今天,我们的一个开发人员把他的笔记本电脑从他家偷走了。 显然,他有一个公司的源代码完整svn结帐,以及SQL数据库的完整副本。
这是我个人反对允许公司在个人笔记本电脑上工作的一个重要原因。
然而,即使这是一家公司拥有的笔记本电脑,我们仍然会遇到同样的问题,尽pipe我们在整个磁盘上强化encryption(WDE)的能力稍强。
问题是这些:
问题是允许人们自己做无偿加class的套件是非常便宜的,所以经理们并不那么愿意阻止它; 但当泄漏时,当然会很乐意责怪IT ……只有强制执行政策才能防止这种情况发生。 pipe理层希望取得平衡,但这是一个非常人性化的问题。
我已经在带有pipe理员级别的工作负载的笔记本电脑上testing了WDE(Truecrypt),而且性能方面还不错,I / O命中率可以忽略不计。 我也有几个开发者在这个版本上保留了大约20GB的工作副本。 这本身不是一个“解决scheme”。 (例如,它不会阻止数据在启动时从不安全的机器中汲取),但它确实closures了很多门。
如何全面禁止所有的外部数据; 其次是在远程桌面服务方面的一些投资,一个体面的VPN和支持它的带宽。 这样所有的代码都留在办公室里面。 用户通过本地networking访问资源获得会话; 而家用机器就变成了哑巴terminal。 它不适合所有的环境(间歇性的访问或高的能力可能是在你的情况下破产),但值得考虑的是,如果在家工作是重要的公司。
我们公司要求所有公司拥有的笔记本电脑使用全盘encryption。 当然,这是一个开销,但对于我们大多数用户来说,这不是一个问题 – 他们正在运行Web浏览器和办公套件。 我的MacBook是encryption的,即使在VirtualBox下运行虚拟机,它也没有真正影响到我已经注意到的事情。 对于花费大量时间编写大量代码树的人来说,这可能是一个更大的问题。
您显然需要这样一个策略框架:您需要要求所有公司拥有的笔记本电脑都已encryption,并且您需要要求公司数据不能存储在非公司拥有的设备上。 即使他们抱怨,也需要针对技术人员和pipe理人员执行您的策略,否则您将再次遇到同样的问题。
我会更less关注设备本身,更多关注所涉及的数据。 这将有助于避免您现在遇到的问题。 您可能没有权力就个人拥有的设备强制执行政策。 但是,您最好有权限处理公司拥有的数据。 作为一所大学,我们一直都有这样的问题出现。 教师的资助可能不会使他们的部门能够购买电脑,或者他们可以通过拨款购买数据处理服务器。 一般来说,解决这些问题的办法是保护数据,而不是硬件。
您的组织是否有数据分类政策? 如果是这样,它说什么? 代码库如何分类? 对这个类别有什么要求? 如果其中任何一个的答案是“否”或“我不知道”,那么我build议与您的信息安全办公室或任何组织中的任何人负责制定政策。
根据你所说的是什么被释放,我是数据拥有者,我可能会把它分类为高,或红色代码,或者你的最高级别。 通常情况下,这需要在传输过程中进行encryption,甚至可能会在允许数据放置的位置列出一些限制。
除此之外,您可能正在考虑实施一些安全的编程实践。 有些东西可能会规定一个开发生命周期,并明确地禁止开发人员接触到生产数据库,除非在奇怪的和罕见的情况下。
1.)远程工作
对于开发人员来说,远程桌面是非常好的解决scheme,除非需要3D。 performance通常是足够好的。
在我看来,远程桌面甚至比VPN更安全,因为具有VPN活动的未locking的笔记本允许远远超过terminal服务器的视野。
VPN只应该给那些可以certificate他们需要更多的人。
将敏感数据移出房屋是不可行的,应尽可能避免。 作为一个没有互联网接入的开发者工作可以被禁止,因为缺乏对源代码控制,问题跟踪,文档系统和通信的访问,使得效率最好。
2.)在networking中使用非公司硬件
一个公司应该有一个连接到局域网的硬件所需要的标准:
外国硬件应该遵循这些准则或不在networking中。 你可以设置NAC来控制它。
3.)关于溢出的牛奶可以做些什么,但可以采取措施避免再次发生。
如果采取上述步骤,笔记本电脑只不过是移动瘦客户机,则不需要太多。 嘿,你甚至可以买便宜的笔记本(或使用旧的)。
networking上不允许使用不受公司控制的计算机。 永远。 使用诸如VMPS之类的东西将stream氓设备放置在隔离的VLAN中是个好主意。 同样,公司数据在公司设备之外没有业务。
现在硬盘encryption相当简单,所以encryption任何离开的地方。 我已经看到了一些非常不小心的处理笔记本电脑,这将是一个没有全盘encryption的灾难。 performance不俗,效益远远超过它。 如果你需要炽热的性能,VPN / RAS进入相应的硬件。
从这里的其他答案去另一个方向:
虽然保护和保护数据是重要的,偷走笔记本电脑的人的概率:
相当不可能。 最可能的情况是,偷走笔记本电脑的人是一个普通的老贼,而不是一个企图间谍窃取你的公司代码,以build立一个竞争的产品,并在你的公司之前上市,从而推动你的公司的业务。
话虽如此,你们公司可能会有一些政策和机制来防止这种情况发生,但是我不会让这个事情在晚上让你们感到不安。 你已经丢失了笔记本电脑上的数据,但大概只是一个副本,开发将继续不间断地进行。
公司拥有的笔记本电脑,当然应该使用encryption磁盘等,但你问个人电脑。
我不认为这是一个技术问题,而是一个行为问题。 从技术的angular度来看,你很难做到让人们无法把代码带回家并篡改它 – 即使你可以阻止他们正式地检查项目的所有源代码,他们仍然可以如果他们决定这样做,并且如果代码(或任何数据)的10行“片段”恰好是包含您的秘密酱汁/贵重和保密的客户信息/圣杯的位置的那一点,仍然可能像失去10页一样失去10条线。
那么企业想做什么? 完全可以这样说,人们绝对不能从非公司的电脑上做公司业务,把这种违规行为定为“严重失职”的解雇罪行。 对于入室盗窃的受害者来说,这是一个适当的回应吗? 它会违背你的企业文化吗? 当人们在家工作时,公司是否喜欢它,因此准备好平衡财产损失的风险和生产率的增长? 失去的代码是否用于控制医院的核武器或银行金库或救生设备,因此在任何情况下都不能支持安全漏洞? 由于这种损失,您是否有法定或监pipe义务来处理“风险”代码的安全性?
这些是我认为你需要考虑的一些问题,但是这里没有人可以为你回答。
贵公司在非公司拥有的硬件上所做的公司数据是什么?
当然,除非您的IT部门已经encryption,否则只能在公司设备上存储公司数据
WDE是一个明智的解决scheme吗? 它是否会在读取/写入时产生很多开销?
任何磁盘encryption软件将有一些开销,但它是值得的,所有的笔记本电脑和外部USB驱动器应encryption。
除了更改从那里存储/访问的东西的密码外,还有什么可以build议的吗?
您还可以获得远程擦除软件,就像在黑莓的BES环境中一样。
在涉及源代码的情况下,特别是在公司IT部门无法控制所使用的机器的情况下,我只能允许该人员在公司场所的机器上进行远程会话,通过VPN。
如何远程擦拭软件。 这当然只有当小偷愚蠢到可以让电脑上网时才会起作用。 但是有很多人甚至以这种方式发现了被盗的笔记本电脑,所以你可能是幸运的。
定时擦除也可能是一个选项,如果您在X小时内没有input密码,则所有内容都将被删除,您必须重新签出。 之前没有听说过这个,也许是因为它实际上很愚蠢,因为它需要用户进行更多的encryption工作。 对于那些担心表演的人来说,也许会和encryption结合起来。 当然你也有这个问题,但是这里不需要互联网。
我的想法是,你最大的问题是,这似乎意味着笔记本电脑可以访问公司networking。 我假设你现在已经防止这台笔记本电脑VPN'ing到办公室networking。
允许非公司电脑进入办公networking是一个非常糟糕的主意。 如果它不是一个公司的笔记本电脑,你怎么能执行足够的反病毒。 在networking上允许它意味着你无法控制正在运行的程序 – 例如wireshark看networking包等。
其他一些答案build议,在RDP会话等内部进行开发。 实际上,这意味着他们只能在有互联网连接的地方工作,而不是在火车上总是有可能的。但是这也要求笔记本电脑能够访问RDP会话的服务器。 您需要考虑如何保护RDP访问权限,以防止有人访问被盗的笔记本电脑(可能是笔记本电脑上存储的一些密码)
最后,最有可能的结果是,笔记本电脑被卖给对内容不感兴趣的人,并将其用于电子邮件和networking。 但是,这对公司来说是相当大的风险。
在这种情况下,笔记本电脑锁可以防止这个问题。 (我还没有听到一个桌面锁,但是,我还没有听说一个窃贼窃取桌面。)
就像你离开房子时不要把你的珠宝留在周围一样,你也不应该让你的笔记本电脑不安全。