有谁知道是否有充分的理由不允许在我们的客户端 PC 上安装 Dropbox？

这取决于许多因素，例如您接受风险的意愿、您存储/处理或以其他方式管理的数据的分类（敏感性），例如提高用户生产力的潜力。

Dropbox 存在许多与机密性相关的问题，例如this和this以及数据在服务器端加密的事实。支持和反对使用 Dropbox 的论据都存在，但它始终归结为您愿意接受风险，因此为了增加便利性而牺牲安全性。

一旦文件在云中，保管箱上的潜在病毒是否会更容易传播，因为它可能会同步到我们的客户端，然后自动传播？

是的，一点没错。早期版本的 MS Office 文档默认启用了宏，许多蠕虫以这些宏为目标进行传播（但后来的版本在这方面有了显着改进！）。

但是可以专门编写蠕虫/木马来利用 Dropbox 文件共享。当执行时（无论出于何种原因），它可以扫描计算机并查找 Dropbox 文件夹、替换文件、重命名或通过任何其他方式将自己置于用户可能执行它的位置。这显然是在计算机和网络之间传播恶意软件的绝佳方式。

是否有任何安全机制来防止这种传播？

取决于您对传播的含义，但我假设您正在谈论从您公司管理的一台计算机执行 Windows 二进制文件。那么是的，有几种方法可以做到这一点。使用 Windows 7 applocker，您可以简单地限制允许执行的应用程序，或使用应用程序监视“新”可执行文件并删除它们/隔离或您认为需要的任何操作。

此外，我们的好老朋友 AV 将捕获 Dropbox 文件夹中的任何旧恶意软件，假设产品覆盖范围合理。要知道有统计数据似乎表明最受欢迎的 AV 产品是最差的，但即使是最好的也不是很好。（真的没有什么新东西！）

允许 Dropbox 的一个更明显的困难是明确区分公司资产和私人资产。用户不可避免地还会在他们的私人计算机上使用 Dropbox，因此将公司数据存储在您无法控制的私人计算机上。

然而，这又完全取决于你接受风险的意愿。威胁已明确识别，计算每个威胁的相关风险并为您提供量化风险列表将是一项相当容易的练习。您还可以实施一些技术保障措施，以降低与您特别关注的问题相关的某些风险的可能性。

然而，我认为传播恶意软件不应该是您的首要任务，相反，您应该专注于如何明确区分私人和公司拥有的数据资产。这是在公司和家庭计算机之间使用任何类型的文件同步产品或服务时真正令人头疼的问题。有些产品也可以解决有关信息披露的问题，但我离题了。

或许您愿意接受这些风险以避免实施所需保护措施的成本？

通过允许像 Dropbox 这样的文件共享网站，是的，如果您让用户使用 Dropbox，您几乎可以肯定他们的家用 PC 不会像企业 PC 那样受到保护。因此，您为最大限度地减少损害而真正实施的所有这些保护措施……例如内容监控和过滤都没有多大用处。

但是，还有一个更大的问题，即可能泄露专有敏感信息。我会比普通病毒更担心这一点。如果您的用户觉得他们需要 Dropbox，请找出原因并支持公司认可和控制的解决方案。

使用 Dropbox 广泛共享文件确实会带来一些风险，尽管它也有好处，并且将这些放在上下文中很重要。

主要风险是机密文件的泄露。如果用户在 Dropbox 上存储了许多机密文档，并从许多机器上访问它们，那么您可能会有许多这些机密文档的副本在四处飘荡（例如，在用户的家用机器上，这些机器可能不太安全）。还有一个风险是，如果用户选择了错误的 Dropbox 密码，这可能会使其他人能够访问他们的 Dropbox 文件并窃取机密数据。因此，像 Dropbox 这样的文件传输软件的广泛使用给机密数据的控制带来了更大的挑战。但是，这些风险很可能可以通过策略来管理：例如，设置策略禁止用户将高度机密的数据/文档放入 Dropbox。

您询问了另一种风险：用户的工作机器被存储在其 Dropbox 帐户中的一个文件中携带的病毒感染的风险。就个人而言，我不会担心这个。我不认为这是一个重大风险。假设您在所有工作机器上都安装了防病毒软件，则 AV 软件应该会捕获用户访问的文件中发现的任何病毒，即使他们通过 Dropbox 获取了这些文件。因此，我不会担心这个。

禁止 Dropbox 存在风险。一种风险是生产力的损失。另一个风险是如果政策似乎没有充分的根据，就会失去对您的 IT 部门的尊重。您的 IT 部门越是因过度控制和盲目禁止技术而享有盛誉，用户就越不可能配合 IT 安全策略，用户就越有可能寻找规避策略的方法。与禁止 Dropbox 所带来的任何风险降低相比，这可能会造成更大的伤害。我认为当他们的 IT 部门行为不合理并试图避免所有风险时，许多人会感到沮丧，而他们应该从风险管理的角度来处理它。您必须评估在您的组织中禁止 Dropbox 是否真正合理，以及 Dropbox 的真实风险水平，

我还想支持@M15K 的离别建议。如果您认为 Dropbox 对您的组织来说是一个不可接受的风险，那么 @M15K 的建议非常好：“如果您的用户认为他们需要 Dropbox，请找出原因并支持公司认可和控制的解决方案。”

文件共享基于云的“消费者”解决方案（如 Dropbox）不适用于企业或公司。微软在 Skydrive 出来时说最好，并说这些类型的产品不是，也不应该用于商业目的。

有数以千计的理由为什么不比应该的理由更重要。

安全风险之外的最大法律原因（以及使用条款，其中指定第 3 方可以访问机密文件，因此任何机密都不应存储在基于消费者的此类服务中......永远......）Dropbox 等服务的事实就是这样。让我问这个..这些文件存储在哪里？这些服务器位于哪里？您可以放心，以最低的出价者，调用称为数据导出规则和法律的东西......如果您有一个小文件，“美国政府可能认为对美国安全构成风险或潜在风险”（可能是从电气布局到公共聚会场所、学校、健身房、密码或用户名到 Cisco 帐户（您可以在其中下载出口受限软件等）直至机密文件，您都违反了该法律。你进监狱，你不过去。我现在相信，这是由 FTC 和国土安全部处理的。

数据库使用条款（基本上）指定，如果它安装在商务 PC 上，（Dropbox 假定该人，因为安装在商务 PC 上的人通过点击 TOU 来保证他们是）“授权”个人正在这样做对于整个公司......期间......（第一部分 ion Dropbox.com/terms）

阻止我在我的服务器和工作环境之外使用它的原因仅仅是道德......你有一个像 Skydrive 这样的消费产品，用大写的字母写着“没有业务......不要！因为他们不想拿客户的数据冒险一个业务级别，因为他们知道这是一个风险！然后是 Flippin Dropbox，他在合同中使用了法律词汇，例如“东西”这个词，他把整个“安全事情”搞得一团糟，表现得好像没什么大不了的（你想要失去利润并分享那么有价值的股票？可能不会......）......

这是一件大事.. 越多的安全组织请求你和我遵循简单的做法，像 dropbox 这样的大公司就会出现更多的钱......为了利润，表现得好像没什么大不了的......

如果您的企业存储了一小部分单个信用卡号以及姓名和到期日期怎么办？现在说安装 Dropbox 客户端的 PC 是通过 Dropbox 安全漏洞“进入……”的……跟着我？Visa / Amex等..有政府支持的巨大银行公司（因为支付卡行业（PCI）标准是这样说的......那就是......）你会好的......得到这个......你可能想坐下来......每次事件高达 500,000.00 美元……足以让中小型企业退出他们所从事的业务……

绕过它的唯一方法是使用 PCI 认证的加密产品在本地加密该数据，然后再将其发送到保管箱，购买所有远程设备的许可，下载所需文件并在使用前对其进行解密它..（不，听起来一点也不好玩……）（或者加密服务器网络上的数据，以及网关上的客户端……）

有了这一切，每位用户只需不到 20 美元（基本版约 11 美元），您就可以获得 Office365 E 系列计划，该计划通过了 HIPAA、SOX、ISO 和 PCI 认证。（Dropbox，隐藏在其中的页面中明确指出“在这个时候”，他们不是......）

所以问问你自己，尽管你的想法很小……这真的值得冒险吗？并且您是否想与我认为轻描淡写或轻描淡写地使用其产品相关的风险的公司开展业务......

如果您从事技术工作并且确实被击中并且您确实允许保管箱，那么您的职业生涯是否值得冒险？在你的名字在臀位旁边并且你做了新闻之后，你认为你可以就业吗？作为首席技术官，我可以向你保证，在我的生命中，我什至不会听到它背后的借口。我什至永远不会采访技术领域的任何人，他们通过自己的行为或决定在任何规模的网络上造成数据泄露。是的，我们都会犯错，这就是为什么你在 IT 部门的工作是尽你所能消除任何风险，无论大小。不要打开虫洞并为爱丽丝尖叫……）这对公关来说是一场灾难……对于企业而言，（如果竞争对手发现并泄露了您的身份……（喘气）您做了什么……并且增加了雇用某人的责任，因为他们允许公开承认并声明他们不是 PCI、SOX 的文件共享服务, 国际标准化组织,

嗯..这由你来决定...值得从事职业吗？损失您的公司或客户数据值得吗？

对我来说……这不是……消费者使用消费品，而不是企业……时期。