[請益] 30人公司資安/檔案外流控管

看板MIS (IT資訊人員)作者 (伯樂)時間5年前 (2019/09/04 11:09), 5年前編輯推噓16(16054)
留言70則, 23人參與, 5年前最新討論串1/1
20190904原文: 目前公司有25台Windows 10 PC、1台MAC、2台macbook、3台linux PC 電腦機型均為原價屋組裝 拿來跑3D美術軟體或是Tensorflow 使用中華電信 300M/100M 網路 公司內部均為區域網路,無固定IP,無網域控管 單機個人使用 有一台NAS 做為內部檔案交換及建Gitlab用 我們沒有MIS 工程師們的背景也不是專業的MIS 所以老闆要求我擔任規劃PM 想求教各位前輩該怎麼做 ============================================================= 老闆期待達到的功能: 1.建置資料備份 2.同仁無法上傳雲端、用line傳檔或用USB等設備,拷走公司檔案 3.預防勒索病毒 ============================================================= 稍微請教過我們的工程師後,了解我們的狀況並提供做法: 一、網路環境 1.內部防火牆、Switch、AP,其型號,無法達到MAC(Media Access Control Address)認證 (若全面更新,費用約需20來萬?) 2.全面改成wifi環境,避免員工自己私插有線到個人設備,去拷檔案或是破解server 3.不採用帳號、密碼登入的方式,因有可能被盜或是員工自帶筆電,就可以拷檔案 4.理想做法 - 限制被認證的PC主機、NB才可以進入伺服器 (但老闆願意花這20來萬嗎?) 二、PC設備的端點管理 1.現有的PC、NB等,均安裝endpoint protector軟體 2.把linux改成windows系統 3.鎖掉每一台的bios,禁止用bios、usb、網路開啟PC (Secure Boot / Multiboot/ USB Boot) 4.限定每一台主機只能用Guest帳號登入,且無法變更。Admin帳號由我統一管理 5.白名單只開放工程師會用到的軟體,其餘雲端硬碟、usb槽等全關 6.確認工程師所用的軟體,不會有雲端備份功能 7.禁止使用teamviewer之類軟體 三、檔案瀏覽(如何避免外流) 1.因有需要提供code及作品給客戶,之後改成用server提供帳號、密碼方式供客戶登入 2.針對做為DEMO用的主機,開啟使用usb及遠端連回server功能 四、勒索病毒 1.採購comodo並設置中控密碼,員工不能任意變更 五、資料備份 1.新購一台DELL伺服器作為內網,供員工檔案交換、建gitlab及備份之用 2.所有人憑帳號、密碼登入 3.異地備援(是否有便宜的雲端?) 六、事後追蹤 1.受限經費、規模,除了事前防範外,希望也從流量、傳檔內容做紀錄,以便事後追蹤 (希望知道是哪台電腦、傳了什麼檔) 2.更換fire server? 七、資安政策 1.禁止員工私帶設備筆電 2.機房管控 (上鎖、禁止員工進入、網路線不明顯露出) 八、未來改成VDI作業? 1.如果改成VDI作業,應該可以減少很多被另存檔案的問題 (但現有主機都是10萬多的,若改成VDI作業會否有更大的成本?) -- ※ 文章網址: https://www.ptt.cc/bbs/MIS/M.1567566587.A.727.html

09/04 11:25, 5年前 , 1F
VDI不用想了 光是軟體授權就不少了
09/04 11:25, 1F

09/04 11:31, 5年前 , 2F
你沒說最關鍵的問題,你的總預算多少
09/04 11:31, 2F

09/04 11:34, 5年前 , 3F
應該是逐項加完就是預算,然後老闆就開始砍砍砍...
09/04 11:34, 3F
是的

09/04 11:36, 5年前 , 4F
去參考一下forti single sign-on
09/04 11:36, 4F

09/04 11:37, 5年前 , 5F
我相信Forti的功能是很貼近你要的
09/04 11:37, 5F

09/04 11:38, 5年前 , 6F
資料備份來講,你丟雲端不就等同於外洩
09/04 11:38, 6F

09/04 11:39, 5年前 , 7F
還不如在買台NAS,進行異機備份即可,只要設定排成錯開即可
09/04 11:39, 7F

09/04 11:39, 5年前 , 8F
至於client沒有涉獵,不過這些都關係到偵測功能
09/04 11:39, 8F
感謝 我來查查Forti

09/04 12:21, 5年前 , 9F
那些限制要完全做到真的只能VDI
09/04 12:21, 9F

09/04 12:22, 5年前 , 10F
其他大概就硬體做法
09/04 12:22, 10F
請問硬體會建議怎麼做呢?

09/04 12:29, 5年前 , 11F
VDI如果途徑存在 依然會外洩 比較推薦DLP或是DRM
09/04 12:29, 11F

09/04 12:50, 5年前 , 12F
先看預算吧
09/04 12:50, 12F

09/04 13:03, 5年前 , 13F
老實說30人的公司老闆資安要求根本沒預算達成
09/04 13:03, 13F

09/04 13:04, 5年前 , 14F
花時間處理不如多花時間在主要業務上
09/04 13:04, 14F

09/04 13:06, 5年前 , 15F
然後30人的公司還要擔心有內賊 我覺得解散會快點
09/04 13:06, 15F

09/04 13:06, 5年前 , 16F
光一個怎麼防止資料被手機鏡頭截圖帶出就無解了
09/04 13:06, 16F

09/04 13:07, 5年前 , 17F
難道你要學有些公司進去先過金屬檢測門 然後禁帶手機嗎
09/04 13:07, 17F
謝謝大大的建議 我本職是行政工作 被老闆要求來做這個的 目前已比較有些頭緒 就我們的狀況 能做的先做 至少不要門戶大開

09/04 13:33, 5年前 , 18F
硬體喔..你去五金行花個幾十塊買支尖嘴鉗就可以達成
09/04 13:33, 18F

09/04 13:33, 5年前 , 19F
8成資安需求了
09/04 13:33, 19F

09/04 14:03, 5年前 , 20F
寫這麼多,有問老闆預算多少嗎?有多少錢做多少事
09/04 14:03, 20F

09/04 14:05, 5年前 , 21F
123點有錢多錢少的作法都可以達成,先問預算再來吧
09/04 14:05, 21F
目前是老闆沒概念 我上網這樣查一查 應該會報40萬的預算 (純軟體 或 軟體+硬體) 看看老闆的想法

09/04 14:28, 5年前 , 22F
手機拍照目前有一些solution 但也要員工願意手機裝東西
09/04 14:28, 22F
手機就沒辦法 目前不考慮處理

09/04 14:51, 5年前 , 23F
買個加密式的file server, 防止大量帶走檔案, 還附存
09/04 14:51, 23F

09/04 14:51, 5年前 , 24F
取記錄, 監視器裝好裝滿嚇阻一下
09/04 14:51, 24F
加密式的file server這有考量

09/04 15:42, 5年前 , 25F
1. NAS 2.艾批尬 3.SOPHOS
09/04 15:42, 25F
的確有廠商建議IP Guard/CIXA + 趨勢防毒(應該也是類似sophos)

09/04 16:11, 5年前 , 26F
內外網切開可以省很多錢跟很多事 看你老闆願不願意這樣幹
09/04 16:11, 26F

09/04 16:13, 5年前 , 27F
監視器+內網作業+拔掉USB 只要與外界隔離就相對安全了
09/04 16:13, 27F

09/04 16:16, 5年前 , 28F
這是最省錢最省事效果最好的模式(=使用者最麻煩)
09/04 16:16, 28F

09/04 16:21, 5年前 , 29F
如果嫌麻煩 那就只能開始追加預算去建防護架構了
09/04 16:21, 29F
謝謝大大建議 我會弄進提案裡

09/04 16:37, 5年前 , 30F
1.資料備份:只有內網的NAS且兩台以上
09/04 16:37, 30F

09/04 16:38, 5年前 , 31F
2.直接透過防毒所掉URL,USB直接破壞掉
09/04 16:38, 31F

09/04 16:40, 5年前 , 32F
3.預防勒索病毒:系統定期更新,勤勞備份就好
09/04 16:40, 32F

09/04 16:40, 5年前 , 33F
30人的規模,買幾台NAS跟防毒就搞定了
09/04 16:40, 33F

09/04 16:41, 5年前 , 34F
勒索病毒基本上最有效還是自己多備份在不同地方
09/04 16:41, 34F

09/04 16:41, 5年前 , 35F
記得是不同地方,例如不同網段或設備之類的
09/04 16:41, 35F

09/04 16:42, 5年前 , 36F
例如每天備份完成後,NAS 斷網,網段獨立等等
09/04 16:42, 36F
了解 也是有比較不花錢的做法

09/04 17:48, 5年前 , 37F
記得請一個警衛每天門口貼手機跟電腦鏡頭,出去檢查有沒
09/04 17:48, 37F

09/04 17:48, 5年前 , 38F
有撕掉過XD
09/04 17:48, 38F

09/04 20:42, 5年前 , 39F
推樓上
09/04 20:42, 39F

09/05 00:39, 5年前 , 40F
30人規模 先處理防火牆跟防毒吧,用防毒管控usb甚至可以不
09/05 00:39, 40F

09/05 00:39, 5年前 , 41F
用房,只要公布有使用了usb的電腦,然後你老闆要挺你的政
09/05 00:39, 41F

09/05 00:39, 5年前 , 42F
09/05 00:39, 42F
筆記

09/05 13:49, 5年前 , 43F
NGFW 封鎖所有USB孔 一台備份sv 不過要培養能使用NGFW的人
09/05 13:49, 43F

09/05 14:22, 5年前 , 44F
不請MIS就只有被廠商當羊而已
09/05 14:22, 44F

09/05 15:25, 5年前 , 45F
貴司的營業額跟檔案機密性 需要這麼高?還要每年買?
09/05 15:25, 45F

09/05 16:36, 5年前 , 46F
沒人納悶 六、事後追蹤 的第2項嗎?fire server 是啥?
09/05 16:36, 46F
※ 編輯: hooboa1122 (61.230.97.203 臺灣), 09/05/2019 16:40:43

09/05 21:34, 5年前 , 47F
買comodo....光這個部分你應該後續會忙不完
09/05 21:34, 47F

09/05 21:34, 5年前 , 48F
上面HIPS, APP Control, Containment應該會加重很多
09/05 21:34, 48F

09/05 21:35, 5年前 , 49F
helpdesk的人力成本, Call會接不少
09/05 21:35, 49F

09/08 19:21, 5年前 , 50F
我建議趨勢,因此畢竟是本土公司,需求處理也會比較快處理
09/08 19:21, 50F

09/09 17:16, 5年前 , 51F
某些產業跟人數多不多沒關係好嗎,為啥30人公司就不用擔心
09/09 17:16, 51F

09/09 17:16, 5年前 , 52F
或認為30人公司沒預算管資安?我之前公司也是花上百在資安啊
09/09 17:16, 52F

09/09 17:17, 5年前 , 53F
很多管理面的東西,讓user覺得麻煩就能達到一定效果了
09/09 17:17, 53F

09/09 17:18, 5年前 , 54F
像solidwork或是proe之類的圖,你拿手機拍效果也很有限的
09/09 17:18, 54F

09/09 17:19, 5年前 , 55F
認為小公司就不需要/沒能力管資安,不應該是傳統老闆的思維
09/09 17:19, 55F

09/09 17:20, 5年前 , 56F
怎麼會連玩資訊的都會先入為主的認為玩不了
09/09 17:20, 56F

09/09 17:23, 5年前 , 57F
不過如果貴公司真的有心碰資安,老闆要有花錢的打算
09/09 17:23, 57F

09/09 17:23, 5年前 , 58F
如果想要不花錢,或是花個幾萬就搞定,那效果的確很有限
09/09 17:23, 58F

09/11 08:34, 5年前 , 59F
破解方式 user開4g wifi分享或是4g分享器帶網路孔,上傳
09/11 08:34, 59F

09/11 08:34, 5年前 , 60F
檔案到雲端,無敵
09/11 08:34, 60F

09/17 10:07, 5年前 , 61F
30人的公司有預算管資安不如把錢花在產品開發或行銷更有價值
09/17 10:07, 61F

09/17 10:09, 5年前 , 62F
讓user覺得麻煩的資安=有效果 代表你的內容不夠值錢而已XDD
09/17 10:09, 62F

09/17 10:09, 5年前 , 63F
拿手機拍效果有限 答案是效果拔群 拍多張點工程師要重現圖
09/17 10:09, 63F

09/17 10:10, 5年前 , 64F
沒什麼問題 東西夠有價值多花點力氣重製和拍照完全沒問題
09/17 10:10, 64F

09/21 18:48, 5年前 , 65F
真厲害,連產業別都不清楚就能直接下出結論
09/21 18:48, 65F

09/21 18:48, 5年前 , 66F
其它公司做什麼行為更有價值,或是內容值不值錢都能這樣判斷
09/21 18:48, 66F

09/21 18:49, 5年前 , 67F
看來w大應該是待過非常多產業,甚至是大老闆囉
09/21 18:49, 67F

09/21 18:49, 5年前 , 68F
有辦法在什麼資訊都沒有的情況下,果斷的判斷其它公司的決定
09/21 18:49, 68F

10/28 00:17, 5年前 , 69F
你和老闆說先給個200萬我們再來談 你說的東西都要錢沒
10/28 00:17, 69F

10/28 00:17, 5年前 , 70F
錢是做不到的
10/28 00:17, 70F
文章代碼(AID): #1TRohxSd (MIS)
文章代碼(AID): #1TRohxSd (MIS)