姚浮萍首先汇报了“星链”项目目前的进展,以及数据泄露后的修复情况。她的声音清晰,逻辑缜密,每一个数据,每一个方案,都讲得明明白白。
林晚认真地听着,时不时在笔记本上记录着。
她发现,姚浮萍在修复方案里,已经补上了不少她曾经利用过的漏洞,可见这三个月,姚氏兄妹付出了多少心血。
“接下来,是数据安全加固的讨论环节。”姚浮萍合上汇报PPT,看向众人,“目前我们的防火墙已经升级到最新版本,但权限管控依旧是短板。荆棘科技能轻易策反内部人员,就是利用了我们权限体系的漏洞。大家有什么想法,都可以提。”
会议室里陷入了短暂的沉默。
研发人员们你看看我,我看看你,似乎都在思考。
“我先说吧。”曹辛夷率先开口,“我从市场部的角度提个建议。目前我们的客户数据,研发部和市场部都有访问权限,这就存在数据泄露的风险。我建议,对跨部门的数据访问,实行‘一事一议’的审批制度,由双方部门负责人和数据安全部共同签字,才能开通临时权限。”
“这个建议可行。”姚厚朴立刻点头,“我们可以在系统里加一个跨部门审批模块,设置多级审核节点。”
“我补充一点。”林晚的声音,突然响起。
所有人的目光,再次聚焦到她身上。
林晚深吸一口气,拿起文件夹,站起身,走到会议室前方的白板旁,拿起马克笔。
“曹经理的建议很有针对性,但还不够。”她转过身,面对众人,目光坚定,“荆棘科技的渗透方式,不止是策反内部人员,还有‘权限冒用’。他们会通过钓鱼邮件,获取员工的账号密码,然后冒用员工的权限,访问核心数据。”
“所以,我们的权限管控,不能只靠‘审批’,还要靠‘身份验证’和‘行为分析’。”
她拿起马克笔,在白板上画出一个清晰的架构图。
“第一,实行‘多因素身份认证’。除了账号密码,核心研发人员和数据审计人员,必须加上指纹和人脸验证,涉及核心算法的操作,还要增加‘动态口令’,由专属设备实时生成。”
“第二,建立‘用户行为基线’。通过大数据分析,记录每个员工的操作习惯,比如登录时间、访问的数据库、操作的频率。一旦出现异常行为,比如一个从来不在凌晨登录的研发人员,突然在凌晨三点访问核心算法库,系统会立刻锁定账号,并向管理员发送预警。
本章未完,请点击下一页继续阅读!