作者hooboa1122 (伯乐)
看板NetSecurity
标题[问题] 小公司的资安/端点、防毒、加密
时间Fri Sep 20 11:54:55 2019
公司有满多数位美术档案还有一些deep learning研究资料
想要进行资安工作
经与一些SI公司讨论後
方案一
Sophos防勒索病毒+Sophos XG135防火墙+SmartIT Desktop Manager(端点+资产+加密)
1.用Sophos + XG防火墙 做身份认证 (AD替代方案)
有安装Sophos登入套件的PC,才能连入防火墙,上网及进伺服器
没有安装登入套件的设备,防火墙就会挡掉,只给单纯上网浏览
2.Sophos防毒、防勒索
3.SmartIT Desktop Manager作资产管理及端点管理,关掉所有USB、蓝芽、监控配备
4.SmartIT Desktop Manager作档案加密
5.资安政策 - 锁Bios、PC权限使用者设定
方案二
IP Guard + FortiGate(FSSO) + NAS(可加密、具备类似windows AD功能认证)
1.IP Guard做端点管理、加密、关闭上传及下传
2.FortiGate防火墙做防毒及FORTINET SINGLE SIGN ON
3.加密NAS备份 (原本已有一台NAS)
方案三
防火墙 + 防毒软体(兼端点管理) + NAS(可加密、具备类似windows AD功能认证)
【PC端点-防火墙-NAS,变成一个区域内网,
PC端点 不能使用硬体存取、也不可以上传资料
利用NAS 做端点连线的管理 认MAC address 未被认证的设备无法连入
至於 档案加密 暂时不做】
PaloAlto + Traps
CheckPoint + SandBlast
Fortigate + Forticlient
想请教各位前辈的建议
--
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/NetSecurity/M.1568951697.A.4E3.html
1F:→ mimick: 您要的方向是什麽? 09/20 12:05
老板希望
●档案不外流
1.建立内网,PC-防火墙-伺服器
2.工作用PC(设备)都被管制,被认证的PC才能连入伺服器
3.封掉所有上传机制 (云端硬碟均封锁)
4.封掉所有外传机制
5.关闭PC硬体存取设备
●档案加密
就算档案外流,至少档案有加密,流出去的话,别人也不能读取
●防勒索病毒
先做PC防毒软体的采购,之後会针对伺服器的防护以及备份机制再做方案
2F:→ mimick: SI公司用的都有符合规画唷!建议要想一下之後管理及未来 09/20 14:09
3F:推 comp2468: 缺proxy跟dlp 09/20 16:20
※ 编辑: hooboa1122 (61.230.101.29 台湾), 09/20/2019 16:49:12
4F:推 isaacc: 同一楼,请问贵公司有多少IT人员可以管理这些资安设备? 09/20 20:24
5F:→ isaacc: 这些资安solution不是买来装好就OK了,後面还有管理的工作 09/20 20:26
6F:推 ym7834: 都算有合到需求,建议可以p一下 09/21 23:18
7F:→ ym7834: 同时这些设备也要看是不是有足够人力来管理 09/21 23:20
8F:推 DINJIAPC: 猜老板独大或老板与管理员两人 09/22 16:21
9F:→ justoncetime: 资安是人的问题最大,有效的教育训练会最有帮助 09/27 23:03