在IBM工作了七八年后，我養成了一個惡習：

每次鎖車走人，走出老遠了，心里總覺得沒鎖車，還得回來再鎖一次。

晚上都睡覺了，突然想起來，大門是不是沒鎖好？爬起來再去檢查一下。

這個怪癖就是拜IBM的“Security”所賜。

1

“Security”是IBM員工對一攬子安全措施的統稱，它包括但不限于：

禁止尾隨

進門必須要刷卡，堅決不允許尾隨進入。

每天早上，一幫人從班車上下來，來到公司大門前，你會看到一個奇觀：盡管第一個人已經把門刷開了，但后面的每個人都必須老老實實地舉起胸牌，在門口的讀卡器上刷一下，然后才能進門。

有時候，公司老大會突擊檢查，現場抓人，很嚇人。

即使是進了大門，內部還有很多實驗室也得刷卡進入，權限區分嚴格。

人離開電腦，必須要鎖屏

每次站起來去10米外茶水間打水，也得按下Ctrl+Alt+Del，回車鎖屏

人攜帶電腦離開，桌子上的密碼鎖必須要打亂

IBM的會議超級多，每次開會帶著筆記本去參會的時候，哪怕會議室只有幾步之遙，一定得把鎖筆記本的密碼鎖給撥亂。

人離開工位，工位上的柜子必須要鎖好

工位上也不能留任何機密信息的東西，什么是機密信息，這個很難準確界定，記得有一次，有個海報都被認為是機密。

安全起見，最好把所有東西都鎖進柜子里，讓工位上干干凈凈。

必須要安裝一個安全檢查軟件

這個軟件就像一個保安，定時運行，檢查你的電腦是不是安裝了公司要求的系統更新，有沒有安裝公司不允許的軟件（如P2P），密碼的設置是否達到了足夠的安全度，密碼有沒有定期更換.....

如果這個軟件發現你違反了安全規定，就會報警，你不處理，就會上報給經理，然后是經理的經理，然后是經理的經理的經理......

記得當時偷偷用BT之類的軟件下載美劇，下載完得趕緊刪掉，否則安全檢查軟件就會發現，開始變成嚇人的黃色圖標了.......

這些還不算，每天還有不同團隊的人下班后做巡檢，拉拉你的柜子看看鎖上沒？按一按你的密碼鎖看看是否撥亂了？看看白板上是否有字沒擦掉，工位下面有沒有機密的東西忘了放進柜子......

安全問題有多重要呢？

和績效密切相關！

這就要命了，辛辛苦苦干一年，就因為一次回家時忘了鎖柜子，年底績效降一級，冤死了，你說大家會不重視嗎？

時間長了，就養成了下意識的動作，下班把筆記本裝入包包之前，很自然地伸手把密碼鎖撥幾圈，背著包走的時候，再伸手拉拉柜子，不管今天有沒有打開過。

但是有時候也會發神經，尤其是像我這樣的“小心眼”，本來已經坐上班車，突然想起：柜子是不是沒鎖??？！

趕緊打電話給還在公司人：xxx，幫我看下Security吧？

如果Security沒問題，安心回家，否則趕緊“滾”回來處理。

2

IBM的“Security”年年講，月月講，日日講，簡直是公司頭等大事。

剛開始肯定理解不了啊，進公司大門還得“裝模做樣“地排隊刷卡，有啥用??？白白浪費員工的時間，大公司就是喜歡搞形式主義！

后來了解了社會工程學，自然就明白IBM的苦心了。

比如知乎上這個回答：“作為滲透測試工程師有什么有趣的經歷？”作者是“Vintage Jar”，原文鏈接：

https://www.zhihu.com/question/293104198/answer/2670458460

當時第一次去實地，一個人，xx銀行。下午4點等他們下班時間去的。踩點之后知道8樓是信息部門，社工騙掃地阿姨幫忙刷卡去了樓上。 在廁所里蹲到整整10點鐘，居然還有人在加班，，， 后來聽到高跟鞋的聲音，知道最后一個小姐姐走了。摸進去發現她電腦沒關，不出網，就開始翻資料。突然一陣高跟鞋腳步聲，原來她是去上廁所。我馬上蹲下，慢慢挪走，害怕被她發現，她肯定會以為是小偷，，，腦子里一直在想萬一被他發現，叫起來了我該怎么解釋，會不會把她嚇到 最后慢慢挪慢慢挪，挪到一個領導的辦公室里面(大廳是辦公區，領導辦公室在最邊上)。在那呆了整整一個小時，聽著外面沒動靜也不敢出去。后來掏出授權書，有手機上有緊急聯系電話，是座機。猜測是信息部門的電話，遂打了個電話，電話鈴聲很大，在外面響了起來。過了很久都沒人接。知道她走了。然后大搖大擺出來，開始翻桌子，找到張工卡，直接刷開機房，實地滲透完成。 最后走的時候往一樓的消防監控室瞄了一眼，保安在打王者榮耀，哈哈。

（ps：Vintage Jar的回答中還有很多有趣的場景，感興趣的可以去看看。）

這次滲透測試如果發生在IBM，首先想進入辦公室就很難，即使進去了也會發現，一排排的格子間中：

所有電腦都是鎖屏的，密碼都是高強度的

所有柜子都是鎖著的

工位上都是空空蕩蕩的，除了茶杯、文具之外，什么都沒有

白板上被擦得干干凈凈，一個字也看不到

滲透者什么都得不到，想要搞點兒事情的難度呈指數級上升。

3

IBM的這些“Security”規定非常詳盡，現在不知道怎么樣了，歡迎還在IBM的小伙伴補充??！

但我知道，這些規定在中國研發中心至少實施20年了，也許從1992年建立IBM中國的時候就開始這么要求了，如果看全球的話，實施的時間肯定更久。

20多年前，中國互聯網才剛剛起步，滲透測試還是非常罕見的東西。

毫不夸張地說，IBM這家百年老店，在IT這一塊兒的積累太深厚了。

大家只是知道IBM曾經幫華為做過IPD，其實在很多地方，IBM的優秀制度和實踐都能成為IT企業的榜樣。

至于我的“惡習”，更多的是我自己的“小心眼”導致，怪不到IBM頭上。

全文完，覺得不錯的話點個贊或者在看吧！

近期爆文：