作者lkklkksppspp (索尔)
看板MIS
标题[请益] 请问各位前辈如何防止档案被带出公司
时间Wed May 17 12:01:49 2017
今天一早上班 就接到主管的电话
主管说 老板要求研究一种方法
让放在NAS上的几个重要档案禁止被复制或列印带出公司
拍照则是不管 主管说 办公室小又是开放办公室
拍照一下子就被发现了 所以不管拍照
我本来想从NAS本身下手
结果打去问 NAS公司说 透过挂载网路磁碟机的方式
无法阻止复制档案
後来在多方研究 一些文件控管软体只能跑在WINDOWS上
所以在NAS上的资料也控管不了
最後想到的是文件加密 去问了厂商之後 看起来可以
透过加密软体 可以限制档案是否可以被复制 列印等等
拿出公司外 也因为没有解密金钥打不开档案
因为是对档案直接加密 所以档案是不是在NAS上没影响
但重点是 很贵....
想请教 各位前辈的公司是如何防止资料被携出
烦请给小弟一些指导 十分感谢
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 61.216.99.132
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/MIS/M.1494993712.A.CA5.html
1F:推 leaderliu: DLP 05/17 12:07
2F:→ Weky: 跟主管讲你不知道怎麽做 要求主管给方法 05/17 12:37
3F:→ Weky: 这件事情你不透过主管做自己来 保证被内部其他人炮到爽 05/17 12:38
很遗憾 我的主管不太懂资讯
所以叫我去找方法 也没办法给我方向
资讯部门只有我 没有部门主管
所以我也只能闷着头找了
4F:推 Manu: VDI 05/17 12:59
VDI能防止档案被寄出吗?
5F:推 s801107: 文件加密是指TFG这个吗 05/17 13:21
刚刚去查了一下TFG
概念看起来跟我查到的那个差不多
都是透过一台伺服器进行解密的动作
资料携出後 因为无法解密就打不开
达成防止资料携出的动作
这个都是软体式的控管
我还有查到类似硬体式的控管
但那个设备一台要几百万 看到价格就不想查下去了
6F:推 michaellai: 资料要流出,只要铅笔跟A4… 05/17 14:06
铅笔跟A4 不在资讯部门可以做的阻挡上
跟拍照一样 不在资讯部门的考虑范畴内
所以我只要提出资讯方面可以做的防范方式跟要花多少钱就好了
至於做不做 那就交给上层自己去决定了
7F:推 s801107: TFG是个方法 但就在电脑要装agent 啦..还有针对adobe或o 05/17 14:13
8F:→ s801107: ffice会有版本差异 05/17 14:14
装agent不是什麽大问题啦
但是什麽版本差异呢?
是某些版本的office会加密不了 还是打不开?
9F:推 sopoor: 先问老板预算阿,跟他说没预算没办法 05/17 14:35
10F:推 purplvampire: 听起来就AIP吧 05/17 15:40
12F:→ Weky: 建议你与其做加密防堵不如做监控侧录管理会更好 05/17 16:27
13F:推 esla: 要主管给方法!?不是都说自已功课自已做吗,怎麽叫主管做了 05/17 16:44
14F:→ esla: TFG效果不错,不过日常作业会有点麻烦,前公司有在用 05/17 16:45
15F:→ Weky: TFG光每天找人解密就饱了 下去做的IT痛苦USER也痛苦 05/17 16:47
16F:推 esla: 提案上去啊,利弊分析完就是上头的决定了啊 05/17 16:55
17F:→ esla: it也不会多痛苦,agent装一装就好,有签ma问题不会太大 05/17 16:56
18F:→ esla: 不过搞tfg就真的绑ma了,不然後续容易会有相容性问题 05/17 16:57
19F:→ esla: 除非你们永远不更新office、adober reader等 05/17 16:59
20F:→ Weky: 如果agent装装就没事就好罗 光业务要给客户资料要解密 05/17 16:59
21F:→ Weky: 签核人不在代理人不在大头不在就够IT你烦了 05/17 17:00
22F:→ esla: 解密是上头的事啊,这软体本来就是有权限的人才能同意给资料 05/17 17:00
23F:→ esla: 随随便便就能把资料流出去不就失去控管资料的意义了 05/17 17:01
24F:→ Weky: IT能置身事外大声讲解密是别人的事 看会不会被大头炮成灰 05/17 17:01
25F:→ esla: 利弊写清楚,麻不麻烦是主事者该考量的 05/17 17:02
26F:→ esla: 为啥会炮成灰,这本来就不是it的事啊 05/17 17:03
27F:→ Weky: it导的系统 IT可以置身事外当然很好啊 但现实很常不是这样 05/17 17:04
28F:→ esla: 难不成你家财务主管跟代理人不在,网银付不了钱是it的事? 05/17 17:04
29F:→ esla: 所以我才说利弊写清楚,主事者知道利弊在那,代理人制度弄好 05/17 17:05
30F:→ Weky: 原PO都说他老板不懂技术 主事者和执行者大概都是他 05/17 17:06
31F:→ esla: 不用知道技术啊,就只要知道这玩意资料流出公司要有人解密 05/17 17:07
32F:→ Weky: 最後被USER嫌不好用又没人力挺 人我想不会太好做 05/17 17:07
33F:→ esla: 这种东西一定会被user反对的啊,但这就是大头要的效果啊 05/17 17:08
34F:→ Weky: 那大头不挺或不理你请你自己处理怎麽办 就一直被user嫌吗? 05/17 17:10
35F:→ esla: 可能运气好,前公司导tfg,我从来没被炮过,上头都知道利弊 05/17 17:10
36F:→ esla: 不挺你还要导?这逻辑我不太懂,自已处理是解密权限给it? 05/17 17:11
37F:→ Weky: 我八年前同事导完被嫌到离职系统也收掉了 参考参考 05/17 17:12
38F:推 purplvampire: 推Weky大,这才是现实,理论的东西遇上人就没意义了 05/17 17:12
39F:→ esla: 如果不挺你,权限给it,那导这系统干嘛,不合逻辑啊 05/17 17:12
40F:→ Weky: 老板只负责讲我要导这系统後面XX负责 剩下没老板的事了 05/17 17:13
41F:→ Weky: 本来就不是每个老板都很会为员工讲话 除非他置身事内 05/17 17:14
42F:→ purplvampire: 老板只负责出张嘴跟耍特权,知道跟配合是两回事 05/17 17:15
43F:推 esla: 这种东西就是要让资料没那麽容易出去,才有其效果啊 05/17 17:17
44F:→ Weky: 今天原PO老板不懂技术 光用文笔写利弊老板真的会懂吗? 05/17 17:17
45F:→ Weky: 老板一定是只要功能达到他目标 他会想到执行难处吗? 05/17 17:18
46F:→ esla: 这是需要懂什麽技术,就是没人解密,资料就流不出去 05/17 17:18
47F:→ esla: 利就是档案控管,弊就是没人在资料出去跟ma费用而已 05/17 17:19
48F:→ esla: 如果你focus的是在it会被user狗干,那我没话说,这是事实 05/17 17:20
49F:→ esla: 但说没人解密要it处理我就真的没办法认同了 05/17 17:21
50F:→ Weky: 跟USER处不好的IT能过的有多开心 很难想像就是 05/17 17:21
51F:→ esla: 导个tfg就能跟user处不好,那我也没话说了 05/17 17:22
52F:→ Weky: 今天业务有大订单要跟客户讨论资料解不了密 情境很多吧 05/17 17:24
53F:→ esla: 老板要求,我也很无奈,我也增加工作,我们都是受害者 05/17 17:24
54F:→ esla: 类似的说词不难吧,而且也是事实啊,老板不要求会想找事做吗 05/17 17:25
55F:→ esla: 老实说,解不了密我会觉得是公司代理人制度出问题 05/17 17:26
56F:→ Weky: 那我只能说我不会推TFG 我会如前面提的找其他模式 05/17 17:26
57F:→ esla: 同意啊,这只是一个方案,也不是绝对的 05/17 17:27
感谢以上两位朋友的热心回覆
刚刚主管在问 我就把TFG等相关的软体跟他报告
结果听到要几十万就打枪了
主管说公司小 不可能花几十万买那个
要我想一个0成本的土炮方法
最後讨论出来的结论
就是用在机房架一台虚拟机 把只能看不能流出的档案放进去
将RDP关掉剪贴簿跟磁碟重新导向的功能
虚拟机的IP也从防火墙封死不能上网
内网封掉网芳 让内部电脑连不进去
登入的帐号只有USER权限
这样资料应该就不能从那台电脑传出来
就类似唯读的方式
也不用花额外的成本
这样上报给老板看看老板买不买单喽
58F:→ dennisxkimo: 这样要设专区浏览 手机摄影装置出入管制了吧? 05/17 18:21
59F:推 HiJimmy: 不能用内网 锁USB?? 05/17 18:24
60F:→ kreety: 感谢分享!正当还在思索中时,看到了原po最後的处理方式 05/17 20:23
61F:推 goodga: 做的再好 老板也不会帮你加薪 块陶啊 05/17 20:23
62F:推 qmaw: 锁USB 只能读不能写。印出来的文件都加浮水印。 05/17 21:11
63F:推 zuso: VNC......是不能截图吗 05/17 22:09
嗯嗯 目前不管是用VNC或者是RDP
都无法阻止print screen或截图软体 其实还蛮头痛的
google相关资料也说print screen关不掉 除非用第三方软体管控
但若改成一台单机的查询机
把所有对外传输管道封死
就不用在意print screen
但主管又嫌麻烦
64F:→ blackhippo: 连TSMC那麽搞刚的公司都能被携出了.. 05/17 22:32
65F:→ zuso: 没办法完全封锁的啦 记在脑海的你能抹除吗XD 05/17 22:33
完全封锁当然是不可能
听主管说 老板也没要完全封锁
他说 老板觉得一两张资料被带走无所谓
但不能轻松让人整批资料都全部带走
※ 编辑: lkklkksppspp (59.127.176.105), 05/18/2017 01:14:52
66F:推 esla: 上面这种土炮方式照weky的说法,更会比user狗干吧 05/18 08:05
67F:→ esla: ^被 05/18 08:06
68F:→ esla: it会更累,业务要给客户资料,it要开网芳开网路 05/18 08:07
69F:→ esla: 然後还没办法限制谁去做这个传资料的动作 05/18 08:09
70F:→ esla: 你开给上头去做,他们还得连进去虚拟机传出来,更麻烦 05/18 08:10
71F:→ esla: 然後上面说的负责人代理人不在家的问题同样存在 05/18 08:11
72F:推 esla: 这样大头若不挺你,user也会嫌到爆,你会被炮成灰哦 05/18 08:12
73F:推 KKANT: 领多少钱做多少事 05/18 09:04
74F:推 chang0206: 以柔的DMP 可以防截图 但是那绝对是大工程 05/18 09:07
75F:→ chang0206: 结果看到你说几十万被打枪...标准鬼岛老板心态啊 05/18 09:08
76F:→ SALONPAS1: User数量,nas硬体规格? 05/18 10:17
77F:推 esla: 几十万被打枪,表示资料不值这几十万啊,的确鬼岛惯老板心态 05/18 11:11
78F:→ rodchi: 觉得这是沟通的问题,通常导系统IT被狗干的原因不外乎 05/18 12:46
79F:→ rodchi: 成效或痛苦指数不如主管或使用者预期,尤其痛苦指数这个 05/18 12:47
80F:→ rodchi: 最容易让IT被干爆,建议分析给主管时一定要提几点 05/18 12:49
81F:→ rodchi: 1.绝对做不到(防不住)的点 2.绝对会用得很痛苦的点 05/18 12:50
82F:→ rodchi: 3.绝对要花的(大)钱 05/18 12:51
所有利弊 所有可能发生的问题 我都提上去了
但主管就是坚持先作再说
之後有困难无法执行再来讨论
人家是仅次於老板的大主管 我只是小员工
所以我也没辙 只能照办
83F:推 purplvampire: AIP去查过了没?它可以防截图阿 05/18 13:09
84F:→ purplvampire: 而且它也没有十几万,靠北怎麽现在不能连续推文阿 05/18 13:10
真的不好意思 我真不知道AIP是什麽
我现在备份用的AIP(ActiveImage Protector)
似乎没有加密还是防截图的功能
所以不知道您说的是哪套软体
85F:推 esla: 同意rodchi说的,所以才会说,提方案上去分析利弊啊 05/18 13:22
86F:→ rodchi: 我觉得重点是要让决策者知道所谓的痛苦是有多痛苦 05/18 13:31
87F:→ rodchi: 因为想像是美好的,现实是残酷的,IT也要换位思考 05/18 13:34
88F:推 alair99: 防泄很难 但至少要有合理之保密措施才可说是营业秘密 05/18 14:05
89F:→ alair99: 所以要问问看老板的想法 到底是为防泄还是为举证而已 05/18 14:06
老板是要防泄 避免他花费多年整理的资料被带走
90F:推 alair99: 那为何要省钱? 如果有便宜大碗的方案 谁要花大钱 XDDD 05/18 15:22
91F:→ Weky: 因为这些资料不值这麽多钱...很单纯的理由 05/18 15:43
那些资料值不值钱我不知道啦 毕竟不是我的专业
但主管假如能0元搞定 他老板报告的时候就是大功一件
我又不能直接对老板报告 其他的就不多说了...
92F:→ u341153: 若照原po的想法,若只是要封掉截图软体,只要限定user远 05/18 15:46
93F:→ u341153: 端登入使用的电脑,将剪贴簿封掉就可以了吧? 05/18 15:47
我有封掉远端连线的剪贴簿
但本机的剪贴簿不能封掉 以免影响user其他作业
所以在远端连线时 假如是全画面时 print screen是没用的没错
但缩小成视窗时 就可以print screen截图了
因为连进去看的档案 只有少部分几个重要的机密资料
大部分的档案还是在NAS内 所以也不能要求USER全部用远端作业
※ 编辑: lkklkksppspp (61.216.99.132), 05/18/2017 16:07:03
94F:推 purplvampire: azure information protection 05/18 16:03
95F:推 Manu: VDI+隔离网段形成一个封闭环境,机密资料就在里面作业 05/18 16:36
96F:推 Manu: 要有个观念:要完全封锁资料外流是不可能的(截图、拍照...) 05/18 16:40
97F:→ Manu: 但至少做到让资料没办法"轻易"的外流 05/18 16:42
98F:推 esla: 只有少部份资料,那要不要乾脆印纸本借阅算了 05/18 17:45
99F:→ esla: 或是直接限定一台pc操作,少量资料会一直一堆人重覆查阅吗? 05/18 17:46
100F:推 JamesGO: 首先要有批律师团.... 05/18 19:21
101F:推 purplvampire: 我也觉得直接架一台电脑在资讯室或人资室比较有用 05/18 20:25
102F:→ deadwood: 机密资料集中储存在一台电脑,电脑锁在小柜子里 05/18 21:35
103F:→ deadwood: 不接网路线,唯一的钥匙给主管保管 05/18 21:37
104F:→ deadwood: 如果再把电脑放在主管办公室,请主官要求用这台电脑的 05/18 21:38
105F:→ deadwood: 人交出手机,查阅资料时主管全程在一旁监看就更完美了 05/18 21:39
106F:→ u341153: 还有一个方式,要使用这些资料前若有事先批核的动作,批 05/19 00:07
107F:→ u341153: 可後,就乾脆远端到使用者的电脑上关闭或psexec去执行批 05/19 00:08
108F:→ u341153: 次,把该关一关,一小时後把虚拟机关闭後,在远端解除这 05/19 00:08
109F:→ u341153: 些封掉的功能 05/19 00:09
110F:推 openlien: DVC? 05/19 18:27
111F:→ coflame: 要防指档案流出,又要不花钱,唯一的选择就是不连网 05/23 01:21
112F:→ coflame: 都本机前操作,进Console Room前要把手机缴出 05/23 01:22
113F:→ coflame: 并且设备上只有DVD-ROM作为唯一的档案携入管道, USB全封 05/23 01:24
114F:推 punding: 有这种老板还是早点走对你比较好 05/23 08:50
115F:推 AngelGT: 推荐EFM,我公司有在用。 05/23 12:03
116F:推 junorn: 想要零成本责任又会往你身上推那真的建议早点走比较好 05/27 13:21