频道栏目
首页 > 资讯 > > 正文

IT研发人员不能说的秘密-13种泄密方式

10-04-11        来源:[db:作者]  
收藏   我要投稿

对IT研发人员来说,有些秘密是不能说的。法律是战争爆发的底线。与其事后诉诸法律,不如防范于未然,通过制度和技术保障,让机密不大白于天下。IT企业已经拉开了守护技术机密的大幕……

  国内某大城市的机场出口处停着一辆普通的商务车,司机坐在驾驶员位置上悠闲地抽着烟。他不时地看看手表,似乎在等着接什么人。半个小时后,一个西装革履的中年男子从机场出口走出来。司机急忙掐灭香烟,下车迎上前去。当他刚要接过来人手中的行李包,忽然旁边走出三四个男子,出示的证件表明他们是警察,而且是异地的警察。其中一个警察对中年男子出示了逮捕证,另外几个警察挡开司机,把中年男子的双手拷了起来,押着他向不远处的桑塔纳轿车走去。桑塔纳快速开往中年男子的住处和办公室,每到一个地方,警察都把电脑的硬盘拆卸下来。

  这不是某个电影或者电视剧的镜头,这种场景出现在很多涉嫌侵犯技术商业机密的案子里。往往警察和被侵害公司的相关人员一起突然出现在嫌疑人面前,马上把嫌疑人所有的电脑资料强制保存,以备将来诉讼所用。

  “对于技术机密的守护,法律是最后底线。”富士康集团智权管理处处长傅绍明的说法代表了很多IT企业的心声。而对于这底线,富士康、华为、微软等企业都曾触摸过。当企业被迫采取法律手段的时候,警察、法院、监狱等字眼就纷至沓来。这时,企业和企业前员工之间的恩怨就被放大很多倍,直至前员工锒铛入狱,而企业声誉也受到极大伤害。两败俱伤所为何事?这是企业为了守护自己的未来竞争力——先进和核心的技术机密而付出的代价。

  随着市场竞争日渐激烈,很多企业为了锻造企业竞争力,投入大量资源做技术研发。富士康这样一个代工企业也在技术研发上投入巨大,单在知识产权创新管理系统创建一项就已花了将近10亿元,2006年投入的科研经费就达到13亿元,有40000人参与创新研发。截止到2007年底,富士康就申请专利9000件。而华为拥有近3万名研发人员,其2006年销售收入为110亿美元,其中10%投入到技术研发中。这些投入已经让华为、富士康等企业快速成长,并让竞争对手生畏。

  对于呕心沥血而获取的技术成果,企业当然要小心守护,谁也不愿意花费数年心血的研究成果却为他人做嫁衣。为了避免技术成果失窃,它们把研发场所打造成一个水火难进的境地,应用如影随形般的密码系统,编撰条款众多、滴水不漏的保密协议和竞业禁止协议,常年进行保密培训……

  研发牢笼

  在一个凄冷的早晨,路成走进华三公司(简称H3C)位于北京的研发大楼。大楼的保安警惕地扫视着涌进大门的人群,一旦发现有陌生人,马上会叫住他,仔细地盘问。而即便是像路成这样已经在里面工作两年多的员工,也必须要佩戴胸卡,因为进入办公区后还有一道门,需要刷卡才能通过。路成笑言:“走进了那扇门,就走进了研发的牢房,在里面的一举一动都将受到监控,比如门口就有摄像头在那里虎视眈眈着盯着你。”

  如果你进入路成所在部门的办公室,就会发现,那里清一色的都是台式电脑。不是H3C没有钱,买不起笔记本电脑,配备台式电脑完全是出于防止员工技术泄密的需要。“员工是不允许将电脑带离办公室的。”路成告诉记者,即便那些给员工配备笔记本电脑的部门,当员工携带电脑离开公司时,保安都会检查笔记本电脑的身份卡,确保是公司的电脑,“如果你拿自己的电脑进入公司,你就别想再拿出公司大门了。”路成还告诉记者,这些台式机都是没有USB接口的,也是为了防止员工用闪存盘等移动设备拷贝文件。

  如果你正巧认识几个H3C的研发人员,你会发现当你的MSN或者QQ一天到晚挂在网络上时,他们的MSN或者QQ头像永远是灰色的,因为H3C内部明文规定,不准上MSN或者QQ。普通的上班族所习惯的到公司先打水、开电脑上网看会儿新闻,对像路成这样的研发工程师来讲是奢望:“在公司上班的时候,看新浪、搜狐上的新闻连想都别想。”因为在H3C,公司的内外网是隔离的,一般人根本无法登录外网。你肯定会说:那如果想查找跟研发相关的资料怎么办啊?不着急!公司早就为有需求的研发人员设定了一些特定的系统,研发人员可以登录H3C统一预置的一些与工作相关的网页。

  对于那些配备笔记本电脑的部门,研发人员即便可以将其携带回家,但它只是研发人员工作的延伸,而不会是“工作生活两用机”。“公司配备的笔记本电脑不允许安装与工作无关的软件,根本不允许用办公电脑进行炒股、游戏等。”在H3C,有的员工出差,经常会带两部电脑:一台是公司配的,另一台是自己私用的。

  在H3C内部,不同部门之间是不能随意串门的,如果你是一个负责售后技术支持的员工,凭你的胸卡,就只能进与自己工作相关的某几个部门,而不能进入研发部门。如果谁想跟在别的员工后面溜进去,也很难。“保安可不是摆设,他们的眼睛可不揉沙子。”他说道。

  H3C为研发人员打造的牢笼已经够森严了,但思智泰克市场部经理张伟告诉记者,还有更恐怖的:在国外某家半导体公司,在每个员工的工位上安装一个摄像头,随时监视员工的一举一动。

上一把密码锁

  以上所说的防止技术窃贼措施都是看得见的,其实很多公司都使用了文档加密技术与权限管理相结合,做到随时随地的监控。如在诺基亚-西门子公司,文档是分密级的,最低密级的文档是可以提供给客户的。如果是公司级的保密文档,公司内部员工可以随便传播,但不能传播给客户。此外还有更高密级的文档,例如某些信息或者文件只能在指定的范围内(例如某个部门或者某几个员工之间)公开,不得将信息或文件披露给公司其他员工。诺基亚-西门子公司系统工程师苏强告诉记者,其实我们平时发给客户的报告,都有意识地注意信息安全问题。如果对其中的某些问题把握不准,一般在发给客户之前,我们还会将资料发给直接上级确认,如果经理们觉得某些内容不适合,会打回来让我们修改。

  新进入IBM的研发工程师李浅告诉记者,IBM内部有比较严格的权限管理,“对于机密的文件,像我这种初级技术人员能获得的很少,即便是公司的内部网站也设置访问权限,没有相应权限的人无法浏览”。

  权限的设置建立在身份认证基础上。而要保证数据的安全则要用到文档加密技术,像诺基亚-西门子公司,每个员工刚一进入公司,公司就会预先设置好该员工的IP和权限。同时公司还对数据进行加密处理,员工电脑里的资料就只能该员工看到,即便电脑不幸丢失或者被偷了,由于电脑硬盘中的数据是经过加密的,别人拿到电脑也读不出硬盘里的东西。

  思智泰克是一家专业提供文档加密服务的公司,其市场部经理张伟告诉记者,思智泰克的文档加密软件是嵌入在微软的操作系统里的,只要电脑一启动,该保密软件就开始起作用。在内部,使用了这种技术,即便某个员工想趁别的同事不在打开其电脑上的文档也是不可能的,因为文档被加密过。同时,如果某个员工想把自己电脑上的文档通过拷贝或者邮件发出去,即便发出去了,别人也打不开文件。这就意味着,内部员工想非法复制、粘贴重要文档,并通过E-mail、MSN、QQ、USB等方式进行泄密是不可能的。还有,通过系统日志审计子系统,企业可以掌握所有员工文档操作记录,为事后追踪提供依据。“在我们公司,如果你用自己的电脑在办公区复制相应的文件,服务器会有操作记录,就是为了防止将来发生纠纷时有根据。”中国台湾某手机芯片设计公司的研发工程师周洲告诉记者,它就像一个影子警察一样,随时监视着员工的一举一动。正因如此,很多使用了思智泰克技术的IT厂家都不愿意宣传自己,怕员工有想法:企业怎么能这么不信任我们呢?

  在合作无所不在的现代商业社会,怎么防止自己公司的机密文件发给某个客户后导致二次扩散,也是很多公司担心的问题。张伟告诉记者,这也不是难事。通过思智泰克的技术,文件外发前可以单独进行安全设置,也支持硬件(USB电子锁、任意USB存储设备)与外发文件进行安全绑定。传输过程中,外发文件始终保持加密状态,杜绝各种黑客软件的窃取和拦截;文件被安全外发后,只有指定的外协厂商能够以指定的权限(只读、打印、打开次数、打开时间等)应用。其他任何用户和厂商在获取外发文件后将无法应用和解密,有效杜绝了外发文件的二次扩散和泄密。提供此类服务的企业还有华镖软件等公司。

  不过技术也不是万能的。张伟承认:比如某个员工把笔记本电脑带回家后可以打开设有权限的文本。这个时候我们能监测到他在这个时间点打开过这个文本。该员工也不能直接将该文本通过即时通信工具和邮件发出去。不过我们防止不了该员工用数码相机将该文本拍摄下来,也阻止不了该员工将文件的内容重新输入到别的文本然后再传播。

  “我们只能说技术手段能把泄密的风险降到最低,但不可能完全防范。”张伟告诉记者,使用128位加密技术,一般人解不了密。一个公司的技术总监告诉记者,他的公司从身份认证、设备管理到数据管理都采用了很多先进的技术,但还是不能做到百分之百防范。要防止技术泄密,最有效果的还是要在人力资源上多下功夫。

  竞业禁止是摆设?

  所有接受我们采访的研发工程师都讲道,他们在入职的时候,都要接受半天到两天不等的法务培训,一般是由负责安全的部门来做。微软研发工程师吴国告诉记者,微软每年都要对员工进行商业准则方面的强制培训,其中就有很多被禁止的行为,以防止技术泄密。苏强也说在诺基亚-西门子公司,培训人员会告诉新员工文档要注意密级、进出办公室要主动出示门卡、在外面工作的时候尽量不要穿有公司Logo的衣服以免引起注意等。周洲告诉记者,我们入职的时候都有法务培训,主要是涉及到知识产权方面的内容。

  不断灌输知识产权方面的知识,重要的是让员工树立知识是一种财富的意识,既然是财富,而且是企业花了大代价才创造的财富,那么就要尊重而不是随意窃取。“如果随意窃取其他公司的技术机密来

相关TAG标签
上一篇:Mice(觅策)CMS V4.2 0DAY
下一篇:Fckeditor漏洞利用总结
相关文章
图文推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站