苏州众里数码科技有限公司 版权所有 备案号:苏ICP备19031672号-1 百度统计 | 技术支持:牛商股份
苹果的期望:
1、零丢失,零泄露;
2、未能保护Apple项目机密是对协议的违反并将导致调查、罚款、和或终止业务关系。
NPI网络隔离-1
整个区隔包含:设计终端、应用、服务器。
一、网络:网络区隔、且接入有限制
网络一定要物理或逻辑隔离开(防火墙、VLAN) ,范围包括专案相关从制造区到测试区到设计。网络图要包括每一个边界设备 (Routers, switches, firewalls)的最新资料:IP, 名字,操作系统版本( 网络日志设备、网络资产管理工具)
二、边界设备:边界网络设备要拒绝所有非业务必要的流量(准入)
设备的安全设置及接入控制规则一定要经过原厂批准,设备绝对不能用出厂标准设置:如pwd, snmp community strings, encryption keys。
NPI网络隔离-2
网络接入:严格限制接入Design及NPI网络 ,任何非授权的设备接入Design及NPI网络都要 (有线无线都要) (网络准入)。 无线网络需要WPA2记录:来源IP, 目的 IP,连接时间(防火墙); 边界设备跟记日志系统一定要同步当地精准时间;稽核日志至少保留一年(网络日志设备 )。
NPI研发-1
重点:防止偷窃或未授权分享
重要设计指会泄露外观等资料的电子档,接入:防止未授权接入跟分享
设计终端一定要站点式放在NPI区设计,加强标准系统的设置 ,控制档案及注册允许,限制系统行为和网络连结(桌管 ),启用白名单或黑名单,防止未授权的分享或传输档案 。
NPI研发-2
安装防malware跟网络安全威胁的防护 (防毒 +IPS),笔记本要全盘加密(硬盘加密) ,Windows电脑要上win10或以上,要能辨认设计图的非授权散布 ,完全登入后要有原厂同意用的全屏浮水印,屏幕外框粘上原厂同意的色条。
三、追踪:保留重要设计的全部instances
设计终端、应用及服务器在一开始就要设计流程图上明确列出。从原厂来的原始设计图下载时要透过安全的流程,且由事先核准的人员。(securdox or 加密)
产生跟散布设计图必须在信息资产清单中追踪,从原始点到每个终端、应用及服务器。(IPG文件审计)
网络为基础的重大设计图分享必須由中央IT功能管理(文管平台 )
NPI研发-3
四、传送:禁止把重要设计传到其他网络
跨边界或网络的应用一定要原厂预先核准,要技术手段防止重要设计从设计网络传到其他网络(VLAN/ 防火墙/DLP)所有进出的邮件,只要有附件的,至少保持一年。而邮件的正文跟标题要可以关键字搜寻(邮件归档 )
五、帐号及授权:只要要接触重要设计的都要给单独的帐号
帐号及特权帐号一定要由中央IT分配及管理(堡垒机、 PAM),所有新建、中止、修改或删除帐号都要被记录,所有的帐户及证书绝不能被分享 ,只要接触重要设计均需强密码及双因子认证。身份验证不能被分享。(双因子认证) 只要用户不需要接触重要设计,他的接入权限要立即移除。
NPI研发-4
记录:记录所有试图接入设计终端及应用的动作
所有登入,不论成功或失败,一定要被记录,内容包括日期、时间、系统名字、用户名。(文件共享平台功能) 所有设计的应用资料接入行为都记录:上传、下载、读、写、删除(文件共享平台功能)记录至少保持一年 。
废弃:删除所有淘汰的重要设计
从设计终端、服务器及所有应用中删除淘汰的电子档时,一定要得到原厂的同意。截止到期时,打印的文件一定要收回或销毁:文件一定要由日志再确认,销毁时要全程录像或请警卫监督。
NPI专案信息
保护专案信息:像建置时程、spec, 成本,forecasts, machine data, 非重要设计等。移动设备安全:移动设备中若包含或传输专案信息(MDM),要做密码保护
、15分钟没用要锁定、全设备加密。 可以的话,打开位置信息服务(eg: 找回手机)
一、邮件:限制邮件传送专案信息(邮件归档/ 邮件服务器/防火墙)
跟原厂沟通时,不能用个人邮件或公共邮件(google, yahoo, Hotmail)等来传输专案信息, 在个人到服务器的邮件传输时一定要以SSL 或TLS(或同级 )加密
二、记录所有邮件:所有进出的邮件,只要有附件的,至少留存一年。而邮件的正文跟标题要可以关键字搜寻。
三、存储:严格限制专案信息的存储媒介,第三方的云服务不得用来储存专案信息, 包括专案信息的外部存储一定要加密。
咨询热线
18625216903