作者hooboa1122 (伯乐)
看板MIS
标题[请益] 30人公司资安/档案外流控管
时间Wed Sep 4 11:09:45 2019
20190904原文:
目前公司有25台Windows 10 PC、1台MAC、2台macbook、3台linux PC
电脑机型均为原价屋组装 拿来跑3D美术软体或是Tensorflow
使用中华电信 300M/100M 网路
公司内部均为区域网路,无固定IP,无网域控管
单机个人使用
有一台NAS 做为内部档案交换及建Gitlab用
我们没有MIS
工程师们的背景也不是专业的MIS
所以老板要求我担任规划PM
想求教各位前辈该怎麽做
=============================================================
老板期待达到的功能:
1.建置资料备份
2.同仁无法上传云端、用line传档或用USB等设备,拷走公司档案
3.预防勒索病毒
=============================================================
稍微请教过我们的工程师後,了解我们的状况并提供做法:
一、网路环境
1.内部防火墙、Switch、AP,其型号,无法达到MAC(Media Access Control Address)认证
(若全面更新,费用约需20来万?)
2.全面改成wifi环境,避免员工自己私插有线到个人设备,去拷档案或是破解server
3.不采用帐号、密码登入的方式,因有可能被盗或是员工自带笔电,就可以拷档案
4.理想做法 - 限制被认证的PC主机、NB才可以进入伺服器
(但老板愿意花这20来万吗?)
二、PC设备的端点管理
1.现有的PC、NB等,均安装endpoint protector软体
2.把linux改成windows系统
3.锁掉每一台的bios,禁止用bios、usb、网路开启PC
(Secure Boot / Multiboot/ USB Boot)
4.限定每一台主机只能用Guest帐号登入,且无法变更。Admin帐号由我统一管理
5.白名单只开放工程师会用到的软体,其余云端硬碟、usb槽等全关
6.确认工程师所用的软体,不会有云端备份功能
7.禁止使用teamviewer之类软体
三、档案浏览(如何避免外流)
1.因有需要提供code及作品给客户,之後改成用server提供帐号、密码方式供客户登入
2.针对做为DEMO用的主机,开启使用usb及远端连回server功能
四、勒索病毒
1.采购comodo并设置中控密码,员工不能任意变更
五、资料备份
1.新购一台DELL伺服器作为内网,供员工档案交换、建gitlab及备份之用
2.所有人凭帐号、密码登入
3.异地备援(是否有便宜的云端?)
六、事後追踪
1.受限经费、规模,除了事前防范外,希望也从流量、传档内容做纪录,以便事後追踪
(希望知道是哪台电脑、传了什麽档)
2.更换fire server?
七、资安政策
1.禁止员工私带设备笔电
2.机房管控 (上锁、禁止员工进入、网路线不明显露出)
八、未来改成VDI作业?
1.如果改成VDI作业,应该可以减少很多被另存档案的问题
(但现有主机都是10万多的,若改成VDI作业会否有更大的成本?)
--
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/MIS/M.1567566587.A.727.html
1F:推 goodga: VDI不用想了 光是软体授权就不少了 09/04 11:25
2F:→ seeya08: 你没说最关键的问题,你的总预算多少 09/04 11:31
3F:推 jin1228: 应该是逐项加完就是预算,然後老板就开始砍砍砍... 09/04 11:34
是的
4F:→ fonzae: 去参考一下forti single sign-on 09/04 11:36
5F:→ fonzae: 我相信Forti的功能是很贴近你要的 09/04 11:37
6F:→ fonzae: 资料备份来讲,你丢云端不就等同於外泄 09/04 11:38
7F:→ fonzae: 还不如在买台NAS,进行异机备份即可,只要设定排成错开即可 09/04 11:39
8F:→ fonzae: 至於client没有涉猎,不过这些都关系到侦测功能 09/04 11:39
感谢 我来查查Forti
9F:推 kenwufederer: 那些限制要完全做到真的只能VDI 09/04 12:21
10F:→ kenwufederer: 其他大概就硬体做法 09/04 12:22
请问硬体会建议怎麽做呢?
11F:推 sssxyz: VDI如果途径存在 依然会外泄 比较推荐DLP或是DRM 09/04 12:29
12F:推 darktasi: 先看预算吧 09/04 12:50
13F:→ Weky: 老实说30人的公司老板资安要求根本没预算达成 09/04 13:03
14F:→ Weky: 花时间处理不如多花时间在主要业务上 09/04 13:04
15F:→ Weky: 然後30人的公司还要担心有内贼 我觉得解散会快点 09/04 13:06
16F:→ Weky: 光一个怎麽防止资料被手机镜头截图带出就无解了 09/04 13:06
17F:→ Weky: 难道你要学有些公司进去先过金属检测门 然後禁带手机吗 09/04 13:07
谢谢大大的建议
我本职是行政工作
被老板要求来做这个的
目前已比较有些头绪
就我们的状况
能做的先做
至少不要门户大开
18F:→ blackhippo: 硬体喔..你去五金行花个几十块买支尖嘴钳就可以达成 09/04 13:33
19F:→ blackhippo: 8成资安需求了 09/04 13:33
20F:→ slash66: 写这麽多,有问老板预算多少吗?有多少钱做多少事 09/04 14:03
21F:→ slash66: 123点有钱多钱少的作法都可以达成,先问预算再来吧 09/04 14:05
目前是老板没概念
我上网这样查一查
应该会报40万的预算 (纯软体 或 软体+硬体)
看看老板的想法
22F:推 sssxyz: 手机拍照目前有一些solution 但也要员工愿意手机装东西 09/04 14:28
手机就没办法
目前不考虑处理
23F:→ konkonchou: 买个加密式的file server, 防止大量带走档案, 还附存 09/04 14:51
24F:→ konkonchou: 取记录, 监视器装好装满吓阻一下 09/04 14:51
加密式的file server这有考量
25F:推 SKYXLOVE: 1. NAS 2.艾批尬 3.SOPHOS 09/04 15:42
的确有厂商建议IP Guard/CIXA + 趋势防毒(应该也是类似sophos)
26F:→ wr: 内外网切开可以省很多钱跟很多事 看你老板愿不愿意这样干 09/04 16:11
27F:→ wr: 监视器+内网作业+拔掉USB 只要与外界隔离就相对安全了 09/04 16:13
28F:→ wr: 这是最省钱最省事效果最好的模式(=使用者最麻烦) 09/04 16:16
29F:→ wr: 如果嫌麻烦 那就只能开始追加预算去建防护架构了 09/04 16:21
谢谢大大建议 我会弄进提案里
30F:→ kenwufederer: 1.资料备份:只有内网的NAS且两台以上 09/04 16:37
31F:→ kenwufederer: 2.直接透过防毒所掉URL,USB直接破坏掉 09/04 16:38
32F:→ kenwufederer: 3.预防勒索病毒:系统定期更新,勤劳备份就好 09/04 16:40
33F:→ kenwufederer: 30人的规模,买几台NAS跟防毒就搞定了 09/04 16:40
34F:→ kenwufederer: 勒索病毒基本上最有效还是自己多备份在不同地方 09/04 16:41
35F:→ kenwufederer: 记得是不同地方,例如不同网段或设备之类的 09/04 16:41
36F:→ kenwufederer: 例如每天备份完成後,NAS 断网,网段独立等等 09/04 16:42
了解 也是有比较不花钱的做法
37F:→ deadwood: 记得请一个警卫每天门口贴手机跟电脑镜头,出去检查有没 09/04 17:48
38F:→ deadwood: 有撕掉过XD 09/04 17:48
39F:推 purplvampire: 推楼上 09/04 20:42
40F:推 lusaka: 30人规模 先处理防火墙跟防毒吧,用防毒管控usb甚至可以不 09/05 00:39
41F:→ lusaka: 用房,只要公布有使用了usb的电脑,然後你老板要挺你的政 09/05 00:39
42F:→ lusaka: 策 09/05 00:39
笔记
43F:推 vjuko: NGFW 封锁所有USB孔 一台备份sv 不过要培养能使用NGFW的人 09/05 13:49
44F:推 hsuvalen: 不请MIS就只有被厂商当羊而已 09/05 14:22
45F:→ hsuvalen: 贵司的营业额跟档案机密性 需要这麽高?还要每年买? 09/05 15:25
46F:→ zbug: 没人纳闷 六、事後追踪 的第2项吗?fire server 是啥? 09/05 16:36
※ 编辑: hooboa1122 (61.230.97.203 台湾), 09/05/2019 16:40:43
47F:→ coflame: 买comodo....光这个部分你应该後续会忙不完 09/05 21:34
48F:→ coflame: 上面HIPS, APP Control, Containment应该会加重很多 09/05 21:34
49F:→ coflame: helpdesk的人力成本, Call会接不少 09/05 21:35
50F:推 lusaka: 我建议趋势,因此毕竟是本土公司,需求处理也会比较快处理 09/08 19:21
51F:推 esla: 某些产业跟人数多不多没关系好吗,为啥30人公司就不用担心 09/09 17:16
52F:→ esla: 或认为30人公司没预算管资安?我之前公司也是花上百在资安啊 09/09 17:16
53F:→ esla: 很多管理面的东西,让user觉得麻烦就能达到一定效果了 09/09 17:17
54F:→ esla: 像solidwork或是proe之类的图,你拿手机拍效果也很有限的 09/09 17:18
55F:→ esla: 认为小公司就不需要/没能力管资安,不应该是传统老板的思维 09/09 17:19
56F:→ esla: 怎麽会连玩资讯的都会先入为主的认为玩不了 09/09 17:20
57F:推 esla: 不过如果贵公司真的有心碰资安,老板要有花钱的打算 09/09 17:23
58F:→ esla: 如果想要不花钱,或是花个几万就搞定,那效果的确很有限 09/09 17:23
59F:→ flytw1: 破解方式 user开4g wifi分享或是4g分享器带网路孔,上传 09/11 08:34
60F:→ flytw1: 档案到云端,无敌 09/11 08:34
61F:→ Weky: 30人的公司有预算管资安不如把钱花在产品开发或行销更有价值 09/17 10:07
62F:→ Weky: 让user觉得麻烦的资安=有效果 代表你的内容不够值钱而已XDD 09/17 10:09
63F:→ Weky: 拿手机拍效果有限 答案是效果拔群 拍多张点工程师要重现图 09/17 10:09
64F:→ Weky: 没什麽问题 东西够有价值多花点力气重制和拍照完全没问题 09/17 10:10
65F:推 esla: 真厉害,连产业别都不清楚就能直接下出结论 09/21 18:48
66F:→ esla: 其它公司做什麽行为更有价值,或是内容值不值钱都能这样判断 09/21 18:48
67F:→ esla: 看来w大应该是待过非常多产业,甚至是大老板罗 09/21 18:49
68F:→ esla: 有办法在什麽资讯都没有的情况下,果断的判断其它公司的决定 09/21 18:49
69F:推 a030225033: 你和老板说先给个200万我们再来谈 你说的东西都要钱没 10/28 00:17
70F:→ a030225033: 钱是做不到的 10/28 00:17