我们有一个 wiki,公司一半以上的人都在使用它。总体来说,它受到了非常积极的评价。然而,人们担心安全问题——不要让机密信息落入坏人之手(即竞争对手)。
默认的答案是创建一个复杂的安全矩阵,根据创建者来定义谁可以阅读哪些文档(wiki 页面)。我个人认为这主要解决了错误的问题,因为它创造了障碍之内而不是公司与外界沟通的障碍。但有些人担心客户现场的人员可能会与客户共享信息,然后这些信息会传给竞争对手。
这种矩阵的管理是一场噩梦,因为 (1) 矩阵基于部门而不是项目(这是一个矩阵组织),并且 (2) 因为在 wiki 中所有页面根据定义都是动态的,所以今天的机密明天可能就不再是机密了(但历史记录始终是可读的!)。
除了安全矩阵之外,我们还考虑将 wiki 上的内容限制为非超级机密的内容,但当然这需要进行监控。
另一个解决方案(当前)是监控浏览量并报告任何可疑行为(例如,有人报告说客户站点的某人在两天内浏览量达到 2000 次)。同样,这不是理想的选择,因为这并不直接表明动机错误。
有谁有更好的解决方案吗?如何让整个公司的 wiki 既安全又能保持其低门槛的 USP?
顺便说一句,我们使用带有 Lockdown 的 MediaWiki 来排除一些行政人员。
答案1
我们使用全公司范围的 wiki。具体做法如下:
我们使用 LDAP 来存储用户名,使用 kerberos 进行身份验证。MediaWiki 有使用 LDAP 的扩展。
我们锁定了该 IP 地址,以便我们在加拿大和美国的办公室可以访问 wiki,这在我们的防火墙上完成。即使 wiki 位于外部 IP 地址,防火墙也只允许办公室内部和通过 VPN 接入的任何人访问。
在 LocalSettings.php(wiki conf 文件)中,我们设置成只有登录后才能阅读页面。但是,我们确实允许无需实际登录即可访问某些页面。
我们还使用“accesscontrol”扩展来限制页面。我们有一些页面只有系统管理员团队才能看到,因此,如果 NOC 中的某个人试图查看该页面,他们将看到“访问被拒绝”页面。这一切都由 AccessControl 扩展处理。
在开始之前,您需要了解办公室中如何管理用户。我们将所有内容都放在 LDAP 中。我们将系统管理员、开发人员、NOC 等分组,并将用户分配到这些组中。因此,根据用户所在的组授予或取消访问权限会更容易。
-F
答案2
在我看来,一个显而易见的观点是,如果你想要一个非常严格锁定的东西,那么你确定你真的想要一个 Wiki 吗?Wiki 的一大精神难道不是尽可能开放吗?一旦你远离了最初的目的,那么尝试一个更适合你的其他工具,而不是让你已有的工具完全变形,难道不是迟早会成为一个更好的主意吗?
答案3
如果你要使用 MediaWiki 之类的东西,你需要明确哪些内容适合发布,哪些内容不适合发布。这就是你将获得的全部安全性。
如果您的业务需求意味着您需要复杂的 ACL,则需要寻找为其设计的解决方案。SharePoint、Traction、Alfresco 和 SocialText 都是可以做到这一点的产品。
这一切都取决于组织...不要根据您因随机原因决定使用的产品制定政策。
答案4
如果你认为这个问题是合理的,那么你的重点应该放在源头上,无论是通过电子邮件、Facebook 等任何媒介。问题领域被归类为数据丢失预防/保护 (DLP),有几家安全供应商提供了解决方案,包括一个名为开放数据处理。