PTT職涯區 / MIS (IT資訊人員)

[請益] 請問各位前輩如何防止檔案被帶出公司

看板MIS (IT資訊人員)作者 (索爾)時間7年前 (2017/05/17 12:01), 7年前編輯推噓34(34082)
留言116則, 28人參與, 最新討論串1/3 (看更多)
今天一早上班 就接到主管的電話 主管說 老闆要求研究一種方法 讓放在NAS上的幾個重要檔案禁止被複製或列印帶出公司 拍照則是不管 主管說 辦公室小又是開放辦公室 拍照一下子就被發現了 所以不管拍照 我本來想從NAS本身下手 結果打去問 NAS公司說 透過掛載網路磁碟機的方式 無法阻止複製檔案 後來在多方研究 一些文件控管軟體只能跑在WINDOWS上 所以在NAS上的資料也控管不了 最後想到的是文件加密 去問了廠商之後 看起來可以 透過加密軟體 可以限制檔案是否可以被複製 列印等等 拿出公司外 也因為沒有解密金鑰打不開檔案 因為是對檔案直接加密 所以檔案是不是在NAS上沒影響 但重點是 很貴.... 想請教 各位前輩的公司是如何防止資料被攜出 煩請給小弟一些指導 十分感謝 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 61.216.99.132 ※ 文章網址: https://www.ptt.cc/bbs/MIS/M.1494993712.A.CA5.html
05/17 12:07, , 1F
DLP
05/17 12:07, 1F
05/17 12:37, , 2F
跟主管講你不知道怎麼做 要求主管給方法
05/17 12:37, 2F
05/17 12:38, , 3F
這件事情你不透過主管做自己來 保證被內部其他人砲到爽
05/17 12:38, 3F
很遺憾 我的主管不太懂資訊 所以叫我去找方法 也沒辦法給我方向 資訊部門只有我 沒有部門主管 所以我也只能悶著頭找了
05/17 12:59, , 4F
VDI
05/17 12:59, 4F
VDI能防止檔案被寄出嗎?
05/17 13:21, , 5F
文件加密是指TFG這個嗎
05/17 13:21, 5F
剛剛去查了一下TFG 概念看起來跟我查到的那個差不多 都是透過一台伺服器進行解密的動作 資料攜出後 因為無法解密就打不開 達成防止資料攜出的動作 這個都是軟體式的控管 我還有查到類似硬體式的控管 但那個設備一台要幾百萬 看到價格就不想查下去了
05/17 14:06, , 6F
資料要流出,只要鉛筆跟A4…
05/17 14:06, 6F
鉛筆跟A4 不在資訊部門可以做的阻擋上 跟拍照一樣 不在資訊部門的考慮範疇內 所以我只要提出資訊方面可以做的防範方式跟要花多少錢就好了 至於做不做 那就交給上層自己去決定了
05/17 14:13, , 7F
TFG是個方法 但就在電腦要裝agent 啦..還有針對adobe或o
05/17 14:13, 7F
05/17 14:14, , 8F
ffice會有版本差異
05/17 14:14, 8F
裝agent不是什麼大問題啦 但是什麼版本差異呢? 是某些版本的office會加密不了 還是打不開?
05/17 14:35, , 9F
先問老闆預算阿,跟他說沒預算沒辦法
05/17 14:35, 9F
05/17 15:40, , 10F
聽起來就AIP吧
05/17 15:40, 10F
05/17 15:43, , 11F
05/17 15:43, 11F
05/17 16:27, , 12F
建議你與其做加密防堵不如做監控側錄管理會更好
05/17 16:27, 12F
05/17 16:44, , 13F
要主管給方法!?不是都說自已功課自已做嗎,怎麼叫主管做了
05/17 16:44, 13F
05/17 16:45, , 14F
TFG效果不錯,不過日常作業會有點麻煩,前公司有在用
05/17 16:45, 14F
05/17 16:47, , 15F
TFG光每天找人解密就飽了 下去做的IT痛苦USER也痛苦
05/17 16:47, 15F
05/17 16:55, , 16F
提案上去啊,利弊分析完就是上頭的決定了啊
05/17 16:55, 16F
05/17 16:56, , 17F
it也不會多痛苦,agent裝一裝就好,有簽ma問題不會太大
05/17 16:56, 17F
05/17 16:57, , 18F
不過搞tfg就真的綁ma了,不然後續容易會有相容性問題
05/17 16:57, 18F
05/17 16:59, , 19F
除非你們永遠不更新office、adober reader等
05/17 16:59, 19F
05/17 16:59, , 20F
如果agent裝裝就沒事就好囉 光業務要給客戶資料要解密
05/17 16:59, 20F
05/17 17:00, , 21F
簽核人不在代理人不在大頭不在就夠IT你煩了
05/17 17:00, 21F
05/17 17:00, , 22F
解密是上頭的事啊,這軟體本來就是有權限的人才能同意給資料
05/17 17:00, 22F
05/17 17:01, , 23F
隨隨便便就能把資料流出去不就失去控管資料的意義了
05/17 17:01, 23F
05/17 17:01, , 24F
IT能置身事外大聲講解密是別人的事 看會不會被大頭砲成灰
05/17 17:01, 24F
05/17 17:02, , 25F
利弊寫清楚,麻不麻煩是主事者該考量的
05/17 17:02, 25F
05/17 17:03, , 26F
為啥會炮成灰,這本來就不是it的事啊
05/17 17:03, 26F
05/17 17:04, , 27F
it導的系統 IT可以置身事外當然很好啊 但現實很常不是這樣
05/17 17:04, 27F
05/17 17:04, , 28F
難不成你家財務主管跟代理人不在,網銀付不了錢是it的事?
05/17 17:04, 28F
05/17 17:05, , 29F
所以我才說利弊寫清楚,主事者知道利弊在那,代理人制度弄好
05/17 17:05, 29F
05/17 17:06, , 30F
原PO都說他老闆不懂技術 主事者和執行者大概都是他
05/17 17:06, 30F
05/17 17:07, , 31F
不用知道技術啊,就只要知道這玩意資料流出公司要有人解密
05/17 17:07, 31F
05/17 17:07, , 32F
最後被USER嫌不好用又沒人力挺 人我想不會太好做
05/17 17:07, 32F
05/17 17:08, , 33F
這種東西一定會被user反對的啊,但這就是大頭要的效果啊
05/17 17:08, 33F
05/17 17:10, , 34F
那大頭不挺或不理你請你自己處理怎麼辦 就一直被user嫌嗎?
05/17 17:10, 34F
還有 47 則推文
還有 3 段內文
05/18 12:51, , 82F
3.絕對要花的(大)錢
05/18 12:51, 82F
所有利弊 所有可能發生的問題 我都提上去了 但主管就是堅持先作再說 之後有困難無法執行再來討論 人家是僅次於老闆的大主管 我只是小員工 所以我也沒轍 只能照辦
05/18 13:09, , 83F
AIP去查過了沒?它可以防截圖阿
05/18 13:09, 83F
05/18 13:10, , 84F
而且它也沒有十幾萬,靠北怎麼現在不能連續推文阿
05/18 13:10, 84F
真的不好意思 我真不知道AIP是什麼 我現在備份用的AIP(ActiveImage Protector) 似乎沒有加密還是防截圖的功能 所以不知道您說的是哪套軟體
05/18 13:22, , 85F
同意rodchi說的,所以才會說,提方案上去分析利弊啊
05/18 13:22, 85F
05/18 13:31, , 86F
我覺得重點是要讓決策者知道所謂的痛苦是有多痛苦
05/18 13:31, 86F
05/18 13:34, , 87F
因為想像是美好的,現實是殘酷的,IT也要換位思考
05/18 13:34, 87F
05/18 14:05, , 88F
防洩很難 但至少要有合理之保密措施才可說是營業秘密
05/18 14:05, 88F
05/18 14:06, , 89F
所以要問問看老闆的想法 到底是為防洩還是為舉證而已
05/18 14:06, 89F
老闆是要防洩 避免他花費多年整理的資料被帶走
05/18 15:22, , 90F
那為何要省錢? 如果有便宜大碗的方案 誰要花大錢 XDDD
05/18 15:22, 90F
05/18 15:43, , 91F
因為這些資料不值這麼多錢...很單純的理由
05/18 15:43, 91F
那些資料值不值錢我不知道啦 畢竟不是我的專業 但主管假如能0元搞定 他老闆報告的時候就是大功一件 我又不能直接對老闆報告 其他的就不多說了...
05/18 15:46, , 92F
若照原po的想法,若只是要封掉截圖軟體,只要限定user遠
05/18 15:46, 92F
05/18 15:47, , 93F
端登入使用的電腦,將剪貼簿封掉就可以了吧?
05/18 15:47, 93F
我有封掉遠端連線的剪貼簿 但本機的剪貼簿不能封掉 以免影響user其他作業 所以在遠端連線時 假如是全畫面時 print screen是沒用的沒錯 但縮小成視窗時 就可以print screen截圖了 因為連進去看的檔案 只有少部分幾個重要的機密資料 大部分的檔案還是在NAS內 所以也不能要求USER全部用遠端作業 ※ 編輯: lkklkksppspp (61.216.99.132), 05/18/2017 16:07:03
05/18 16:03, , 94F
azure information protection
05/18 16:03, 94F
05/18 16:36, , 95F
VDI+隔離網段形成一個封閉環境,機密資料就在裡面作業
05/18 16:36, 95F
05/18 16:40, , 96F
要有個觀念:要完全封鎖資料外流是不可能的(截圖、拍照...)
05/18 16:40, 96F
05/18 16:42, , 97F
但至少做到讓資料沒辦法"輕易"的外流
05/18 16:42, 97F
05/18 17:45, , 98F
只有少部份資料,那要不要乾脆印紙本借閱算了
05/18 17:45, 98F
05/18 17:46, , 99F
或是直接限定一台pc操作,少量資料會一直一堆人重覆查閱嗎?
05/18 17:46, 99F
05/18 19:21, , 100F
首先要有批律師團....
05/18 19:21, 100F
05/18 20:25, , 101F
我也覺得直接架一台電腦在資訊室或人資室比較有用
05/18 20:25, 101F
05/18 21:35, , 102F
機密資料集中儲存在一台電腦,電腦鎖在小櫃子裡
05/18 21:35, 102F
05/18 21:37, , 103F
不接網路線,唯一的鑰匙給主管保管
05/18 21:37, 103F
05/18 21:38, , 104F
如果再把電腦放在主管辦公室,請主官要求用這台電腦的
05/18 21:38, 104F
05/18 21:39, , 105F
人交出手機,查閱資料時主管全程在一旁監看就更完美了
05/18 21:39, 105F
05/19 00:07, , 106F
還有一個方式,要使用這些資料前若有事先批核的動作,批
05/19 00:07, 106F
05/19 00:08, , 107F
可後,就乾脆遠端到使用者的電腦上關閉或psexec去執行批
05/19 00:08, 107F
05/19 00:08, , 108F
次,把該關一關,一小時後把虛擬機關閉後,在遠端解除這
05/19 00:08, 108F
05/19 00:09, , 109F
些封掉的功能
05/19 00:09, 109F
05/19 18:27, , 110F
DVC?
05/19 18:27, 110F
05/23 01:21, , 111F
要防指檔案流出,又要不花錢,唯一的選擇就是不連網
05/23 01:21, 111F
05/23 01:22, , 112F
都本機前操作,進Console Room前要把手機繳出
05/23 01:22, 112F
05/23 01:24, , 113F
並且設備上只有DVD-ROM作為唯一的檔案攜入管道, USB全封
05/23 01:24, 113F
05/23 08:50, , 114F
有這種老闆還是早點走對你比較好
05/23 08:50, 114F
05/23 12:03, , 115F
推薦EFM,我公司有在用。
05/23 12:03, 115F
05/27 13:21, , 116F
想要零成本責任又會往你身上推那真的建議早點走比較好
05/27 13:21, 116F
更多 lkklkksppspp 的文章
文章代碼(AID): #1P6yimob (MIS)
MIS 近期熱門文章
更多 近期熱門文章 >>
PTT職涯區 即時熱門文章
更多 即時熱門文章 >>
更多 lkklkksppspp 的文章
文章代碼(AID): #1P6yimob (MIS)