像类似华为这样的公司如何控制在公司/员工电脑上监控文件不外泄的?

2020-01-14 10:55:11 +08:00
 godall
难道电脑不允许上网?如果允许上网的话,现在网站都是 SSL 加密的,根本监控不到传了什么数据啊,最多访问哪个 IP 地址。
19766 次点击
所在节点    信息安全
90 条回复
MrCurly
2020-01-14 13:42:29 +08:00
躲不过中兴偷哈哈
Buges
2020-01-14 13:45:47 +08:00
@IGJacklove 手脚做干净点,从这个方向很难排查了,更多被抓的可能是非技术层面的。
Chry3anthemum
2020-01-14 13:49:34 +08:00
@Raymon111111 #19 原文:“没有外网”
======
回复:毛线没有外网
Chry3anthemum
2020-01-14 13:50:36 +08:00
丢的东西多了去了,只是核心的东西一般不放外层罢了
passerbytiny
2020-01-14 14:08:53 +08:00
@godall 一、你没进过华为也没进过华为外包;二、你的观念里公司安全跟墙是一样的,只能背地里搞;三、SSL 是用来防中间人攻击的,不是用来防代理的。在华为用 QQ、微信,你也是想笑死人,华为连飞鸽、飞秋这样的局域网通信软件都是禁用的。

公司信息安全控制或监控,这是合法的,可以明面上搞。明面搞就太简单了:局域网+自制代理+网络白名单+软件白名单。
shellus
2020-01-14 14:27:04 +08:00
基本上结论是,想拿出去不难,不被发现挺困难,而且,如果在可能被发现的情况下规避风险。
我出个主意,写一个伪装成病毒的木马,感染你的所有同事,这样就算被查出来了,大家的文件都泄露了,定位不到你
Michaelssss
2020-01-14 17:44:25 +08:00
。。。想啥,全员加域,固定安全软件,非公司备案主机不允许进入。。
kejxp1993
2020-01-14 18:49:56 +08:00
上次报道 xbox 的屏幕水印,其中一个是,桌面的水波纹图案,是动态生成的,不同的机器不一样,就能定位到偷跑游戏的人。
leo7723
2020-01-14 18:59:45 +08:00
华为有流量监控的
现在慢慢不使用云主机了
外面的电脑是接不进内网的
网盘一传就很快会有小黑屋谈话
离开工位需要锁屏
这方面一直查的很严格
kokutou
2020-01-14 19:03:16 +08:00
1 加域
2 指定的安全软件
3 网络准入
4 指定的常见文件透明加密软件
5 流量监控
6 (可能)预装证书解密 ssl 流量

这是各种大公司的基本操作。

其他的骚操作就不知道了。
changePro
2020-01-14 19:20:14 +08:00
一群人在讨论怎么监控,怎么侵犯个人隐私,彻彻底底的程序员思维。问题的答案不应该是法律么?
wmhx
2020-01-14 19:22:39 +08:00
华为的电脑都是公司统一派发的,已经安装好了各种监控软件, 包括电脑的摄像头检测到你的手机对着它都会被警告. 一切的一切还是看人定的制度的.
czar
2020-01-14 19:50:53 +08:00
@bolide2005 3 还是没听说过,可怕
nevin47
2020-01-14 20:00:56 +08:00
@changePro 是监控公司电脑,不是个人电脑……
TigerK
2020-01-14 21:18:49 +08:00
额,不安装根证书就没有办法通过网关认证,那就上不了网;安装了证书,不就相当于我家大门常打开了吗?
napsterwu
2020-01-14 21:24:02 +08:00
这么简单的事情怎么不懂呢,只有公司发的标装机才能连到内网,标装自然是内置了集团 ca 证书的。等你真的进了大厂,随便打开一个 https 网站,证书百分百是你司自签发的。至于你自己带的电脑,爱怎么玩都可以,反正连不了内网。
juded
2020-01-14 21:29:57 +08:00
非程序员,毕业后第一份工作在某大型外资,公司电脑自带墙,无法访问网盘等应用,连接内网目测有风控,文件 down 多了会有电话问候。拷贝文件到优盘有个赛门铁克的加密程序,每次非公司电脑访问必须输入员工号和密码,酱紫。
后来因业务拜访过某航空军工企业,整个园区无手机信号,客户电脑只能接入内网并且禁止使用移动存储,文件交接要用光盘并且回收,听说另一个 location 的小伙伴访谈客户前电脑都被拆了一遍=。=
snw
2020-01-14 21:50:35 +08:00
补充一下外企会采用的做法。

1. 加域(包括移动设备 MDM),并限制管理员权限。
2. 屏幕每隔半分钟到几分钟截屏,上传到服务器。
3. 微软全家桶现在有 Azure Information Protection,可以加密微软家各种文件类型和邮件。依据微软账户,只有授权用户才能打开文件或查看邮件。对于只读邮件,转发、复制、截屏等操作都是禁止的,Outlook 以外客户端或网页打开只是一封带加密附件的空邮件。
Tezos
2020-01-14 22:03:55 +08:00
@nutting #21 基站
TroyLin0218
2020-01-14 22:26:28 +08:00
涉密资料只在内网机上,你任何数据都带不出来,usb 端口只能使用鼠标键盘,光驱也都不能用
ps:不是华为的,不过公司也是内外网严格控制

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/637731

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX