今天,我们一位开发人员的笔记本电脑在家里被偷了。据说,他有公司源代码的完整 svn 签出,以及 SQL 数据库的完整副本。
这就是我个人反对在个人笔记本电脑上进行公司工作的一个重要原因。
但是,即使这是公司拥有的笔记本电脑,我们仍然会遇到同样的问题,尽管我们在对整个磁盘实施加密 (WDE) 方面会处于略微有利的地位。
问题如下:
- 贵公司如何处理非公司自有硬件上的公司数据?
- WDE 是明智的解决方案吗?它会在读取/写入时产生大量开销吗?
- 除了更改存储/访问的内容的密码外,您还有其他建议吗?
答案1
问题是,允许人们使用自己的设备无偿加班非常便宜,所以管理人员不太愿意阻止这种做法;但是当出现泄漏时,他们当然会很乐意责怪 IT 部门……只有严格执行政策才能防止这种情况发生。这取决于管理层想要取得平衡,但这在很大程度上是人的问题。
我在具有管理级工作负载的笔记本电脑上测试了 WDE(Truecrypt),它真的没有那么糟糕,从性能上讲,I/O 命中率可以忽略不计。我有几个开发人员也在上面保存了大约 20GB 的工作副本。它本身并不是一个“解决方案”;(例如,它不会阻止在启动时从不安全的机器中窃取数据),但它确实关闭了很多门。
全面禁止所有外部保存的数据,然后对远程桌面服务、一个不错的 VPN 和支持它的带宽进行一些投资,怎么样?这样,所有代码都留在办公室内;用户可以通过本地网络访问资源;家用机器只是变成了哑终端。它并不适合所有环境(间歇性访问或高延迟可能会破坏您的交易),但如果在家办公对公司很重要,那么值得考虑。
答案2
我们公司要求所有公司笔记本电脑都采用全盘加密。当然,这会产生一些开销,但对于我们的大多数用户来说,这不是问题——他们运行的是网络浏览器和办公套件。我的 MacBook 已加密,据我所知,即使在 VirtualBox 下运行虚拟机,它也没有真正影响到任何事情。对于那些每天花大量时间编译大量代码的人来说,这可能是一个更大的问题。
显然,你需要一个政策框架来应对这种事情:你需要要求全部公司拥有的笔记本电脑都是加密的,你需要规定公司数据不能存储在非公司拥有的设备上。你的政策也需要对技术人员和执行人员执行,即使他们抱怨,否则你只会再次遇到同样的问题。
答案3
我会少关注设备本身,多关注所涉及的数据。这将有助于避免您现在遇到的问题。您可能没有权力强制执行个人拥有设备的政策。但是,您最好有权力强制执行公司拥有的数据的处理方式。作为一所大学,我们总是会遇到这样的问题。教师可能没有足够的资金来让他们的部门购买计算机,或者他们无法用补助金购买数据处理服务器。一般来说,解决这些问题的方法是保护数据,而不是硬件。
您的组织是否有数据分类政策?如果有,政策内容是什么?代码存储库将如何分类?该类别有哪些要求?如果对这些问题的回答是“否”或“我不知道”,那么我建议您与您的信息安全办公室或组织中负责制定政策的人员联系。
根据您所说的发布内容,如果我是数据所有者,我可能会将其归类为“高级别”或“红色代码”,或者您认为的最高级别。通常,这将要求在静止时和传输时进行加密,甚至可能列出允许数据存储位置的一些限制。
除此之外,您可能正在考虑实施一些安全的编程实践。有些实践可能会规范开发生命周期,并明确禁止开发人员接触生产数据库,除非在奇怪且罕见的情况下。
答案4
不受公司控制的计算机不应该被允许进入网络。永远都不应该。使用 VMPS 之类的工具将恶意设备放入隔离的 VLAN 中是个好主意。同样,公司数据与公司设备无关。
如今,硬盘加密相当简单,因此请对离开场所的任何东西进行加密。我见过一些对笔记本电脑的粗心大意的操作,如果没有全盘加密,这将是一场灾难。性能损失并不那么严重,而且好处远远超过它。如果您需要极高的性能,请将 VPN/RAS 集成到适当的硬件中。