摘要: 最近几天,有个朋友问游侠,说他初中同学的公司,现在想提升下企业的安全水平,问有什么可以做的。某日,我和他一起,和他同学做了个简单的沟通,情况大约是这样: 几个部门一共有20多台PC,目前几乎无任何管控手段,怕程序泄露。其实游侠我非常乐于见到这样规模的创业型...
最近几天,有个朋友问游侠,说他初中同学的公司,现在想提升下企业的安全水平,问有什么可以做的。某日,我和他一起,和他同学做了个简单的沟通,情况大约是这样:
几个部门一共有20多台PC,目前几乎无任何管控手段,怕程序泄露。
其实游侠我非常乐于见到这样规模的创业型公司注重信息安全,因为如果每个这样规模的企业都把信息安全提上日程的话,那——我这行业就爽多了!当然,台面上的话一定是:这足以说明信息安全已经引起了企业的高度重视,本着为企业负责的态度,我们将为其制定符合现状的安全解决方案。
我第一个想法就是:文件透明加解密。因为这样规模的企业,核心代码往往就在几个人手中,老板要防护的就是核心研发将代码带出私卖,另外就是新入职员工有可能是竞争对手的卧底,怕窃取资料。
后来在和他们老板的沟通过程中,发现老板的思路还是不错,想的比较全面,包括文档的传阅、分发、打印权限都考虑在内(其实这些在文件透明加解密软件中都多数已包含)。特别是企业内部,分发的时候要严格控制权限。
坦白说,我个人对制定如此严格的分发权限并不太认可,因为透明加解密部署指挥,不会改变操作者的使用习惯,几乎无任何感觉。而权限控制,则配置相对繁琐,很多人都图省事,直接“全选”,这样多花了钱、降低了工作效率、安全目的还达不到!
后来我和做文档安全的厂家沟通,他们也是建议:30台计算机以内的,一般也不建议部署权限控制模块。因为相对部署较为复杂,还降低工作效率,企业也不乐意接受这成本——和我上面分析的差不多一样。
做信息安全的最终目的是提高生产率,若非军工企业这样以保密为第一目的的单位,游侠个人还是认为:简单、实用、能贯彻下去的安全策略才是真正实用的安全策略,否则就像很多SOC项目一样:看上去很美,却用不起来。最终成了烂尾工程。
作者:张百川(网路游侠)www.youxia.org 转载请注明来源!谢谢
