※ 引述《hooboa1122 (伯乐)》之铭言： : 标题: Re: [请益] 30人公司资安/档案外流控管DLP : 时间: Fri Sep 20 11:56:49 2019 : 上次就想回覆，不过小弟公司中勒索，我就没时间回应了 看了一下，通常这种文章建议还是简单画个网路架构图 : : 方案一 : Sophos + Sophos XG135防火墙 + SmartIT Desktop Manager(端点+资产+加密) : : 1.用Sophos + XG防火墙 做身份认证 (AD替代方案) : 有安装Sophos登入套件的PC，才能连入防火墙，上网及进伺服器 : 没有安装登入套件的设备，防火墙就会挡掉，只给单纯上网浏览 : : 2.Sophos防毒、防勒索 Sophos 防毒就可以控管设备了，插usb可以锁定不能使用，也可以限制到那个部门能用 那个部门不能用的群组设定 : : 3.SmartIT Desktop Manager作资产管理及端点管理，关掉所有USB、蓝芽、监控配备 资产管理，open source的ocs inventory可以满足你的需求 安装上网路一堆教学，如果还是要做资产管理，有人说不建议这家，如果要花钱可以找它家 至於关掉所有usb　sophos就可以做到了，不论是Sophos Central、Sophos Endpoint Sophos Central可以控管到蓝芽，Sophos Endpoint　小弟公司用的版本不是最新 所以能不能控管到蓝芽，这点可能要查一下，但控管usb的确做得到 资产管理我是不知道你要只做到电脑，还是周边设备都要有，不然OCS可以做到电脑 : 4.SmartIT Desktop Manager作档案加密 : : 5.资安政策 - 锁Bios、PC权限使用者设定 LDAP，我是不知道你的NAS是用那一家，仿间市面上都有这类功能 三十人左右可以利用这个功能作控管，包括你下面留的那一台可以连到那台Server 最省成本的方法就是上面，不然牙一咬就买个server 2019来架AD，摊下来的成本应该 会让公司比较好接受点 : : 方案二 : IP Guard + FortiGate(FSSO) + NAS(可加密、具备类似windows AD功能认证) : : 1.IP Guard做端点管理、加密、关闭上传及下传 : : 2.FortiGate防火墙做防毒及FORTINET SINGLE SIGN ON : : 3.加密NAS备份 (原本已有一台NAS) 不评论 : : 方案三 : 防火墙 + 防毒软体(兼端点管理) + NAS(可加密、具备类似windows AD功能认证) : 【PC端点-防火墙-NAS，变成一个区域内网， : PC端点 不能使用硬体存取、也不可以上传资料 : 利用NAS 做端点连线的管理 认MAC address 未被认证的设备无法连入 : 至於 档案加密 暂时不做】 : : PaloAlto + Traps : CheckPoint + SandBlast : Fortigate + Forticlient : : 绑在一起不是不好，每年缴的保护费公司愿不愿意付 要买之前请厂商提出三到五年所需要付的费用 就算涨价也不会涨太多，先知道每年要付的成本再来考虑 : 想请教各位前辈的建议 : : : -- : 经过与老板的讨论还有与SI专案经理的意见 : 希望达成的效果是 : : ●档案不外流 : 1.建立内网，PC-防火墙-伺服器 老实讲，用画图的会比讲得更容易看，你所谓的伺服器，到底是fire server 还是web server、到底server做什麽作用 到底要用Firewall当gateway还是有一台L3 switch当gateway 一般做法，我就不说正确作法，对外server是要纳在防火墙底下，至少也是DMZ上 厂商要连进来可以透过防火墙的VPN连进来看，这样确保那台server不会被植入奇怪的东西 （如挖矿软体） : 2.工作用PC(设备)都被管制，被认证的PC才能连入伺服器 这一些都可以用防火墙做控制，要连出去连进来都不是要透过防火墙 防火墙可以做到mac过滤，在不济　L3 switch也可以做到ACL控管 : 3.封掉所有上传机制 (云端硬碟均封锁) 防火墙可以做到，无论是Sophos XG135、PaloAlto 你所列的防火墙都可以做到，只是价格差异而已，PaloAlto价格应该最贵 : 4.封掉所有外传机制 防火墙可以做到 : 5.关闭PC硬体存取设备 Sophos可以做到 : : ●档案加密 : 就算档案外流，至少档案有加密，流出去的话，别人也不能读取 这个没接触过，不评论 : : ●防勒索病毒 : 先做PC防毒软体的采购，之後会针对伺服器的防护以及备份机制再做方案 如果是我会先做你所谓的伺服器防护、备份机制，PC端基本防毒就可以 後续再加强PC端 : : 2.把linux改成windows系统 Linux是否有windows的授权 不是说改就可以改 : : 3.锁掉每一台的bios，禁止用bios、usb、网路开启PC : : (Secure Boot / Multiboot/ USB Boot) 防毒跟防火墙并用 : : 4.限定每一台主机只能用Guest帐号登入，且无法变更。Admin帐号由我统一管理 这样就本机设定就好，正确来讲是建网域你才不会累死 : : 5.白名单只开放工程师会用到的软体，其余云端硬碟、usb槽等全关 防毒跟防火墙效果可以达到 : : 6.确认工程师所用的软体，不会有云端备份功能 : : 7.禁止使用teamviewer之类软体 同上 : : 三、档案浏览(如何避免外流) : : 1.因有需要提供code及作品给客户，之後改成用server提供帐号、密码方式供客户登入 : : 2.针对做为DEMO用的主机，开启使用usb及远端连回server功能 : : 四、勒索病毒 : : 1.采购comodo并设置中控密码，员工不能任意变更 : : 五、资料备份 : : 1.新购一台DELL伺服器作为内网，供员工档案交换、建gitlab及备份之用 : : 2.所有人凭帐号、密码登入 NAS可以建LDAP读取权限可以设定，也可以做到备份 只是愿意花多少钱而已 而不是买一台server架fire server，你的授权勒？ 还是dell那台主机要架free NAS? : : 3.异地备援(是否有便宜的云端?) 便宜不见得好用 : : 六、事後追踪 : : 1.受限经费、规模，除了事前防范外，希望也从流量、传档内容做纪录，以便事後追踪 : : (希望知道是哪台电脑、传了什麽档) Syslog，但要知道那麽细，请找si厂商有没有相关的软体 价格应该会很可观，毕竟牵扯到ssl加密的关系 不然大部分流量、连结到那，防火墙也可做到 : : 2.更换fire server? 一样是NAS　你的Fire　server的作业系统是？ --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 124.219.42.230 (台湾) ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/MIS/M.1569301295.A.639.html ※ 编辑: arsehole (124.219.42.230 台湾), 09/24/2019 13:06:30