志翔科技安全与高效并重构筑芯片行业数据安全堡垒

　　芯片是信息产业的基石，近半个世纪以来，摩尔定律一直推动着信息科技的前进。近年来，在国家政策支持和技术创新推动下，集成电路行业呈高速发展态势。国内某知名无线音频芯片供应商这两年受政策利好和自身产品创新推动，业务快速扩张。该公司总部位于上海，并陆续在北京、深圳等地增设了研发分部，500多名员工多地协同研发和办公，给公司带来全新的数据安全挑战。
　　该公司尝试了不同的远程接入和数据安全解决方案，最终选择了志翔科技基于至安盾®智能安全平台的研发/办公数据安全访问及管控方案，其面向多种业务场景下的研发办公接入，提供全面安全加固，严防核心数据外泄，并有多项协同研发的优化支持，最大化兼顾了数据安全与研发高效。
　　企业需求
　　随着企业扩张，该公司在多地开设了研发中心。这些研发人员经传统VNC方式，统一接入上海研发总部办公，该方式仅在接入时进行身份识别，接入后则默认安全，对随后的数据访问、操作行为缺乏管控，整个远程研发环境存在着较大安全隐患。而在此之上再叠加安全管控设备，影响开发和办公效率，也给兼容性和多地运维带来新的问题。
　　因此，公司提出需要一套系统，能一站式解决安全接入和研发管控需求，且能满足员工开发办公效率不打折，运维成本不增加，扩容灵活方便。
　　对于解决方案的核心功能，该公司提出了以下要求：
　　1.为总部及多地分支机构的员工提供统一接入机制，并对员工所有接入、访问、操作行为进行统一管控，包括特有研发场景，如远程烧录调试等，要求行为全记录、可审计和追溯。保证从接入到研发全环节的数据安全精细化管控，防止核心数据泄漏。
　　2.可支持多地研发人员之间的高频次和超大文件、数据流转需求，保证数据安全、合规交换，且不影响效率。
　　3.可以集中运维管理，不增加运维成本；满足后续业务增长需求，能灵活扩展，快捷部署。
　　解决方案
　　针对以上需求，志翔科技设计了基于至安盾®智能安全平台的研发/办公数据安全访问及管控方案，代替客户原有VNC接入。这套方案提供包括统一安全接入、安全桌面、数据集中隔离保护、用户行为管控等在内的多项功能。方案支持文件安全流转、远程烧录调试安全管控等，所有文件操作、流转行为全记录可审计与追溯，满足合规需求。同时方案体验高效、部署快捷、运维简单，能很好兼顾数据安全与研发效率。
　　研发/办公数据安全访问及管控方案部署拓扑图
　　方案具体包括以下几部分：
　　1.统一安全接入，精细化行为管控
　　所有研发人员，均经过至安盾客户端统一接入总部的研发系统。至安盾提供基于四元组的多维身份认证机制，对接入用户进行信任评估，并动态授权。为进一步加固安全防线，至安盾根据不同安全级别将数据进行多区隔离，支持区域间受控数据安全交换和安全审批管理机制。用户和业务系统/数据相互隔离，管理员按需动态分配和管理用户访问操作权限，数据以视频流的方式经志翔自研的DPD安全协议传输至终端，数据不落地。所有数据访问操作行为须经审批员审批方可进行，并被全程记录，同时支持屏幕记录、桌面水印、防截屏拷贝、导入导出控制等，便于后续可审计、追溯。
　　2.USB重定向技术支持远程烧录调试
　　针对客户提出的远程接入烧录调试场景的数据安全管控需求，至安盾桌面通过底层及上层两种USB重定向技术，快速适配USB接口的板卡设备、U-link仿真器等各类外设。通过至安盾桌面连接远程虚拟机，用USB重定向，将板卡重定向到虚拟机，实现烧录过程中的数据和文件安全管控。为确保烧录调试环境安全，至安盾会先对客户USB设备进行精细授权，纳入白名单后方可接入重定向。
　　3.多重性能优化，远程研发效率不降级
　　至安盾智能安全平台支持TB级超大文件和十万级小文件并发传输，可很好满足客户的多地高并发接入需求。平台可按需设置人工或自动审批机制，如管理员可对特定格式(bin、ltx、hex、bit等)研发文件上传服务器设置批量自动审批，用机器完成初筛，极大地提高审批管理效率。
　　4.多地统一运维管理和集中管控，减轻运维负担
　　方案采用软硬件一体的设备形式，并在多地多处进行＂总控-分控＂分布式部署使用和统一运维管理。总控系统以集群方式部署于客户上海总部机房中，所有员工终端安装至安盾客户端进行接入。将多地的分控系统，在控制面集中于总部组建为一个管理集群，运维人员在总部即可对服务器资源、用户账号、操作权限等进行集中管控，统一管理，大大减轻运维难度。同时，利用集群、控制面和数据面分离设计方式，进行容灾备份，方便数据备份和恢复。
　　价值收益
　　方案于2019年部署并应用于该芯片公司的研发办公系统。随着业务的快速发展，2022年初，该公司再次对系统进行了升级，对现有研发办公安全管控系统扩容的同时，也为应对疫情管控可能带来的居家等突发情况，将该系统扩展应用于模拟部和运营部等更多业务部门。
　　方案为公司实现了：
　　1.核心数据安全闭环管理：从接入到业务开展全环节的数据安全全面加固防泄漏，并支持IC特有场景如烧录调试等，数据流转合规和可追溯。
　　2.高性能传输，智能高效审批，实现多地协同与本地无差异办公。兼顾安全和效率，保障疫情居家业务也能正常推进。
　　3.统一管理，运维简单，部署快捷：多地部署集中统一管控进行升级、策略配置等，大大减轻运维工作量。整个方案部署简单快捷，公司无需对现有IT系统进行任何改动，至安盾可兼容现有VPN, 或免VPN提供远程接入。
　　目前，包括紫光展锐、长江存储、卓胜微、华大九天、恒玄科技等在内国内排名前50的IC设计企业，有超过半数以上在使用志翔科技提供的安全接入、安全桌面、数据安全合规流转等整体核心数据解决方案。
　　新媒体编辑：徐铮
　　中国网财经官方微信（ID：zgwcjzx）