隨著信息系統應用的逐步增加，企業的核心競爭力將更多地來自于技術發明、專利、創新等。與此同時，隨著計算機的普遍應用，越來越多技術發明、創新等依賴計算機技術，因此，很多核心的研發機密文檔以電子化形式存儲在計算機上，甚至絕大多數的企業核心技術文檔本身就是設計圖紙、程序源代碼等的電子文檔。近年來研發信息外泄案件呈現上升的勢頭，如何構建有效的研發機密信息安全管控機制，已成為研發型高科技企業的重大挑戰。

1、研發管理挑戰

當前許多企業在各地建立了研發機構，在同一個項目的研發上經常需要數十甚至數百位員工協作研發，由于工作需要涉及高密文檔的環節以及人員眾多，給知識產權的保護帶來了管理上的困難。在以往的商業機密案例中，由于在知識產權損失的取證和賠償方面的鑒定技術要求較高，以及我國現有知識產權保護法律尚有許多需要完善的地方，企業的損失往往是巨大而無法挽回的。在這種現狀下，企業通過各種途徑對自有知識產權進行嚴密保護，是必然的選擇。

雖然公司可以制訂針對性的規章制度對各種機密圖紙的流轉以及保密工作進行強化管理，但是由于傳統的措施和電子文檔管理以及傳統安全產品仍然無法杜絕重要知識產權信息（例如重要產品設計圖紙、程序源代碼，公司預研方向階段性成果等等）泄漏的安全隱患，同時不可避免因為安全的原因，而導致工作效率的下降以及公司資源的浪費（例如對重要文檔進行借閱申請，復印，并且銷毀），也不利于公司內部研發部門之間進行協同工作和溝通。

長期以來，研發型高科技企業寧愿采取物理隔離的方式來保護企業的核心研發數據，認為物理隔離是目前最安全的方法。但是，我們又不得不重視另外一個問題，那就是物理隔離所帶來的成本問題，不僅包括經濟成本，還有時間成本。物理隔離可能需要為研發人員每人配備多臺電腦，雖然表面上仍然是既能上網又能工作，但是這就相當于正常的每人一臺工作電腦的雙倍成本。而且物理隔離會讓研發人員難以交互數據，在使用的過程當中感到不方便。

如何讓眾多研發人員高效地協同開發，同時又能保證研發成果不被非法帶走？

如何讓企業的合作伙伴和客戶受限制地訪問技術文檔以協同工作，同時又能防止企業機密被惡意復制？

如何有效地利用計算機文檔管理帶來的便捷，讓得到授權員工能查閱、使用機密文檔，同時又能控制這些文檔的外泄？

這些問題都困擾著企業的研發管理者和決策者。

2、解決方案

為解決以上問題，企業一方面需要完善各種保密制度，利用法律、法規保護自己的知識產權，同時一定要尋找一種切實有效的技術手段從根本上防止泄密事件的發生。

泰然神州推出的Janeos安全堡壘平臺，并甚于此推出的研發安全管理解決方案，就成功地打破了傳統的安全性與便利性只能二者選一的局面，實現了安全性與便利性的完美平衡。

Janeos安全堡壘平臺，作為一個單獨的應用交付平臺，在不修改應用軟件的前提下，把各種平臺上的應用（MS Office SharePoint、IBM Lotus Notes、AutoCAD、ACDSee、Acrobat、Viewdraw、cam350、PDM系統、……）以web的方式交付給終端用戶，同時無須對企業現有網絡結構進行升級、改造。在使用過程中Janeos只傳輸經過壓縮和加密的鍵盤、鼠標操作信息和屏幕的變化信息，不傳輸任何機密文檔或圖紙的內容及其本身，僅"展示"給用戶機密文檔或圖紙的屏幕圖像，而用戶所有的使用及操作均集中于信息中心的文檔服務器上，所有的數據交換亦在數據中心的內部網絡中，這也就意味著在整個工作流程中，終端用戶和文檔服務器沒有直接的網絡連接，不會有任何敏感數據被下載到終端用戶的設備上，從根本上保護機密文檔等數據的安全。由于終端用戶所操作的是數據中心的服務器，用戶將不再需要安裝任何軟件，僅需要標準瀏覽器即可使用。此外，Janeos采用瘦客戶訪問技術，對網絡帶寬占用非常少，客戶端僅需要20K左右的帶寬即可，同時所有的數據交換均經過128位SSL加密，從而有效地解決了企業對研發機密文檔、敏感信息等的安全性需求和訪問的便利性需求。

3、技術特點

應用虛擬化，從根源杜絕數據外泄

Janeos安全堡壘平臺采用應用虛擬化技術，通過集中在嚴密保護的服務器上運行應用系統，將運行的屏幕信息回傳到沒有存儲功能的客戶端瀏覽，可以從根本上杜絕高密信息泄漏途徑，從而達到既保護企業重要知識產權信息，又不影響工作效率的目的。

數據可看可用但不可取走

開發人員可以根據其享有的權限查閱、在權限范圍內更改、編輯圖紙文檔，但是不能將設計圖紙及文檔本身或者內容復制到終端用戶本地的任何設備上，這樣，所有的機密圖紙、數據統一集中地保存在計算中心專門的服務器上，既有效又安全，從根本上杜絕的機密文檔的泄漏。

集中部署與管理，客戶端零維護

所有的應用系統（包括開發工具、PDM、文檔閱讀和管理工具、其他需要集中的應用等等）和機密文檔全部集中在數據中心，應用程序集中于應用服務器群，機密文檔保存于文檔服務器。機密的文檔中心和外部網絡完全隔離，只通過Janeos安全堡壘平臺發布應用系統的操作界面。所有用戶無需安裝任何客戶端的軟件，使用普通瀏覽器，經過身份認證服務器的身份驗證后登陸Janeos平臺，使用權限范圍內的各種瀏覽或開發工具、文檔閱讀或管理工具以及其他應用，根據授權瀏覽或修改機密文檔，所有的存取操作都在服務器端，客戶端任何對文檔的輸入輸出操作均可被管理或禁止，用戶的操作流程和習慣與原來一樣，兼顧高安全性同時又不妨礙員工正常工作。

 #p#

端點安全控制

可以管理或禁止客戶端對設計圖紙或文檔的任何存儲操作，包括硬盤存儲、軟盤存儲、光盤存儲、U盤存儲以及其他客戶端存儲設備?？梢怨芾砘蚪箍蛻舳藢υO計圖紙或文檔的其他輸出操作，包括打印、文檔編輯中的復制/粘貼操作、E-mail操作。可以管理或禁止客戶端對設計圖紙或文檔進行復制/粘貼或屏幕拷貝等操作。

強身份認證

Janeos安全堡壘平臺支持多種第三方身份認證方式，在后臺的身份認證服務器上驗證通過后，用戶才能登陸Janeos進行工作流程的查閱、編輯等操作，從根本上杜絕由于用戶密碼泄露造成的安全隱患。

4、方案特點

上收開發環境，進行源代碼保護，嚴格控制數據拷貝、導出及打印等行為

所有的開發環境都在受到嚴格保護的服務器端搭建，開發人員的的桌面電腦僅作為錄入工具和顯示屏幕變化信息，不具備存儲功能，也不允許保存到U盤、移動硬盤等外接設備或者打印設備等，堵住所有源代碼可能外泄的途徑。從源頭上對源代碼進行保護。

上收所有后臺運維的用戶名和口令統一將權限指定給相應的管理人員

對所有的開發系統的后臺運維進行集中化管理，開發人員不具備開發系統的后臺運維管理權限，統一將權限指定對相應的管理人員，并提供完整的審計功能，對管理人員的所有操作進行審計。

自動生成各種開發和測試環境，對產品進行全生命周期管理

可以根據開發人員的具體情況，在服務器端配置生成相應的開發和測試環境，并對產品從市場調查、立項、開發、測試到正式發布的全生命周期進行全程管控，讓項目組的成員既能協同工作，又能有效地防止開發源代碼信息被惡意復制。研發管理人員也可以隨時掌握研發項目的總體進度，便于及時發現和解決問題，既節省了資源又加快了產品的開發周期。

5、方案價值

接近于物理隔離的高安全性

Janeos安全堡壘平臺，能夠實現任何終端設備與文檔服務器的網絡隔離，有效杜絕各種文檔泄漏的可能性。它集成了企業內部的安全需求，如文檔管理、數據傳輸的控制、客戶端不留任何信息等，可以靈活地放置在內網、DMZ區，甚至直接與Internet連接。即使Janeos平臺本身受到攻擊，因為其堡壘主機的結構，Janeos后面的應用服務器或文檔服務器也非常安全。這種架構上的安全性接近于物理隔離。

此外，所有傳輸均通過128位的SSL加密，并且在整個使用過程中不會在客戶端殘留任何臨時文件。認證系統可以與公司現有認證系統結合，確保信息資料的安全。

最大限度保留用戶習慣的高可用性

該方案還可以在保證高安全性的同時，不影響研發人員的正常使用，可以最大限度保持原來的使用和操作習慣，讓研發人員感受到與在本地電腦上操作完全一致的體驗，沒有被時刻監視的感覺，避免了員工的抵觸情緒。

其高可用性還表現在可以同時適用于各種軟硬件環境，可以同時適用于各種類型的文檔，可以同時適用于內部使用和外部使用；降低開發需求，能快速實施投入生產，效果立竿見影，節約大量人力物力成本。

高穩定性和易擴展性

當應用類型較多或者應用負載非常大時，需要部署多臺應用服務器，并利用Janeos安全堡壘平臺的應用級負載均衡功能，提高業務的連續性與可靠性。整個系統經過整體測試，能適應不間斷高負荷運行，確保整個系統24×7×365小時不間斷運行的高可靠性能，并為將來的擴展留有充分的余地。