论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 44 篇帖子 ]  前往页数 1, 2, 3  下一页
作者 内容
 文章标题 : 如何防止员工或者外包公司将甲方的系统拿出去销售
帖子发表于 : 2013-05-06 11:22 
离线
顶级用户

关注按钮

注册: 2007-01-08 13:25
最近: 2014-07-21 09:07
拥有: 5,843.10 安全币

奖励: 7602 安全币
在线: 7329 点
帖子: 796
公司花了很多钱请外面的公司进行开发了一套系统,现在此系统让外包公司的人员来维护和再开发,维护人员是可以接触到源代码的,那么怎么来防止这些人员将系统拿出去销售呢?


补充下:此系统比较小,只需要1个人来维护和再开发


最后由 flb_2001 编辑于 2013-05-07 09:43,总共编辑了 1 次

回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 如何防止员工或者外包公司将甲方的系统拿出去销售
帖子发表于 : 2013-05-06 12:54 
离线
新手

关注按钮

注册: 2011-12-11 10:32
最近: 2013-05-06 12:54
拥有: 11.00 安全币

奖励: 0 安全币
在线: 86 点
帖子: 1
加薪!


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 如何防止员工或者外包公司将甲方的系统拿出去销售
帖子发表于 : 2013-05-06 14:21 
离线
顶级用户

注册: 2010-07-02 16:46
最近: 2014-09-17 22:21
拥有: 7,798.00 安全币

奖励: 131 安全币
在线: 12631 点
帖子: 1386
如果他想做,几乎防不住。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re:如何防止员工或者外包公司将甲方的系统拿出去销售
帖子发表于 : 2013-05-06 17:12 
离线
新手

关注按钮

注册: 2012-12-11 09:47
最近: 1970-01-01 08:00
拥有: 51.00 安全币

奖励: 0 安全币
在线: 0 点
帖子: 12
良好的管理。。。我只能想到。。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 如何防止员工或者外包公司将甲方的系统拿出去销售
帖子发表于 : 2013-05-06 21:25 
离线
初级用户

注册: 2010-07-02 10:46
最近: 2017-12-31 19:20
拥有: 3,633.00 安全币

奖励: 3 安全币
在线: 3528 点
帖子: 49
建议参考国外大的开源项目的方法,将源代码分级别,不让同一维护人员一次性接触到所有的代码。
从根本上讲,如果这些源代码对公司的重要程度很高的话,是不应该外包的(也可指源代码中的核心部分)。既然已经外包了,只能增加代码泄露的难度,而无法根本杜绝。


--------本帖迄今已累计获得49安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 如何防止员工或者外包公司将甲方的系统拿出去销售
帖子发表于 : 2013-05-07 08:39 
离线
顶级用户

关注按钮

注册: 2007-01-08 13:25
最近: 2014-07-21 09:07
拥有: 5,843.10 安全币

奖励: 7602 安全币
在线: 7329 点
帖子: 796
是否有安全的source管理方案?


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 如何防止员工或者外包公司将甲方的系统拿出去销售
帖子发表于 : 2013-05-07 09:28 
离线
初级用户

注册: 2011-11-14 19:53
最近: 2014-04-22 09:41
拥有: 355.00 安全币

奖励: 0 安全币
在线: 941 点
帖子: 55
权限+制度+审核+法律


--------本帖迄今已累计获得49安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 如何防止员工或者外包公司将甲方的系统拿出去销售
帖子发表于 : 2013-05-07 09:38 
离线
顶级用户

关注按钮

注册: 2007-01-08 13:25
最近: 2014-07-21 09:07
拥有: 5,843.10 安全币

奖励: 7602 安全币
在线: 7329 点
帖子: 796
netgray 写道:
权限+制度+审核+法律

开发人员必须要接触到source,那如何控制权限?


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 如何防止员工或者外包公司将甲方的系统拿出去销售
帖子发表于 : 2013-05-07 09:40 
离线
顶级用户

关注按钮

注册: 2007-01-08 13:25
最近: 2014-07-21 09:07
拥有: 5,843.10 安全币

奖励: 7602 安全币
在线: 7329 点
帖子: 796
flim 写道:
建议参考国外大的开源项目的方法,将源代码分级别,不让同一维护人员一次性接触到所有的代码。
从根本上讲,如果这些源代码对公司的重要程度很高的话,是不应该外包的(也可指源代码中的核心部分)。既然已经外包了,只能增加代码泄露的难度,而无法根本杜绝。

如果这个系统是小规模的,只要1个人来维护和开发的话,如何控制呢?


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 如何防止员工或者外包公司将甲方的系统拿出去销售
帖子发表于 : 2013-05-07 09:53 
离线
站长

关注按钮

注册: 2003-11-11 19:30
最近: 2018-03-03 07:25
拥有: 10,224.00 安全币

奖励: 878575 安全币
在线: 107602 点
帖子: 3276
flb_2001 写道:
flim 写道:
建议参考国外大的开源项目的方法,将源代码分级别,不让同一维护人员一次性接触到所有的代码。
从根本上讲,如果这些源代码对公司的重要程度很高的话,是不应该外包的(也可指源代码中的核心部分)。既然已经外包了,只能增加代码泄露的难度,而无法根本杜绝。

如果这个系统是小规模的,只要1个人来维护和开发的话,如何控制呢?


话说到这儿就需要做比较细致的风险分析了,如果维护人员把代码拿出去卖你们公司有什么损失?


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 如何防止员工或者外包公司将甲方的系统拿出去销售
帖子发表于 : 2013-05-07 10:00 
离线
顶级用户

关注按钮

注册: 2007-01-08 13:25
最近: 2014-07-21 09:07
拥有: 5,843.10 安全币

奖励: 7602 安全币
在线: 7329 点
帖子: 796
phrack 写道:
flb_2001 写道:
flim 写道:
建议参考国外大的开源项目的方法,将源代码分级别,不让同一维护人员一次性接触到所有的代码。
从根本上讲,如果这些源代码对公司的重要程度很高的话,是不应该外包的(也可指源代码中的核心部分)。既然已经外包了,只能增加代码泄露的难度,而无法根本杜绝。

如果这个系统是小规模的,只要1个人来维护和开发的话,如何控制呢?


话说到这儿就需要做比较细致的风险分析了,如果维护人员把代码拿出去卖你们公司有什么损失?

最起码这个系统是我们公司请人开发的,其次果拿出去的话,可能有些漏洞会被发现。


--------本帖迄今已累计获得38安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 如何防止员工或者外包公司将甲方的系统拿出去销售
帖子发表于 : 2013-05-07 11:28 
离线
新手

注册: 2012-10-15 21:02
最近: 2015-01-25 12:34
拥有: 270.00 安全币

奖励: 0 安全币
在线: 734 点
帖子: 16
我个人感觉这个Case里最重要的是公司要跟外包公司签署正式的NDA。从技术上来讲,只能起到控制作用,但是不能百分之百的防止。当然技术上的控制也是必要的,这是毋庸质疑的。
从技术上来说,你们可以在公司搭一个可以远程访问的虚拟机,做好相应的权限控制,然后让那个外包公司的人通过安全的远程访问连进来。然后所有的开发和维护都在这个远程系统里完成。(但是如果用户在他那端用了print screen,或者是干脆用笔把代码抄到本子上,那就一点办法也没有。)。这样也许能降低一些代码泄露的风险。

还有一项就是合同。跟这个外包公司签订合同的时候,要把这一项写到合同里,如果代码被泄露了,那么对方要付什么样的责任和赔偿。如果以后掌握了代码确实被泄漏了的证据。那就可以通过法律的手段了。


--------本帖迄今已累计获得50安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 如何防止员工或者外包公司将甲方的系统拿出去销售
帖子发表于 : 2013-05-07 11:36 
离线
站长

关注按钮

注册: 2003-11-11 19:30
最近: 2018-03-03 07:25
拥有: 10,224.00 安全币

奖励: 878575 安全币
在线: 107602 点
帖子: 3276
坛子里以前也有人发过一些源代码保护的解决方案,比如:研发机构源代码防泄密解决方案书(http://bbs.cisps.org/viewtopic.php?f=96&t=27014),楼主也可以通过论坛首页左下方搜索功能搜“源代码”关键词查找其它相关帖子看看能否找到不同的解决思路。


--------本帖迄今已累计获得19安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 如何防止员工或者外包公司将甲方的系统拿出去销售
帖子发表于 : 2013-05-07 12:46 
离线
高级用户

关注按钮

注册: 2009-10-07 21:28
最近: 2017-12-10 23:07
拥有: 4,360.00 安全币

奖励: 2350 安全币
在线: 6350 点
帖子: 189
地址: 深圳
phrack 写道:
坛子里以前也有人发过一些源代码保护的解决方案,比如:研发机构源代码防泄密解决方案书(http://bbs.cisps.org/viewtopic.php?f=96&t=27014),楼主也可以通过论坛首页左下方搜索功能搜“源代码”关键词查找其它相关帖子看看能否找到不同的解决思路。


开发前没有签署源代码保护协议,如果以前没有控制没准早就.......所以既然已经外发开发完了,NDA只能签署个人的了。约束上意义不大,还是得通过技术手段做控制。建议给这个人专门的主机,做好网络准入和主机安全层面的控制,最好能有SVN系统就做些代码配置管理,如果确实有必要就考虑源代码加密了,相对保险一些。


--------本帖迄今已累计获得50安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 如何防止员工或者外包公司将甲方的系统拿出去销售
帖子发表于 : 2013-05-07 15:04 
离线
顶级用户

关注按钮

注册: 2007-01-08 13:25
最近: 2014-07-21 09:07
拥有: 5,843.10 安全币

奖励: 7602 安全币
在线: 7329 点
帖子: 796
aqualiuy 写道:
我个人感觉这个Case里最重要的是公司要跟外包公司签署正式的NDA。从技术上来讲,只能起到控制作用,但是不能百分之百的防止。当然技术上的控制也是必要的,这是毋庸质疑的。
从技术上来说,你们可以在公司搭一个可以远程访问的虚拟机,做好相应的权限控制,然后让那个外包公司的人通过安全的远程访问连进来。然后所有的开发和维护都在这个远程系统里完成。(但是如果用户在他那端用了print screen,或者是干脆用笔把代码抄到本子上,那就一点办法也没有。)。这样也许能降低一些代码泄露的风险。

还有一项就是合同。跟这个外包公司签订合同的时候,要把这一项写到合同里,如果代码被泄露了,那么对方要付什么样的责任和赔偿。如果以后掌握了代码确实被泄漏了的证据。那就可以通过法律的手段了。

至于合同条款等都考虑到了,至于你说的抄代码也太浪费人力物力了,只要能接触到,拍个照片就好了,呵呵。。。


--------本帖迄今已累计获得38安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 44 篇帖子 ]  前往页数 1, 2, 3  下一页

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 1 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
cron
华安信达(CISPS.org) ©2003 - 2012