在大型外企开发部门做过技术主管，每天会接触大量涉密的图纸、方案PPT、制程规划及工艺参数等，负责过集团PLM系统开发及导入（使用系统来管控涉密图文档和工艺流程等），同时也是信息安全负责人，参与过多起泄密事件的调查（信息安全事件）。今天遇到一个咨询：上班时间电脑干私活如何不被公司发现，聊了很多，也想着简单分享一下。

（“公司的网络”本文内简称“内网”；“公司电脑终端和网络的管理单位”本文内简称“IT”）

不要用公司的电脑

一般规模比较大的企业，会默认每台公司电脑都会安装后台监控程序（参考文末的注1），这个程序有可能是单独的，也有可能是捆绑在某个软件里面（比如：硬盘数据加密程序）。当然有些监控程序只会存在于进程里，普通用户连界面可能都找不到。

后台监控程序

IT信息安全核查，为防止泄密，会不定期稽查在网终端的使用情况，包括但不限于：监控系统后台截屏你的即时屏幕、记录文件增删复制记录并上传服务器、上传本地User自己的截屏内容。这些使用情况都会形成记录存放在服务器里，非管理员权限无法查看和删除。

公司电脑上的U盘使用

有些公司IT默认不开放USB权限，有USB权限的电脑后台也会监控到，只要插U盘就会触发相关记录和上传，主要会记录U盘相关的硬件信息、增删复制文件的操作记录（会详细记录文件路径及文件名），也有可能会触发后台报警给管理员，当场打电话问你，在使用U盘做什么。大多数情况下，IT关心的是U盘里面可能会有病毒，万一内网传播开会很麻烦。

硬盘数据加密程序

数据在公司所有安装同一款硬盘数据加密程序的电脑里都可以打开，把数据搞回家，可能会打开不了或者打开了之后出现大量乱码，无法使用而失去数据价值。（通过硬盘数据加密程序自带的解密功能解密后，数据才不会乱码，一般是发给外部客户才会用到解密功能）

公司电脑里的硬盘

有些公司电脑的硬盘拆下来装到自己的私人电脑上，在windows系统里打不开，但在Linux或者其它系统里可以识别。有些公司电脑的硬盘旁边会装一个硬盘控制芯片，需要拆除控制芯片，其它硬盘才能识别，当然有些会在主板BIOS里面进行硬件绑定，没有BIOS密码是无法进入设置的。

某伙伴，在日企做管理，把公司资料转回家，用私人电脑打开，有发现图档乱码，可能要装一个日文操作系统，内码不一样吧（文档可以通过转码解决乱码，图档可能就要一个对应语言的系统环境）。

不要用公司的网络（内网）

只要用内网，所有网络访问数据包都可以被抓包（涉及内外网的访问记录、浏览器的网址访问记录），访问指定敏感网站（非法网站、游戏网站、招聘网站等），可以触发禁止访问或报警机制。

公司邮箱

使用公司邮箱进行资料外发（发给非本公司邮箱），会被邮件服务器监控，发送者的邮件记录里面根本看不到被监控的记录。说个比较典型的，可以在邮件服务器端设置：员工外发邮件时，同时给公司的信息安全管理部门发一份，形成记录存在，并定期稽核里面是否有涉密信息或与工作无关的信息。（如果你干私活使用公司邮箱给自己的私人邮箱发资料或者使用公司邮箱与非本公司邮箱的小伙伴聊天，信息安全管理部门都能看到。）

一般公司会管控公司邮箱的外发邮件权限。之前有遇到过一个情况，一个开发的同事把疑似保密资料压缩加密发送给了自己私人邮箱，被信息安全审核查到，说自己把压缩密码忘记了，后面就关闭了这个同事的邮件外发权限，并专门开发了一个文档共享平台，进行资料分享管控。不过早期十几年前，遇到一些企业会设置文秘单位，只有文秘单位可以外发带附件邮件（文秘单位会审查资料内容后进行外发），后面因为随着IT技术的发展，嫌弃这种方式沟通效率低，很多公司就取消掉了。

私人电脑（或终端）连内网

私人电脑连内网，有点类似于在公司电脑上插U盘。一方面，做为外部设备连接到内网，网关那边的管理程序会立马识别，如果设置报警给IT的话，IT会顺着网线找到这台外部设备；另一方面，同样的，所有网络访问数据包都可以被抓包。

某同事，回家还惦记着公司内网上的资料，就在自己办公室的路由器上装了一个内网穿透的硬件（某生壳吧，一个不到巴掌大的小盒子），用了不到一周，后台管理部门找到了硬件，也通过监控找到了安装过程，某同事也因为破坏公司信息安全影响很恶劣，被解雇了。这个泄密事件被发现的大概过程：总有同事向IT抱怨说连不上内网，因为公司电脑比较多，基本上内网上的IP都是固定分配的，但是这个硬件是动态分配IP，会占用别人的静态IP地址，后面IT就顺着网线查到了外来终端。

终端掉域问题

所谓掉域，就是终端硬件无法连接上内网（失去访问内网的权限域）。

有些公司的IT策略，会监控每台公司电脑或网络终端的在内网时间，一般是从登录账号成功后开始计时，或者终端插上网线，被后台监测到终端已上线后，开始计时。如果设置了所有终端含电脑在内，3个月内必须插上网线满足累积在网时间30分钟以上，终端才不会掉出内网所在厂区的内网域（权限域）。一般集团公司，同一城市不会出现出现掉域问题；跨城市长期出差返回后，会出现掉域，重新申请权限的问题。

所以，尽量避免自己手上的公司电脑出现掉域的情况，不定期保证公司电脑插上网线在内网一段时间。万一掉域，重新申请权限，会被质疑：没有出差的情况下，为什么公司电脑没有在网记录。

关于VPN (虚拟专用网络)

有些公司可以申请连接本公司内网的VPN，正常是一些管理人员或者常出差人员，需要在外网环境甚至外部终端连接到内网来获取资料。如果有本公司的VPN账号和密码的话，可以考虑在公司使用私人电脑的时候，使用VPN连接公司内网，这样不影响正常办公。

一般有VPN的公司不多（主要是成本考量），即使有连接公司内网的VPN存在，权限管控会非常严格，少数人会获取权限。

如何避免被发现

搞一台跟公司电脑一模一样的私人电脑或者把公司电脑上的硬盘换成自己的。

安装一个跟公司一模一样的操作系统和桌面，尽量不要个性化修改桌面之类。

切忌不要用内网（不管是无线还是有线），使用自己手机的WIFI热点。

找一个人少的角落干私活，避免跟别人说或者预防被举报，避免别人使用你的私人电脑。

关于远程桌面或者虚拟机

远程桌面或者虚拟机都在公司电脑里，有一定的被截屏监控到的可能性。可以考虑断网使用或者使用自己的手机热点，断网的话，即使被监控到，也不会立刻被抓现行；使用自己的手机热点，有一定概率截屏的相关信息不会立刻传到公司服务器，毕竟公司服务器在内网（一般不对外网开发）。

在内网环境使用远程桌面或者虚拟机，远程桌面的IP或者虚拟机的对外网络访问记录，都可以被网关抓包获取。

远程桌面，可以选择用家里的电脑共享远程桌面（需要解决穿透内网）或者租一个云桌面（云服务器）。

虚拟机，一般只有搞程序开发的同事可以申请，可以是本地的，也可以是公司在服务里给你分一个开发用的测试环境（虚拟机）。如果跟IT关系好，也可以请帮忙安装一个虚拟机，比如测试某款工作需要的盗ban软件，需要一个测试环境（虚拟机）进行测试。

关于截屏

尽量在公司电脑内不要截屏，可以使用手机拍照（屏幕可能会有公司水印并包含你的工号信息）。在公司电脑内截屏并外发截屏图片可以被监控到。

关于映射网络驱动器

不用U盘，如有有外网访问权限的话，有些伙伴会考虑在外网找个支持WebDAV协议的NAS或者网盘，挂载映射到公司电脑上做为网络驱动器，私活的资料全放在里面。同样，会被本地监控到。

同样的，内网环境下，私活资料放到映射好的网络驱动器里，切忌不要运行里面的exe文件或者里面有病毒，很容易被发现。

外网访问权限，对于有无线网卡的公司电脑来说，只要能连上自己的手机WIFI热点，基本上都能访问外网，除非手机欠费没流量了。

关于迷你主机

一般公司是不允许将个人主机终端带到公司的，而且很容易被同事发现。如果公司只要不连公司网络就无所谓，那也可以考虑买一个带无线功能的迷你主机（口袋主机），就不用背着自己的笔记本电脑到处跑（防止别人用自己的私人电脑），前提是公司给你配了显示器。

总结一下

尽量不要在公司的操作系统和公司内网环境下干私活，越是大的公司越重视信息安全，会后台监控电脑终端和网络数据包。

总体来说，想在上班时间偶尔干干私活，建议使用私人电脑或网络。首先，你对公司的信息安全不构成太大威胁了，IT端是不会侦测到你的私活行为的，至少不会影响到现有公司的信息外泄（泄密）。至于如何带私人电脑随意出入公司，如何找到无人角落干私活，每个公司的管控策略都不一样，对于公司来说那就是要加强物理区域的防御（根据不同的信息安全敏感等级，对车间和办公区进行分级和管控）。关于防泄密相关，就不在本篇详细展开了，感兴趣的小伙伴，欢迎咨询联系。本文仅对ISO27001信息安全管理体系（涉及硬件和网络）相关进行探讨，希望对企业数字化相关的信息安全能有所启发意义。

注1： 某安全软件的企业版，截图如下：（红色箭头标示出来的，就是监控防泄密相关的功能。）