IT業界內的軟體研發部門是如何做機密信息安全管理的?
02-13
1. 研發部門有文檔和源代碼等數據,需要防止隨意流出
2. 流出的方式的通過網路、U盤、拔硬碟、帶筆記本進入研發網路複製數據等2. 純內網管控研發部門時也有與其他部門協作的需要,如Mail,項目發布,文件交換等,而且,越來越多程序員不接受工作期間不能上網的控制。請大家介紹下經歷過的企業內對上述問題的解決方法和經驗,尤其是對於中小微型軟體企業可以實施的建議。 多謝。
提供一些思路,完整的安全解決方案不便提供哈
1,建議信息安全委員會或部門,有信息owner的參與,確立信息的價值,預估可投入防禦的預算,定義信息的密級,標識,定義商業秘密內容,使用指紋
2,定義「內網」,確立內網准入標準。最簡單粗暴的方式是像政府和銀行那樣,禁止內外網互通,若需要擴大便捷性,那麼仍需要保持相同程度的安全性就要付出更多的成本,比如說一套內網環境一套外網環境!3,上網。大家抄代碼時經常只驗證功能是否實現,不會去逐行理解代碼的功能是否與需求完全一致?代碼是否安全存在漏洞?甚至是否帶有後門?是否允許開發瀏覽、參考互聯網上任意網站的代碼?還是指定白名單?還是只允許使用評估過的包?post行為是否是必要的?是否需要部署數據防泄漏產品和上網行為產品?
4,建立物理安全,辦公場所除了防火防水以外,還要有適當的供電,CCTV,門禁,安保措施。5,員工為什麼需要管理員許可權?是否需要硬碟加密?是否需要封堵數據口?是否需要採購微軟辦公服務?是否需要下發PC策略?6,是否使用互聯網提供的小微企業郵箱、項目管理、遠程辦公共享文件服務?互聯網公司是否在合同中須履行保密義務?是否可信?是否可忍受這些共享信息未經授權的披露?是否需要採購企業級郵箱、項目管理、文件共享?7,是否需要提供VPN或虛擬桌面給員工?頭兩點其實已經表達完了核心思想,後面的都是擴展。歡迎交流,但是不要給我場景讓我提供針對性解決方案哈!謝謝!
一、如涉密參考 BMB20,如果不涉及國家層面的也盡量不要用「機密」此類字眼,如涉及請找有專業涉密資質的公司進行諮詢。二、如非涉密企業隨便部署桌面雲。
不知
推薦閱讀:
※繞過AppLocker系列之弱路徑規則的利用
※3個步驟實現簡單語言解釋器(自製簡易編程語言)
※ATM危機不斷:新型ATM惡意軟體PRILEX正展開新一輪攻擊
※史上信息量最大資料庫在線曝光!14億明文密碼正在暗網流通
※實用密碼學工具 Index