※ 引述《arsehole (又骑又磨姿势且佳)》之铭言： : ※ 引述《hooboa1122 (伯乐)》之铭言： : : 标题: Re: [请益] 30人公司资安/档案外流控管DLP : : 时间: Fri Sep 20 11:56:49 2019 : 上次就想回覆，不过小弟公司中勒索，我就没时间回应了 : 看了一下，通常这种文章建议还是简单画个网路架构图 是指网路拓朴吗? https://imgur.com/d57zvmY 这是之前的资讯厂商帮我们画的 大致上没有变动 只有增加了PC台数及新购一台Nusoft的UTM650防火墙 : : 方案一 : : Sophos + Sophos XG135防火墙 + SmartIT Desktop Manager(端点+资产+加密) : : 1.用Sophos + XG防火墙 做身份认证 (AD替代方案) : : 有安装Sophos登入套件的PC，才能连入防火墙，上网及进伺服器 : : 没有安装登入套件的设备，防火墙就会挡掉，只给单纯上网浏览 : : 2.Sophos防毒、防勒索 : Sophos 防毒就可以控管设备了，插usb可以锁定不能使用，也可以限制到那个部门能用 : 那个部门不能用的群组设定 : : 3.SmartIT Desktop Manager作资产管理及端点管理，关掉所有USB、蓝芽、监控配备 : 资产管理，open source的ocs inventory可以满足你的需求 : 安装上网路一堆教学，如果还是要做资产管理，有人说不建议这家，如果要花钱可以找它家 : 至於关掉所有usb　sophos就可以做到了，不论是Sophos Central、Sophos Endpoint : Sophos Central可以控管到蓝芽，Sophos Endpoint　小弟公司用的版本不是最新 : 所以能不能控管到蓝芽，这点可能要查一下，但控管usb的确做得到 : 资产管理我是不知道你要只做到电脑，还是周边设备都要有，不然OCS可以做到电脑 资产管理不是老板要的重点 老板要的是【档案不能外流】 SI厂商介绍这台 SmartIT 是因为可以做端点管理 而且公司能控管员工 不会偷拔公司的电脑零件去用 所以 资产管理 不算是现在必须要执行的 谢谢您介绍的ocs inventory 我会跟我们的SI厂商讨论一下 毕竟我不是技术者 不知道使用上怎麽处理 : : 4.SmartIT Desktop Manager作档案加密 : : 5.资安政策 - 锁Bios、PC权限使用者设定 : LDAP，我是不知道你的NAS是用那一家，仿间市面上都有这类功能 : 三十人左右可以利用这个功能作控管，包括你下面留的那一台可以连到那台Server : 最省成本的方法就是上面，不然牙一咬就买个server 2019来架AD，摊下来的成本应该 : 会让公司比较好接受点 NAS 我们用的是QNAP的TS-453A : : 方案二 : : IP Guard + FortiGate(FSSO) + NAS(可加密、具备类似windows AD功能认证) : : 1.IP Guard做端点管理、加密、关闭上传及下传 : : 2.FortiGate防火墙做防毒及FORTINET SINGLE SIGN ON : : 3.加密NAS备份 (原本已有一台NAS) : 不评论 : : 方案三 : : 防火墙 + 防毒软体(兼端点管理) + NAS(可加密、具备类似windows AD功能认证) : : 【PC端点-防火墙-NAS，变成一个区域内网， : : PC端点 不能使用硬体存取、也不可以上传资料 : : 利用NAS 做端点连线的管理 认MAC address 未被认证的设备无法连入 : : 至於 档案加密 暂时不做】 : : PaloAlto + Traps : : CheckPoint + SandBlast : : Fortigate + Forticlient : 绑在一起不是不好，每年缴的保护费公司愿不愿意付 : 要买之前请厂商提出三到五年所需要付的费用 : 就算涨价也不会涨太多，先知道每年要付的成本再来考虑 非常谢谢您的建议 : : 想请教各位前辈的建议 : : -- : : 经过与老板的讨论还有与SI专案经理的意见 : : 希望达成的效果是 : : ●档案不外流 : : 1.建立内网，PC-防火墙-伺服器 : 老实讲，用画图的会比讲得更容易看，你所谓的伺服器，到底是fire server : 还是web server、到底server做什麽作用 : 到底要用Firewall当gateway还是有一台L3 switch当gateway : 一般做法，我就不说正确作法，对外server是要纳在防火墙底下，至少也是DMZ上 : 厂商要连进来可以透过防火墙的VPN连进来看，这样确保那台server不会被植入奇怪的东西 : （如挖矿软体） 是做file sever用的 还有架一些VM、Gitlab用的 因为我们目前只有一台QNAP TS-453A 需要再有一台设备做资料备份、安装VM之後用来当中控台 (如果我们买SmartIT的话) 我目前考量到管理方便 (公司没有专职MIS) 倾向不买伺服器 而是再买一台高阶的NAS来使用 不知道好不好 : : 2.工作用PC(设备)都被管制，被认证的PC才能连入伺服器 : 这一些都可以用防火墙做控制，要连出去连进来都不是要透过防火墙 : 防火墙可以做到mac过滤，在不济　L3 switch也可以做到ACL控管 因为公司现有的UTM 650防火墙没办法做的好 (系统资源不足 厂商说的) 不然我也希望是用现有的配备来做 就不需要去采购新的防火墙了 : : 3.封掉所有上传机制 (云端硬碟均封锁) : 防火墙可以做到，无论是Sophos XG135、PaloAlto : 你所列的防火墙都可以做到，只是价格差异而已，PaloAlto价格应该最贵 : : 4.封掉所有外传机制 : 防火墙可以做到 : : 5.关闭PC硬体存取设备 : Sophos可以做到 : : ●档案加密 : : 就算档案外流，至少档案有加密，流出去的话，别人也不能读取 : 这个没接触过，不评论 老板要求的是【档案不要外流】 做加密 只是我个人想的而已 如果可以做到档案不被外流 那不做加密 也是可以的 : : ●防勒索病毒 : : 先做PC防毒软体的采购，之後会针对伺服器的防护以及备份机制再做方案 : 如果是我会先做你所谓的伺服器防护、备份机制，PC端基本防毒就可以 : 後续再加强PC端 : Linux是否有windows的授权 : 不是说改就可以改 : 防毒跟防火墙并用 : 这样就本机设定就好，正确来讲是建网域你才不会累死 : 防毒跟防火墙效果可以达到 非常让我惊醒的一句话 谢谢您的实务经验 因为我没有网管MIS专业 想的方向也许偏了 : 同上 : NAS可以建LDAP读取权限可以设定，也可以做到备份 : 只是愿意花多少钱而已 : 而不是买一台server架fire server，你的授权勒？ 再次惊醒 其实NAS也可以完成我们想要的东西 不是一味的花钱 : 还是dell那台主机要架free NAS? : 便宜不见得好用 : Syslog，但要知道那麽细，请找si厂商有没有相关的软体 : 价格应该会很可观，毕竟牵扯到ssl加密的关系 : 不然大部分流量、连结到那，防火墙也可做到 : 一样是NAS　你的Fire　server的作业系统是？ 再次厘清一下自己 因为我外行 想的太复杂了 老板要的是 【档案不能外流】 所以我才想说要锁员工电脑、锁上传、锁传档、防火墙要能档 谢谢回文大大的几个建议 也许我可以先做 有端点管制功能的防毒软体+防火墙 就好 七七八八的防范就可以做的到 资产管理、加密 都可以後续再处理 -- ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/MIS/M.1569305727.A.0BF.html 好 我跟SI厂商询问一下 加密式的file server 抱歉 非技术人员 回来看了几次 没领会 除了买新的NAS外 还需要什麽呢? 谢谢大大提供方向 ※ 编辑: hooboa1122 (1.171.174.185 台湾), 09/26/2019 18:50:25