近期与很多兄弟单位进行了交流学习，具体业务上的事情不说，但在企业级的保密系统这一块，我个人觉得别家比我们做得好太多了。
我们的一些关键岗位，依然在采取不连外网这种简单粗暴的管理方式。
这种方式虽然是最安全的，即使中了病毒，数据也传不出去呀。但是造成的不便是，企业内部的系统，在出差时根本无法调阅。
就连领导都没有这个权限，因为压根不连外网啊，只能打电话请在单位的同事帮忙查。
但是有一些厉害的企业可不简单。
比如说，办公电脑如果要插入U盘，只能读取，不能写入。
如果是出差的话，可以通过笔电或者手机专门的企业App进行对内网的访问，但是只读模式，不能擦写。
最厉害的是，如果这时你想截图什么的，不仅截图失败，还会被自动记录截图行为，回去就等着内控来调查。
用于演示的iPad虽然是正常的ipad，但除了几个企业App外，其他的一律不能使用，点不开，而且也无法下载。
非常好奇，这些保密系统都是怎么做到的。
而且其实那些公司需要用到这些的，大多也都是技术出身，本身就具有很高的计算机水平，他们就没有办法做到突破这些权限吗？

花钱。

这套系统确实挺棒啊，同样想看看解决方案

截屏那个方法措施看似很牛，但是如何杜绝别人直接做屏摄呢？

eset 可以做到，花钱买授权就行

我们买了 1万个

哈哈哈，别这么打脸啊

所以有些问题根本不是问题，领导一张嘴，底下跑断腿。

深信服已经连续两年被教做人了。

真的就是物理隔绝最简单粗暴也最高效。其他的防护措施可以看看启明星辰 金电网安 深信服 绿盟的解决方案

如果真的是保密等级很高的系统，物理隔绝才是正确操作。

当那些渗透测试的人是吃干饭的吗

系统和硬件都是特制（定制）的。
以数据存储介质为例。
SSD上有一块专门的芯片，主板上也有一块专门的芯片，而且芯片是对应的。把SSD拆出来，在其他机器上读就是一块识别不了分区的硬盘。
用来转移数据的U盘（就这么称呼吧，实际上比U盘复杂，里面也有加密芯片）接口都是特制的，只能在保密机器上用，一般的电脑上根本插不进去。

不给连外网算什么简单粗暴的？
信息安全就是要做到连领导都没特权，不然以他的权限一出问题不是整个系统信息都漏出去了？
物理隔绝+权限管理+全程日志，这已经是涉密单位的基本标配了。

我怎么觉得楼主单位的方法简单粗暴，最实用。其他的方法也可以，但要的预算是物理隔绝的上千倍吧，而且还不一定安全，比如屏录。。

杜绝不了！屏摄没有啥软件能防止，只能靠自觉。除非杜绝外网访问，物理隔绝。就算加了水印，如果是文字信息，人家重新ocr一下就OK了。

我们都是挂微屁恩回去。指定IP嘛。非常重要的资料肯定只能无网状态了。

准入+水印就可以啊

屏摄可能会拍到水印，当然你拍后图像处理一遍可能可以去掉

哈哈哈，我记得可以插入些可有可无的字符

iOS相关的配置可以看这个，也不算是保密手段，只是管理功能而已：https://www.apple.com.cn/iphone/ ... NSC_Nov14_final.pdf

我们拿来demo的机器也都是只能跑demo而已

没用的 你屏摄也可以找出你来 你登陆后你的信息会在屏幕上面漂浮（肉眼不可见）

无法去掉 现在已经升级了 色块识别 哪怕你就拍摄一厘米见方屏幕 也能找出你来

之前我们找集成商过来了解过这一块,是一个软件,他们出售软件,这个软件要用就得联网,全平台客户端,每人对应用户名密码,而且要使用也必须联网的,然后读取服务端内容,单独分配权限,虽然比较麻烦,但是用起来确实能有效避免文件外传,出差人员也也有单独授权,显示文件全部都有大面积水印,拍照可以,但是有水印,复制啥的是没法用的

现在大一点的杀毒软件厂商都可以，花钱就行了。

保密主要还是靠人，现在手机这么方便，随便就可以拍照。

技术出身和黑客技术还是不一样的，上加密软件，上网络控制，这种方案毛毛多，就看你要求。。

花钱就行了啊，我们公司就是加了公司域之后有软件白名单，网站白名单，U盘只读不能写入，写入需要申请权限，电脑上编辑过的文件都自动加密，解密需要领导审批，OA文件有水印，外网进内网要威屁恩

好奇的看看技术的力量！

嵌入水印，到时候看是谁泄漏的，直接找人，当然真的价值高的信息人家不介意再处理一遍

然而有什么用，只要人家不是发到互联网上给你抓包了
你连泄密了都不知道又谈何水印呢

然而有什么用，只要人家不是发到互联网上给你抓包了
你连泄密了都不知道又谈何水印呢

我司用的Microsoft Intune
传送门

客户端的U盘管理和外部设备访问管理是两码事，两个系统

其实保密主要靠威慑。告知涉密人员危害性，需要承担的法律后果。所有技术手段不过是加大泄密难度罢了，不可能单靠技术手段100%防范。
我接触过国家级的那种。我就根本不敢拍照好吧，没有法律做后盾，所有的加密手段都白扯

保密本来就是这样，口头保密是无法杜绝，但是可以做到找到泄密源头， 你以为协议白签的？

那是还不够机密
真正机密的东西泄露了别人会告诉你我偷到你的机密了？

禁止上网这是很弱鸡的方法

现在主流的内网采用代理服务器上网，然后安装企业证书从而可以解密所有https流量。
然后配置监控软件的大数据来做安全策略。

这种情况找专业网络安全的公司咨询一下

抛开具体问题，我觉得楼主的题目让人觉得，


别人保密做的好，不告诉你是怎么做的保密

可以在屏显的时候嵌入水印。。。。一查就知道谁拍的了

以前阿里就是这样做的。

准入，水印，DLP，加密等等都只是终端安全的基础功能啊，
好比家里有现金你也不能敞着门是不是？无非就是锁好坏的差异

至于资料的安全级别，那就是存银行和放家里的区别，
首先你得看得到，再次什么级别能看到

也是楼上有兄弟提到的，安全都是相对的，没有绝对的
更多的是威慑，其次发生泄密尽可能溯源

之前公司和苹果合作的, 苹果来审查............

其中一堆管控问题, 信号屏蔽等等. 我问: 你们内部也这么做的? 他笑了...........

有些就是做个样子罢了.

比如钉钉app, 这个截屏会有水印.

主机审计系统，需要方案了私我！

那叫单导盒。U盘口是T型的。

不知道什么名字，单位保密人员培训的时候拿出来展示了下。

只读不擦这不叫保密，都连了外网了保个锤子密。找有资质的系统集成商来给你做。