作者hooboa1122 (伯樂)
看板NetSecurity
標題[問題] 小公司的資安/端點、防毒、加密
時間Fri Sep 20 11:54:55 2019
公司有滿多數位美術檔案還有一些deep learning研究資料
想要進行資安工作
經與一些SI公司討論後
方案一
Sophos防勒索病毒+Sophos XG135防火牆+SmartIT Desktop Manager(端點+資產+加密)
1.用Sophos + XG防火牆 做身份認證 (AD替代方案)
有安裝Sophos登入套件的PC,才能連入防火牆,上網及進伺服器
沒有安裝登入套件的設備,防火牆就會擋掉,只給單純上網瀏覽
2.Sophos防毒、防勒索
3.SmartIT Desktop Manager作資產管理及端點管理,關掉所有USB、藍芽、監控配備
4.SmartIT Desktop Manager作檔案加密
5.資安政策 - 鎖Bios、PC權限使用者設定
方案二
IP Guard + FortiGate(FSSO) + NAS(可加密、具備類似windows AD功能認證)
1.IP Guard做端點管理、加密、關閉上傳及下傳
2.FortiGate防火牆做防毒及FORTINET SINGLE SIGN ON
3.加密NAS備份 (原本已有一台NAS)
方案三
防火牆 + 防毒軟體(兼端點管理) + NAS(可加密、具備類似windows AD功能認證)
【PC端點-防火牆-NAS,變成一個區域內網,
PC端點 不能使用硬體存取、也不可以上傳資料
利用NAS 做端點連線的管理 認MAC address 未被認證的設備無法連入
至於 檔案加密 暫時不做】
PaloAlto + Traps
CheckPoint + SandBlast
Fortigate + Forticlient
想請教各位前輩的建議
--
※ 文章網址: https://webptt.com/m.aspx?n=bbs/NetSecurity/M.1568951697.A.4E3.html
1F:→ mimick: 您要的方向是什麼? 09/20 12:05
老闆希望
●檔案不外流
1.建立內網,PC-防火牆-伺服器
2.工作用PC(設備)都被管制,被認證的PC才能連入伺服器
3.封掉所有上傳機制 (雲端硬碟均封鎖)
4.封掉所有外傳機制
5.關閉PC硬體存取設備
●檔案加密
就算檔案外流,至少檔案有加密,流出去的話,別人也不能讀取
●防勒索病毒
先做PC防毒軟體的採購,之後會針對伺服器的防護以及備份機制再做方案
2F:→ mimick: SI公司用的都有符合規畫唷!建議要想一下之後管理及未來 09/20 14:09
3F:推 comp2468: 缺proxy跟dlp 09/20 16:20
※ 編輯: hooboa1122 (61.230.101.29 臺灣), 09/20/2019 16:49:12
4F:推 isaacc: 同一樓,請問貴公司有多少IT人員可以管理這些資安設備? 09/20 20:24
5F:→ isaacc: 這些資安solution不是買來裝好就OK了,後面還有管理的工作 09/20 20:26
6F:推 ym7834: 都算有合到需求,建議可以p一下 09/21 23:18
7F:→ ym7834: 同時這些設備也要看是不是有足夠人力來管理 09/21 23:20
8F:推 DINJIAPC: 猜老闆獨大或老闆與管理員兩人 09/22 16:21
9F:→ justoncetime: 資安是人的問題最大,有效的教育訓練會最有幫助 09/27 23:03