公司目前要做端点管理DLP、防勒索病毒的资安防护 找了几家SI厂商来讨论之後 发现有些防毒软体也具备基础的DLP功能 (锁USB、禁止下载、禁止上传云端) 感觉可以拿来搭配防火墙 做为公司防资料外泄的套装方案 想来问问大家 根据我们的需求 会建议哪间的防毒软体呢? https://imgur.com/ww9HCPB 需求: 锁电脑所有存取装置 (USB、蓝芽…) 禁止上传所有云端空间 禁止下载档案 防止勒索病毒 ------------------------------- 有SI厂商建议用Sophos Sophos + XG防火墙可以进行联合防御 用户端电脑若有安装Sophos登入套件，搭配他们的防火墙，可以做身分验证 (并不是取代 AD 伺服器) 也有SI厂商说comodo沙箱比较安全 比EDR云端连线更新的好 -- ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1568865975.A.33E.html 公司有满多数位美术档案还有一些deep learning研究资料 想要进行资安工作 经与一些SI公司讨论後 方案一 Sophos防勒索病毒+Sophos XG135防火墙+SmartIT Desktop Manager(端点+资产+加密) 1.用Sophos + XG防火墙 做身份认证 (AD替代方案) 有安装Sophos登入套件的PC，才能连入防火墙，上网及进伺服器 没有安装登入套件的设备，防火墙就会挡掉，只给单纯上网浏览 2.Sophos防毒、防勒索 3.SmartIT Desktop Manager作资产管理及端点管理，关掉所有USB、蓝芽、监控配备 4.SmartIT Desktop Manager作档案加密 5.资安政策 - 锁Bios、PC权限使用者设定 方案二 IP Guard + FortiGate(FSSO) + NAS(可加密、具备类似windows AD功能认证) 1.IP Guard做端点管理、加密、关闭上传及下传 2.FortiGate防火墙做防毒及FORTINET SINGLE SIGN ON 3.加密NAS备份 (原本已有一台NAS) 方案三 防火墙 + 防毒软体(兼端点管理) + NAS(可加密、具备类似windows AD功能认证) 【PC端点-防火墙-NAS，变成一个区域内网， PC端点 不能使用硬体存取、也不可以上传资料 利用NAS 做端点连线的管理 认MAC address 未被认证的设备无法连入 至於 档案加密 暂时不做】 PaloAlto + Traps CheckPoint + SandBlast Fortigate + Forticlient 想请教各位前辈的建议 谢谢提醒 已更新用词 ※ 编辑: hooboa1122 (61.230.101.29 台湾), 09/20/2019 16:49:33