Tom*_*nor 38 security laptop disk-encryption
今天,我们的一位开发人员的笔记本电脑从他家偷走了。显然,他拥有公司源代码的完整 svn checkout,以及 SQL 数据库的完整副本。
这是我个人反对允许公司使用个人笔记本电脑工作的一个重要原因。
但是,即使这是公司拥有的笔记本电脑,我们仍然会遇到同样的问题,尽管我们在整个磁盘上强制执行加密 (WDE) 方面会处于一个稍微强一点的位置。
问题是这些:
Sma*_*ger 30
问题在于,允许人们使用自己的工具包进行无偿加班非常便宜,因此管理人员不太愿意阻止它;但是当出现泄漏时,当然会很乐意责怪 IT……只有严格执行的政策才能防止这种情况发生。这取决于他们想要取得平衡的管理层,但这在很大程度上是一个人的问题。
我已经在具有管理员级工作负载的笔记本电脑上测试了 WDE (Truecrypt),它确实没有那么糟糕,在性能方面,I/O 命中可以忽略不计。我也有几个开发人员在上面保留了大约 20GB 的工作副本。它本身并不是一个“解决方案”;(例如,它不会阻止在启动时从不安全的机器上窃取数据),但它肯定会关闭很多门。
全面禁止所有外部持有的数据怎么样?其次是对远程桌面服务、体面的 VPN 和支持它的带宽的一些投资。这样所有的代码都留在办公室里;用户通过本地网络访问资源获得会话;而家用机器就变成了哑终端。它并不适合所有环境(在您的情况下,间歇性访问或高宽限期可能会破坏交易)但值得考虑是否在家工作对公司很重要。
lar*_*sks 13
我们公司要求对所有公司拥有的笔记本电脑进行全盘加密。当然,存在开销,但对于我们的大多数用户来说,这不是问题——他们正在运行网络浏览器和办公套件。我的 MacBook 是加密的,它并没有真正影响到我注意到的事情,即使在 VirtualBox 下运行虚拟机也是如此。对于花费大量时间编译大型代码树的人来说,这可能是一个更大的问题。
显然,您需要一个针对此类事情的策略框架:您需要要求对所有公司拥有的笔记本电脑进行加密,并且您需要要求公司数据不能存储在非公司拥有的设备上。你的政策也需要对技术和执行人员执行,即使他们抱怨,否则你只会再次遇到同样的问题。
我会较少关注设备本身,而更多地关注所涉及的数据。这将有助于避免您现在遇到的问题。您可能没有能力对个人拥有的设备强制执行政策。但是,您最好有权要求如何处理公司拥有的数据。作为一所大学,我们总是会遇到这样的问题。教职员工的资金可能不足以让他们的部门能够购买一台计算机,或者他们可以通过拨款购买数据处理服务器。一般来说,这些问题的解决方案是保护数据,而不是硬件。
您的组织是否有数据分类政策?如果是这样,它说了什么?代码存储库将如何分类?对该类别有什么要求?如果其中任何一个的答案是“否”或“我不知道”,那么我建议与您的信息安全办公室或您组织中负责制定政策的任何人交谈。
根据您所说的发布内容,如果我是数据所有者,我可能会将其归类为 High、Code Red 或任何您的最高级别。通常,这需要在静态、传输中进行加密,甚至可能会列出一些关于允许存放数据的位置的限制。
除此之外,您可能正在考虑实施一些安全的编程实践。可能会编码开发生命周期并明确禁止开发人员接触生产数据库的东西,除非在奇怪和罕见的情况下。
1.) 远程工作
对于开发者来说,远程桌面是一个非常好的解决方案,除非需要 3D。性能通常足够好。
在我看来,远程桌面甚至比 VPN 更安全,因为启用了 VPN 的未锁定笔记本比终端服务器的视野要多得多。
VPN 应该只提供给能够证明他们需要更多的人。
将敏感数据移出屋外是行不通的,应尽可能避免。无法访问 Internet 的开发人员工作是被禁止的,因为缺乏对源代码控制、问题跟踪、文档系统和通信的访问,使得效率充其量是不确定的。
2.) 在网络中使用非公司硬件
公司应该有一个标准,说明连接到 LAN 的硬件的要求:
外国硬件要么遵循这些准则,要么不在网络中。您可以设置 NAC 来控制它。
3.) 对溢出的牛奶几乎无能为力,但可以采取措施避免再次发生。
如果采取上述步骤,并且笔记本电脑只不过是移动瘦客户端,则不需要更多。嘿,您甚至可以购买便宜的笔记本(或使用旧笔记本)。
| 归档时间: |
|
| 查看次数: |
8868 次 |
| 最近记录: |