q*c 发帖数: 9453 | 1 结果发现 it 们用的都是 gmail...
XX XX
Status Faculty
E-mail Address X***[email protected]
MailBox Google Mail
...
10 年前这根本是不可想象的事情。
今天的学生就是明天的决策者。 |
z*n 发帖数: 2893 | 2 10年前...gmail还没有出现.
"Google Mail is the preferred email system at Stony Brook University for
faculty, staff, and students on West Campus, Southampton, Manhattan, and
select departments within the Health Sciences Center. Members of Stony Brook
Medicine, including Stony Brook Hospital and the School of Dental Medicine
will continue to use Microsoft Exchange for email due to HIPPA compliance
requirements."
感觉学生没有选择的余地.
需要compliance的部门用exchange, 其他用gmail.
【在 q*c 的大作中提到】 : 结果发现 it 们用的都是 gmail... : XX XX : Status Faculty : E-mail Address X***[email protected] : MailBox Google Mail : ... : 10 年前这根本是不可想象的事情。 : 今天的学生就是明天的决策者。
|
L*****e 发帖数: 8347 | 3 前几天我解释说outlook里很有一部分功能是compliance policy的要求,一帮人跳出来
叫为啥对gmail就没有那个要求。。。
以为compliance policy是国家法律呢?所有公司的所有产品都按一个compliance
policy来?我老也没空搞扫盲基础教育了,爱咋的咋的吧。。。
Brook
Medicine
【在 z*n 的大作中提到】 : 10年前...gmail还没有出现. : "Google Mail is the preferred email system at Stony Brook University for : faculty, staff, and students on West Campus, Southampton, Manhattan, and : select departments within the Health Sciences Center. Members of Stony Brook : Medicine, including Stony Brook Hospital and the School of Dental Medicine : will continue to use Microsoft Exchange for email due to HIPPA compliance : requirements." : 感觉学生没有选择的余地. : 需要compliance的部门用exchange, 其他用gmail.
|
g*****g 发帖数: 34805 | 4 你就别丢人了。你那天说什么email recall之类的傻逼功能是compliance的要求。差点
没让人笑掉大牙。让你找个文档看看尿遁。还居然说政府的security compliance文件
是不公开的,当场被抓现行。装逼也有个限度。
【在 L*****e 的大作中提到】 : 前几天我解释说outlook里很有一部分功能是compliance policy的要求,一帮人跳出来 : 叫为啥对gmail就没有那个要求。。。 : 以为compliance policy是国家法律呢?所有公司的所有产品都按一个compliance : policy来?我老也没空搞扫盲基础教育了,爱咋的咋的吧。。。 : : Brook : Medicine
|
z*n 发帖数: 2893 | 5 我觉的扫盲的工作还是必须的。
【在 L*****e 的大作中提到】 : 前几天我解释说outlook里很有一部分功能是compliance policy的要求,一帮人跳出来 : 叫为啥对gmail就没有那个要求。。。 : 以为compliance policy是国家法律呢?所有公司的所有产品都按一个compliance : policy来?我老也没空搞扫盲基础教育了,爱咋的咋的吧。。。 : : Brook : Medicine
|
L*****e 发帖数: 8347 | 6 主要是你跟一些无基本概念,又自戳双目的混子费不起那时间。拿个政府两页纸的一个
大刚性指导就当compliance audit文件了,不知道compliamce audit是要针对具体产品
,具体release,具体发布范围,具体行业,甚至具体设计和implementation都有关的
。还来个公司compliance audit文件是可以公开的,你要让他把gmail的security
audit文件的公开链接提供一下他立马傻眼。哦,忘了人是自带狗粮了,那就给大家见
识一下netflix的compliance audit文件的公开链接也行呀。
还天天和compliance team的人打交道,其实知道的除了compliance这个词怎么拼以外
,再也不知道任何其它东西了。。。
【在 z*n 的大作中提到】 : 我觉的扫盲的工作还是必须的。
|
g*****g 发帖数: 34805 | 7 真是极品呀。自己看你怎么写的吧。具体产品的audit的结果文件跟compliance的要求
是俩码事。政府给你个compliance要求,软件做了才做audit。你连基本常识都没有居
然敢敢来丢人。outlook的种种傻逼功能,还敢叫唤是compliance的要求。如果不在要
求里,你提个屁audit。尼玛有脸别瞎叫唤,那天被打脸尿遁了。才两天就敢来翻案了。
发信人: goodbug (好虫), 信区: PDA
标 题: Re: 报告称微软营销失败 Gmail用户不愿转投Outlook
发信站: BBS 未名空间站 (Mon Feb 18 21:20:40 2013, 美东)
尼玛露怯了,大家来看极品呀。居然连这个都不知道就出来装了。
Minimum Security Requirements for Federal Information and Information
Systems
http://csrc.nist.gov/publications/fips/fips200/FIPS-200-final-m
【在 L*****e 的大作中提到】 : 主要是你跟一些无基本概念,又自戳双目的混子费不起那时间。拿个政府两页纸的一个 : 大刚性指导就当compliance audit文件了,不知道compliamce audit是要针对具体产品 : ,具体release,具体发布范围,具体行业,甚至具体设计和implementation都有关的 : 。还来个公司compliance audit文件是可以公开的,你要让他把gmail的security : audit文件的公开链接提供一下他立马傻眼。哦,忘了人是自带狗粮了,那就给大家见 : 识一下netflix的compliance audit文件的公开链接也行呀。 : 还天天和compliance team的人打交道,其实知道的除了compliance这个词怎么拼以外 : ,再也不知道任何其它东西了。。。
|
L*****e 发帖数: 8347 | 8 你腆一个大脸过来,看来不被打是不想收回去。
http://www.slideshare.net/EMC_IIG/emc-documentum-information-ri
先睁大你的goog眼看看第8页,看看IRM属不属于compliance要求的范围,再看看21-22
,27往后,看看IRM包括哪些内容。
这里还有oracle的IRM文件:
http://www.google.com/url?sa=t&rct=j&q=&esrc=s&frm=1&source=web
了。
【在 g*****g 的大作中提到】 : 真是极品呀。自己看你怎么写的吧。具体产品的audit的结果文件跟compliance的要求 : 是俩码事。政府给你个compliance要求,软件做了才做audit。你连基本常识都没有居 : 然敢敢来丢人。outlook的种种傻逼功能,还敢叫唤是compliance的要求。如果不在要 : 求里,你提个屁audit。尼玛有脸别瞎叫唤,那天被打脸尿遁了。才两天就敢来翻案了。 : 发信人: goodbug (好虫), 信区: PDA : 标 题: Re: 报告称微软营销失败 Gmail用户不愿转投Outlook : 发信站: BBS 未名空间站 (Mon Feb 18 21:20:40 2013, 美东) : 尼玛露怯了,大家来看极品呀。居然连这个都不知道就出来装了。 : Minimum Security Requirements for Federal Information and Information : Systems
|
L*****e 发帖数: 8347 | 9 嗯,估计伊接触过的最大企业就门口卖白菜的,和他讲企业应用的compliance
auditing,是对牛弹琴,这怪我,是我的错。。。
【在 z*n 的大作中提到】 : 我觉的扫盲的工作还是必须的。
|
L*****e 发帖数: 8347 | 10 你漏了俩字,那是CS顶尖科班毕业。。。
【在 z*n 的大作中提到】 : 我觉的扫盲的工作还是必须的。
|
|
|
d*b 发帖数: 21830 | 11 对,就是这么回事。
android手机上exchange一开,会按server要求自动启动smart card service,但笔记本
上的smart card service需要smart card硬件,所以连带HIPAA要求的帐号,可以用手机
email连exchange,但笔记本除非自带smart card,都需要vpn才能连。
Brook
Medicine
【在 z*n 的大作中提到】 : 10年前...gmail还没有出现. : "Google Mail is the preferred email system at Stony Brook University for : faculty, staff, and students on West Campus, Southampton, Manhattan, and : select departments within the Health Sciences Center. Members of Stony Brook : Medicine, including Stony Brook Hospital and the School of Dental Medicine : will continue to use Microsoft Exchange for email due to HIPPA compliance : requirements." : 感觉学生没有选择的余地. : 需要compliance的部门用exchange, 其他用gmail.
|
n*********2 发帖数: 357 | 12 Let me play devil's advocate here.
You are still confusing compliance REQUIREMENTS with the SOLUTIONS (provided
by MS Outlook and other products here). There are many ways to meet the
compliance requirements, including user education, procedural methods, and
technical means. A compliance requirement often does NOT specify a concrete
mechanism. For example, HIPAA requires data confidentiality but does not
explicitly specify encryption. Of course, encryption is a sound technical
means for data confidentiality.
The problem with your solution in Exchange is that it is sold as a technical
means but it is _not_ technically sound. It is vulnerable to class attacks.
We have seen many such examples before, including DRM. More than ten years
ago, many companies (including MS) built many DRM products. Where are they
now?
One worse probability is that your product is actually a safety product, but
I bet that it will be sold as a security product and will cause a false
sense of security. In the security field, a false sense of security is worse
than without security itself.
22
【在 L*****e 的大作中提到】 : 你腆一个大脸过来,看来不被打是不想收回去。 : http://www.slideshare.net/EMC_IIG/emc-documentum-information-ri : 先睁大你的goog眼看看第8页,看看IRM属不属于compliance要求的范围,再看看21-22 : ,27往后,看看IRM包括哪些内容。 : 这里还有oracle的IRM文件: : http://www.google.com/url?sa=t&rct=j&q=&esrc=s&frm=1&source=web : : 了。
|
g*****g 发帖数: 34805 | 13 尼玛还要不要脸,真是没有底线了。居然把记录的管理拿过来跟email的管理就敢混为
一谈。
我老早年参与IBM Record Manager的开发,难道能不比你清楚?
记录的访问是需要权限不错。但email基于的smtp协议,从协议层面就没法对发出去的
邮件有效控制。
所谓recall就是脱裤子放屁的行为。记录管理可以应用在email上的,就是对自己这边
的这份拷贝的访问控制。很显然,自己可以访问,recipients可以访问,别人除非
legal intercept等特殊需求不能访问。
尼玛连一点基本常识都没有,就敢出来丢人了。要不然你跟我讲讲smtp如何支持recall
吧?或者拿个compliance有这个要求给大家看看呀?
22
【在 L*****e 的大作中提到】 : 你腆一个大脸过来,看来不被打是不想收回去。 : http://www.slideshare.net/EMC_IIG/emc-documentum-information-ri : 先睁大你的goog眼看看第8页,看看IRM属不属于compliance要求的范围,再看看21-22 : ,27往后,看看IRM包括哪些内容。 : 这里还有oracle的IRM文件: : http://www.google.com/url?sa=t&rct=j&q=&esrc=s&frm=1&source=web : : 了。
|
L*****e 发帖数: 8347 | 14 你根本就不知道一个具体的compliance policy是怎么制定出来的,政府有一个大概的
要求,然后政府部门有各个方面的compliance policy owner和policy adviser,他们
会针对企业的产品提出更细致的要求,企业自己也有专门的compliance policy owner
,他们根据要求起草针对具体产品,具体release,具体发布范围,具体设计和实现的
compliance policy,这些policy要经过政府的policy owner的review和approve。我说
的不公开的compliance policy是说的这些。
不要以为一个两页纸的所谓compliance requirements可以指导任何具体的compliance
audting work。。。
provided
concrete
technical
attacks.
【在 n*********2 的大作中提到】 : Let me play devil's advocate here. : You are still confusing compliance REQUIREMENTS with the SOLUTIONS (provided : by MS Outlook and other products here). There are many ways to meet the : compliance requirements, including user education, procedural methods, and : technical means. A compliance requirement often does NOT specify a concrete : mechanism. For example, HIPAA requires data confidentiality but does not : explicitly specify encryption. Of course, encryption is a sound technical : means for data confidentiality. : The problem with your solution in Exchange is that it is sold as a technical : means but it is _not_ technically sound. It is vulnerable to class attacks.
|
g*****g 发帖数: 34805 | 15 我老作为程序员,分析一下java/.net的优劣无可厚非,给后辈指条明路罢了。
你看jobhunting版,现在还有人想学.net的吗?这就是差距,我说的话有人听,
你说的话,纯粹是给微软五毛,大家就当个屁。
你在这个版上,被我打脸几十次,每次打完了实在挂不住,就去小钻风那里哭诉。
结果呢,小钻风号称处理,啥都不干。为啥?因为连小钻风都看出你是被打脸满地撒泼。
我的邮箱里一堆的这种信。
【在 z*n 的大作中提到】 : 我觉的扫盲的工作还是必须的。
|
L*****e 发帖数: 8347 | 16 还尼玛邮件协议呢?你先把我提供的两个链接学习学习,有点IRM基本概念了以后再来
讨论吧。。。
recall
【在 g*****g 的大作中提到】 : 尼玛还要不要脸,真是没有底线了。居然把记录的管理拿过来跟email的管理就敢混为 : 一谈。 : 我老早年参与IBM Record Manager的开发,难道能不比你清楚? : 记录的访问是需要权限不错。但email基于的smtp协议,从协议层面就没法对发出去的 : 邮件有效控制。 : 所谓recall就是脱裤子放屁的行为。记录管理可以应用在email上的,就是对自己这边 : 的这份拷贝的访问控制。很显然,自己可以访问,recipients可以访问,别人除非 : legal intercept等特殊需求不能访问。 : 尼玛连一点基本常识都没有,就敢出来丢人了。要不然你跟我讲讲smtp如何支持recall : 吧?或者拿个compliance有这个要求给大家看看呀?
|
g*****g 发帖数: 34805 | 17 我们通常说的security compliance,是个要求。而security audit,是软件开发后根
据要求检查的结果。而且正如你说的,compliance通常不会那么具体。
左眼一点基本常识都没有,口口声声audit是个要求,是不能公开的文件,什么recall
是audit的要求这种话都能说出来,被打脸还能死撑到这份上,也就软毛能做出来了。
provided
concrete
technical
attacks.
【在 n*********2 的大作中提到】 : Let me play devil's advocate here. : You are still confusing compliance REQUIREMENTS with the SOLUTIONS (provided : by MS Outlook and other products here). There are many ways to meet the : compliance requirements, including user education, procedural methods, and : technical means. A compliance requirement often does NOT specify a concrete : mechanism. For example, HIPAA requires data confidentiality but does not : explicitly specify encryption. Of course, encryption is a sound technical : means for data confidentiality. : The problem with your solution in Exchange is that it is sold as a technical : means but it is _not_ technically sound. It is vulnerable to class attacks.
|
L*****e 发帖数: 8347 | 18 你拿个两页纸的东西怎么去针对具体行业,具体企业,具体产品做具体audit?还忑码
检查结果?我都说过了,你这种没看过一个真正的产品compliance policy的就别这儿
现了。不然又有人要责怪我欺负晚辈了。。。
recall
【在 g*****g 的大作中提到】 : 我们通常说的security compliance,是个要求。而security audit,是软件开发后根 : 据要求检查的结果。而且正如你说的,compliance通常不会那么具体。 : 左眼一点基本常识都没有,口口声声audit是个要求,是不能公开的文件,什么recall : 是audit的要求这种话都能说出来,被打脸还能死撑到这份上,也就软毛能做出来了。 : : provided : concrete : technical : attacks.
|
g*****g 发帖数: 34805 | 19 尼玛你还要不要脸呀。我那天给你一个政府的文件,那是两页纸吗?那底下还有一堆更
详细guideline。
你吹出来一个smtp不能实现的feature,还能进入compliance policy。真是极品。
【在 L*****e 的大作中提到】 : 你拿个两页纸的东西怎么去针对具体行业,具体企业,具体产品做具体audit?还忑码 : 检查结果?我都说过了,你这种没看过一个真正的产品compliance policy的就别这儿 : 现了。不然又有人要责怪我欺负晚辈了。。。 : : recall
|
g*****g 发帖数: 34805 | 20 你成天被打脸,实在没理了。一边死撑一般指望钻风帮你删贴的次数还少呀?
【在 z*n 的大作中提到】 : 我觉的扫盲的工作还是必须的。
|
|
|
g*****g 发帖数: 34805 | 21 我老做了3年secure mail,verisign要我我没去。带过团队负责internal audit和协调
external audit。原来对compliance啥都不懂。你除了内心强大以外,脸皮无敌了。
【在 z*n 的大作中提到】 : 我觉的扫盲的工作还是必须的。
|
d*******3 发帖数: 6550 | 22 他脸皮确实无敌厚啊,估计自己打自己脸打习惯了,不在乎了。以后躲着点,不用和这
种人浪费时间了。
【在 g*****g 的大作中提到】 : 我老做了3年secure mail,verisign要我我没去。带过团队负责internal audit和协调 : external audit。原来对compliance啥都不懂。你除了内心强大以外,脸皮无敌了。
|
d********3 发帖数: 7220 | 23 这个楼歪得不像样子啊,什么compliance的也看不懂。但是楼主的这个感慨发得无意义
,只能说明NYU的邮件包给gmail做了,就像我们这里的邮件在前两年转到gmail,我以
前学校里的就是包给outlook做,啥问题都不能说明 |
g*****g 发帖数: 34805 | 24 他连compliance跟audit的区别都没搞清楚,还专业?LOL
我老写backend service的。前端是mobile是web区别不大。PKI, Bouncy Castle
这些本来就是我熟悉的范畴。你以为都跟你一样5毛一贴的?
【在 z*n 的大作中提到】 : 我觉的扫盲的工作还是必须的。
|
f*******5 发帖数: 10321 | 25 有人提nyu和stony brook有嘛关系吗?
【在 d********3 的大作中提到】 : 这个楼歪得不像样子啊,什么compliance的也看不懂。但是楼主的这个感慨发得无意义 : ,只能说明NYU的邮件包给gmail做了,就像我们这里的邮件在前两年转到gmail,我以 : 前学校里的就是包给outlook做,啥问题都不能说明
|
b********7 发帖数: 12906 | 26 SUNY吧。 嘿嘿。
【在 f*******5 的大作中提到】 : 有人提nyu和stony brook有嘛关系吗?
|
g*****g 发帖数: 34805 | 27 你自己死撑不够,还要帮左眼死撑?他连最基本的概念都没弄清楚,还专业,LOL。
【在 z*n 的大作中提到】 : 我觉的扫盲的工作还是必须的。
|
n*********2 发帖数: 357 | 28 Wow, are we discussing the technical merits of a solution or simply
comparing our qualifications? (Personally, I have nothing against LeftEye [
or MS] and a few years back I actually read one of his Chinese novels. At
least, in this discussion thread, he behaved much more reasonably than you.)
What we are saying is that the no-copy and no-forward mechanisms in MS
Exchange do not make technical senses. You can argue for their business
merits but if you are proud of doing this kind of work ...
【在 z*n 的大作中提到】 : 我觉的扫盲的工作还是必须的。
|
q*c 发帖数: 9453 | 29 左眼地位比 SS 的地位咋样?咋就被fire 了?
我说地位这么高的咋可能做蠢事捏?lol
【在 z*n 的大作中提到】 : 我觉的扫盲的工作还是必须的。
|
b********7 发帖数: 12906 | 30 Ss被fired?哪儿来的出处?
【在 q*c 的大作中提到】 : 左眼地位比 SS 的地位咋样?咋就被fire 了? : 我说地位这么高的咋可能做蠢事捏?lol
|
|
|
q*c 发帖数: 9453 | 31 google 一下满眼都是,当然那个地位的要给人留面子不是。
【在 b********7 的大作中提到】 : Ss被fired?哪儿来的出处?
|
b********7 发帖数: 12906 | 32 wow..google can figure out the real reason.
【在 q*c 的大作中提到】 : google 一下满眼都是,当然那个地位的要给人留面子不是。
|
a*o 发帖数: 19981 | 33 gmail靠两点赢得我:
1. 在各家free email纷纷猥琐地对pop3收费的时候,gmail免费开放pop3、smtp。
2. gmail到目前为止没有spam掉过我的有用email,hotmail、yahoo均有案底。
【在 q*c 的大作中提到】 : 结果发现 it 们用的都是 gmail... : XX XX : Status Faculty : E-mail Address X***[email protected] : MailBox Google Mail : ... : 10 年前这根本是不可想象的事情。 : 今天的学生就是明天的决策者。
|
b********7 发帖数: 12906 | 34 u know, there's really nothing free in this world. you didn't get FREE gmail
. what you pay is your privacy.
【在 a*o 的大作中提到】 : gmail靠两点赢得我: : 1. 在各家free email纷纷猥琐地对pop3收费的时候,gmail免费开放pop3、smtp。 : 2. gmail到目前为止没有spam掉过我的有用email,hotmail、yahoo均有案底。
|
h******k 发帖数: 810 | 35 呵呵,没讨论outlook no copy/no forward功能前我还真不知道你们的水平。
可是老左特意把这些功能提出来,当outlook比gmail强的证据。我只能说微软这些糊弄
人的feature,没糊住外人,先把自家人蒙晕了。
A false sense of security is worse than no security at all。这个道理都不明白
,职位再高,读再多的internal confidential documents又有什么用?
【在 z*n 的大作中提到】 : 我觉的扫盲的工作还是必须的。
|
L*****e 发帖数: 8347 | 36 把我前面给的链接里EMC和Oracle关于IRM的document读一读,然后搞清楚下面两个基本
问题的答案再来讨论吧?(上次聪明熊好像给出了exchange server的IRM链接,然后一
帮又说什么这是微软自己搞出来的标准,反正你们总有理。)
1. IRM属不属于compliance requirements?
2. IRM包不包括对email的management?
3. 最基本的IRM包括那几样?
在你能回答这几个问题之前,我再多说一句都是与朝菌言晦 与夏虫语冰。。。
【在 h******k 的大作中提到】 : 呵呵,没讨论outlook no copy/no forward功能前我还真不知道你们的水平。 : 可是老左特意把这些功能提出来,当outlook比gmail强的证据。我只能说微软这些糊弄 : 人的feature,没糊住外人,先把自家人蒙晕了。 : A false sense of security is worse than no security at all。这个道理都不明白 : ,职位再高,读再多的internal confidential documents又有什么用?
|
s******p 发帖数: 4962 | 37 果然是文豪!!
【在 L*****e 的大作中提到】 : 把我前面给的链接里EMC和Oracle关于IRM的document读一读,然后搞清楚下面两个基本 : 问题的答案再来讨论吧?(上次聪明熊好像给出了exchange server的IRM链接,然后一 : 帮又说什么这是微软自己搞出来的标准,反正你们总有理。) : 1. IRM属不属于compliance requirements? : 2. IRM包不包括对email的management? : 3. 最基本的IRM包括那几样? : 在你能回答这几个问题之前,我再多说一句都是与朝菌言晦 与夏虫语冰。。。
|
h******k 发帖数: 810 | 38 呵呵,你继续掉书袋吧,实战中只在乎feature work不work。你觉得有如下缺陷的
feature能ship吗?
http://www.mitbbs.com/article/PDA/32089947_3.html
However, IRM can't prevent information from being copied using the following
methods:
• Third-party screen capture programs
• Use of imaging devices such as cameras to photograph IRM-protected
content displayed on the screen
• Users remembering or manually transcribing the information
【在 L*****e 的大作中提到】 : 把我前面给的链接里EMC和Oracle关于IRM的document读一读,然后搞清楚下面两个基本 : 问题的答案再来讨论吧?(上次聪明熊好像给出了exchange server的IRM链接,然后一 : 帮又说什么这是微软自己搞出来的标准,反正你们总有理。) : 1. IRM属不属于compliance requirements? : 2. IRM包不包括对email的management? : 3. 最基本的IRM包括那几样? : 在你能回答这几个问题之前,我再多说一句都是与朝菌言晦 与夏虫语冰。。。
|
L*****e 发帖数: 8347 | 39 你啥意思,如果装锁仍然有可能被撬,所以锁根本没必要装?锁的发明就是无厘头?
following
【在 h******k 的大作中提到】 : 呵呵,你继续掉书袋吧,实战中只在乎feature work不work。你觉得有如下缺陷的 : feature能ship吗? : http://www.mitbbs.com/article/PDA/32089947_3.html : However, IRM can't prevent information from being copied using the following : methods: : • Third-party screen capture programs : • Use of imaging devices such as cameras to photograph IRM-protected : content displayed on the screen : • Users remembering or manually transcribing the information
|
h******k 发帖数: 810 | 40 这feature连锁都不算,就是门上贴一封条,一扯就掉。
【在 L*****e 的大作中提到】 : 你啥意思,如果装锁仍然有可能被撬,所以锁根本没必要装?锁的发明就是无厘头? : : following
|
|
|
h******k 发帖数: 810 | 41 能把第一条:
• Third-party screen capture programs
防住我也不在这说话了。这要求不过分吧?
实战中,我知道不用什么第三方,用print screen键都能破,够broken吧?
【在 z*n 的大作中提到】 : 我觉的扫盲的工作还是必须的。
|
L*****e 发帖数: 8347 | 42 不知道解释过多少遍,这主要是帮助你进行information管理,不是防止你偷窃
information。你不知道吗,每年企业因员工无意识的information leak所造成的损失
远远超过有意识的information偷窃。
举个例子,你有1000封邮件在信箱里,你怎么清楚知道哪些邮件你不应该forward,哪
些你不应该copy,哪些你不应该打印?你把一封封邮件打开来看里面是否有notice事项?
拿什么可以拍照,可以记脑子里来做反驳证据,就好像说文件夹分类没用,你很容易就
可以把文件乱放一样,你不是想的怎么用一个工具来帮助你工作,而是怎么想着让这个
工具的功效失效?
【在 h******k 的大作中提到】 : 这feature连锁都不算,就是门上贴一封条,一扯就掉。
|
g*****g 发帖数: 34805 | 43 我说的明白,你无论如何弄技术上都只能控制自己的那份copy。发出的email就如泼出
去的水,
是不能收回的。smtp技术上不提供recall这种功能,协议上也不要求email server有不
能forward这样的功能。如果有,你大可拿出来给大家看看。IRM提到要policy
enforcement还能管到收件人头上?技术上不能实现的东西,compliance还能要求?
就你这一点常识都没有的水平,还敢冒充专家出来丢人。居然还有位捧哏一唱一和。
【在 L*****e 的大作中提到】 : 把我前面给的链接里EMC和Oracle关于IRM的document读一读,然后搞清楚下面两个基本 : 问题的答案再来讨论吧?(上次聪明熊好像给出了exchange server的IRM链接,然后一 : 帮又说什么这是微软自己搞出来的标准,反正你们总有理。) : 1. IRM属不属于compliance requirements? : 2. IRM包不包括对email的management? : 3. 最基本的IRM包括那几样? : 在你能回答这几个问题之前,我再多说一句都是与朝菌言晦 与夏虫语冰。。。
|
h******k 发帖数: 810 | 44 没有实战经验吧。
不能转发这个比不能拷贝那个更可笑。我如果能拷贝了,我想发给谁就发给谁,无非是
点New还是点FWD的区别。你软件再牛X,总不能不让我发信吧?
outlook
【在 z*n 的大作中提到】 : 我觉的扫盲的工作还是必须的。
|
L*****e 发帖数: 8347 | 45 你开车见到停牌要停,但是技术上没法阻止你不停,所以见停牌要停不应该写入交规?
??
IRM没法从技术上限制收件人最终怎么做,所以IRM的requirements不属于compliance
requirements?那你是说EMC和Oracle的IRM归到它的compliance policy底下是扯淡咯?
把问题简化点问你吧,复杂了估计你看不懂。
IRM requirements属不属于compliance requirements?(这个是有标准答案的,不是
什么个人opinion。答案也满世界都是,所以不用我告诉你,你自己就应该能查到。)
Yes or No?
根据这个答案,可以知道还有没有继续讨论的必要。。。
【在 g*****g 的大作中提到】 : 我说的明白,你无论如何弄技术上都只能控制自己的那份copy。发出的email就如泼出 : 去的水, : 是不能收回的。smtp技术上不提供recall这种功能,协议上也不要求email server有不 : 能forward这样的功能。如果有,你大可拿出来给大家看看。IRM提到要policy : enforcement还能管到收件人头上?技术上不能实现的东西,compliance还能要求? : 就你这一点常识都没有的水平,还敢冒充专家出来丢人。居然还有位捧哏一唱一和。
|
g*****g 发帖数: 34805 | 46 尼玛逼从没见过compliance会要求技术上实现不了的东西,写compliance的人不是像你
这样没常识的。
系统可以有特别的feature要求,就像outlook的这个傻逼feature。但不会是
compliance的一部分。
IRM compliance requirement里哪里提到email必须要能recall? 你既然有文档倒是给
大家看看呀?
最鄙视的就是你这种装逼被抓,还要死撑到底的。
咯?
【在 L*****e 的大作中提到】 : 你开车见到停牌要停,但是技术上没法阻止你不停,所以见停牌要停不应该写入交规? : ?? : IRM没法从技术上限制收件人最终怎么做,所以IRM的requirements不属于compliance : requirements?那你是说EMC和Oracle的IRM归到它的compliance policy底下是扯淡咯? : 把问题简化点问你吧,复杂了估计你看不懂。 : IRM requirements属不属于compliance requirements?(这个是有标准答案的,不是 : 什么个人opinion。答案也满世界都是,所以不用我告诉你,你自己就应该能查到。) : Yes or No? : 根据这个答案,可以知道还有没有继续讨论的必要。。。
|
L*****e 发帖数: 8347 | 47 别瞎杰宝绕了,
IRM requirements属不属于compliance requirements?
答案是什么?只需要回答Yes or No, 痛快点?
【在 g*****g 的大作中提到】 : 尼玛逼从没见过compliance会要求技术上实现不了的东西,写compliance的人不是像你 : 这样没常识的。 : 系统可以有特别的feature要求,就像outlook的这个傻逼feature。但不会是 : compliance的一部分。 : IRM compliance requirement里哪里提到email必须要能recall? 你既然有文档倒是给 : 大家看看呀? : 最鄙视的就是你这种装逼被抓,还要死撑到底的。 : : 咯?
|
c****e 发帖数: 1453 | 48 It's good you realize the discrepancy between solution and requirement/
guidline.There is no conerns as "false sense of security", if we take
security professionaly.
Everything is measurable and has to be measurable to account against
compliance. There is professional team inside those companies to evaluate
different techniques and solution, where compliance is mandatory.
For example, is password secure? No. But it still can be part of a package
to pass HIPAA when people only allowed to input password under the monitor
with fingerprint. Any technique has limitation and we have clearly ways to
measure that. Compliance is a bar that you can evaluate against if all your
measurable techniques and solutions can reach that or not.
Bottom line, Exchange Server offers abundant security options and passed
many top-line compliance requirements.
provided
concrete
technical
attacks.
【在 n*********2 的大作中提到】 : Let me play devil's advocate here. : You are still confusing compliance REQUIREMENTS with the SOLUTIONS (provided : by MS Outlook and other products here). There are many ways to meet the : compliance requirements, including user education, procedural methods, and : technical means. A compliance requirement often does NOT specify a concrete : mechanism. For example, HIPAA requires data confidentiality but does not : explicitly specify encryption. Of course, encryption is a sound technical : means for data confidentiality. : The problem with your solution in Exchange is that it is sold as a technical : means but it is _not_ technically sound. It is vulnerable to class attacks.
|
c****e 发帖数: 1453 | 49 从理论上,SMTP没有办法收回来。现实中对于Agent还没有forward出去的message
cancel是可能的。
很多Email内容需要解密可以看。这个权限的管理是集中的,也是在线的。从这个意义
上说,对于发出去的email可以有一定程度的控制。比如一个员工离开公司或者换了一
个部门,即使以前收下来的email也没有办法再打开看了.Exchange 是和Active
Directory配合完成这些功能的。
除了recall,你觉得限制forward, print是脱裤子放屁吗?
recall
【在 g*****g 的大作中提到】 : 尼玛还要不要脸,真是没有底线了。居然把记录的管理拿过来跟email的管理就敢混为 : 一谈。 : 我老早年参与IBM Record Manager的开发,难道能不比你清楚? : 记录的访问是需要权限不错。但email基于的smtp协议,从协议层面就没法对发出去的 : 邮件有效控制。 : 所谓recall就是脱裤子放屁的行为。记录管理可以应用在email上的,就是对自己这边 : 的这份拷贝的访问控制。很显然,自己可以访问,recipients可以访问,别人除非 : legal intercept等特殊需求不能访问。 : 尼玛连一点基本常识都没有,就敢出来丢人了。要不然你跟我讲讲smtp如何支持recall : 吧?或者拿个compliance有这个要求给大家看看呀?
|
g*****g 发帖数: 34805 | 50 我老认为是脱裤子放屁,但这不是重点。我老负责任的说,这个不会写入compliance
requirement。compliance不会写这种不能保证的东西。要吗行,要吗不行。有可能行
有可能不行的东西怎么audit? 只能不写。左眼就是装逼撞枪口上。
我老在email industry 做了6年,经历过几次security audit。我们的系统没有这功能,
第三方auditing也从来没提过这要求。我们的客户包括美国和英国的一些政府部门,
你要说没这个过不了compliance,就是扯谈。
【在 c****e 的大作中提到】 : 从理论上,SMTP没有办法收回来。现实中对于Agent还没有forward出去的message : cancel是可能的。 : 很多Email内容需要解密可以看。这个权限的管理是集中的,也是在线的。从这个意义 : 上说,对于发出去的email可以有一定程度的控制。比如一个员工离开公司或者换了一 : 个部门,即使以前收下来的email也没有办法再打开看了.Exchange 是和Active : Directory配合完成这些功能的。 : 除了recall,你觉得限制forward, print是脱裤子放屁吗? : : recall
|
|
|
c****e 发帖数: 1453 | 51 I agree with you that it will look better that if outlook can prevent this.
I think that requires admin prvilidge and this complicates the deployment of
software in many environments. So it leaves out the job to other monitoring
solutions.
If someone really care about that, he can install monitoring sofware on all
workforce machines. Those software can log every stoke and block webmail,
usb and trigger alert to IT department. Plus, you can hire security to make
sure no camera is carried in working space. Without cost constaints, you can
build another pentagon. Ultimately, you reply on law enforcement authority.
【在 h******k 的大作中提到】 : 能把第一条: : • Third-party screen capture programs : 防住我也不在这说话了。这要求不过分吧? : 实战中,我知道不用什么第三方,用print screen键都能破,够broken吧?
|
g*****g 发帖数: 34805 | 52 你既然敢拿IRM出来,那就让大家看看这个requirement哪里把email recall作为
compliance要求。
否则IRM是不是compliance有个屁关系。这么直接这么简单的事情,非要绕来绕去。
尼玛软毛真是没有底线。
【在 L*****e 的大作中提到】 : 别瞎杰宝绕了, : IRM requirements属不属于compliance requirements? : 答案是什么?只需要回答Yes or No, 痛快点?
|
h******k 发帖数: 810 | 53 能具体解释下:
“There is no concerns as "false sense of security", if we take
security professionally.”
就我所见很多人(包括读到这些讨论前的lefteye)真诚地以为 outlook no copy/no
forward works,我认为这就是false sense of security。
我觉得微软有义务非常明确地(比如在每封IRM处理过的email前加disclaimer)告诉普
通用户这些功能存在缺陷,很多情况下不保证能达到用户期待的效果。
your
【在 c****e 的大作中提到】 : It's good you realize the discrepancy between solution and requirement/ : guidline.There is no conerns as "false sense of security", if we take : security professionaly. : Everything is measurable and has to be measurable to account against : compliance. There is professional team inside those companies to evaluate : different techniques and solution, where compliance is mandatory. : For example, is password secure? No. But it still can be part of a package : to pass HIPAA when people only allowed to input password under the monitor : with fingerprint. Any technique has limitation and we have clearly ways to : measure that. Compliance is a bar that you can evaluate against if all your
|
n*********2 发帖数: 357 | 54 Do not be too judgmental. From what you (and your colleagues) have written
in this thread, you could be easily dismissed as an amateur in security and
thus would not be qualified to work in security-related compliance: the
security mindset required is just missing and you are selling snake oil. But
this kind of labeling is not helpful in the discussion. There is no god in
this technical discussion and anybody may be challenged.
LeftEye's analogy to physical locks is deeply flawed and misses a
fundamental point here. In our physical world, we have all kinds of locks,
large and small. As a result, we get an intuitive impression on what is less
secure and we would not put our jewels at home (it is better to store them
in a safe deposit box in a bank). This kind of intuition is missing in the
digital world and the no-forwarding, no-printing feature in Exchange will
definitely lead to a false sense of security.
【在 z*n 的大作中提到】 : 我觉的扫盲的工作还是必须的。
|
L*****e 发帖数: 8347 | 55 怎么都那么能绕啊?我把问题问得那么具体了,就没有一个能直接回答下的吗?
第三次把下面这个scenario问一遍,我期望能看到有能人们提供最优解决方法:
你有1000封邮件在信箱里,你怎么清楚知道哪些邮件你不应该forward,哪些你
不应该copy,哪些你不应该打印?你把一封封邮件打开来看里面是否有notice事
项?
还是说你认为只要信件发给你了,如果没有技术手段从全方位限制你有意识主动
偷窃或者泄露信息,那么任何通知你不要泄露消息的要求都是脱了裤子放屁?
---
那个锁的类比,是告诉你提供一个工具,是让你如何利用这个工具的功能来达到
你想达到的功能,而不是让你看把这个工具弄得不work是否很简单。
给你提供一个no copy/print/forward的功能,你说这个功能没用因为用户会偷拍,
会记下来把信息泄露出去。这不就是等于说你给家里装了锁,结果有人跟你说装锁
没用,因为你有家贼,他就是不锁门或者把钥匙配给别人。
至于你说针对不同物品,有不同安全程度的锁,不正对应了针对不同级别的
information data,也有不同级别的compliance requirements吗?
and
But
in
less
them
【在 n*********2 的大作中提到】 : Do not be too judgmental. From what you (and your colleagues) have written : in this thread, you could be easily dismissed as an amateur in security and : thus would not be qualified to work in security-related compliance: the : security mindset required is just missing and you are selling snake oil. But : this kind of labeling is not helpful in the discussion. There is no god in : this technical discussion and anybody may be challenged. : LeftEye's analogy to physical locks is deeply flawed and misses a : fundamental point here. In our physical world, we have all kinds of locks, : large and small. As a result, we get an intuitive impression on what is less : secure and we would not put our jewels at home (it is better to store them
|
g*****g 发帖数: 34805 | 56 这IRM根本没提email recall。它是compliance,不是compliance,都是无关话题,左
眼都躲不过一巴掌。
再者,左眼前面口口声声compliance文件是confidential的,不能拿出来,转眼就拿出
个公开的compliance文件,那不是自己打脸吗?
没想到我打他一巴掌,他还要自打一巴掌。你还要给他叫好,真是一对奇葩呀。
【在 z*n 的大作中提到】 : 我觉的扫盲的工作还是必须的。
|
n*********2 发帖数: 357 | 57 If doing nothing is not an option, IF doing no-forward and no-copy is
essential for getting your product certified and distinguished from Gmail, a
couple of reasonable tradeoffs could be made. You guys are smart and will
certainly find that out.
【在 L*****e 的大作中提到】 : 怎么都那么能绕啊?我把问题问得那么具体了,就没有一个能直接回答下的吗? : 第三次把下面这个scenario问一遍,我期望能看到有能人们提供最优解决方法: : 你有1000封邮件在信箱里,你怎么清楚知道哪些邮件你不应该forward,哪些你 : 不应该copy,哪些你不应该打印?你把一封封邮件打开来看里面是否有notice事 : 项? : 还是说你认为只要信件发给你了,如果没有技术手段从全方位限制你有意识主动 : 偷窃或者泄露信息,那么任何通知你不要泄露消息的要求都是脱了裤子放屁? : --- : 那个锁的类比,是告诉你提供一个工具,是让你如何利用这个工具的功能来达到 : 你想达到的功能,而不是让你看把这个工具弄得不work是否很简单。
|