Re: [請益] 30人公司資安/檔案外流控管DLP

看板MIS (IT資訊人員)作者 (伯樂)時間5年前 (2019/09/20 11:56), 5年前編輯推噓2(204)
留言6則, 6人參與, 5年前最新討論串4/6 (看更多)
經與一些SI公司討論後 方案一 Sophos + Sophos XG135防火牆 + SmartIT Desktop Manager(端點+資產+加密) 1.用Sophos + XG防火牆 做身份認證 (AD替代方案) 有安裝Sophos登入套件的PC,才能連入防火牆,上網及進伺服器 沒有安裝登入套件的設備,防火牆就會擋掉,只給單純上網瀏覽 2.Sophos防毒、防勒索 3.SmartIT Desktop Manager作資產管理及端點管理,關掉所有USB、藍芽、監控配備 4.SmartIT Desktop Manager作檔案加密 5.資安政策 - 鎖Bios、PC權限使用者設定 方案二 IP Guard + FortiGate(FSSO) + NAS(可加密、具備類似windows AD功能認證) 1.IP Guard做端點管理、加密、關閉上傳及下傳 2.FortiGate防火牆做防毒及FORTINET SINGLE SIGN ON 3.加密NAS備份 (原本已有一台NAS) 方案三 防火牆 + 防毒軟體(兼端點管理) + NAS(可加密、具備類似windows AD功能認證) 【PC端點-防火牆-NAS,變成一個區域內網, PC端點 不能使用硬體存取、也不可以上傳資料 利用NAS 做端點連線的管理 認MAC address 未被認證的設備無法連入 至於 檔案加密 暫時不做】 PaloAlto + Traps CheckPoint + SandBlast Fortigate + Forticlient 想請教各位前輩的建議 -- 經過與老闆的討論還有與SI專案經理的意見 希望達成的效果是 ●檔案不外流 1.建立內網,PC-防火牆-伺服器 2.工作用PC(設備)都被管制,被認證的PC才能連入伺服器 3.封掉所有上傳機制 (雲端硬碟均封鎖) 4.封掉所有外傳機制 5.關閉PC硬體存取設備 ●檔案加密 就算檔案外流,至少檔案有加密,流出去的話,別人也不能讀取 ●防勒索病毒 先做PC防毒軟體的採購,之後會針對伺服器的防護以及備份機制再做方案 ※ 引述《hooboa1122 (伯樂)》之銘言: : 20190904原文: : 目前公司有25台Windows 10 PC、1台MAC、2台macbook、3台linux PC : 電腦機型均為原價屋組裝 拿來跑3D美術軟體或是Tensorflow : 使用中華電信 300M/100M 網路 : 公司內部均為區域網路,無固定IP,無網域控管 : 單機個人使用 : 有一台NAS 做為內部檔案交換及建Gitlab用 : 我們沒有MIS : 工程師們的背景也不是專業的MIS : 所以老闆要求我擔任規劃PM : 想求教各位前輩該怎麼做 : ============================================================= : 老闆期待達到的功能: : 1.建置資料備份 : 2.同仁無法上傳雲端、用line傳檔或用USB等設備,拷走公司檔案 : 3.預防勒索病毒 : ============================================================= : 稍微請教過我們的工程師後,了解我們的狀況並提供做法: : 一、網路環境 : 1.內部防火牆、Switch、AP,其型號,無法達到MAC(Media Access Control Address)認證 : (若全面更新,費用約需20來萬?) : 2.全面改成wifi環境,避免員工自己私插有線到個人設備,去拷檔案或是破解server : 3.不採用帳號、密碼登入的方式,因有可能被盜或是員工自帶筆電,就可以拷檔案 : 4.理想做法 - 限制被認證的PC主機、NB才可以進入伺服器 : (但老闆願意花這20來萬嗎?) : 二、PC設備的端點管理 : 1.現有的PC、NB等,均安裝endpoint protector軟體 : 2.把linux改成windows系統 : 3.鎖掉每一台的bios,禁止用bios、usb、網路開啟PC : (Secure Boot / Multiboot/ USB Boot) : 4.限定每一台主機只能用Guest帳號登入,且無法變更。Admin帳號由我統一管理 : 5.白名單只開放工程師會用到的軟體,其餘雲端硬碟、usb槽等全關 : 6.確認工程師所用的軟體,不會有雲端備份功能 : 7.禁止使用teamviewer之類軟體 : 三、檔案瀏覽(如何避免外流) : 1.因有需要提供code及作品給客戶,之後改成用server提供帳號、密碼方式供客戶登入 : 2.針對做為DEMO用的主機,開啟使用usb及遠端連回server功能 : 四、勒索病毒 : 1.採購comodo並設置中控密碼,員工不能任意變更 : 五、資料備份 : 1.新購一台DELL伺服器作為內網,供員工檔案交換、建gitlab及備份之用 : 2.所有人憑帳號、密碼登入 : 3.異地備援(是否有便宜的雲端?) : 六、事後追蹤 : 1.受限經費、規模,除了事前防範外,希望也從流量、傳檔內容做紀錄,以便事後追蹤 : (希望知道是哪台電腦、傳了什麼檔) : 2.更換fire server? : 七、資安政策 : 1.禁止員工私帶設備筆電 : 2.機房管控 (上鎖、禁止員工進入、網路線不明顯露出) : 八、未來改成VDI作業? : 1.如果改成VDI作業,應該可以減少很多被另存檔案的問題 : (但現有主機都是10萬多的,若改成VDI作業會否有更大的成本?) -- ※ 文章網址: https://www.ptt.cc/bbs/MIS/M.1568951810.A.E22.html

09/20 15:15, 5年前 , 1F
還是一樣$$$的問題 老闆看過各方案的預算了嗎
09/20 15:15, 1F

09/20 16:01, 5年前 , 2F
每個方案應該要寫上所需預算
09/20 16:01, 2F
※ 編輯: hooboa1122 (61.230.101.29 臺灣), 09/20/2019 16:49:52

09/20 20:04, 5年前 , 3F
SmartIT主要的工程師不是都跳槽了嗎?留心一下後續維護
09/20 20:04, 3F

09/22 00:09, 5年前 , 4F
Smart It 不太建議,
09/22 00:09, 4F

09/22 08:21, 5年前 , 5F
之前有去旭晨面試SmartIT PM
09/22 08:21, 5F

09/24 01:00, 5年前 , 6F
Smart it雷雷的
09/24 01:00, 6F
文章代碼(AID): #1TX4u2uY (MIS)
文章代碼(AID): #1TX4u2uY (MIS)