V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
godall
V2EX  ›  信息安全

像类似华为这样的公司如何控制在公司/员工电脑上监控文件不外泄的?

  •  
  •   godall · 2020-01-14 10:55:11 +08:00 · 19815 次点击
    这是一个创建于 1782 天前的主题,其中的信息可能已经有所发展或是发生改变。
    难道电脑不允许上网?如果允许上网的话,现在网站都是 SSL 加密的,根本监控不到传了什么数据啊,最多访问哪个 IP 地址。
    90 条回复    2020-01-15 13:11:49 +08:00
    loveour
        1
    loveour  
       2020-01-14 10:58:38 +08:00
    为什么是“难道”,不能上网不是正常操作么。网站白名单管理也是正常操作。在员工电脑安装监控软件更是正常操作。
    bolide2005
        2
    bolide2005  
       2020-01-14 11:04:58 +08:00   ❤️ 22
    说点我知道的

    1.公司内部使用“云终端”,及只发给你一个用来传输视频信号和网络信号的终端,数据和运算能力在云主机上,这样可以保证员工在工作期间的所有操作可追溯

    2.严格控制外网权限。你要知道也就三四年前,在华为你想使用外网需要申请外网权限,虽然只要申请没有不过的。

    3.工位全面视频监控,保证每个工位上显示器内容可以被高清监控器捕捉

    4.屏幕魔术水印,对屏幕拍照的时候会在照片里隐藏生成水印,这样拿到泄露的照片后可以计算出泄露的源头

    5.加重打击力度,华为龙岗 kanshousuo 真的不是开玩笑,每年华为都给龙看捐一笔钱,给犯人们改善生活
    bolide2005
        3
    bolide2005  
       2020-01-14 11:10:50 +08:00   ❤️ 1
    @bolide2005 #2 突然觉得后脖颈冷飕飕的,就当我没说吧,我得罪不起。上面说的都是梦话,别当真。
    godall
        4
    godall  
    OP
       2020-01-14 11:12:15 +08:00
    @loveour 安装监控软件能监控 ssl 加密数据吗?
    godall
        5
    godall  
    OP
       2020-01-14 11:17:43 +08:00
    @bolide2005 好牛逼啊,

    1. 华为云终端,我在展会上看到,当时演示打王者,虽然有点操作延迟,但视觉体验还可以的,估计上网浏览问题确实不大。

    2,3 可以理解

    4. 屏幕魔术水印什么技术?怎么样在屏幕上叠加普通眼睛看不出来的水印?想象不出来。

    至于安装监控软件,我觉得可以限制软件,但是现在只用浏览器就能干大多数操作了,当然你说监控硬盘文件系统也没问题,但是我打开 office,CTRL_C/V 粘帖到浏览器里,SSL 加密的能监控什么?难道 24*7 把屏幕录像下来?需要多少存储空间啊
    godall
        6
    godall  
    OP
       2020-01-14 11:19:18 +08:00
    话说监控软件即使能监控文件系统,但是我自己编译一个加密软件,把文件加密了,你也不知道文件内容是什么啊。
    bolide2005
        7
    bolide2005  
       2020-01-14 11:20:40 +08:00
    @godall #5
    隐藏水印实现方案很多
    stoneabc
        8
    stoneabc  
       2020-01-14 11:20:48 +08:00
    @bolide2005
    据我所知,3 不对也没必要,hw 园区监控不允许直对员工屏幕,连外网都要经过公司代理,干点什么基本都能知道。
    godall
        9
    godall  
    OP
       2020-01-14 11:23:01 +08:00
    @stoneabc 上网通过代理我知道,请问现在网页都是 ssl 加密的,代理怎么截获?
    stoneabc
        10
    stoneabc  
       2020-01-14 11:23:27 +08:00
    @godall
    这么说吧,标准的 22 等端口给你限制了,常用网盘禁用或严格监控,你向外网上传内部文件的行为一定会被识别到,至于要不要进一步查文件内容,那就要就事论事了。
    bolide2005
        11
    bolide2005  
       2020-01-14 11:24:00 +08:00
    @stoneabc #8
    嗯,这个可能确实没必要,监控可能还是更关注员工行为吧,比如对屏幕拍照或者对文件拍照等等
    lhx2008
        12
    lhx2008  
       2020-01-14 11:24:02 +08:00
    @godall #9 根证书吧
    bolide2005
        13
    bolide2005  
       2020-01-14 11:26:00 +08:00
    @godall #9
    中间人攻击啊,你使用的系统都是人家定制的,何况一个证书……
    loveour
        14
    loveour  
       2020-01-14 11:26:42 +08:00
    @godall #4 为什么要监控 SSL 加密的数据,在加密之前监控不就好了吗?记录你的操作行为,你对文件的操作等等。现在各种监控软件可以监控你使用的常用软件,可以记录键盘输入,复制粘贴内容,检测不到内容的自动截图,等等等等,手段多了去了。至于什么公司用的什么软件做到什么程度我就不清楚了,我待过的公司没装过类似东西。
    psychoo
        15
    psychoo  
       2020-01-14 11:27:31 +08:00
    最好的防泄密方式
    brainwash
    opengps
        16
    opengps  
       2020-01-14 11:27:39 +08:00
    虚拟云桌面在大公司非常有必要,员工电脑实际上只是个瘦客户机的终端,只用来使用远程桌面
    deorth
        17
    deorth  
       2020-01-14 11:33:30 +08:00
    251 厂也在员工电脑安装监控软件啊
    JmingZhang
        18
    JmingZhang  
       2020-01-14 11:33:38 +08:00
    说下我公司目前采取的方案吧,供大家参考
    1.同 2 楼说的,这种终端我们也有用,就相当于服务器分配一个虚拟机给到此终端,终端通过网络信号和服务器进行传输,普通办公 ok 的,我们用的是深 x 服的产品
    2.控制外网权限这个肯定的,也是深 x 服,外网都经过深 x 服的上网行为管理,限制那些网站禁止访问,你发了什么邮件或者你上了哪些网站都可以在后台查询到
    3.视频监控这个我们也做了,目前一共有不到 1200 个摄像头吧
    4.屏幕魔术水印这个我也想了解是怎么实现的,挺牛逼
    Raymon111111
        19
    Raymon111111  
       2020-01-14 11:35:03 +08:00
    没有外网
    JmingZhang
        20
    JmingZhang  
       2020-01-14 11:36:38 +08:00
    @JmingZhang 接楼上,还有一个文件加密系统,将文件加密后即便拷贝走也无法打开,和普通的将 excel 设置密码不一样,有点像病毒植入文件了一样的感觉
    nutting
        21
    nutting  
       2020-01-14 11:37:21 +08:00
    我想知道手机热点怎么防?
    bolide2005
        22
    bolide2005  
       2020-01-14 11:38:40 +08:00   ❤️ 1
    @godall
    @JmingZhang

    关于隐藏水印,可以参考这个知乎答案

    https://www.zhihu.com/question/50735753/answer/122593277
    zppass
        23
    zppass  
       2020-01-14 11:41:07 +08:00
    在类似企业工作过
    首先虚拟桌面,防止你拷贝文件到本地。
    上网控制,电脑不给你连外网这是最基本的,曾经遇到过即使是手机查资料也要站起来的憨批要求
    定期扫描电脑,电脑会定期扫描,看你的端口有没有接过存储设备,别跟我说你只是手机充个电,存储设备不允许连接。
    learnshare
        24
    learnshare  
       2020-01-14 11:42:03 +08:00
    网络监控、电脑文件监控,甚至还有 USB 之类的接口监控
    Chenganghui
        25
    Chenganghui  
       2020-01-14 11:50:20 +08:00
    华为自己有一套仿泄露系统,还有断网,离线等等一系列正常操作
    CzaOrz
        26
    CzaOrz  
       2020-01-14 12:11:42 +08:00
    华为外包,没有外网,还有一系列监控
    haf007
        27
    haf007  
       2020-01-14 12:14:22 +08:00 via Android
    通软终端安全管理系统,没权限的话装个软件都没法装,
    godall
        28
    godall  
    OP
       2020-01-14 12:22:29 +08:00
    一句话简单说把,如何防止正常软件泄密,这个正常软件包括 QQ/微信 /GMAIL/等聊天和浏览工具。
    有人说监控软件可以记录文件访问、——键盘鼠标活动。 请问现在这么高级的云输入法下面,你记录的键盘能还原出来什么呢?

    假设我有一个 word 文档或者.java 文件。现在我要传到外面去,

    方法 1:qq 上传附件——对不起,文件系统肯定被监控,直接被记录报警吧。

    方法 2:打开文档,打开软键盘,用鼠标选择 CTRL+A+C,打开浏览器访问 QQ 邮箱,软键盘 CTRL+V。发送。 我觉得应该监控不了吧?
    FS1P7dJz
        29
    FS1P7dJz  
       2020-01-14 12:25:44 +08:00
    水印这个对屏摄是无解的
    因为屏摄会抹掉水印
    当然也可以加强水印深度来尽可能追查
    但是泄密者也可以轻松反制

    更关键的是,很多泄密并不需要什么原型图...脑子总是要跟着人走的
    godall
        30
    godall  
    OP
       2020-01-14 12:26:26 +08:00
    @JmingZhang 这个我看到平安也是这样的,文档都是加密的,也就是说直接拷贝文档是没用的,但是我觉得 CTRL+C/V 大法还是挺难防的,云桌面也没用。有人说监控 CTRL+C/V,我觉得意义不大,因为你无法自动判断是正常的操作还是非法的操作。
    lambdaq
        31
    lambdaq  
       2020-01-14 12:27:19 +08:00
    华为做开发的都是虚拟机里搞。
    xfspace
        32
    xfspace  
       2020-01-14 12:35:45 +08:00 via Android
    @godall DLP
    大部分商业杀软都支持

    可选单独解决方案
    liujiantao
        33
    liujiantao  
       2020-01-14 12:38:15 +08:00 via Android
    文件带水印,拒绝外网,统一打印服务,拒绝各路设备接人,体制内都做到了,何况一家科技公司
    heasy
        34
    heasy  
       2020-01-14 12:43:20 +08:00 via Android
    大型公司电脑,基本上都会由公司控制。我朋友公司的电脑,安装个东西都需要找专门的人经行远程控制然后输入安装密码才可以安装
    hoyixi
        35
    hoyixi  
       2020-01-14 12:44:58 +08:00
    大公司,包括外企,都安装自己企业的监控客户端,以及审计软件, 甚至操作系统都是 OEM 定制的。
    监控的程度可能因公司而异,但至少你的操作记录是有 log 的。

    所以,有些人用工作电脑做非常隐私的活动,是一件很傻的事。
    xenme
        36
    xenme  
       2020-01-14 12:45:41 +08:00 via iPhone
    对公司老说,https 真是最简单的。
    全部经过服务器解析过滤后返回,成熟的不能再成熟了。

    关键的是其他各种企业需要的应用,各种专有协议,太多了不太好控制
    Buges
        37
    Buges  
       2020-01-14 13:07:19 +08:00 via Android
    其实只要有外网访问无论怎么样都有办法泄漏出去。
    好歹也是程序员,写个脚本,分片分批,私有协议混淆加密上传基本上防不住。
    Greenm
        38
    Greenm  
       2020-01-14 13:20:45 +08:00 via iPhone
    上面说的基本都差不多涉及到了,也有一些更底层的方向没提到。

    这么说吧,如果你在华为办公的笔记本你不小心丢了,公司是可以定位到的。你如果上报的话,是可以远程抹除的。
    IGJacklove
        39
    IGJacklove  
       2020-01-14 13:21:11 +08:00
    @Buges 泄漏出去是不难,想不抓到感觉很是很难的。
    codeRhythm
        40
    codeRhythm  
       2020-01-14 13:34:38 +08:00 via Android   ❤️ 2
    二楼说话也太不负责了。太多不合事实或者未证实的。
    1.华为现在仍然有大量的台式机电脑。台式机通过禁用 USB 拷贝 /记录 USB 文件拷贝记录来管控。
    2.外网只能通过 proxy 访问,http 很容易监控,https 监控通过中间人攻击的方式
    3.工位未全面监控,20 万+的工位,屏幕全监控是很难的。拍照只是通过规定严厉禁止的,做到杜绝很难。
    4.有传言如此
    5.在哪看到的???说话满嘴跑火车可不好
    MrCurly
        41
    MrCurly  
       2020-01-14 13:42:29 +08:00 via iPhone
    躲不过中兴偷哈哈
    Buges
        42
    Buges  
       2020-01-14 13:45:47 +08:00 via Android
    @IGJacklove 手脚做干净点,从这个方向很难排查了,更多被抓的可能是非技术层面的。
    Chry3anthemum
        43
    Chry3anthemum  
       2020-01-14 13:49:34 +08:00
    @Raymon111111 #19 原文:“没有外网”
    ======
    回复:毛线没有外网
    Chry3anthemum
        44
    Chry3anthemum  
       2020-01-14 13:50:36 +08:00
    丢的东西多了去了,只是核心的东西一般不放外层罢了
    passerbytiny
        45
    passerbytiny  
       2020-01-14 14:08:53 +08:00
    @godall 一、你没进过华为也没进过华为外包;二、你的观念里公司安全跟墙是一样的,只能背地里搞;三、SSL 是用来防中间人攻击的,不是用来防代理的。在华为用 QQ、微信,你也是想笑死人,华为连飞鸽、飞秋这样的局域网通信软件都是禁用的。

    公司信息安全控制或监控,这是合法的,可以明面上搞。明面搞就太简单了:局域网+自制代理+网络白名单+软件白名单。
    shellus
        46
    shellus  
       2020-01-14 14:27:04 +08:00
    基本上结论是,想拿出去不难,不被发现挺困难,而且,如果在可能被发现的情况下规避风险。
    我出个主意,写一个伪装成病毒的木马,感染你的所有同事,这样就算被查出来了,大家的文件都泄露了,定位不到你
    Michaelssss
        47
    Michaelssss  
       2020-01-14 17:44:25 +08:00
    。。。想啥,全员加域,固定安全软件,非公司备案主机不允许进入。。
    kejxp1993
        48
    kejxp1993  
       2020-01-14 18:49:56 +08:00 via Android
    上次报道 xbox 的屏幕水印,其中一个是,桌面的水波纹图案,是动态生成的,不同的机器不一样,就能定位到偷跑游戏的人。
    leo7723
        49
    leo7723  
       2020-01-14 18:59:45 +08:00
    华为有流量监控的
    现在慢慢不使用云主机了
    外面的电脑是接不进内网的
    网盘一传就很快会有小黑屋谈话
    离开工位需要锁屏
    这方面一直查的很严格
    kokutou
        50
    kokutou  
       2020-01-14 19:03:16 +08:00
    1 加域
    2 指定的安全软件
    3 网络准入
    4 指定的常见文件透明加密软件
    5 流量监控
    6 (可能)预装证书解密 ssl 流量

    这是各种大公司的基本操作。

    其他的骚操作就不知道了。
    changePro
        51
    changePro  
       2020-01-14 19:20:14 +08:00 via Android
    一群人在讨论怎么监控,怎么侵犯个人隐私,彻彻底底的程序员思维。问题的答案不应该是法律么?
    wmhx
        52
    wmhx  
       2020-01-14 19:22:39 +08:00
    华为的电脑都是公司统一派发的,已经安装好了各种监控软件, 包括电脑的摄像头检测到你的手机对着它都会被警告. 一切的一切还是看人定的制度的.
    czar
        53
    czar  
       2020-01-14 19:50:53 +08:00
    @bolide2005 3 还是没听说过,可怕
    nevin47
        54
    nevin47  
       2020-01-14 20:00:56 +08:00 via Android   ❤️ 1
    @changePro 是监控公司电脑,不是个人电脑……
    TigerK
        55
    TigerK  
       2020-01-14 21:18:49 +08:00
    额,不安装根证书就没有办法通过网关认证,那就上不了网;安装了证书,不就相当于我家大门常打开了吗?
    napsterwu
        56
    napsterwu  
       2020-01-14 21:24:02 +08:00 via iPhone
    这么简单的事情怎么不懂呢,只有公司发的标装机才能连到内网,标装自然是内置了集团 ca 证书的。等你真的进了大厂,随便打开一个 https 网站,证书百分百是你司自签发的。至于你自己带的电脑,爱怎么玩都可以,反正连不了内网。
    juded
        57
    juded  
       2020-01-14 21:29:57 +08:00
    非程序员,毕业后第一份工作在某大型外资,公司电脑自带墙,无法访问网盘等应用,连接内网目测有风控,文件 down 多了会有电话问候。拷贝文件到优盘有个赛门铁克的加密程序,每次非公司电脑访问必须输入员工号和密码,酱紫。
    后来因业务拜访过某航空军工企业,整个园区无手机信号,客户电脑只能接入内网并且禁止使用移动存储,文件交接要用光盘并且回收,听说另一个 location 的小伙伴访谈客户前电脑都被拆了一遍=。=
    snw
        58
    snw  
       2020-01-14 21:50:35 +08:00 via Android
    补充一下外企会采用的做法。

    1. 加域(包括移动设备 MDM),并限制管理员权限。
    2. 屏幕每隔半分钟到几分钟截屏,上传到服务器。
    3. 微软全家桶现在有 Azure Information Protection,可以加密微软家各种文件类型和邮件。依据微软账户,只有授权用户才能打开文件或查看邮件。对于只读邮件,转发、复制、截屏等操作都是禁止的,Outlook 以外客户端或网页打开只是一封带加密附件的空邮件。
    Tezos
        59
    Tezos  
       2020-01-14 22:03:55 +08:00
    @nutting #21 基站
    TroyLin0218
        60
    TroyLin0218  
       2020-01-14 22:26:28 +08:00 via Android
    涉密资料只在内网机上,你任何数据都带不出来,usb 端口只能使用鼠标键盘,光驱也都不能用
    ps:不是华为的,不过公司也是内外网严格控制
    coolcoffee
        61
    coolcoffee  
       2020-01-14 22:31:20 +08:00
    DLP 会给监控的电脑装根证书,自动给 Chrome 装扩展,我想这个应该足够用了吧。
    hijoker
        62
    hijoker  
       2020-01-15 00:22:33 +08:00   ❤️ 1
    @bolide2005 华为我知道成研所这边 2015 年(应该比这个早)普通正式员工都有外网权限(有些网站还是不行,比如: 网盘类),不需要特殊申请
    hijoker
        63
    hijoker  
       2020-01-15 00:24:09 +08:00
    @codeRhythm 研发普通员工都是桌面云了, 大量的台式机在研发部门是真没见到
    xmoiduts
        64
    xmoiduts  
       2020-01-15 01:12:20 +08:00 via Android
    听说哪家有非授权 ap ( wifi 热点)自动干扰功能来着,所以手机开热点也……
    loveWilliam1314
        65
    loveWilliam1314  
       2020-01-15 01:33:01 +08:00 via Android
    不是华为的,但是用的华为提供的软件,叫什么 TSM,我觉得挺难受的。具体说下吧,入职的时候会给软件,必须在内网下安装,安装之后重启。重启之后呢,你电脑就不是你的了。首先,不能安装腾讯部分系列( QQ 开头都不行什么 QQ 音乐,QQ 影音全部 gg,QQ 飞车也是),然后网页上的邮箱网址通通都无法访问,git hub 跟码云这类开源仓库也无法访问,然后你用 tim 的话,消息会延迟好久,微信也是一样,全部延迟,图片有些会被拦截。然后网盘能进去,但是你分享的文件的链接对面接不到,虽然给了秘钥依然进不去(最近才发现的) 然后蓝牙,热点这些都无法打开(自动关闭服务,开启要停软件重启电脑,我电脑重启黑屏但是外接显示没问题,如果重装系统不装那个垃圾监控软件就 OK,原因不止网上无解,就是重启屏幕无法点亮只能关机再开机),如果你要插 u 盘会 win10 会直接蓝屏,就那个崩溃页面,插手机即使充电也是直接蓝屏,但是如果你用 hub 再接键盘鼠标没问题,单插口也没问题。win10 的自动更新不受影响,最近还发现 tim 有段时间特别吃 cpu,直接未响应。工位上有监控,平时摸鱼没事。但是千万别举起手机拍屏幕,哪怕扫码都不行。 嗯,保密这个蛮重要的
    loveWilliam1314
        66
    loveWilliam1314  
       2020-01-15 01:44:44 +08:00 via Android
    @loveWilliam1314 再补充一下,要弄复杂度密码,有限定就是电脑里边改下电脑密码策略然后设置不低于 8 位的密码,然后电脑离开要自动锁屏,而且还要设置不低于 3 分钟的自动锁屏。然后好像没了,不过手机开热点这个没问题,嘻嘻嘻。
    lostpg
        67
    lostpg  
       2020-01-15 01:50:19 +08:00 via Android   ❤️ 1
    一路看下来应该大家都没在华为待过。。。
    Weixiao0725
        68
    Weixiao0725  
       2020-01-15 04:17:48 +08:00
    笔记本的话我链接自己手机上的移动网络行不行
    ladypxy
        69
    ladypxy  
       2020-01-15 04:38:17 +08:00 via iPhone
    @godall 你说的华为云终端就是 Citrix 套皮……
    xfelix
        70
    xfelix  
       2020-01-15 06:41:52 +08:00
    DLP 不止部署在网关处,电脑 /服务器终端都会装客户端,防火墙,web 代理,邮件服务器上可以装 DLP 插件。
    装了客户端,不管你 ssl 加不加密都不重要了。
    通过 web 代理上互联网,证书是企业内部签发的,你必须信任,所以 web 代理能看到你所有上网行为,包括 https 的网页。有些企业做的人性一点,不去替代 gmail,hotmail 邮箱以及银行站点的证书。但是仍可以通过 http 的 post 和 get 来禁止你贴附件等操作。如果实在防不了,就把这些站点封了。
    DLP 的好处是,老大可以定义哪些关键字是敏感信息,一旦查到网页内容,邮件等监控的通道流出了这些敏感词,就会屏蔽或者告警。最典型的是识别信用卡卡号。
    另外 office 的文档也有自己的权限管理,你把一个设置了权限的文档发给指定的人,只有他登录他的账号才能打开或打印等授权操作,其他人就算拿到了文件也打不开。
    信息泄露最难防的不是公司电脑设备,而是个人的手机照相机等摄屏。虽然有些水印技术可以追查,但是信息还是漏出去了。
    wangyuescr
        71
    wangyuescr  
       2020-01-15 08:00:33 +08:00 via Android
    不请自来 ,说说之前在 wh 未来科技城软通 hw 项目,
    进去有安检(排除 U 盘等存储介质),到每个对应的工作区还有个安检(有些工作区不能带手机进去的)。
    本地电脑 USB 口封住,整个主机有个上锁箱子。
    小组组长给你申请邮箱和华为云主机(跑 IDE 没问题,eclipse 没问题)
    账号密码,这个时间倒还好,申请门禁卡基本接近两周,所以面试过了签了合同前两周干坐着很正常。
    屋里遍布摄像头,就算你的工作区可以带手机进去,也要避免手机正对电脑屏幕。
    人离开电脑必须锁屏,必须有锁屏密码。
    总之,甲方防你乙方也防你。
    futandrew
        72
    futandrew  
       2020-01-15 08:03:07 +08:00 via Android
    听说华为用自己造的系统?从根源阻止?🙃
    avalanchecoke
        73
    avalanchecoke  
       2020-01-15 08:51:40 +08:00   ❤️ 1
    为什么都是在讨论 HW 怎么监控。且不说什么公司,作为员工,在任何公司,难道不是保证公司利益,敬业负责吗?如果不满意,不开心,不应该换工作吗?
    nefuer
        74
    nefuer  
       2020-01-15 09:00:43 +08:00
    加密证书,公司通过第三方也是可以改的。

    看看 V2EX 的证书在我司是什么样的吧。 表面是 ssl/https, 其实对公司来说就是明文随时都可以解密。

    -----BEGIN CERTIFICATE-----
    MIIECTCCAvGgAwIBAgIQXhv9ApADPV3SZEA8iRxurzANBgkqhkiG9w0BAQsFADCB
    ijELMAkGA1UEBhMCVVMxEzARBgNVBAgTCkNhbGlmb3JuaWExFTATBgNVBAoTDFpz
    Y2FsZXIgSW5jLjEVMBMGA1UECxMMWnNjYWxlciBJbmMuMTgwNgYDVQQDEy9ac2Nh
    bGVyIEludGVybWVkaWF0ZSBSb290IENBICh6c2NhbGVyLm5ldCkgKHQpIDAeFw0y
    MDAxMTExNjAxMjJaFw0yMDAxMjUxNjAxMjJaMGAxCzAJBgNVBAYTAlVTMQswCQYD
    VQQIEwJDQTEWMBQGA1UEBxMNU2FuIEZyYW5jaXNjbzEZMBcGA1UEChMQQ2xvdWRG
    bGFyZSwgSW5jLjERMA8GA1UEAxMIdjJleC5jb20wggEiMA0GCSqGSIb3DQEBAQUA
    A4IBDwAwggEKAoIBAQDEomCNYtE0kWO7sp2CTIK0HkiNjZzwFPwN+DpRnU8PJCY2
    rk3W5TPVOtnZB9wNOxkk6A0mnEqcyP8CBfgf7d0xUeRDVYvqbOFRz7Cs7ZHOOVq9
    tmClOJY/Xr6wMW2JYPlG+zd0DWU3E0Sl8E2GEEj3L5yLQotZZmcIwwHi+dzr9jbD
    uP32p0nfqI1NZSZCADraJiQBFApqJDpxQcvnGNQr/GmqmAm8cGUriC4G6ZCA1Cbh
    ldctjaBt9GrX18752DByXPjZtTx0VKK9hTa49eTMgOLVG1yg6gY7iI/6K5lOLwsZ
    UW4VMajPxDsEn4eveHrgYAQ5ylwdJt3PQ+DZzF+FAgMBAAGjgZMwgZAwHwYDVR0R
    BBgwFoIIdjJleC5jb22CCioudjJleC5jb20wHQYDVR0lBBYwFAYIKwYBBQUHAwEG
    CCsGAQUFBwMCMAwGA1UdEwEB/wQCMAAwQAYDVR0fBDkwNzA1oDOgMYYvaHR0cDov
    L2dhdGV3YXkuenNjYWxlci5uZXQvenNjYWxlci16c2NybC0tNC5jcmwwDQYJKoZI
    hvcNAQELBQADggEBAJVTJ/2ceZ/d73JOHlo/UV+cCdjP9fgArSM1rYlKI8QfZvUJ
    GwTXUwjZSspxAaLvyp7BDwhHXZj5OTLKlyV1/bQE97QDjpBLxnwJn3Q1jF5tHopJ
    a+0jXax3xG9l6PgW41RqjHgMTzB5DgcUYXMwdDcWgfHGtwj4ozHIcAs1e7eVHJNM
    Zj11T29qwxx1GxgtyzNKjMBw44RimUap3gr80iydV3S0jRYRANxgfvlYPpWDtT3m
    Efpxnh44POqsneliKNPGjK0BPe8Fq2lRU2h6uBMruBsnHS9IVYYsw7xJuzCQbfqI
    M+CMVP4bFKaYrsqSMdnOtowZaehpAhqpK7I8tqw=
    -----END CERTIFICATE-----
    aosailuolierwang
        75
    aosailuolierwang  
       2020-01-15 09:06:36 +08:00
    17 年的时候,我跳槽到一个飞行模拟器公司,入职前几天给我培训,然后资料都在办公室电脑上,我寻思要好好学习,想把资料拷贝到 U 盘晚上回去多看看,然后 U 盘刚插上没有几分钟,安全管理处开门进来俩人直接到我工位旁,问我拷贝的什么,然后把我 U 盘没收后,把我领导和我一起叫走,我领导一个劲儿地给我辩解说新来的新来的还在接受培训,后来就是邮件通报+公司内网通报。
    avrillavigne
        76
    avrillavigne  
       2020-01-15 09:20:21 +08:00
    忘了 ali 的事了吗? 最初听说水印是 ali
    FFFire
        77
    FFFire  
       2020-01-15 09:23:39 +08:00
    直接监控你键盘屏幕啊
    openbsd
        78
    openbsd  
       2020-01-15 09:45:19 +08:00
    @bolide2005 #22
    这个早看过不能防拍摄吧 ?
    bolide2005
        79
    bolide2005  
       2020-01-15 09:50:08 +08:00
    @openbsd #76

    那个答案其实就是介绍一种思路,也不是论文,但是原理上不能排除类似的可以对抗拍照的方法
    openbsd
        80
    openbsd  
       2020-01-15 09:52:06 +08:00
    @godall #28
    这种太弱鸡了,早年见过比较底层的监控是直接截屏
    判断屏幕上有变化的时候就截一幅图,然后保存一个时间段内容最多的图写入存储
    abcbuzhiming
        81
    abcbuzhiming  
       2020-01-15 09:59:16 +08:00
    @nutting 华为有所谓的红黄区,你手机带不进去的,别想了

    大厂搞安全有的是办法,限制行为就能挡住,你不愿意就别去那上班
    LokiSharp
        82
    LokiSharp  
       2020-01-15 10:01:21 +08:00
    https 只能防篡改,不能防监控
    oska874
        83
    oska874  
       2020-01-15 10:08:16 +08:00
    全靠 251,泄密的成本太高了。
    darmau
        84
    darmau  
       2020-01-15 10:11:37 +08:00
    @godall https://www.zhihu.com/question/50735753

    数学知识限制了你的想象力
    songco
        85
    songco  
       2020-01-15 10:18:51 +08:00   ❤️ 1
    曾经在 hw 做过的路过, 好多年前的事了, 记得的:
    1. 门口安检, 这个当时不严, 带东西进研发区 /实验室问题不大
    2. 摄像头, 肯定到处都是; 数字水印, 上面有人说了
    3. 不管是云瘦终端还是物理机 上面都有公司的 agent, 理论上你在机器上干什么公司都知道
    4. 物理机端口封锁; 瘦终端 usb 只认鼠标和键盘
    5. 整套微软 office 集成了公司的加密系统, 所有内部文档都需要授权(树状的), 不装插件的 office 打不开加密文档, 装了插件的需要联网到授权服务器校验 /解密
    6. 每个部门有一个安全员, 专门检查安全情况, 我当年从某个 arm 芯片商那边拿了个 arm 板子做测试, 下班就放我工位上, 结果就出大事了, 安全员把我叫一房间给笔和纸, 说写把, 我一脸懵逼的问写啥.... 后来写了事情的经过, 因为她对新员工培训不到位低调处理了我倒是没受到啥影响. 当时主要问题是: 板子在研发区(非实验室)没锁起来; 开发板为了展示接口支持能力各种存储的接口(记得一块小板子上 20+个接口)都支持, 按规定要封锁起来的我没封锁;
    7. 人不在座位上电脑没锁算违规
    8. 上网方面倒是还好, 大部分员工连新闻网站都不敢上, 看新闻居然靠报纸, 我每天带过来的地铁免费报纸非常受欢迎.... 我的做法是没封锁的我就能上, 房子 evernote 之类的我都在用, 也没人找过我, 新闻之类的网站我都是直接上, 至少当年这方面我觉得还好, 很多人自我封锁了.

    另外据我了解, T 这方面好像不怎么管, 拷贝代码回家继续看都没人管

    暂时想到了这些
    tankren
        86
    tankren  
       2020-01-15 10:23:22 +08:00
    每个成熟的公司都有 IP,包括但不限于传统企业,互联网公司,但是 IP 都有漏洞,最大的漏洞是人
    内部管理加上法律才能最大程度的防止泄露
    treo
        87
    treo  
       2020-01-15 10:31:19 +08:00
    hw “大部分员工连新闻网站都不敢上, 看新闻居然靠报纸”???
    lower
        88
    lower  
       2020-01-15 10:37:17 +08:00
    华为 spes
    restlessdream
        89
    restlessdream  
       2020-01-15 10:58:01 +08:00
    @nefuer 这是因为根证书被植入了公司自己的,有些有证书链 验证的网站,比如 Google,他们在神通广大,也没法替换,但是 Google 又是必须网站,所以也没禁掉,你对比下 V2EX 的证书和 Google 的证书,就发现端倪了
    songco
        90
    songco  
       2020-01-15 13:11:49 +08:00   ❤️ 2
    @treo 仅代表当年我所在的部门, 多年前的 hw 核心网某部门, 差不多四十多个认, 基本是这样的. 我每天地铁上拿免费报纸, 分发报纸的人都认识我了每天过来主动给我一份.
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1013 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 30ms · UTC 19:53 · PVG 03:53 · LAX 11:53 · JFK 14:53
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.