志翔科技：安全與高效並重 構築晶片行業資料安全堡壘

　　晶片是資訊產業的基石，近半個世紀以來，摩爾定律一直推動著資訊科技的前進。近年來，在國家政策支援和技術創新推動下，積體電路行業呈高速發展態勢。國內某知名無線音訊晶片供應商這兩年受政策利好和自身產品創新推動，業務快速擴張。該公司總部位於上海，並陸續在北京、深圳等地增設了研發分部，500多名員工多地協同研發和辦公，給公司帶來全新的資料安全挑戰。

　　該公司嘗試了不同的遠端接入和資料安全解決方案，最終選擇了志翔科技基於至安盾®智慧安全平臺的研發/辦公資料安全訪問及管控方案，其面向多種業務場景下的研發辦公接入，提供全面安全加固，嚴防核心資料外洩，並有多項協同研發的最佳化支援，最大化兼顧了資料安全與研發高效。

　　企業需求

　　隨著企業擴張，該公司在多地開設了研發中心。這些研發人員經傳統VNC方式，統一接入上海研發總部辦公，該方式僅在接入時進行身份識別，接入後則預設安全，對隨後的資料訪問、操作行為缺乏管控，整個遠端研發環境存在著較大安全隱患。而在此之上再疊加安全管控裝置，影響開發和辦公效率，也給相容性和多地運維帶來新的問題。

　　因此，公司提出需要一套系統，能一站式解決安全接入和研發管控需求，且能滿足員工開發辦公效率不打折，運維成本不增加，擴容靈活方便。

　　對於解決方案的核心功能，該公司提出了以下要求：

　　1.為總部及多地分支機構的員工提供統一接入機制，並對員工所有接入、訪問、操作行為進行統一管控，包括特有研發場景，如遠端燒錄除錯等，要求行為全記錄、可審計和追溯。保證從接入到研發全環節的資料安全精細化管控，防止核心資料洩漏。

　　2.可支援多地研發人員之間的高頻次和超大檔案、資料流轉需求，保證資料安全、合規交換，且不影響效率。

　　3.可以集中運維管理，不增加運維成本；滿足後續業務增長需求，能靈活擴充套件，快捷部署。

　　解決方案

　　針對以上需求，志翔科技設計了基於至安盾®智慧安全平臺的研發/辦公資料安全訪問及管控方案，代替客戶原有VNC接入。這套方案提供包括統一安全接入、安全桌面、資料集中隔離保護、使用者行為管控等在內的多項功能。方案支援檔案安全流轉、遠端燒錄除錯安全管控等，所有檔案操作、流轉行為全記錄可審計與追溯，滿足合規需求。同時方案體驗高效、部署快捷、運維簡單，能很好兼顧資料安全與研發效率。

　　研發/辦公資料安全訪問及管控方案部署拓撲圖

　　方案具體包括以下幾部分：

　　1.統一安全接入，精細化行為管控

　　所有研發人員，均經過至安盾客戶端統一接入總部的研發系統。至安盾提供基於四元組的多維身份認證機制，對接入使用者進行信任評估，並動態授權。為進一步加固安全防線，至安盾根據不同安全級別將資料進行多區隔離，支援區域間受控資料安全交換和安全審批管理機制。使用者和業務系統/資料相互隔離，管理員按需動態分配和管理使用者訪問操作許可權，資料以影片流的方式經志翔自研的DPD安全協議傳輸至終端，資料不落地。所有資料訪問操作行為須經審批員審批方可進行，並被全程記錄，同時支援螢幕記錄、桌面水印、防截圖複製、匯入匯出控制等，便於後續可審計、追溯。

　　2.USB重定向技術支援遠端燒錄除錯

　　針對客戶提出的遠端接入燒錄除錯場景的資料安全管控需求，至安盾桌面透過底層及上層兩種USB重定向技術，快速適配USB介面的板卡裝置、U-link模擬器等各類外設。透過至安盾桌面連線遠端虛擬機器，用USB重定向，將板卡重定向到虛擬機器，實現燒錄過程中的資料和檔案安全管控。為確保燒錄除錯環境安全，至安盾會先對客戶USB裝置進行精細授權，納入白名單後方可接入重定向。

　　3.多重效能最佳化，遠端研發效率不降級

　　至安盾智慧安全平臺支援TB級超大檔案和十萬級小檔案併發傳輸，可很好滿足客戶的多地高併發接入需求。平臺可按需設定人工或自動審批機制，如管理員可對特定格式（bin、ltx、hex、bit等）研發檔案上傳伺服器設定批次自動審批，用機器完成初篩，極大地提高審批管理效率。

　　4.多地統一運維管理和集中管控，減輕運維負擔

　　方案採用軟硬體一體的裝置形式，並在多地多處進行“總控-分控”分散式部署使用和統一運維管理。總控系統以叢集方式部署於客戶上海總部機房中，所有員工終端安裝至安盾客戶端進行接入。將多地的分控系統，在控制面集中於總部組建為一個管理叢集，運維人員在總部即可對伺服器資源、使用者賬號、操作許可權等進行集中管控，統一管理，大大減輕運維難度。同時，利用叢集、控制面和資料面分離設計方式，進行容災備份，方便資料備份和恢復。

　　價值收益

　　方案於2019年部署並應用於該晶片公司的研發辦公系統。隨著業務的快速發展，2022年初，該公司再次對系統進行了升級，對現有研發辦公安全管控系統擴容的同時，也為應對疫情管控可能帶來的居家等突發情況，將該系統擴充套件應用於模擬部和運營部等更多業務部門。

　　方案為公司實現了：

　　1. 核心資料安全閉環管理：從接入到業務開展全環節的資料安全全面加固防洩漏，並支援IC特有場景如燒錄除錯等，資料流轉合規和可追溯。

　　2.高效能傳輸，智慧高效審批，實現多地協同與本地無差異辦公。兼顧安全和效率，保障疫情居家業務也能正常推進。

　　3.統一管理，運維簡單，部署快捷：多地部署集中統一管控進行升級、策略配置等，大大減輕運維工作量。整個方案部署簡單快捷，公司無需對現有IT系統進行任何改動，至安盾可相容現有VPN, 或免VPN提供遠端接入。

　　目前，包括紫光展銳、長江儲存、卓勝微、華大九天、恆玄科技等在內國內排名前50的IC設計企業，有超過半數以上在使用志翔科技提供的安全接入、安全桌面、資料安全合規流轉等整體核心資料解決方案。