现在 A 公司想要给自己的员工分发文件,在分发之前可以让每个员工生成公钥私钥,公司发给每个人的文件,都用相应的公钥加密,然后只有相应的员工能解密。但是员工解密之后,可能会将解密后的文件泄漏给其他公司的人,所以需要想办法使这些员工在打开这些文件的时候,意识不到文件已经解密了。应该如何操作呢?把解密的文件藏起来,调用不同的程序打开的时候,hook 到解密的文件?或者自己做个客户端,打开文件的时候解密到一个隐蔽的地方,关闭的时候,删除文件?还是怎么着呢?
• 请不要在回答技术问题时复制粘贴 AI 生成的内容
This topic created in 3301 days ago, the information mentioned may be changed or developed.
 |
1
geelaw Apr 28, 2017
员工不能把解密后的文件内容抄下来么?
不要用技术方法解决 social 问题,用行政方法。 |
 |
2
ywgx Apr 28, 2017
这个问题无解
我们 xabc.io 曾经有类似的需求,即如何确保员工的私钥 世界上只有一份? 一旦发现有第 2 份复制,即刻报警? 这个问题目前在量子物理上 利用量子纠缠的特性,或许有解 你如何确保你文件发放到的人就是 你以为的员工? 你永远也无法证明你是你 ,所以安全问题无解 |
 |
3
feng123456 Apr 28, 2017
参考阿里内网的防泄密措施,直接打个人水印
|
 |
4
ksupertu Apr 28, 2017 via iPhone
Foxit 加密服务器,打开 pdf 时候需要去服务器解密,且有时间限制,过期无法打开
|
 |
5
billlee Apr 28, 2017  1
让保安把该员工带到小黑物阅读文件
|
 |
6
xfspace Apr 28, 2017 via Android
#5 阅读完要清除记忆,不然没什么用
|
 |
7
dongoo Apr 28, 2017 via Android
请不要把自己的员工当贼一样!!
如果只要,还不如直接辞掉 |
 |
9
davidzhanwork Apr 28, 2017 via Android
无解 这不是一个技术问题...
|
 |
10
momo1999 Apr 28, 2017
拿个相机拍屏幕还不行吗
|
 |
11
YvesX Apr 28, 2017
无论你技术上怎样做,信息是要传递给员工的。
|
 |
12
libook Apr 29, 2017
不带电子设备及任何记录工具进入会议室,每人下发文件,看完直接旁边碎纸机碎掉。。。
|
 |
13
RqPS6rhmP3Nyn3Tm Apr 29, 2017 via iPhone
@ywgx 用智能卡
|
 |
14
gen900 Apr 29, 2017 via iPhone
这有啥难的。
涉密文件只能用专用 viewer 查看,解码还原,防粘贴复制,防考屏一气呵成。 解码内容不保持在硬盘上 |
 |
24
phrack Apr 29, 2017 via Android
没有什么公司会有这样的需求吧?
军工企业也没见到提出这种需求的。 有保密要求签协议就好了。 |
 |
26
ryd994 Apr 29, 2017
@yuyongji1987 私钥用智能卡无法拷贝
|
 |
27
SlipStupig Apr 29, 2017
这种东西有相关的解决方案:“文件透明加密“
一旦创建就被加密了,没有秘钥服务每次打开指定文件的时候先解密,文件你就算传到网盘上也没用,秘钥是统一管理的,就算硬盘被偷了也依然解不了。 但是这种有几个缺陷: 1.秘钥服务器秘钥服务器被攻陷,后就无法保证文件安全 2.员工之间无法相互传文件 3.如果把内容做成二维码一张一张然后扫走,你可以禁止带手机进工作区,但是你无法阻止人用手画二维码(我们真的遇到过用手画二维码的) |
 |
28
merliny OP @SlipStupig 现在就是想实现这个过程,打开的时候解密,如果是应用程序打开,是不是需要 hook 相关 api,如果是用户自己解密,就不好控制了。我现在的想法是自己做个客服端,用来打开文件,但是不能支持所有的文件格式,很多都需要专业的软件打开。
|
 |
29
changwei Apr 29, 2017 via Android
和阿里一样,所有内部系统的 ui 加一层频域水印,一旦泄漏,查出泄露源,对该员工重罚。杀鸡儆猴。
|
 |
30
MrMario Apr 29, 2017 via iPhone
试试大成的铁卷 http://www.unnoo.com
还有一种是基于流量审计的,像思睿嘉得 |
|
31
SlipStupig Apr 29, 2017
@yuyongji1987 Windows 磁盘过滤 http://bbs.pediy.com/thread-189182.htm
|
 |
32
Halry Apr 29, 2017 via Android
这个签 nda 不就好了吗,看成本的而已
|
 |
33
qile1 Apr 29, 2017 via Android
低价方法是不是每个人发一个电子 key,用它加解密
|
 |
34
Hardrain Apr 29, 2017 1
你永远无法用技术手段解决人性的问题
如 1#所说,你再采用何种技术手段,如真有内鬼想要泄露,也可以用最原始的拍照或手抄等方法 即便你用隐写术在文档中留下肉眼不可见的水印用于在泄露时追查泄露源,也是无法阻止泄露发生的. 关于『使用一个特定的软件,将文件解压到临时目录,读入内存后立刻删除』这种方法,可参见 https://hardrain980.com/1158.html 实则并不安全(我这个例子中,DRM 程序是使用"预共享密钥",没有密钥协商 /密钥交换的过程.但我还是把它 Bypass 掉了;为的不是侵犯著作权,而是令老师的 PPT 能在手机上观看.) |
 |
35
xenme Apr 29, 2017 via iPhone
这种基本都是专用的查看器,不考虑和第三方应用的交互问题。要看只能用专用软件打开。然后每个人再分发密钥或者集中保存授权。
拍照或者手抄防不了,真到那么严格的级别,基本只有专用的查阅室,要看,请走流程申请,然后专人陪同并审计操作和内容。 |
 |
37
rssf Apr 29, 2017 via iPhone
全方位录像监控,进入办公室过安检机,封所有 usb,安装监控软件,断掉互联网,内部部署解密服务器,窗户安装监控及红外门帘,透过物体即报警。铁门铁窗户。
|
|
38
rssf Apr 29, 2017 via iPhone
手机、相机等进入公司区域后既上交前台篮子,有电话时前台内部分机通知,到前台接待室接听后继续上交
|
 |
39
amrnxcdt Apr 29, 2017
说实话点进来的之前我以为是 vpn 私钥登录这样防止第三方的技术。。。
|
 |
41
edsgerlin Apr 29, 2017
@yuyongji1987 允许出差时解密你要怎么防拍照+OCR ……
|
 |
42
shot Apr 29, 2017
没有人看的文件最安全……
有同学做特殊应用高能物理实验的,也没听说他们有什么特别的技术手段能防范泄密。 人性的问题就用人性的手段解决: 严格的流程和制度; 足够优厚的环境和条件提高组织忠诚度; 一旦泄密逃到天涯海角也要咔嚓掉。 |
|
44
edsgerlin Apr 29, 2017
@yuyongji1987 可以在内网搞个解密服务器,在外的时候可以用 VPN 连回来。然后给员工发智能卡,用智能卡里面的密钥+解密服务器进行验证,这样还可以审计谁在什么时候访问了什么文件。感觉这么弄挺常见的。
|
|
45
edsgerlin Apr 29, 2017 1
本地进行文件解密的模块如果处理器比较新(6 代以后)的话可以跑在 Intel SGX 的 Enclave 里面。
|
 |
46
zxiso Apr 29, 2017 via Android
比起加密,不如通过安全教育和行政手段。人才是一切的短板。技术方面要做的其实就是个人水印
|
|
47
gen900 Apr 29, 2017 via iPhone
|
|
48
gen900 Apr 29, 2017 via iPhone 1
|
 |
49
mengyaoss77 May 3, 2017 via Android
人家最强大脑 背下来 走出去。 泄露 2333
|
 |
50
yankebupt May 8, 2017
现实生活中解决这种问题的懒人使用了一个很卑鄙很有效的方法,制造大量的同级垃圾信息,掺入大量的水军假泄密者,比如各种爆料,对于没有私钥的外人来讲很难确定谁说的是真的。优点是廉价,缺点是制造大量垃圾信息
|
Select Language