在IBM工作了七八年后,我养成了一个恶习:
每次锁车走人,走出老远了,心里总觉得没锁车,还得回来再锁一次。
晚上都睡觉了,突然想起来,大门是不是没锁好?爬起来再去检查一下。
这个怪癖就是拜IBM的“Security”所赐。
1
“Security”是IBM员工对一揽子安全措施的统称,它包括但不限于:
禁止尾随
进门必须要刷卡,坚决不允许尾随进入。
每天早上,一帮人从班车上下来,来到公司大门前,你会看到一个奇观:尽管第一个人已经把门刷开了,但后面的每个人都必须老老实实地举起胸牌,在门口的读卡器上刷一下,然后才能进门。
有时候,公司老大会突击检查,现场抓人,很吓人。
即使是进了大门,内部还有很多实验室也得刷卡进入,权限区分严格。
人离开电脑,必须要锁屏
每次站起来去10米外茶水间打水,也得按下Ctrl+Alt+Del,回车锁屏
人携带电脑离开,桌子上的密码锁必须要打乱
IBM的会议超级多,每次开会带着笔记本去参会的时候,哪怕会议室只有几步之遥,一定得把锁笔记本的密码锁给拨乱。
人离开工位,工位上的柜子必须要锁好
工位上也不能留任何机密信息的东西,什么是机密信息,这个很难准确界定,记得有一次,有个海报都被认为是机密。
安全起见,最好把所有东西都锁进柜子里,让工位上干干净净。
必须要安装一个安全检查软件
这个软件就像一个保安,定时运行,检查你的电脑是不是安装了公司要求的系统更新,有没有安装公司不允许的软件(如P2P),密码的设置是否达到了足够的安全度,密码有没有定期更换.....
如果这个软件发现你违反了安全规定,就会报警,你不处理,就会上报给经理,然后是经理的经理,然后是经理的经理的经理......
记得当时偷偷用BT之类的软件下载美剧,下载完得赶紧删掉,否则安全检查软件就会发现,开始变成吓人的黄色图标了.......
这些还不算,每天还有不同团队的人下班后做巡检,拉拉你的柜子看看锁上没?按一按你的密码锁看看是否拨乱了?看看白板上是否有字没擦掉,工位下面有没有机密的东西忘了放进柜子......
安全问题有多重要呢?
和绩效密切相关!
这就要命了,辛辛苦苦干一年,就因为一次回家时忘了锁柜子,年底绩效降一级,冤死了,你说大家会不重视吗?
时间长了,就养成了下意识的动作,下班把笔记本装入包包之前,很自然地伸手把密码锁拨几圈,背着包走的时候,再伸手拉拉柜子,不管今天有没有打开过。
但是有时候也会发神经,尤其是像我这样的“小心眼”,本来已经坐上班车,突然想起:柜子是不是没锁啊?!
赶紧打电话给还在公司人:xxx,帮我看下Security吧?
如果Security没问题,安心回家,否则赶紧“滚”回来处理。
2
IBM的“Security”年年讲,月月讲,日日讲,简直是公司头等大事。
刚开始肯定理解不了啊,进公司大门还得“装模做样“地排队刷卡,有啥用啊?白白浪费员工的时间,大公司就是喜欢搞形式主义!
后来了解了社会工程学,自然就明白IBM的苦心了。
比如知乎上这个回答:“作为渗透测试工程师有什么有趣的经历?”作者是“Vintage Jar”,原文链接:
https://www.zhihu.com/question/293104198/answer/2670458460
当时第一次去实地,一个人,xx银行。下午4点等他们下班时间去的。踩点之后知道8楼是信息部门,社工骗扫地阿姨帮忙刷卡去了楼上。
在厕所里蹲到整整10点钟,居然还有人在加班,,,
后来听到高跟鞋的声音,知道最后一个小姐姐走了。摸进去发现她电脑没关,不出网,就开始翻资料。突然一阵高跟鞋脚步声,原来她是去上厕所。我马上蹲下,慢慢挪走,害怕被她发现,她肯定会以为是小偷,,,脑子里一直在想万一被他发现,叫起来了我该怎么解释,会不会把她吓到
最后慢慢挪慢慢挪,挪到一个领导的办公室里面(大厅是办公区,领导办公室在最边上)。在那呆了整整一个小时,听着外面没动静也不敢出去。后来掏出授权书,有手机上有紧急联系电话,是座机。猜测是信息部门的电话,遂打了个电话,电话铃声很大,在外面响了起来。过了很久都没人接。知道她走了。然后大摇大摆出来,开始翻桌子,找到张工卡,直接刷开机房,实地渗透完成。
最后走的时候往一楼的消防监控室瞄了一眼,保安在打王者荣耀,哈哈。
(ps:Vintage Jar的回答中还有很多有趣的场景,感兴趣的可以去看看。)
这次渗透测试如果发生在IBM,首先想进入办公室就很难,即使进去了也会发现,一排排的格子间中:
所有电脑都是锁屏的,密码都是高强度的
所有柜子都是锁着的
工位上都是空空荡荡的,除了茶杯、文具之外,什么都没有
白板上被擦得干干净净,一个字也看不到
......
渗透者什么都得不到,想要搞点儿事情的难度呈指数级上升。
3
IBM的这些“Security”规定非常详尽,现在不知道怎么样了,欢迎还在IBM的小伙伴补充啊!
但我知道,这些规定在中国研发中心至少实施20年了,也许从1992年建立IBM中国的时候就开始这么要求了,如果看全球的话,实施的时间肯定更久。
20多年前,中国互联网才刚刚起步,渗透测试还是非常罕见的东西。
毫不夸张地说,IBM这家百年老店,在IT这一块儿的积累太深厚了。
大家只是知道IBM曾经帮华为做过IPD,其实在很多地方,IBM的优秀制度和实践都能成为IT企业的榜样。
至于我的“恶习”,更多的是我自己的“小心眼”导致,怪不到IBM头上。
全文完,觉得不错的话点个赞或者在看吧!
近期爆文:
3193
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
