请教各位大神一个问题：如何防止员工把公司文件拷贝出去？

yixin1851

请教各位大神一个问题：如何防止员工把公司文件拷贝出去？
USB不能完全禁用，通过PE系统员工就可以无痕把公司文件拷贝出去，感觉没解呀。

vtte

绿盾加密系统。

armok.

肯定有办法的。否则敏感单位都数据没有安全性可言了。

yixin1851

vtte 发表于 2022-2-9 21:24
绿盾加密系统。

现阶段买不起加密系统呀。

yixin1851

armok. 发表于 2022-2-9 21:26
肯定有办法的。否则敏感单位都数据没有安全性可言了。

请教莫大，怎么防止这种PE 拷文件的行为呢？
目前我想到的是把USB封死不让用，但会影响开发工作。

LM5017

老东家用的亿赛通做第一级加密，各种文档、程序、数据文件，在公司局域网之外没有安装亿赛通的电脑打开，都会变成乱码。

LM5017

第二级加密，就是另外加了一层安全系统，公司所有文件都在安全系统里面，无法拷贝到外面去，只能公司内部互传。
然后电脑就卡的要死，酷睿变奔腾。

ziruo2002ab

不能上网，只能用usb考资料，在这样的公司上班真憋屈。这得多好的待遇才能补偿精神损失费啊

yixin1851

LM5017 发表于 2022-2-9 21:32
第二级加密，就是另外加了一层安全系统，公司所有文件都在安全系统里面，无法拷贝到外面去，只能公司内部互 ...

这成本太高了，我只想：如果员工拷资料，只要能监控到发现痕迹就行了，公司系统肯定装监控软件的，但如果通过PE这种系统，怎么监控？

redworlf007

不舍的花钱上系统就放弃吧。

yixin1851

ziruo2002ab 发表于 2022-2-9 21:35
不能上网，只能用usb考资料，在这样的公司上班真憋屈。这得多好的待遇才能补偿精神损失费啊 ...

能上网呀

liao-ljj

哈哈....NB的人靠脑子可以实现设计文档的输出，你是防不住的....
想办法根源上解决把......

LM5017

yixin1851 发表于 2022-2-9 21:38
这成本太高了，我只想：如果员工拷资料，只要能监控到发现痕迹就行了，公司系统肯定装监控软件的，但如果 ...

装安全系统是可以监控的，

每年粤海派出所都要上门带走一两个试图破解安全系统拷贝走文件的员工。

员工瑟瑟发抖。

yixin1851

LM5017 发表于 2022-2-9 21:42
装安全系统是可以监控的，

每年粤海派出所都要上门带走一两个试图破解安全系统拷贝走文件的员工。

安全系统可以监控到PE拷贝文件的痕迹？能推荐下么？

wye11083

LM5017 发表于 2022-2-9 21:42
装安全系统是可以监控的，

每年粤海派出所都要上门带走一两个试图破解安全系统拷贝走文件的员工。

你这是保密单位？。。

菌口之类的公司干活内网是不能上网的，而且人员进出要交手机等一切能连网的设备，查个资料都得登记出来用手机查。那个没办法，东西做好所有权就归菌方了，私企包括国企也都不具备所有权的。当然钱一般不少。

所以lz没有太好的办法，小公司这么搞人容易跑（自己辛辛苦苦写的代码不是自己的，自己的技术积累都做不到，更不用提迭代提升。对员工来说相当于花别人的钱给别人干事，效率不好说，当一天和尚撞一天钟的比较多了），除非钱非常多，大公司这么搞慢慢就成养老机构了（一人守着自己的一摊东西，慢慢就官僚化了，所谓大企业病）。我认为权限管理非常重要，非涉密单位核心资产由核心人员保管，普通员没必要限制那么死，任务分派下去之后每个人其实手里也只有他那一块代码，使用编译平台去整合所有代码，公司保留知识产权和著作权。

当然真碰到商业间谍就不好说了，还得核心人员保管好自己的重要数据避免被盗。。

wye11083

yixin1851 发表于 2022-2-9 21:54
安全系统可以监控到PE拷贝文件的痕迹？能推荐下么？

真想彻底保密那就用瘦客户机+远程系统好了。。这样pe就算进去也只能当砖头使。

wye11083

LM5017 发表于 2022-2-9 21:32
第二级加密，就是另外加了一层安全系统，公司所有文件都在安全系统里面，无法拷贝到外面去，只能公司内部互 ...

参考win10自动更新，正好给了个摸鱼的机会。。

xmlbb

IPgurad 网上搜索破解版，能满足你的要求。

xmlbb

不过还是建议用亿赛通做加密，再加一层局域网安全系统，完全防是不可能的，不过你做了这些后，大多数人都会不动拷贝的心思，因为大多数人只是想搞个工作，到了新岗位重新整就是，如果招聘你的企业看重的是你复制的成果，这种公司也不值得去。

monkeynav

LM5017 发表于 2022-2-9 21:30
老东家用的亿赛通做第一级加密，各种文档、程序、数据文件，在公司局域网之外没有安装亿赛通的电脑打开，都 ...

对于这种录屏就行了。转换成二维码，用外部设备解码。

dukelec

LM5017 发表于 2022-2-9 21:32
第二级加密，就是另外加了一层安全系统，公司所有文件都在安全系统里面，无法拷贝到外面去，只能公司内部互 ...

沒用的，曾經去一個很大的客戶公司支持了一段時間，不允許帶手機電腦和其它各種電子產品，上班前手機要集中存放，然後出入都和飛機安檢一樣，過機器掃描 + 人工手持工具掃描全身，包括鞋底，辦公電腦安裝監控軟件和加密軟件（windows 和 linux 都有安裝），拷貝出去会亂碼的那種，不能上外網，查資料要去專門查資料的機房，也只可訪問白名單上的少量網站，發郵件要靠領導逐級轉發，主機箱全部有上鎖，要用 usb 的話需要專門申請，插好 usb 線還要把機箱鎖起來，只讓線穿過機箱上的孔，有人找到漏洞舉報還有償金

然而，依然有各種漏洞，包括員工把硬件藏在皮帶釦裡面（那次是他們組長幫我把電路板帶出去，我跟他一起出去的，嫌走流程麻煩）、用開發板接收電腦數據、以及各種其它的軟硬件漏洞

我自己當時找到一個可以通過網路傳文件出去的方法，跟他們員工分享，他們說有很多漏洞，幾乎不會有人舉報漏洞

LM5017

monkeynav 发表于 2022-2-9 22:42
对于这种录屏就行了。转换成二维码，用外部设备解码。

亿赛通漏洞很多，

防君子不防小人。

大家心照不宣而已了。

最简单的方法，把c文件后缀名改为uvproj，就明文了。

罗小蘑菇

yixin1851 发表于 2022-2-9 21:54
安全系统可以监控到PE拷贝文件的痕迹？能推荐下么？

想不让PE进系统还不容易，BIOS设置禁用U盘启动，BIOS加密码不让设置，机箱加铁锁不让拆硬盘抠电池。

albert_w

dukelec 发表于 2022-2-9 22:52
沒用的，曾經去一個很大的客戶公司支持了一段時間，不允許帶手機電腦和其它各種電子產品，上班前手機要集 ...

用开发板下载是个好办法。在ide里面调用命令打个7z下代码到开发板，基本无人能防，it也很难审计。

小公司，防止员工接触不需要接触的内容更实用。跨岗位夸项目都要禁止访问。就别去防员工把他每天工作内容带回家去了

fszhang

我们公司的电脑普通人的USB存储写入权限是关的，但有些手机可以写入，这个怎么解决，虽然我不会带东西出去。估计手机自定义的协议，电脑不知道。在上一家公司，那个亿赛通，AD软件虽然对PCB文件加密，但在保存文件时保存低版本的另存为，就不会加密，不知道现在还行不行。还好我本人不会带出公司的机密文件。

laujc

我朋友公司是资料放自己的云盘上，每个人都有账号。谁下了哪些文件，都有记录的。
那个云盘可能是本地共享盘，没细问。

老东家是所有资料放本地共享盘，加密，局域网内直接使用，拷出去是乱码

sdsdc

能分底层和应用层？底层做成库，这样就分开了。

vtte

bitlocker加密后，没有密钥PE就拷贝不出去了。

hjjnt2008

禁了USB还有串口并口，有心做坏事的，会想尽一切办法，老东家用绿盾，我记得用虚拟机也能绕过去                                                                                                                                             

yixin1851

xmlbb 发表于 2022-2-9 22:30
IPgurad 网上搜索破解版，能满足你的要求。

这个只能监控上网行为吧，监控不了PE系统吧，毕竟PE里没有装IPguard

mutoudonggua

瘦客户机是终极方案，只是这样搞，就别真的太苛刻，制度归制度，实践还是要松一点。有的公司搞东厂锦衣卫，互相举报用手机，脑子都用在这些地方慢慢就封闭死了。

lb0857

记得杭州某加密公司是3-5k一年的费用  拷贝出公司电脑 设置的文件格式统统乱码

sunfulong

瘦客户机就可以了

xujihu

你封了USB，我就用串口来传

qinxg

加密后, 非常卡. 本来1分钟编译的要30分钟. 用不了git.  而且把C文件改个后缀名立即破解, 非常low

蓝蓝的恋

重要文件指定某人保管不就行了

mutoudonggua

毕竟做硬件级应用和纯软开发还是不太一样，都是低端电工行业，年薪也不可观，没必要脑子有水搞这一套。

孤独飞行

很难防得住，串口U盘，将源文件烧录到芯片FLASH里面...只有想办法，没有做不到的。

lb0857

mutoudonggua 发表于 2022-2-10 08:50
毕竟做硬件级应用和纯软开发还是不太一样，都是低端电工行业，年薪也不可观，没必要脑子有水搞这一套。 ...

越是低端越是江湖
越是底层越有阶级思维
蛮奇怪的事情

saccapanna

现在的公司用亿赛通几年了，可以说除了使得工作流程变得很麻烦，几乎没什么太大用处，要绕过亿赛通不是很复杂。
这个其实是一个很复杂的系统工程：
1. 数据拷贝：对于电工来说，只要有通信口，就能拷贝数据，包括串口、网口、USB口，打印机口等等，作为一个研发公司，这些口不可能全封吧？
2. 文件加密：文件加密肯定会给文件的使用带来很大的不方便，各个软件对应访问文件权限，其中肯定会有不少漏洞。

所以，要完全避免，很难！交手机，不能带任何电子产品进出公司，封闭所有外部端口，封锁非必要电脑接口，文件加密，无盘工作站，法律威慑…… 整体搞下来，可能员工都走光了，除非工资高到任你虐。
有这个成本，不如做好人性化管理，提高员工福利来得有效，并且大家都爽。

zstu2012

有专门的软件的，拷贝东西都有记录；还有一种好像导出来后文件不解密是打不开的，之前其他城市的同事传我一个机械图纸是加密过的，我就不能打开=。=

saccapanna

zstu2012 发表于 2022-2-10 09:16
有专门的软件的，拷贝东西都有记录；还有一种好像导出来后文件不解密是打不开的，之前其他城市的同事传我一 ...

都是浮云，都可以绕过。

mutoudonggua

saccapanna 发表于 2022-2-10 09:12
现在的公司用亿赛通几年了，可以说除了使得工作流程变得很麻烦，几乎没什么太大用处，要绕过亿赛通不是很复 ...

哥们说的很靠谱。

天下乌鸦一般黑

我记得华为用的微软的windows限管理，需要用户权限才能打开word之类的文档。
也就是发布文档的人，设置哪些用户可以打开这个文件。
如果你没有权限，我觉得是无解的。

redworlf007

saccapanna 发表于 2022-2-10 09:12
现在的公司用亿赛通几年了，可以说除了使得工作流程变得很麻烦，几乎没什么太大用处，要绕过亿赛通不是很复 ...

有句话不是说：让你不爽是他们的责任。

jingwaner

只要可以通讯，就有办法。
合理的方式 ，拆分员工工作，保护核心资产，提高产品复制难度。留住员工，大家开开心心岂不是更好？

huangqi412

小公司都是游击队作风，一个人全做整个流程。  大公司任务分割各做一块，拿不到别人那块。   实习生可以拷走公司整套资料肯定不行，人员分级，不同人能接触到不同内容就行，做的太过就是纯搞ZZ斗争。

kokoc_power

想想富士康里面苹果的资料都能流出去，就清楚这种很难防得住，

xmlbb

yixin1851 发表于 2022-2-10 08:23
这个只能监控上网行为吧，监控不了PE系统吧，毕竟PE里没有装IPguard

设置bios密码，不让u盘启动。

要完全封住是不可能的，但是做了这些，一般的工程师是没这个心思拷走资料的，真正有心要拷走的也防不住。

huangxiaolpbany

个人认为，防是防不住的，即使防住了，工作效率能有一半就错了。还不如把员工钱给足，把员工当人，不离职。
对于真正有本事的，离职时什么技术资料都不带，出去做相同的事也就时间问题，相同产品很快就可以上市。

redworlf007

楼主公司多少研发人员？

yangpeng012

liao-ljj 发表于 2022-2-9 21:42
哈哈....NB的人靠脑子可以实现设计文档的输出，你是防不住的....
想办法根源上解决把...... ...

根本解决办法是涨工资

xinjin

albert_w 发表于 2022-2-10 07:23
用开发板下载是个好办法。在ide里面调用命令打个7z下代码到开发板，基本无人能防，it也很难审计。

小公 ...

支持你的观点， 本来员工就对自己做的东西享有著作权， 加密别人的东西已经涉嫌违法，，还会打击员工的积极性，，还有的SB 公司 不让上网，反正我编程大部分成果都来源于网络，如果没有网络 我基本没了手脚。

dellric

yangpeng012 发表于 2022-2-10 17:50
根本解决办法是涨工资

人的欲望是无穷的

redworlf007

huangxiaolpbany 发表于 2022-2-10 14:49
个人认为，防是防不住的，即使防住了，工作效率能有一半就错了。还不如把员工钱给足，把员工当人，不离职。 ...

关键就是不想花钱啊。

huangxiaolpbany

redworlf007 发表于 2022-2-11 07:13
关键就是不想花钱啊。

那搞不好要花更多的钱哦。
我所在公司公司我这个产品的技术，挖三个人就够；其他的产品也是类似；别人真想做类似的产品，瞄准人挖就行。

个人认为，最多50W的年薪可以挖走这几个人，而且我们产品有的利润还是很不错的。

所以我们公司就面临着，重要技术人员的不断流失，技术发展缓慢，经常开倒车，重复研发。

gonboy

只要满足这2个条件，任何加密都是无效的: 可以正常读文件，可以上网。
1. 不能读文件，怎么工作
2. 不能上网，工程师估计立马就离职了

所以这个无解。 掌握好核心代码，工作拆解安排，给与员工合理的期望，才是正解。

PPS

多数人都是站在员工的角度看问题，你们想想如果你们自己是老板会如何？不懂换位思考吗？我上一个东家的资料完全没秘密，最后的结果就是生产了各路竞争对手，不管是不是做技术的都把资料拷走然后自己做，市场最后简直没法看了。你们一方面反对公司对资料做限制，一方面又批评市场混乱靠价格竞争。我支持楼主做限制，当然完全限制是做不到的，能限制大多数平庸的员工就行。少数技术高超的，那不是池中物，早晚会化龙。永远不要低估人性，当有利可图的时候，再好的人品也会找到借口被突破。

wxfje

前东家上市公司，啥安全措施都没有，云盘随便用，所有资料代码随便拷贝，然后呢，拷回来也是躺硬盘里

ziruo2002ab

wxfje 发表于 2022-2-11 09:51
前东家上市公司，啥安全措施都没有，云盘随便用，所有资料代码随便拷贝，然后呢，拷回来也是躺硬盘里 ...

+1 考资料的硬盘都不知道丢那里去了 哈哈
其实公司越大，员工个人就越没用！为什么？因为大公司的产品往往是一个团队，一个项目投入都是以千万级别计算的，你一个员工拿到了某部分的资料，有用吗？
超大公司往往管的不严（除了菊花？）

ackyee

对于做技术的来说都不是事

yixin1851

redworlf007 发表于 2022-2-10 15:07
楼主公司多少研发人员？

创业公司，员工人数不值一提。

yixin1851

PPS 发表于 2022-2-11 09:37
多数人都是站在员工的角度看问题，你们想想如果你们自己是老板会如何？不懂换位思考吗？我上一个东家的资料 ...

认同，说到我心坎里了。特别是像我们这种创业公司，核心的东西没有保住，搞不好自己产品还没有出来，外面就有竞争对手了。

yixin1851

谢谢楼上各位的热心回复，我心里有个大概的方向了，再次谢谢各位。

xmlbb

LM5017 发表于 2022-2-9 23:23
亿赛通漏洞很多，

防君子不防小人。

那是公司的IT不会设置，或者故意的，像我就建立一个组，就是这样弱的，方便自己，其他组就没有弱，想破解是要费点心思的。

用好亿赛通不容易的，做好策略，对付普通工程师是没有问题的，像论坛上多数是嵌入式的，不好搞，因为调试口，串口没办法。

xmlbb

gonboy 发表于 2022-2-11 08:52
只要满足这2个条件，任何加密都是无效的: 可以正常读文件，可以上网。
1. 不能读文件，怎么工作
2. 不能上 ...

像pcb layout岗位，设置pcb软件透明读写加解密，其他软件读都就是密文，pcb进程做md5识别，你改个版本都用不了，你如何破解，给你上网，传出去的都是密文。软件行业有特殊性，特别是嵌入式想要完全防止应该是不可能的，但是很多行业，对电脑知识不了解，完全没问题。

mutoudonggua

嵌入式和硬件工程师和IT工程师斗智斗勇，哈哈哈

autolog

格局小了，格局小了。

fsclub

全部上虚拟机，远程访问虚拟机。一台服务器跑30个。

tangnyzl

过来人说一句,如果工资到位,你请他违规,都不会干

redworlf007

tangnyzl 发表于 2022-2-13 12:44
过来人说一句,如果工资到位,你请他违规,都不会干

就是你让他迟到，他都不会迟到，打了鸡血一样，哈哈。

Franso

LM5017 发表于 2022-2-9 21:32
第二级加密，就是另外加了一层安全系统，公司所有文件都在安全系统里面，无法拷贝到外面去，只能公司内部互 ...

然后电脑就卡的要死，这体验是不是太差了

gonboy

xmlbb 发表于 2022-2-12 01:06
像pcb layout岗位，设置pcb软件透明读写加解密，其他软件读都就是密文，pcb进程做md5识别，你改个版本都 ...

pcb 软件，脚本是用来干嘛的。

xmlbb

tangnyzl 发表于 2022-2-13 12:44
过来人说一句,如果工资到位,你请他违规,都不会干

多少是到位？大疆工资到位吗？不是照样违规？
华为工资加分红到不到位，不是照样违规？
特斯拉待遇如何？不是照样违规？
违规例子不要太多，到位是没有尽头的，哈哈。

xmlbb

gonboy 发表于 2022-2-14 09:02
pcb 软件，脚本是用来干嘛的。

脚本没有用的，脚本是通过主进程读写文件的，只要通过主进程都是透名加解密，你用脚本保存的文件都加密了，除非你脚本能访问网络，到了这一步，如果layout工程还懂怎么整就认命吧，或者把网络断了，我老婆公司的解决方案是两台电脑，一台专门layout，一台上网，哈哈。

gonboy

xmlbb 发表于 2022-2-14 09:33
脚本没有用的，脚本是通过主进程读写文件的，只要通过主进程都是透名加解密，你用脚本保存的文件都加密了 ...

方法千千万，注入也可以啊

对硬件开发而言，最简单的就是烧录/烧录/烧录。

gonboy

xmlbb 发表于 2022-2-14 09:27
多少是到位？大疆工资到位吗？不是照样违规？
华为工资加分红到不到位，不是照样违规？
特斯拉待遇如何？ ...

所以 技术分散 才是最终极的办法。
不好的地方，就是基础人员流动过大

adswads

这些都是防君子不防小人

xmlbb

gonboy 发表于 2022-2-14 10:48
方法千千万，注入也可以啊

对硬件开发而言，最简单的就是烧录/烧录/烧录。 ...

注入不行的，注入md5就变了，能烧录还防毛线，我说的layout的岗位就是只是画板，做原理图，封装等等这些，别的不干。

像小公司的全能人才，防也没用。

像嵌入式这种岗位肯定是防不住的，大不了从串口传出来，不能连串口也封吧，那还调试毛线。

tangnyzl

xmlbb 发表于 2022-2-14 09:27
多少是到位？大疆工资到位吗？不是照样违规？
华为工资加分红到不到位，不是照样违规？
特斯拉待遇如何？ ...

大江，菊花都防不住， 还防个鸡~ 巴

xmlbb

tangnyzl 发表于 2022-2-14 13:10
大江，菊花都防不住， 还防个鸡~ 巴

这就好比这个世界有牛B的小偷，只要他想偷你可以随时偷，但是不代表你家里可以不上锁呀。