAN）”。每个接入至支持 VLAN 的交换机的终端设备，都属于一个特定的 VLAN，不同 VLAN 中的终端设备无法直接通过数据链路层通信。网闸网闸/光闸隔离光闸隔离网闸/光闸是专用的网络隔离设备，其隔离安全性最高，基本原理是阻断网络通信协议，在内部采用私有通信协议，同一时间只连接一个网络，轮流连接两个网络进行数据摆渡。研发部门数据安全保护最佳实践24虚拟桌面隔离虚拟桌面隔离如果企业已

29、经实施了虚拟桌面平台，可以在虚拟化平台内构造两个虚拟子网（比如一个办公虚拟子网，一个研发虚拟子网），两个虚拟子网子网间不连通。企业可以为每个有需求的员工分配两个虚拟桌面，分别连接两个虚拟子网，通过这种方式来实现虚拟桌面的隔离。虚拟桌面隔离的优势：降低运维成本。一方面PC机变成了价格更低、功耗更低和免维护的云终端，大大降低企业TCO成本；另一方面云桌面可实现桌面环境快速就绪，还可以加快故障排查速度，极大地减少整体运维成本。使用灵活，易于扩展。当企业规模扩大、办公人员增加或者需要提升开发配置时，云桌面可以快速实现资源配置和扩展，灵活响应企业和开发需求。便于统一管理。所有数据都集中在服务器上统一管理

30、和运行，管理员都可以在服务器进行统一管理和维护，比PC更方便快捷。安全性得以保障。数据都集中在服务器上，终端不再保存数据和存储，员工访问重要数据和拷贝资料都要权限才可以进行，实现数据不落地，保障信息安全，就不再需要终端安全管控产品了。通过虚拟化隔离后，不仅仅终端安全问题解决了，网络层面的安全问题也解决了。研发部门数据安全保护最佳实践第六章第六章 研发数据如何跨隔离网安全交换？研发数据如何跨隔离网安全交换？25所以，对于研发部门来说，推荐的方式就是虚拟化+网络隔离，可以有效保护研发代码等核心数据。不过隔离之后，还是存在很多数据交换的业务场景和需求：l 处在内网的员工，需要将设计图纸、项目资料等文

31、件发送给外网的用户。l 客户、供应商、合作伙伴，需要通过互联网将文件发送给内网员工。l 研发型企业需要持续将从外部获取的大量数据导入到研发网，进行机器学习、数据挖掘等数据处理工作，比如传感器采集的数据、测试数据、网络服务收集的数据等。研发部门对于跨网文件交换的需求有：l 便捷l 直接l 易用l 快IT部门对于跨网文件交换的要求有：l 管控l 可视化l 安全l 合规所以，IT部门需要选择一个既符合安全管理标准，又能满足研发部门用户需求，同时又可以被IT管控的跨网文件交换系统。研发数据需要跨隔离网交换研发数据需要跨隔离网交换研发部门数据安全保护最佳实践26开端口开端口在采用防火墙等软隔离手段时，许

32、多企业在解决跨网文件交换时，为了方便，常常采用为特定业务开通特例端口的方式，使其不受跨网隔离的限制。这种“开口子”的方式尽管一时方便，但是实际上违背了网络隔离的初衷，降低了安全标准，最终口子开得越来越多，防火墙上百孔千疮，网络隔离形同虚设。人工操作人工操作在采用无法开口子的硬隔离手段时，企业可能选用的另一种方式人工，指派具有特殊权限的专人，以人工手动的方式在两个网络之间进行数据拷贝。在这种情况下，企业不但操作麻烦，浪费人力、效率低下，业务需求往往无法得到及时响应，而且无法保证人工操作本身的正确性和安全性，无法监管到究竟拷贝了哪些内容，拷贝的内容最终是谁使用了，没有任何记录可查询，一旦出现数据泄

33、露的情况，是难以追责的。研发部门数据安全保护最佳实践27网闸摆渡网闸摆渡网闸等专用隔离设备，一般自带在两个网络间文件同步的功能，企业可能会利用这一功能完成跨网文件交换。然而网闸的文件同步功能，一般是从一个网络的存储位置到另一网络的存储位置，而企业的安全管理诉求远不止于此。比如，哪些人可以将文件放到指定存储位置，是否可以由管理人员审批，哪些人可以从存储位置将文件取走，是否有通知，这些过程是否有记录，是否可审计等等。FTPFTP传输传输有些企业可能会架设一个FTP服务器或网络共享，在网络设备中将其设置为例外，以此实现文件交换。FTP是一种标准的网络协议，可以用于在互联网上传递文件，它是可以解决不同

34、网段之间数据交换的部分问题的。但是在文件摆渡中，还是存在着一些问题。比如没有任何安全策略，存在泄密的风险；可靠性较差，经常可能出现传输错误、中断，甚至文件丢失的现象；没有日志记录功能，出现问题难以追溯；要有专人值守，耗费大量人力成本。研发部门数据安全保护最佳实践28专用跨网文件交换方案介绍专用跨网文件交换方案介绍Ftrans Ferry跨网文件安全交换系统：企业文件数据在一个平台内完成发送、检测、审批、接收、审计的全流程，大幅提升操作易用性及业务时效性，建立统一、安全、可控、便捷的跨网数据交换通道，实现事前可控制、事中可审查、事后可追溯的跨网文件交换全生命周期管控。以软件系统为核心，无需复杂的

35、环境支持，部署简单，大幅减少IT人员日常维护工作量。使用界面一目了然，不改变用户日常使用习惯，操作简单，开箱即用，平滑建设跨网文件交换体系。典型应用场景：典型应用场景：办公网、研发网、生产网间的数据交换虚拟桌面环境与外部网络间的数据交换研发部门数据安全保护最佳实践29Ftrans FerryFtrans Ferry跨网文件安全交换系统功能介绍跨网文件安全交换系统功能介绍可管可控的Ftrans跨网文件安全交换解决方案主要功能：主要功能：l 全平台日志审计：随时获取文件交换行为日志l 文件归档可追溯：轻松追溯所有操作行为和文件内容l 确保安全合规：告别FTP/U盘，100%数据安全性l 重要文件审

36、批才能发送：满足各类审批要求，保护知识产权不流失l 为不同交换场景提供最优解：支持多种文件交换方式l 支持多种网络隔离架构：适用于防火墙、DMZ、网闸、虚拟化等l 拦截病毒文件：自动防病毒检查，防止病毒扩散l 敏感内容发现：防止不合规的文件泄露l 强大的集成能力和延展性：快速适配既有IT体系l 大体量可靠交换：TB级单一文件，百万级海量文件，传输无压力l 快速部署，实施周期短：支持私有化部署，支持虚拟化部署研发部门数据安全保护最佳实践30几种常见的跨网文件交换方案对比几种常见的跨网文件交换方案对比考虑因素移动硬盘拷贝网闸摆渡双网卡FTP/双FTP专用跨网文件交换(如Ftrans跨网文件交换)隔

37、离安全性较好好较差好数据交换速度一般差一般极高防病毒检查难易染病毒难难内置自动杀毒检查文件内容审计较难较难需开发较难容易支持主流DLP引擎支持审批流程不支持不支持不支持支持内置流程引擎可审计不支持有文件交换记录，无法跟踪到人不支持支持，人员数据交换行为全记录集中管控较难存在遗失风险较难无集中管理较难无集中管理容易硬件成本低高较低可利用企业现有设备，支持虚拟化部署软件成本较低较低较低低研发部门数据安全保护最佳实践31研发部门数据保护的最佳实践研发部门数据保护的最佳实践要实现代码等核心数据的安全保护，不需要高深复杂的技术，也没有独树一帜的创新方法，最简单有用的方式就是虚拟化隔离虚拟化隔离+Ftra

38、ns+Ftrans飞驰飞驰云联跨网文件交换产品。云联跨网文件交换产品。虚拟化隔离的优势在前面已经详细介绍过了，不仅可以解决终端安全问题，也可以解决网络层面的传输安全问题。这种方式尤其适合研发型企业。隔离之后的跨网文件交换，选择Ftrans Ferry跨网文件安全交换系统，可以实现安全可控、高效可靠的文件交换。以软件系统为核心，无需复杂的环境支持，部署简单，大幅减少IT人员日常维护工作量。使用界面一目了然，不改变用户日常使用习惯，操作简单，开箱即用，平滑建设跨网文件交换体系。符合等保要求符合等保要求采用前置机模式和部署架构简单便捷简单便捷适合于终端用户的优秀操作体验便于集成扩展便于集成扩展纯软件适配企业IT基础设施和上下游系统安全可控安全可控完善的审批机制和全面审计研发部门数据安全保护最佳实践附录：跨网文件交换附录：跨网文件交换DemoDemo视频演示视频演示32Demo演示视频如何完成网络隔离条件下的文件跨网外发，3分钟学会如何基于Ftrans平台，实现安全可控的跨网文件交换。Demo1演示内网用户UserA需要向外网用户UserB发送文件包，这一行为要求经过管理员admin的审核。Demo2演示内网用户UserA需要将采集的数据，发送到外网服务器指定的存储位置，这一行为要求经过管理员admin的审核。研发部门数据安全保护最佳实践您可以点击这里点击这里，或者访问：http:/