在大多數情況下，這不是技術問題，而是人為問題。因此，儘管技術可以發揮作用，但它具有局限性。

如果員工要從家庭監督中工作，將更加困難。如果您要監視他/她的活動，就不想違反適用的隱私法。

顯然，計算機必須受到保護，但其他環境也很重要。如果您擁有公司局域網，則應該有足夠的保護措施，例如IDS /防火牆。但是，如果沒有人關注日誌和警報，設備通常就沒有用。

自從您提到Visual Studio之後，開發人員可能至少需要是本地管理員才能在最佳條件下工作。如果您破壞他們的環境，他們可能會被誘惑甚至被迫尋找解決方法並破壞您想要避免的安全措施。

恐怕我們所有人都必須信任他人並冒險。您對員工的監控越多，您就越能使他們明白自己不信任他們並使他們感到不信任。在某些時候，監視工作會適得其反，因為您挫敗了他們並挫敗了他們。他們的生產力可能降低，忠誠度降低。

安全培訓也可能會有所幫助。員工可能誠實，真誠地行事，但容易受到社會工程學的影響，無意間危害了公司及其資產。 Naïveté和惡意意圖一樣危險。我想說的是，許多開發人員缺乏網絡安全意識。

也許您應該對公司訂購滲透測試並從中學到東西。這樣，您的安全狀況將得到改善，並且您將更有能力抵禦攻擊。

員工通常是最薄弱的一環，但您還應該考慮黑客和不道德競爭者的威脅。換句話說，不要過分關注您的員工，而是為您的公司開發一種360°安全方法。

物理安全性也很重要。如果硬盤驅動器經過加密並且密碼很強，那麼丟失筆記本電腦也沒什麼大不了的。但是您的備份應該放在安全的地方。考慮入室盜竊的風險。

是的，備份非常重要。確保您有一個可靠的備份計劃，不定期對其進行測試。準備災難恢復計劃。如果您的辦公室燒毀了所有計算機設備，將會怎樣？您需要保護您的源代碼，但也要計劃業務連續性。提示：保險。

如果您擁有寶貴的IP，可以考慮申請專利。再次，這是律師的工作。

可能您可以找到保險來承擔風險。問題是，是否值得為低風險而付出。

我也會在公司中提供股票或某些股權。這樣一來，您的員工就沒有動力去破壞和破壞您的企業了。

總而言之：存在如此眾多的潛在風險，我認為您過於強調內部威脅。與因不當行為而解僱他人相比，您更有可能被黑客入侵。您的員工必須是您的盟友，並應被視為同盟，而不是潛在的敵人。

請勿執行以下操作：

創建一個非管理員/受限用戶帳戶，不具有安裝權限，僅安裝IDE（例如Visual Studio）。

禁用對文件託管網站的訪問。

是否安裝了某種遠程管理系統？ Azure Active Directory還是什麼？

包括我自己在內的許多開發人員都不會在此計算機上為您工作，除非您願意真正讓他們值得。它將提供很少的安全性，但是令人難以置信的工作。

這裡有一個簡單的經驗法則：

一個惡性的開發人員將能夠闖入到他們正在使用的產品所使用的任何內容（數據，源代碼，網絡）。他們還會入侵您給他們的筆記本電腦。因此，在這種情況下保護和保護您的IP 不是技術問題，而是組織性的問題。

我需要確保聘請高素質的人才並提供有意義的薪水，並簽署適當的法律文件。

這是您的答案。

我想要發生的最後一件事情是特斯拉發生了什麼事，有人將源代碼轉儲到了iCloud上，並隨它跑給了競爭對手。

在那之後，特斯拉失敗了，再也沒有聽說過？還是《半條命》洩漏發生後的Valve？

或者，實際上，僅僅源代碼並沒有那麼有價值。與其他項目集成通常很痛苦，因此，除非有人要完全克隆業務（這是很明顯的，可以通過法律行動來解決），否則擁有源副本將遠沒有您想像的那麼有用。 p>

確保重要的事情是憑據和客戶數據。保護實時服務器，對其的訪問權限以及任何AWS或類似帳戶的安全。與源代碼洩漏相比，被AWS黑客攻擊更可能破壞業務。即使意外未能控制AWS的成本，也可能毀了您。洩漏的客戶數據可能會使您承擔GDPR責任。

兩要素身份驗證可能是明智的基準。可以的話，它可以與Active Directory集成（我不建議10名以下的員工使用）。

對於特別敏感的系統，將“測試”，“階段”和“生產”區域分開一個好主意是只有您（或已解僱的員工）可以訪問“生產”，並且只有生產具有真實的客戶數據。

首先，我建議您估算將要開發的軟件的實際價值。這真的是您將擁有的最有價值的資產嗎？如果有人獲得了源代碼，您將花費甚麼？

以Facebook或Linkedin為例。他們不是該領域的第一批人。而且他們的軟件不是最有價值的資產（是的，他們開發了軟件，後來又在開源Bootstrap，React，Kafka，Samza等上開發了這些軟件。）

在估算了風險和成本後，以防有人得到代碼，估計可以花多少錢來保護它。

這裡只需要考慮以下幾點：

1. 一個任務就是知道確切的含義是什麼。從計算機發送到互聯網。大多數站點使用HTTPS。您無法解密。一種選擇是強制所有連接使用您的VPN，強制安裝您的CA證書並實施中間人。另一個選擇可能是使用計算機上的某些間諜軟件。
2. 另一個任務是對發送到Internet的數據進行分類。如果使用某種加密或模糊處理，很難阻止它。
3. 技術實現可能非常複雜。開發人員要執行其日常工作，可能需要多個Messenger，多個瀏覽器和Email。您將需要控制一切。
4. 即使您擁有這樣的工具，仍然可以使用最重要的類，配置文件等的內容製作屏幕圖片。
ol>

防止通過Internet連接的洩漏可能非常昂貴，只有很少的公司能負擔得起。

考慮到這一點，禁用USB並沒有太大幫助。禁用USB的主要優點是可以防止筆記本電腦通過USB感染惡意代碼。

加密不花任何費用，也沒有任何意義。如果開發人員是忠實的並且不分發您的代碼，則在筆記本電腦被盜或丟失的情況下，加密可以提供幫助。

我曾經在一家擔心自己內部風險的道具貿易公司接受過一次面試。他們使用的緩解措施是：

• 所有在本地進行的工作
• 不允許攜帶手提袋，電話或照相機進入辦公室
• 沒有電子郵件
• 企業網絡未連接到互聯網
• 沒有筆記本電腦，只有瘦客戶端
• 鎖櫃中的所有瘦客戶端，只能訪問屏幕鍵盤和鼠標
• 沒有本地管理員訪問權限
• 僅嚴格執行僅允許使用軟件的規則。
• 每個入口都有金屬探測器和防護裝置
• 沒有超出限制的範圍允許工作幾個小時但是他們確實設法僱用了很多人，因為他們提供了超高的薪水。

讓我們將其分為三個部分：數字，物理和人類

數字

我建議給他們公司的計算機，無論他們是在工作還是在工作場外。這將允許您限制和監視他們的某些活動。但是，不要安裝鍵盤記錄器。即使是公司的PC，也沒人希望在系統上使用鍵盤記錄程序。他們將需要使用帶有密碼的登錄名，而這種登錄名與鍵盤記錄程序不兼容。

您的大部分監視應該在服務器端。監視往返服務器的流量。如果活動嘗試與您的服務器進行交互，則無論活動是否為員工，都應記錄下來。您可以記錄每個單獨的請求（我相信這並不罕見），也可以記錄與系統重要部分進行交互的事情，例如直接訪問數據庫。

正常流量可能表明惡意活動。例如，如果您看到1GB的出站數據，則可能要檢查它是否只是您的員工正在檢索某些工作數據或有人試圖導出您的數據。看到來自單個IP的500GB數據流是一個立即的危險信號。

任何和所有管理工作都應從您的內部網絡完成。這意味著他們必須從內部進入，才能看到您的管理門戶。如果要允許他們遠程工作，建議您設置VPN，以允許您的員工遠程連接到內部網絡。

物理

那裡您需要注意的兩件事是：訪問物理辦公室和工作計算機。我只討論公司的計算機。

實際上，當他們手裡拿著物理計算機時，您無能為力。您可能要做的最好的辦法是在計算機上蓋上印章，以使任何打開計算機硬件的嘗試都對您可見，或者至少被法醫專業人員檢測到。

這是安全法第3條：

如果一個壞人可以不受限制地物理訪問您的計算機，那麼它就不再是您的計算機

人類

這是這裡的主要因素。如 @Anonymous所述，這主要是人為問題。

首先，僱用您可以信任的人。我們的滲透測試人員一直在故意闖入系統。允許他們這樣做的主要原因之一是因為他們幾乎沒有理由對您的系統做壞事。為了符合條件，我們必須由招聘公司進行徹底審查。信任和利益是防止人們有意進入 損害系統的主要事情。

注意，我是有意地說出 的。內部威脅並非總是故意存在的。 TSA密鑰的洩漏不是因為有人想造成傷害，而是因為內部和第三方的失誤。 未經培訓的員工可以輕鬆地用一條命令錯誤地擦除整個數據庫。未經培訓的員工通常容易受到社會工程學攻擊，並且可以在不應該受到外界干擾的情況下讓外部人員進入。

為避免此類問題，您必須對員工進行系統管理和安全方面的培訓。培訓將有助於減少事故的發生，但是只有進行徹底的審查才能阻止惡意行為者成為您公司的一部分。

現在可以解決您提出的建議

他們

好主意

加密硬盤驅動器（例如使用Bitlocker）

這將保護 靜止數據 。不錯的主意，但對員工使用計算機和密碼沒有太大幫助。

禁用所有USB端口

我們一直都在使用USB端口。 USB鼠標，鍵盤，網絡攝像頭等。這也將成為大多數人方便地傳輸數據的主要手段。而不是全部禁用它們，而是在每次插入USB設備時使用軟件提示用戶。您還必須培訓員工，不要將他們在大街上發現的一些隨機USB插入工作計算機。實際上，您可以做的最大的事情就是訓練他們的USB設備並將其列入白名單，以便只有註冊的設備才能連接到計算機。

創建一個沒有安裝權限的非管理員/受限用戶帳戶，僅已安裝IDE（例如Visual Studio）。我將Windows 10用於大多數開發，但將Mac用於應用程序開發的iOS部分。

同樣，軟件偏好是個性化的。如果您不允許他們使用他們偏愛的工具，那麼這完全是您選擇限制他們的工作績效的選擇。建議使用受限制的非管理帳戶，儘管您必須自己管理安裝工具。

安裝某種員工記錄軟件。

其中大多數應該在服務器端而不是員工的計算機上。記錄他們的本地活動將使其更容易監視並起訴他們的惡意活動，但請注意不要走得太遠。孩子們不喜歡父母看著他們所做的一切，也不喜歡您的員工。服務器端日誌記錄不應讓他們感到不舒服，因此這是一種很好的監視方式。

禁止訪問文件託管網站。

即使很難做到，他們可能也需要訪問他們的個人驅動器才能進行某些工作，但是您要選擇限制性的選擇

以某種方式檢測並停止某個文件夾的上傳或複制？

監控往返服務器的流量。他們選擇將文件複製到USB記憶棒並上傳到其他位置。您只能監視以檢測來自/到您服務器的異常/可疑流量。

以某種方式使git存儲庫只能從該計算機訪問。為此，以及您所有的管理門戶都可以使用VPN。

是否安裝了某種遠程管理系統？Azure Active Directory還是什麼？

我主要使用Linux，因此我對Windows不熟悉，但是Active Directory應該只能從內部網絡訪問。同樣，使用VPN進行遠程訪問。

您的關注點似乎是在保護自己免受對抗性內部人員的攻擊，即那些有意識地和故意地試圖破壞您的安全性的人。

正如其他人所指出的那樣，對故意攻擊進行重大保護可能是不切實際的通過技術手段。 mjt的出色答案提供了一系列典型的限制，但是即使這些限制也不能阻止人們從頭腦中竊取信息。正如其他剃須刀所指出的那樣，這些對生產率產生了很大的負面影響。在當今時代，尤其是完全禁止從開發機訪問Internet可能會很麻煩。 （您可能至少想提供連接到Internet的第二台“氣隙式”計算機，以便人們可以查找文檔等，儘管這使您接觸到從安全系統中讀取代碼並在不安全的系統上進行輸入的人。 。）

但是，在查看內部技術安全措施時，您要重點關注的是減輕安全疏忽的風險。與故意攻擊相比，這些攻擊要普遍得多，而且更容易預防。

這樣做的最重要部分是許多公司都犯錯的一種方法是使攻擊變得容易開發人員可以安全地完成他們想做的事情。從技術上講，這通常並不太困難，大部分​​工作都在支持和培訓上。

這種方法的重要方面是：

1. 願意花點時間長期生產力的打擊，以進行培訓和安全修復。例如，如果您制定了一項政策，即開發人員的ssh密鑰必須僅保留在他們登錄的系統上，並且開發人員在使用ssh-agent時遇到困難，請確保在單詞和action 與使用Xdone功能相比，讓她使用ssh-agent平穩正確地工作具有更高的優先級。

2. 當開發人員說她想做X時，請立即與她一起確定他想實現的核心目標，以及一種既安全又輕鬆地做到這一點的方法。您希望開發人員為自己有一個解決此問題的好方法而高興，而不是尋找解決方法，因為她發現您提供的解決方案不便，或者更糟糕的是，在嘗試安全地工作時會因生產率降低而受到懲罰。

3. 確保您能夠在安全策略中為工作提供培訓和立即支持。如果開發人員在遵循策略時將文件X放入系統Y時遇到麻煩，則需要在此時向她展示，並在那裡找到一種簡單而安全的方式來執行此操作，而不是讓她沮喪並尋找其他方式來執行此操作。

4. 遵循您自己的安全策略並解決開發人員指出的問題。如果您有一項政策，永遠不要通過HTTP移動敏感數據，並且開發人員指出她嘗試使用他們認為應該使用HTTPS但未使用的內部系統，請立即解決此問題，而不要告訴她只是忽略該問題。如果您選擇後者，他們會發現忽略看起來不對的事情是正確的做法。如果公司政策另有規定，他們會發現在某些情況下忽略公司政策是正確的做法。

ol>

簡而言之，您不僅需要設置安全性-有意識的系統和政策，並向開發人員介紹它們，同時展示，這些對您來說很重要，這是因為a）願意投入工作以使工作變得安全容易，並且b）優先考慮完成功能如果做得好，從長遠來看不會使您放慢腳步，但是，如果您在這一領域的行動與您的言辭不符，那麼您的安全系統和政策將毫無用處。

好吧，讓我們來經歷一下：我想竊取您的代碼。

我插入設備，沒有任何效果。然後，我製作一些zip文件並將其郵寄回家。不，您阻止了所有郵件Web客戶端？好吧，所以我去ftp / ssh /任何。您也封鎖了這些嗎？所以我將其上傳到網站。您阻止了數千個？作為開發人員，我仍然擁有一些域，因此我只是將其上傳到其中一個域。那些可以阻止您不想僱用的域。

這裡是一個解決方案：為他們提供訪問權限需要了解的基礎。只有讓每個開發人員都在項目的一部分上工作，沒有人擁有完整的代碼。創建多個存儲庫，將高價值且幾乎沒有變化的部分放入受限存儲庫中。您仍然可以共享API的文檔。

我不知道您的工作領域，但是在大多數SaaS項目中，秘密不是如何做某事-大部分是直截了當。您想要保護的是您在競爭中的優勢，因為他們需要投入已有的工作。因此，即使他們知道您的東西如何工作（或無論如何如何工作），也只需要讓他們開發而不是複制即可。

令我驚訝的是，我沒有看到大多數初創企業使用的答案。

賦予員工權益。使他們成為共同所有者，不一定是50-50，但可以激勵他們使企業成功。許多初創企業通過股權或利潤分配等方式來實現這一目標。

而不是試圖限制它們。我保證，如果您向員工承諾10％的利潤（假設這是非常可觀的），並給他們提供開放的非受限筆記本電腦，他們將非常努力地確保業務成功。

資料來源：我在小型初創公司和大型科技公司工作。我可以保證，沒有人像您提到的那樣限製筆記本電腦的使用，而沒有僱用頂級工程技術人才的筆記本電腦。

這裡有兩種可能性，您僱用值得信賴的人，還是僱用了不值得信賴的人。如果您想讓一個值得信賴的人，那麼工作就必須對一個值得信賴的人有吸引力，並且工作條件必須使您保持值得信賴的員工。

如果您僱用一個不值得信任的人，他們將會無論您採取什麼步驟，都可以做他們想做的事情。他們將永遠被出售給出價最高的人。

如果您鎖定一切以確保僱用的每個人都會在任何時候都感到沮喪，那麼這將使可信賴的員工難以工作並同時發送您不信任他們的消息。值得信賴的員工可能不那麼注重金錢，而更多地從事優質工作，但他們將需要一個優質的工作環境。缺乏信任並不能提供優質的工作環境，也不必在非常鎖定的機器上進行編碼。

有點卑鄙的答案，但請這樣考慮。如果他們真的想竊取您的代碼，則可以在屏幕上拍照。因此，我建議您將屏幕亮度鎖定在0％，以使他們看不到他們在做什麼。

...或者您可能要確保他們沒有誘使您從您那裡竊取資金的方式，例如照顧好您的員工並將其視為朋友。生意遲早會變得足夠大，您將需要信任很多人，例如財務，IT部門。

此外，如果有足夠知識的人想要獲取您的代碼，他們會更好。幾乎沒有辦法阻止它。更可能發生的是通過社交工程或直接黑客入侵的外部攻擊。內部攻擊過於危險（從法律和財務角度而言），並且在大多數情況下非常耗時。如果您剛開始是一家公司，那麼您的法律保護應該阻止這種攻擊。情況與您的十億美元公司不同，但是您似乎還不是十億美元公司，因此可能不是您最需要擔心的一件事。