У нас есть вики, которой пользуется более половины нашей компании. В целом он был воспринят очень положительно. Однако существует проблема безопасности - не допустить попадания конфиденциальной информации в чужие руки (то есть в руки конкурентов).
Ответ по умолчанию - создать сложную матрицу безопасности, определяющую, кто может читать какой документ (вики-страницу) в зависимости от того, кто его создал. Лично я считаю, что это в основном решает неправильную проблему, потому что создает препятствия. в пределах компания вместо барьера для внешнего мира. Но некоторые обеспокоены тем, что люди на сайте клиента могут поделиться информацией с клиентом, которая затем перейдет к конкуренту.
Управление такой матрицей - кошмар, потому что (1) матрица основана на отделах, а не на проектах (это матричная организация), и (2) потому что в вики все страницы по определению динамические, поэтому то, что сегодня является конфиденциальным, может не конфиденциально завтра (но историю всегда можно прочитать!).
Помимо матрицы безопасности, мы рассмотрели возможность ограничения содержимого вики несверхсекретным материалом, но, конечно, это необходимо контролировать.
Другое решение (текущее) - отслеживать просмотры и сообщать обо всем подозрительном (например, было сообщено об одном человеке на сайте клиента, который получил 2000 просмотров за два дня). Опять же - это не идеально, потому что это не подразумевает прямо неправильный мотив.
Есть ли у кого-нибудь лучшее решение? Как сделать вики-сайт компании безопасным, сохранив при этом низкий порог УТП?
Кстати, мы используем MediaWiki с Lockdown, чтобы исключить некоторый административный персонал.
Один очевидный момент, или мне так кажется, заключается в том, что если вы хотите что-то очень жестко запертое, то уверены ли вы, что действительно хотите Wiki? Разве это не большая часть духа вики, что она максимально открыта? Как только вы отойдете достаточно далеко от первоначальной цели, не станет ли рано или поздно лучше попробовать другой инструмент, который лучше подходит для начала, вместо того, чтобы напрягать тот, который у вас полностью не в форме?
Мы используем корпоративную вики. Вот как мы это делаем:
Мы используем LDAP для хранения имени пользователя и Kerberos для аутентификации. MediaWiki имеет расширение для использования LDAP.
Мы заблокировали этот IP-адрес, чтобы наши офисы в Канаде и США имели доступ к вики, выполненной через наш брандмауэр. Несмотря на то, что вики находится на внешнем IP-адресе, брандмауэр разрешает доступ только из офисов и кому бы то ни было vpn-ed.
В LocalSettings.php (файл wiki conf) мы сделали так, чтобы вы не могли читать страницы, пока не вошли в систему. Однако мы разрешили доступ к некоторым страницам без фактического входа в систему.
Мы также используем расширение accesscontrol для ограничения страниц. У нас есть некоторые страницы, которые может видеть только команда системного администратора, поэтому, если кто-то из NOC попытается увидеть эту страницу, он получит страницу с отказом в доступе. Все это обрабатывается с помощью расширения AccessControl.
Перед тем как начать, вам нужно знать, как пользователи управляются в вашем офисе. У нас все есть в LDAP. Мы группы, такие как системный администратор, разработчики, NOC и т. Д., И пользователи назначаются в эти группы. Таким образом, проще предоставить или запретить доступ в зависимости от группы, в которой они находятся.
-F
Если вы собираетесь использовать что-то вроде MediaWiki, вам нужно прояснить, что уместно, а что нет. Это обо всей безопасности, которую вы собираетесь получить.
Если ваши бизнес-требования означают, что вам нужны сложные списки контроля доступа, вам нужно найти решение, предназначенное для этого. SharePoint, Traction, Alfresco и SocialText - все продукты, которые могут это сделать.
Все зависит от организации ... не создавайте политику, основанную на продукте, который вы решили использовать по случайной причине.
У меня была точно такая же проблема, и я пришел к тому же выводу, что и Роберт. При дальнейшем изучении есть вики-сайты, которые действительно имеют сложные ACL, что дает вам преимущества обоих миров. Но в этом случае, вероятно, будет лучше, если вы сохраните свою вики, но у вас будет другой инструмент для всех «безопасных» элементов.
Мы пробовали Mediawiki из-за того, что его использует Википедия, но, к сожалению, поддерживать его сложнее, чем мы ожидали, тем более что мы внедряем все больше и больше расширений. В конце концов, нам хотелось, чтобы мы использовали другой движок вики, который мог бы быть не таким амбициозным, но с более простым циклом обслуживания (и встроенным в списки контроля доступа - хотя это противоречит духу вики).
Если вы считаете, что проблема является законной проблемой, тогда ваше внимание должно быть сосредоточено на источнике, на любом носителе, таком как электронная почта, Facebook и т. Д. Проблемная область классифицируется как предотвращение / защита от потери данных (DLP), и несколько поставщиков безопасности предоставляют решения, включая проект с открытым исходным кодом под названием OpenDLP.
Ты сказал:
есть опасения по поводу безопасности - не допустить попадания конфиденциальной информации в чужие руки
Вы задаете неправильный вопрос. Вы не пытаетесь защитить MediaWiki - цитировать страница MediaWiki по вопросам безопасности,
MediaWiki не предназначена для использования в качестве CMS или для защиты конфиденциальных данных. Напротив, он был задуман как можно более открытым.
Что вам действительно нужно, так это хорошая общеорганизационная политика в отношении того, что является конфиденциальным, что является нарушением, как вы управляете конфиденциальной информацией и т. Д. Это проблема менеджмента. «Использовать (больше) технологий» - неправильный подход к этому, пока у вас не будет хорошей политики и управления.