作者hooboa1122 (伯乐)
看板MIS
标题Re: [请益] 30人公司资安/档案外流控管DLP
时间Fri Sep 20 11:56:49 2019
经与一些SI公司讨论後
方案一
Sophos + Sophos XG135防火墙 + SmartIT Desktop Manager(端点+资产+加密)
1.用Sophos + XG防火墙 做身份认证 (AD替代方案)
有安装Sophos登入套件的PC,才能连入防火墙,上网及进伺服器
没有安装登入套件的设备,防火墙就会挡掉,只给单纯上网浏览
2.Sophos防毒、防勒索
3.SmartIT Desktop Manager作资产管理及端点管理,关掉所有USB、蓝芽、监控配备
4.SmartIT Desktop Manager作档案加密
5.资安政策 - 锁Bios、PC权限使用者设定
方案二
IP Guard + FortiGate(FSSO) + NAS(可加密、具备类似windows AD功能认证)
1.IP Guard做端点管理、加密、关闭上传及下传
2.FortiGate防火墙做防毒及FORTINET SINGLE SIGN ON
3.加密NAS备份 (原本已有一台NAS)
方案三
防火墙 + 防毒软体(兼端点管理) + NAS(可加密、具备类似windows AD功能认证)
【PC端点-防火墙-NAS,变成一个区域内网,
PC端点 不能使用硬体存取、也不可以上传资料
利用NAS 做端点连线的管理 认MAC address 未被认证的设备无法连入
至於 档案加密 暂时不做】
PaloAlto + Traps
CheckPoint + SandBlast
Fortigate + Forticlient
想请教各位前辈的建议
--
经过与老板的讨论还有与SI专案经理的意见
希望达成的效果是
●档案不外流
1.建立内网,PC-防火墙-伺服器
2.工作用PC(设备)都被管制,被认证的PC才能连入伺服器
3.封掉所有上传机制 (云端硬碟均封锁)
4.封掉所有外传机制
5.关闭PC硬体存取设备
●档案加密
就算档案外流,至少档案有加密,流出去的话,别人也不能读取
●防勒索病毒
先做PC防毒软体的采购,之後会针对伺服器的防护以及备份机制再做方案
※ 引述《hooboa1122 (伯乐)》之铭言:
: 20190904原文:
: 目前公司有25台Windows 10 PC、1台MAC、2台macbook、3台linux PC
: 电脑机型均为原价屋组装 拿来跑3D美术软体或是Tensorflow
: 使用中华电信 300M/100M 网路
: 公司内部均为区域网路,无固定IP,无网域控管
: 单机个人使用
: 有一台NAS 做为内部档案交换及建Gitlab用
: 我们没有MIS
: 工程师们的背景也不是专业的MIS
: 所以老板要求我担任规划PM
: 想求教各位前辈该怎麽做
: =============================================================
: 老板期待达到的功能:
: 1.建置资料备份
: 2.同仁无法上传云端、用line传档或用USB等设备,拷走公司档案
: 3.预防勒索病毒
: =============================================================
: 稍微请教过我们的工程师後,了解我们的状况并提供做法:
: 一、网路环境
: 1.内部防火墙、Switch、AP,其型号,无法达到MAC(Media Access Control Address)认证
: (若全面更新,费用约需20来万?)
: 2.全面改成wifi环境,避免员工自己私插有线到个人设备,去拷档案或是破解server
: 3.不采用帐号、密码登入的方式,因有可能被盗或是员工自带笔电,就可以拷档案
: 4.理想做法 - 限制被认证的PC主机、NB才可以进入伺服器
: (但老板愿意花这20来万吗?)
: 二、PC设备的端点管理
: 1.现有的PC、NB等,均安装endpoint protector软体
: 2.把linux改成windows系统
: 3.锁掉每一台的bios,禁止用bios、usb、网路开启PC
: (Secure Boot / Multiboot/ USB Boot)
: 4.限定每一台主机只能用Guest帐号登入,且无法变更。Admin帐号由我统一管理
: 5.白名单只开放工程师会用到的软体,其余云端硬碟、usb槽等全关
: 6.确认工程师所用的软体,不会有云端备份功能
: 7.禁止使用teamviewer之类软体
: 三、档案浏览(如何避免外流)
: 1.因有需要提供code及作品给客户,之後改成用server提供帐号、密码方式供客户登入
: 2.针对做为DEMO用的主机,开启使用usb及远端连回server功能
: 四、勒索病毒
: 1.采购comodo并设置中控密码,员工不能任意变更
: 五、资料备份
: 1.新购一台DELL伺服器作为内网,供员工档案交换、建gitlab及备份之用
: 2.所有人凭帐号、密码登入
: 3.异地备援(是否有便宜的云端?)
: 六、事後追踪
: 1.受限经费、规模,除了事前防范外,希望也从流量、传档内容做纪录,以便事後追踪
: (希望知道是哪台电脑、传了什麽档)
: 2.更换fire server?
: 七、资安政策
: 1.禁止员工私带设备笔电
: 2.机房管控 (上锁、禁止员工进入、网路线不明显露出)
: 八、未来改成VDI作业?
: 1.如果改成VDI作业,应该可以减少很多被另存档案的问题
: (但现有主机都是10万多的,若改成VDI作业会否有更大的成本?)
--
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/MIS/M.1568951810.A.E22.html
1F:推 goodga: 还是一样$$$的问题 老板看过各方案的预算了吗 09/20 15:15
2F:→ sopoor: 每个方案应该要写上所需预算 09/20 16:01
※ 编辑: hooboa1122 (61.230.101.29 台湾), 09/20/2019 16:49:52
3F:→ axuiolji: SmartIT主要的工程师不是都跳槽了吗?留心一下後续维护 09/20 20:04
4F:→ lusaka: Smart It 不太建议, 09/22 00:09
5F:推 Sana: 之前有去旭晨面试SmartIT PM 09/22 08:21
6F:→ PlayStation3: Smart it雷雷的 09/24 01:00