Re: [請益] 30人公司資安/檔案外流控管DLP
※ 引述《arsehole (又騎又磨姿勢且佳)》之銘言:
: ※ 引述《hooboa1122 (伯樂)》之銘言:
: : 標題: Re: [請益] 30人公司資安/檔案外流控管DLP
: : 時間: Fri Sep 20 11:56:49 2019
: 上次就想回覆,不過小弟公司中勒索,我就沒時間回應了
: 看了一下,通常這種文章建議還是簡單畫個網路架構圖
是指網路拓樸嗎? https://imgur.com/d57zvmY
這是之前的資訊廠商幫我們畫的
大致上沒有變動
只有增加了PC台數及新購一台Nusoft的UTM650防火牆
: : 方案一
: : Sophos + Sophos XG135防火牆 + SmartIT Desktop Manager(端點+資產+加密)
: : 1.用Sophos + XG防火牆 做身份認證 (AD替代方案)
: : 有安裝Sophos登入套件的PC,才能連入防火牆,上網及進伺服器
: : 沒有安裝登入套件的設備,防火牆就會擋掉,只給單純上網瀏覽
: : 2.Sophos防毒、防勒索
: Sophos 防毒就可以控管設備了,插usb可以鎖定不能使用,也可以限制到那個部門能用
: 那個部門不能用的群組設定
: : 3.SmartIT Desktop Manager作資產管理及端點管理,關掉所有USB、藍芽、監控配備
: 資產管理,open source的ocs inventory可以滿足你的需求
: 安裝上網路一堆教學,如果還是要做資產管理,有人說不建議這家,如果要花錢可以找它家
: 至於關掉所有usb sophos就可以做到了,不論是Sophos Central、Sophos Endpoint
: Sophos Central可以控管到藍芽,Sophos Endpoint 小弟公司用的版本不是最新
: 所以能不能控管到藍芽,這點可能要查一下,但控管usb的確做得到
: 資產管理我是不知道你要只做到電腦,還是周邊設備都要有,不然OCS可以做到電腦
資產管理不是老闆要的重點
老闆要的是【檔案不能外流】
SI廠商介紹這台 SmartIT
是因為可以做端點管理
而且公司能控管員工 不會偷拔公司的電腦零件去用
所以 資產管理 不算是現在必須要執行的
謝謝您介紹的ocs inventory
我會跟我們的SI廠商討論一下
畢竟我不是技術者 不知道使用上怎麼處理
: : 4.SmartIT Desktop Manager作檔案加密
: : 5.資安政策 - 鎖Bios、PC權限使用者設定
: LDAP,我是不知道你的NAS是用那一家,仿間市面上都有這類功能
: 三十人左右可以利用這個功能作控管,包括你下面留的那一台可以連到那台Server
: 最省成本的方法就是上面,不然牙一咬就買個server 2019來架AD,攤下來的成本應該
: 會讓公司比較好接受點
NAS 我們用的是QNAP的TS-453A
: : 方案二
: : IP Guard + FortiGate(FSSO) + NAS(可加密、具備類似windows AD功能認證)
: : 1.IP Guard做端點管理、加密、關閉上傳及下傳
: : 2.FortiGate防火牆做防毒及FORTINET SINGLE SIGN ON
: : 3.加密NAS備份 (原本已有一台NAS)
: 不評論
: : 方案三
: : 防火牆 + 防毒軟體(兼端點管理) + NAS(可加密、具備類似windows AD功能認證)
: : 【PC端點-防火牆-NAS,變成一個區域內網,
: : PC端點 不能使用硬體存取、也不可以上傳資料
: : 利用NAS 做端點連線的管理 認MAC address 未被認證的設備無法連入
: : 至於 檔案加密 暫時不做】
: : PaloAlto + Traps
: : CheckPoint + SandBlast
: : Fortigate + Forticlient
: 綁在一起不是不好,每年繳的保護費公司願不願意付
: 要買之前請廠商提出三到五年所需要付的費用
: 就算漲價也不會漲太多,先知道每年要付的成本再來考慮
非常謝謝您的建議
: : 想請教各位前輩的建議
: : --
: : 經過與老闆的討論還有與SI專案經理的意見
: : 希望達成的效果是
: : ●檔案不外流
: : 1.建立內網,PC-防火牆-伺服器
: 老實講,用畫圖的會比講得更容易看,你所謂的伺服器,到底是fire server
: 還是web server、到底server做什麼作用
: 到底要用Firewall當gateway還是有一台L3 switch當gateway
: 一般做法,我就不說正確作法,對外server是要納在防火牆底下,至少也是DMZ上
: 廠商要連進來可以透過防火牆的VPN連進來看,這樣確保那台server不會被植入奇怪的東西
: (如挖礦軟體)
是做file sever用的
還有架一些VM、Gitlab用的
因為我們目前只有一台QNAP TS-453A
需要再有一台設備做資料備份、安裝VM之後用來當中控台 (如果我們買SmartIT的話)
我目前考量到管理方便 (公司沒有專職MIS)
傾向不買伺服器
而是再買一台高階的NAS來使用
不知道好不好
: : 2.工作用PC(設備)都被管制,被認證的PC才能連入伺服器
: 這一些都可以用防火牆做控制,要連出去連進來都不是要透過防火牆
: 防火牆可以做到mac過濾,在不濟 L3 switch也可以做到ACL控管
因為公司現有的UTM 650防火牆沒辦法做的好 (系統資源不足 廠商說的)
不然我也希望是用現有的配備來做
就不需要去採購新的防火牆了
: : 3.封掉所有上傳機制 (雲端硬碟均封鎖)
: 防火牆可以做到,無論是Sophos XG135、PaloAlto
: 你所列的防火牆都可以做到,只是價格差異而已,PaloAlto價格應該最貴
: : 4.封掉所有外傳機制
: 防火牆可以做到
: : 5.關閉PC硬體存取設備
: Sophos可以做到
: : ●檔案加密
: : 就算檔案外流,至少檔案有加密,流出去的話,別人也不能讀取
: 這個沒接觸過,不評論
老闆要求的是【檔案不要外流】
做加密 只是我個人想的而已
如果可以做到檔案不被外流
那不做加密 也是可以的
: : ●防勒索病毒
: : 先做PC防毒軟體的採購,之後會針對伺服器的防護以及備份機制再做方案
: 如果是我會先做你所謂的伺服器防護、備份機制,PC端基本防毒就可以
: 後續再加強PC端
: Linux是否有windows的授權
: 不是說改就可以改
: 防毒跟防火牆並用
: 這樣就本機設定就好,正確來講是建網域你才不會累死
: 防毒跟防火牆效果可以達到
非常讓我驚醒的一句話
謝謝您的實務經驗
因為我沒有網管MIS專業 想的方向也許偏了
: 同上
: NAS可以建LDAP讀取權限可以設定,也可以做到備份
: 只是願意花多少錢而已
: 而不是買一台server架fire server,你的授權勒?
再次驚醒
其實NAS也可以完成我們想要的東西
不是一味的花錢
: 還是dell那台主機要架free NAS?
: 便宜不見得好用
: Syslog,但要知道那麼細,請找si廠商有沒有相關的軟體
: 價格應該會很可觀,畢竟牽扯到ssl加密的關係
: 不然大部分流量、連結到那,防火牆也可做到
: 一樣是NAS 你的Fire server的作業系統是?
再次釐清一下自己
因為我外行
想的太複雜了
老闆要的是 【檔案不能外流】
所以我才想說要鎖員工電腦、鎖上傳、鎖傳檔、防火牆要能檔
謝謝回文大大的幾個建議
也許我可以先做 有端點管制功能的防毒軟體+防火牆 就好
七七八八的防範就可以做的到
資產管理、加密 都可以後續再處理
--
※ 文章網址: https://www.ptt.cc/bbs/MIS/M.1569305727.A.0BF.html
→
09/24 16:39,
5年前
, 1F
09/24 16:39, 1F
→
09/24 16:39,
5年前
, 2F
09/24 16:39, 2F
好 我跟SI廠商詢問一下 加密式的file server
推
09/24 17:56,
5年前
, 3F
09/24 17:56, 3F
→
09/24 17:56,
5年前
, 4F
09/24 17:56, 4F
推
09/24 19:01,
5年前
, 5F
09/24 19:01, 5F
抱歉 非技術人員
回來看了幾次 沒領會
除了買新的NAS外 還需要什麼呢?
推
09/25 21:20,
5年前
, 6F
09/25 21:20, 6F
→
09/25 21:20,
5年前
, 7F
09/25 21:20, 7F
謝謝大大提供方向
※ 編輯: hooboa1122 (1.171.174.185 臺灣), 09/26/2019 18:50:25
推
09/27 12:22,
5年前
, 8F
09/27 12:22, 8F
→
09/27 12:22,
5年前
, 9F
09/27 12:22, 9F
→
09/27 12:22,
5年前
, 10F
09/27 12:22, 10F
→
09/27 12:22,
5年前
, 11F
09/27 12:22, 11F
→
09/27 12:22,
5年前
, 12F
09/27 12:22, 12F
→
09/27 12:22,
5年前
, 13F
09/27 12:22, 13F
→
09/27 12:22,
5年前
, 14F
09/27 12:22, 14F
→
09/27 12:22,
5年前
, 15F
09/27 12:22, 15F
→
09/27 12:22,
5年前
, 16F
09/27 12:22, 16F
→
09/27 15:50,
5年前
, 17F
09/27 15:50, 17F
討論串 (同標題文章)
MIS 近期熱門文章
12
54
PTT職涯區 即時熱門文章
106
189