千万别去外企！

来自：码农翻身（微信号：coderising）

在IBM工作了七八年后，我养成了一个恶习：

每次锁车走人，走出老远了，心里总觉得没锁车，还得回来再锁一次。

晚上都睡觉了，突然想起来，大门是不是没锁好？爬起来再去检查一下。

这个怪癖就是拜IBM的“Security”所赐。

“Security”是IBM员工对一揽子安全措施的统称，它包括但不限于：

禁止尾随

进门必须要刷卡，坚决不允许尾随进入。

每天早上，一帮人从班车上下来，来到公司大门前，你会看到一个奇观：尽管第一个人已经把门刷开了，但后面的每个人都必须老老实实地举起胸牌，在门口的读卡器上刷一下，然后才能进门。

有时候，公司老大会突击检查，现场抓人，很吓人。

即使是进了大门，内部还有很多实验室也得刷卡进入，权限区分严格。

人离开电脑，必须要锁屏

每次站起来去10米外茶水间打水，也得按下Ctrl+Alt+Del，回车锁屏

人携带电脑离开，桌子上的密码锁必须要打乱

IBM的会议超级多，每次开会带着笔记本去参会的时候，哪怕会议室只有几步之遥，一定得把锁笔记本的密码锁给拨乱。

人离开工位，工位上的柜子必须要锁好

工位上也不能留任何机密信息的东西，什么是机密信息，这个很难准确界定，记得有一次，有个海报都被认为是机密。

安全起见，最好把所有东西都锁进柜子里，让工位上干干净净。

必须要安装一个安全检查软件

这个软件就像一个保安，定时运行，检查你的电脑是不是安装了公司要求的系统更新，有没有安装公司不允许的软件（如P2P），密码的设置是否达到了足够的安全度，密码有没有定期更换.....

如果这个软件发现你违反了安全规定，就会报警，你不处理，就会上报给经理，然后是经理的经理，然后是经理的经理的经理......

记得当时偷偷用BT之类的软件下载美剧，下载完得赶紧删掉，否则安全检查软件就会发现，开始变成吓人的黄色图标了.......

这些还不算，每天还有不同团队的人下班后做巡检，拉拉你的柜子看看锁上没？按一按你的密码锁看看是否拨乱了？看看白板上是否有字没擦掉，工位下面有没有机密的东西忘了放进柜子......

安全问题有多重要呢？

和绩效密切相关！

这就要命了，辛辛苦苦干一年，就因为一次回家时忘了锁柜子，年底绩效降一级，冤死了，你说大家会不重视吗？

时间长了，就养成了下意识的动作，下班把笔记本装入包包之前，很自然地伸手把密码锁拨几圈，背着包走的时候，再伸手拉拉柜子，不管今天有没有打开过。

但是有时候也会发神经，尤其是像我这样的“小心眼”，本来已经坐上班车，突然想起：柜子是不是没锁啊？！

赶紧打电话给还在公司人：xxx，帮我看下Security吧？

如果Security没问题，安心回家，否则赶紧“滚”回来处理。

IBM的“Security”年年讲，月月讲，日日讲，简直是公司头等大事。

刚开始肯定理解不了啊，进公司大门还得“装模做样“地排队刷卡，有啥用啊？白白浪费员工的时间，大公司就是喜欢搞形式主义！

后来了解了社会工程学，自然就明白IBM的苦心了。

比如知乎上这个回答：“作为渗透测试工程师有什么有趣的经历？”作者是“Vintage Jar”，原文链接：

https://www.zhihu.com/question/293104198/answer/2670458460

当时第一次去实地，一个人，xx银行。下午4点等他们下班时间去的。踩点之后知道8楼是信息部门，社工骗扫地阿姨帮忙刷卡去了楼上。

在厕所里蹲到整整10点钟，居然还有人在加班，，，

后来听到高跟鞋的声音，知道最后一个小姐姐走了。摸进去发现她电脑没关，不出网，就开始翻资料。突然一阵高跟鞋脚步声，原来她是去上厕所。我马上蹲下，慢慢挪走，害怕被她发现，她肯定会以为是小偷，，，脑子里一直在想万一被他发现，叫起来了我该怎么解释，会不会把她吓到

最后慢慢挪慢慢挪，挪到一个领导的办公室里面(大厅是办公区，领导办公室在最边上)。在那呆了整整一个小时，听着外面没动静也不敢出去。后来掏出授权书，有手机上有紧急联系电话，是座机。猜测是信息部门的电话，遂打了个电话，电话铃声很大，在外面响了起来。过了很久都没人接。知道她走了。然后大摇大摆出来，开始翻桌子，找到张工卡，直接刷开机房，实地渗透完成。

最后走的时候往一楼的消防监控室瞄了一眼，保安在打王者荣耀，哈哈。

（ps：Vintage Jar的回答中还有很多有趣的场景，感兴趣的可以去看看。）

这次渗透测试如果发生在IBM，首先想进入办公室就很难，即使进去了也会发现，一排排的格子间中：

所有电脑都是锁屏的，密码都是高强度的

所有柜子都是锁着的

工位上都是空空荡荡的，除了茶杯、文具之外，什么都没有

白板上被擦得干干净净，一个字也看不到

......

渗透者什么都得不到，想要搞点儿事情的难度呈指数级上升。

IBM的这些“Security”规定非常详尽，现在不知道怎么样了，欢迎还在IBM的小伙伴补充啊！

但我知道，这些规定在中国研发中心至少实施20年了，也许从1992年建立IBM中国的时候就开始这么要求了，如果看全球的话，实施的时间肯定更久。

20多年前，中国互联网才刚刚起步，渗透测试还是非常罕见的东西。

毫不夸张地说，IBM这家百年老店，在IT这一块儿的积累太深厚了。

大家只是知道IBM曾经帮华为做过IPD，其实在很多地方，IBM的优秀制度和实践都能成为IT企业的榜样。

至于我的“恶习”，更多的是我自己的“小心眼”导致，怪不到IBM头上。

全文完，觉得不错的话点个赞或者在看吧！

本文作者刘欣，著有畅销书《码农翻身》，《半小时漫画计算机》，前IBM架构师，领导过多个企业应用架构设计和开发工作；洞察技术本质，擅长用故事去讲解复杂技术。

---END---