某国内知名芯片研发企业，总部位于上海，在北京、西安等地设有子公司，公司掌握CPU、芯片组等核心技术，其自主研发的通用处理器产品广泛应用于笔记本、台式机、服务器、一体机等电子设备，为各领域提供高可靠的芯片解决方案。

　　知识和技术密集型的芯片设计行业前期投入大、研发周期长，其作为核心资产的数据一旦泄露将造成无法挽回的损失。因此，自企业成立初始，一直在围绕芯片研发每个环节的核心数据安全不断加强企业安全建设，并于2019年起，陆续部署了志翔科技的基于至安盾®智能安全平台和至锐通®数据安全交换产品的整体核心数据安全方案，来满足研发跨网数据/文件交换、EDA外包商运维和市场部外发文件等场景的数据安全防外泄需求。

　　企业需求

　　客户将内网划分研发网和办公网，核心研发数据置于研发网内，研发人员接入研发网工作，跨网数据/文件交换需求频繁，传统U盘拷贝、FTP传输等效率低下，缺乏审批机制，不符合安全合规要求，内部数据泄露难管控。同时，EDA软件供应商运维人员需定期接入公司内网，进行软件维护升级；在客户文档交付上，重要文件均直接经市场部外发，也带来一系列外部泄密风险。

　　因此，针对多部门不同数据安全诉求，客户希望有一个整体的解决方案，可以满足：

　　1.跨网数据/文件交换，提供智能化审批，操作行为可被记录、审计和追溯；

　　2.为多家EDA软件供应商提供统一远程接入管控，确保运维工作不接触核心数据；

　　3.对重要文件外发进行统一安全管理，确保外发文件合规使用，外发行为全程可追溯。

　　解决方案

　　针对该芯片企业需求，志翔设计了基于至安盾®智能安全平台和至锐通®数据安全交换产品的整体核心数据安全方案，结合接入管控、安全网盘、网间数据/文件交换等多个功能模块，一站式解决了企业外部接入、内网跨区，不同部门、多个场景下的核心数据保护需求。

　　图：方案拓扑图

　　方案核心功能包括：

　　1.统一安全接入管控 动态授权和细颗粒度行为管控

　　公司网络划分为内网区和外网区。所有用户统一经至安盾接入，包括公司研发、外部EDA软件供应商等，按需提供最小授权，并基于持续用户环境分析评估动态授权，对用户行为全程监测与管控。

　　对于EDA软件供应商接入运维的需求，在外网区通过至安盾按需为多家供应商划分互相隔离的多个保护区，EDA供应商的运维人员经至安盾桌面远程登录其保护区，对其服务器进行运维。运维人员无法接触核心数据，操作行为全程被记录，异常行为实时预警。基于志翔自研动态端口访问协议(DPD)、双因素身份认证、基于属性的细粒度访问控制（ABAC）等为用户远程接入和数据传输提供多重安全加固手段。

　　2.跨网数据/文件安全交换 智能审批和安全审计

　　至安盾配备网间数据/文件交换功能，跨网数据经至安盾提供的安全隔离区，在隔离环境下可在多保护区间进行安全传输。平台支持大文件交换，并提供多种审批方式，交换过程严管控全记录可追溯，保证数据安全、合规、高效流转。

　　3.文件外发行为统一管理、文件可被追踪

　　针对该芯片企业客户交付带来的外发重要文件需求，志翔为其搭建了以至锐通为核心，基于安全空间的文件外发系统。企业管理人员可按需在安全空间，用类似网盘的操作方式来创建不同文件目录，并授权客户访问指定目录，经审批后下载相应文件。文件外发过程支持多种安全特性，包括内容复制阻止、口令加密、水印多种内容保护手段，防止外泄和滥用，并方便追溯。

　　价值收益

　　目前，该方案已经部署并应用于该芯片企业的研发、运维和市场等多部门，方案为公司实现了以下价值：

　　1. 对外部人员进行统一接入和权限、行为管控，降低数据安全风险同时统一管理降低运维成本。

　　2.解决公司内部多网跨区数据/文件交换行为，满足高效流转、安全合规。

　　3.确保文件外发安全规范，重要文件外发可溯源防泄密。