您如何处理职员和个人笔记本电脑？

今天，我们的一位开发人员从家里偷了他的笔记本电脑。显然，他对公司的源代码有完整的svn检出，以及SQL数据库的完整副本。

这是我个人反对允许公司在个人笔记本电脑上工作的一个重要原因。
但是，即使这是公司拥有的笔记本电脑，我们仍然会遇到相同的问题，尽管我们在整个磁盘上实施加密（WDE）的能力要强一些。

问题是：

1. 贵公司如何处理非公司拥有的硬件上的公司数据？
2. WDE是明智的解决方案吗？它会产生大量的读/写开销吗？
3. 除了更改从那里存储/访问的东西的密码外，您还有其他建议吗？

1. 问题在于，允许人们使用自己的工具包支付加班费非常便宜，因此经理们并不愿意停止这种做法。但是当发生泄漏时，我们当然乐于将其归咎于IT。只有严格执行的策略才能阻止这种情况。这取决于管理层想要在其中取得平衡的问题，但这是人员问题。

2. 我已经在具有管理员级别工作负载的笔记本电脑上测试了WDE（Truecrypt），但从性能角度来看，它确实不是那么糟糕，I / O的影响可以忽略不计。我也有几个开发人员在上面保留约20GB的工作副本。它本身不是一个“解决方案”。（例如，它不会阻止数据在引导时从不安全的机器上吞下），但肯定会关上很多门。

3. 全面禁止所有外部保存的数据如何？其次是对远程桌面服务，不错的VPN和支持它的带宽的一些投资。这样，所有代码都保留在办公室中。用户与本地网络访问资源进行会话；家用机器变成笨拙的终端 它并不适合所有环境（在您的情况下，间歇性访问或高延迟可能会破坏交易），但值得考虑的是在家工作对公司是否重要。

我们公司要求所有公司拥有的笔记本电脑都进行全磁盘加密。当然，这会有开销，但是对于我们大多数用户来说，这不是问题-他们正在运行Web浏览器和Office套件。我的MacBook是加密的，并且即使在VirtualBox下运行VM时，也没有真正影响到我所注意到的程度。对于那些花费大量时间来编译大型代码树的人来说，这可能更成问题。

显然，您需要一种用于此类情况的策略框架：您需要要求所有公司拥有的便携式计算机都经过加密，并且需要公司不能存储在非公司拥有的设备上。即使技术人员和行政人员抱怨，您的政策也必须得到执行，否则，您将再次遇到相同的问题。

我将较少关注设备本身，而更多关注所涉及的数据。这将有助于避免您遇到的问题。您可能没有能力对个人拥有的设备强制执行政策。但是，最好具有杠杆作用来规定如何处理公司拥有的数据。作为一所大学，我们总是遇到类似的问题。教师可能无法以其部门能够购买计算机的方式获得资助，或者可以通过赠款购买数据处理服务器。通常，解决这些问题的方法是保护数据，而不是硬件。

您的组织有数据分类政策吗？如果是这样，它怎么说？代码库将如何分类？该类别有什么要求？如果对上述任何一个的回答是“否”或“我不知道”，那么我建议与您的信息安全办公室或组织中负责制定策略的任何人进行交谈。

根据您所说的发布，我是数据所有者，我可能会将其归类为“高”或“红色”，或您的最高级别。通常，这将需要在传输过程中静态加密，甚至可能列出一些关于允许将数据存放在何处的限制。

除此之外，您可能正在考虑实施一些安全的编程实践。可能会编纂开发生命周期并明确禁止开发人员接触生产数据库的内容，除非是在怪异的罕见情况下。

1.）远程工作

对于开发人员而言，除非需要3D，否则远程桌面是一个很好的解决方案。性能通常足够好。

在我眼中，远程桌面甚至比VPN更安全，因为具有未激活VPN的未锁定笔记本可以提供比查看终端服务器更多的权限。

VPN仅应提供给可以证明自己需要更多的人。

禁止将敏感数据带出屋外，如果可能的话，应避免这样做。禁止在没有Internet访问的情况下作为开发人员工作，因为缺乏对源代码控制，问题跟踪，文档系统和通信的访问权限，使得效率充其量只能说是不合时宜。

2.）网络中非公司硬件的使用

公司应该对连接到LAN的硬件有什么要求的标准：

• 防毒软件
• 防火墙功能
• 在领域中，被盘活
• 如果是手机，则应加密
• 用户没有本地管理员（如果是开发人员则很难，但是可以）
• 等等

外国硬件应该遵循这些准则，或者不参与网络。您可以设置NAC来控制它。

3.）溅出的牛奶几乎无法解决，但可以采取措施避免再次发生。

如果采取了上述步骤，并且笔记本只不过是移动瘦客户机，则不需要更多。嘿，您甚至可以购买廉价笔记本（或使用旧笔记本）。

网络上不应允许不受公司控制的计算机。曾经 使用VMPS之类的东西将恶意设备放入隔离的VLAN中是个好主意。同样，公司数据在公司设备之外也没有业务。

如今，硬盘加密非常容易，因此请加密离开场所的所有内容。我已经看到笔记本电脑的一些异常粗心的处理，如果没有完整的磁盘加密，那将是一场灾难。性能方面的影响并没有那么糟，其好处远远超过了它。如果您需要出色的性能，请将VPN / RAS连接到适当的硬件中。

要从此处的其他一些答案转向另一个方向：

在保护和保护数据很重要的同时，偷笔记本电脑的人的可能性：

1. 知道他们偷了什么
2. 知道在哪里寻找数据和源代码
3. 知道如何处理数据和源代码

不太可能。最有可能发生的情况是，偷笔记本电脑的人是普通的老贼，而不是企业间谍，他们一心想窃取公司的源代码以构建竞争产品并在公司之前推向市场，从而驱使公司退出市场业务。

话虽这么说，您的公司可能应该制定一些政策和机制来防止将来发生这种情况，但是我不会让这一事件让您彻夜难眠。您已经丢失了笔记本电脑上的数据，但是大概只是一个副本，开发将继续进行而不会中断。

公司拥有的笔记本电脑当然应该使用加密磁盘等，但是您会询问有关个人计算机的信息。

我认为这不是技术问题，而是行为问题。从技术的角度来看，您几乎无能为力，无法使某人将代码带回家并加以破解-即使您可以阻止他们正式将项目的所有源代码检出，他们仍然可以如果确定要这样做，并且如果一个10行的“代码段”（或任何数据）恰好包含您的秘密调味料/有价值的和机密的客户信息/圣杯的位置，则这些代码段将返回到您的家中仍然有可能失去十行就像失去十页一样。

那么企业要做什么？完全有理由说，人们绝对不能使用非公司的计算机从事公司业务，并且将违反该规则的人定为“严重失职”解雇罪。这是对入室盗窃受害者适当的回应吗？这会与您的企业文化背道而驰吗？当人们在家中在家工作时，公司准备好平衡财产损失的风险与生产力的可观提高时，公司是否喜欢它？丢失的密码是否用于控制医院中的核武器，银行金库或救生设备，因此在任何情况下都不能容忍这种安全漏洞？您是否对“处于风险中”的代码的安全性具有法律或监管义务

这些是我认为您需要考虑的一些问题，但是这里没有人可以为您解答。

贵公司如何处理非公司拥有的硬件上的公司数据？

确保将公司数据仅存储在公司设备上，除非已由您的IT部门加密，否则不要在其他地方

WDE是明智的解决方案吗？它会产生大量的读/写开销吗？

任何磁盘加密软件都会有一些开销，但这是值得的，所有笔记本电脑和外部USB驱动器都应进行加密。

除了更改从那里存储/访问的东西的密码外，您还有其他建议吗？

您还可以像在用于黑莓的BES环境中获得远程擦除软件一样。

在涉及源代码的情况下，尤其是在公司IT部门无法控制使用的机器的情况下，我将永远只允许该人员通过托管在公司场所的机器上的远程会话进行开发。 VPN。

如何远程擦除软件。当然，这仅在小偷足够笨拙以使计算机接通互联网电源时起作用。但是，还有很多人甚至通过这种方式找到了被盗笔记本电脑的故事，因此您可能很幸运。

定时擦拭也是一种选择，如果您在X个小时内未输入密码，则所有内容都将被删除，您必须再次结帐。以前从未听说过，也许是因为它实际上非常愚蠢，因为它需要用户进行更多的加密工作。对于那些担心性能的人，将加密与加密结合起来可能会更好。当然，您在这里也有加电问题，但是这里不需要互联网。

我认为您的最大问题是，这似乎暗示笔记本电脑可以访问公司网络。我假设您现在已阻止此便携式计算机进入办公室网络的VPN。

允许非公司计算机进入办公室网络是一个非常糟糕的主意。如果它不是公司的笔记本电脑，如何在其上实施适当的防病毒功能。在网络上允许它意味着您无法控制正在其上运行的程序-例如，wireshark正在查看网络数据包等。

其他一些答案表明，应在RDP会话之类的时间之外进行开发。实际上，这意味着他们只能在有Internet连接的地方工作-并非总是在火车上等。但是这还要求便携式计算机可以访问服务器以进行RDP会话。您需要考虑如何针对有权访问被盗笔记本电脑的人（以及可能存储在笔记本电脑上的某些密码）保护RDP访问权限

最后，最有可能的结果是将笔记本电脑卖给了对内容不感兴趣的人，并将其仅用于电子邮件和网络。但是...对公司而言，这是一个很大的风险。

在这种情况下，笔记本电脑锁可以防止出现此问题。（我还没有听说过桌面锁，但是再说一次，我也没有听说过防盗窃取桌面的行为。）

就像您离开家时不会把珠宝摆在身边的方式一样，您也不应该让笔记本电脑不安全。