快速背景：我会将与您的“秘密图像”相关的所有内容称为红色，其他所有内容都称为绿色。

手机

我将 iPhone 设置为飞行模式，拿起我的照片，然后在家上传。忘记检测信号；检测手机。即使是 10 年的诺基亚积木，也不允许在安全区域使用通讯或照片设备。使用金属探测器。摆脱 iPod shuffle 也。

互联网

对于“红色”机器，没有也永远不会。好吧，这并不是一个完全断开连接的世界，除了 Apple 和 Adob​​e 更新站点之外，对所有东西都设置防火墙的权衡可能是在时间上与运动鞋网更新或将文件下载到堡垒主机的合理折衷。

闪存驱动器

我会走另一条路，只保留本地存储的文件。除了闪存驱动器因丢失而臭名昭著之外，无论如何都可以将文件复制到本地系统，然后再复制到新的闪存驱动器上。我们已经进入了一个键盘和存储媒体插入同一个物理端口的世界，从安全的角度来看，这很糟糕。端口中的环氧树脂通常是一个好主意，但您仍然需要保持键盘插入，这并不容易。我建议设置 auditd 以检测任何不是键盘或鼠标的 USB 活动，并将该日志通过网络推送到监控设备，该设备可以同时通过电子邮件和寻呼该死公司的一半。如果你把一个大容量存储设备放进去，一分钟之内就会有人来接你。此外，请注意 CD 刻录机。如果您可以断开驱动器，那就更好了。

实际上，还要确保禁用外部驱动器上的大容量存储驱动程序：http ://www.techrepublic.com/blog/networking/disable-usb-storage-under-os-x-or-windows/297 ...并且仍然实现审计日志。尝试采取措施检测机器是否也已从网络中拔出。

SFTP 服务器

确保只有一个帐户可以读取文件，并且该帐户将内容从您的绿色网络转移到您的红色网络。如果您对所有内容强制只读并使用服务器脚本将数据推送到红色网络，则可以获得额外的奖励。如果您使用 SSH 的标准 SFTP 子系统，这可能需要一些花哨的权限工作并安装强制访问控制框架。

我还考虑将 ProFTPD 作为 SFTP 的后端运行，因为它确实允许应用程序配置强制执行更细粒度的权限控制。

机器配置

“深度冻结”您的机器，以便它们每次启动相同的配置并且不保留新文件。程序应该是在完成机器后关闭机器，或者至少在用户之间重新启动。将所有客户端文件存储在一个中央共享上，并审核对该共享的所有访问权限。

根据您的情况，存在一些针对这些的控制。

手机 您是否可以在您网站的安全部分禁止使用手机？如果是这样，请将违反此规则的行为定为纪律/可解雇的罪行，并可能增加经济处罚，以降低员工这样做的价值。您通过搜索进入和退出以及现场随机抽查来检查合规性。

本地存储 除非用户需要能够写入，否则提供只读文件系统。为每个文件添加水印并实施数据丢失防护解决方案，该解决方案监控网络上的所有文件以禁止移动文件，除非它们被归类为适合传输。

FTP 你为什么要使用 FTP - 风险包括：

• 在两者上使用相似的密码，嗅探 ftp 流量的攻击者将有更好的机会猜测 SFTP 密码。
• 破坏 FTP 守护程序的控制可能比 SFTP 更容易，而且无论如何攻击范围更广，因为有两个应用程序。

员工审查也可以帮助您降低风险。

我在这里看不到的一件事 - 你的人事政策在哪里？从事这方面工作的团队的培训在哪里？

最后，这将归结为人们是否在做他们的工作，以及他们是否认为安全是他们工作的一部分。我在这里假设您的“高安全性”属于商业产业/知识产权保护的性质 - 而不是政府许可意义上的“高安全性”，其中对物理安全要求有非常精确的定义。

几个想法：

• 安全培训——所有被允许进入“高安全”区域的员工。
• 人机工程学 - 有一个工人可以存放手机的地方，有关于固定电话的公开信息，有一个区域外的地方，人们可以拨打手机或上网 - 一般来说，让遵守政策变得容易，所以人们不会为了方便而努力规避它。
• 零容忍——如果这事关重大，并且贵公司的声誉取决于妥善管理，请与从事此工作的人员沟通。有一个非常清晰、非常一致的执行流程，用于警告、记录问题和终止不遵守规则的人员。明确指出不遵守规则会危及公司的盈利能力。从人力资源和法律部门获得帮助。
• 进入和退出“安全模式”的过程 - 确保进入和退出模式的低级别后果 - 包括物理上的 - 张贴什么标牌？和数字 - 内存是如何擦除的？硬盘是否重新映像？归零？彻底摧毁？同样 - 如何存储备份？不丢失数据与不损害数据一样重要。
• 身份验证/访问控制 - 网络/机器和建筑物
• 愚蠢的问题，但是....窗户？门？楼梯？工作区有什么可见的？
• 诊断 - 关于谁访问该空间以及何时访问，您有什么信息？无论是在物理上还是在网络上。这些日志的防篡改程度如何？
• 处置 - 使用过的媒体（CD/DVD）、可移动媒体（USB 驱动器等）、打印机、计算机 - 您的销毁程序是什么？

我认为我的主要观点是，事情最常出错的地方是人们和工作区域相遇的地方。并不是说人们是恶意的（除非他们是……）——更多的是他们没有意识到什么会导致问题。

可能这些事情超出了您的权限范围，但我认为值得扩展一点，看看您可以做些什么来培训人们并让他们更聪明地思考。此外，我不能足够强调与团队合作进行打印工作以了解哪些工具是必须具备的以及哪些流程必须是高效的。因此，工作需求经常会以意想不到的方式与安全需求发生冲突，从而导致安全短路，因为人们在安全方面工作以完成工作。

以前没有解决的一个风险是来自房间外的电子窃听。如果房间有窗户，那么停车场里的人可以很容易地听到正在讨论的内容。进一步的计算机辐射射频能量，很容易从房间外被截获。

为了真正安全，房间应该同时使用法拉第笼进行声学屏蔽和射频屏蔽。有关如何从计算机辐射的无意信号中收集信息的讨论，请参阅TEMPEST。

TEMPEST 是一个代号，指的是对妥协排放 (CE) 的调查和研究（参见 Van Eck phreaking）。妥协发射被定义为无意的承载情报的信号，如果被拦截和分析，可能会泄露任何信息处理设备传输、接收、处理或以其他方式处理的信息。TEMPEST 只是一个代号，不是首字母缩略词。

危害性辐射由处理国家安全信息的设备/系统中的任何数量的来源有意或无意地发射的电能、机械或声能组成。这种能量可能与原始加密消息或正在处理的信息相关，从而可以导致明文的恢复。实验室和现场测试已经证实，这种 CE 可以通过空间和附近的导体传播。此类辐射的拦截/传播范围和分析受多种因素影响，例如信息处理设备的功能设计；系统/设备安装；以及与物理安全和环境噪声相关的环境条件。术语“妥协的放射”1

TEMPEST 一词通常广泛用于整个排放安全或排放安全 (EMSEC) 领域。TEMPEST 一词是在 60 年代末和 70 年代初创造的，作为 NSA 行动的代号，用于保护电子通信设备免受潜在窃听者2的侵害，反之亦然，具有拦截和解释来自其他来源的这些信号的能力。