※ 引述《arsehole (又騎又磨姿勢且佳)》之銘言： : ※ 引述《hooboa1122 (伯樂)》之銘言： : : 標題: Re: [請益] 30人公司資安/檔案外流控管DLP : : 時間: Fri Sep 20 11:56:49 2019 : 上次就想回覆，不過小弟公司中勒索，我就沒時間回應了 : 看了一下，通常這種文章建議還是簡單畫個網路架構圖 是指網路拓樸嗎? https://imgur.com/d57zvmY 這是之前的資訊廠商幫我們畫的 大致上沒有變動 只有增加了PC台數及新購一台Nusoft的UTM650防火牆 : : 方案一 : : Sophos + Sophos XG135防火牆 + SmartIT Desktop Manager(端點+資產+加密) : : 1.用Sophos + XG防火牆 做身份認證 (AD替代方案) : : 有安裝Sophos登入套件的PC，才能連入防火牆，上網及進伺服器 : : 沒有安裝登入套件的設備，防火牆就會擋掉，只給單純上網瀏覽 : : 2.Sophos防毒、防勒索 : Sophos 防毒就可以控管設備了，插usb可以鎖定不能使用，也可以限制到那個部門能用 : 那個部門不能用的群組設定 : : 3.SmartIT Desktop Manager作資產管理及端點管理，關掉所有USB、藍芽、監控配備 : 資產管理，open source的ocs inventory可以滿足你的需求 : 安裝上網路一堆教學，如果還是要做資產管理，有人說不建議這家，如果要花錢可以找它家 : 至於關掉所有usb　sophos就可以做到了，不論是Sophos Central、Sophos Endpoint : Sophos Central可以控管到藍芽，Sophos Endpoint　小弟公司用的版本不是最新 : 所以能不能控管到藍芽，這點可能要查一下，但控管usb的確做得到 : 資產管理我是不知道你要只做到電腦，還是周邊設備都要有，不然OCS可以做到電腦 資產管理不是老闆要的重點 老闆要的是【檔案不能外流】 SI廠商介紹這台 SmartIT 是因為可以做端點管理 而且公司能控管員工 不會偷拔公司的電腦零件去用 所以 資產管理 不算是現在必須要執行的 謝謝您介紹的ocs inventory 我會跟我們的SI廠商討論一下 畢竟我不是技術者 不知道使用上怎麼處理 : : 4.SmartIT Desktop Manager作檔案加密 : : 5.資安政策 - 鎖Bios、PC權限使用者設定 : LDAP，我是不知道你的NAS是用那一家，仿間市面上都有這類功能 : 三十人左右可以利用這個功能作控管，包括你下面留的那一台可以連到那台Server : 最省成本的方法就是上面，不然牙一咬就買個server 2019來架AD，攤下來的成本應該 : 會讓公司比較好接受點 NAS 我們用的是QNAP的TS-453A : : 方案二 : : IP Guard + FortiGate(FSSO) + NAS(可加密、具備類似windows AD功能認證) : : 1.IP Guard做端點管理、加密、關閉上傳及下傳 : : 2.FortiGate防火牆做防毒及FORTINET SINGLE SIGN ON : : 3.加密NAS備份 (原本已有一台NAS) : 不評論 : : 方案三 : : 防火牆 + 防毒軟體(兼端點管理) + NAS(可加密、具備類似windows AD功能認證) : : 【PC端點-防火牆-NAS，變成一個區域內網， : : PC端點 不能使用硬體存取、也不可以上傳資料 : : 利用NAS 做端點連線的管理 認MAC address 未被認證的設備無法連入 : : 至於 檔案加密 暫時不做】 : : PaloAlto + Traps : : CheckPoint + SandBlast : : Fortigate + Forticlient : 綁在一起不是不好，每年繳的保護費公司願不願意付 : 要買之前請廠商提出三到五年所需要付的費用 : 就算漲價也不會漲太多，先知道每年要付的成本再來考慮 非常謝謝您的建議 : : 想請教各位前輩的建議 : : -- : : 經過與老闆的討論還有與SI專案經理的意見 : : 希望達成的效果是 : : ●檔案不外流 : : 1.建立內網，PC-防火牆-伺服器 : 老實講，用畫圖的會比講得更容易看，你所謂的伺服器，到底是fire server : 還是web server、到底server做什麼作用 : 到底要用Firewall當gateway還是有一台L3 switch當gateway : 一般做法，我就不說正確作法，對外server是要納在防火牆底下，至少也是DMZ上 : 廠商要連進來可以透過防火牆的VPN連進來看，這樣確保那台server不會被植入奇怪的東西 : （如挖礦軟體） 是做file sever用的 還有架一些VM、Gitlab用的 因為我們目前只有一台QNAP TS-453A 需要再有一台設備做資料備份、安裝VM之後用來當中控台 (如果我們買SmartIT的話) 我目前考量到管理方便 (公司沒有專職MIS) 傾向不買伺服器 而是再買一台高階的NAS來使用 不知道好不好 : : 2.工作用PC(設備)都被管制，被認證的PC才能連入伺服器 : 這一些都可以用防火牆做控制，要連出去連進來都不是要透過防火牆 : 防火牆可以做到mac過濾，在不濟　L3 switch也可以做到ACL控管 因為公司現有的UTM 650防火牆沒辦法做的好 (系統資源不足 廠商說的) 不然我也希望是用現有的配備來做 就不需要去採購新的防火牆了 : : 3.封掉所有上傳機制 (雲端硬碟均封鎖) : 防火牆可以做到，無論是Sophos XG135、PaloAlto : 你所列的防火牆都可以做到，只是價格差異而已，PaloAlto價格應該最貴 : : 4.封掉所有外傳機制 : 防火牆可以做到 : : 5.關閉PC硬體存取設備 : Sophos可以做到 : : ●檔案加密 : : 就算檔案外流，至少檔案有加密，流出去的話，別人也不能讀取 : 這個沒接觸過，不評論 老闆要求的是【檔案不要外流】 做加密 只是我個人想的而已 如果可以做到檔案不被外流 那不做加密 也是可以的 : : ●防勒索病毒 : : 先做PC防毒軟體的採購，之後會針對伺服器的防護以及備份機制再做方案 : 如果是我會先做你所謂的伺服器防護、備份機制，PC端基本防毒就可以 : 後續再加強PC端 : Linux是否有windows的授權 : 不是說改就可以改 : 防毒跟防火牆並用 : 這樣就本機設定就好，正確來講是建網域你才不會累死 : 防毒跟防火牆效果可以達到 非常讓我驚醒的一句話 謝謝您的實務經驗 因為我沒有網管MIS專業 想的方向也許偏了 : 同上 : NAS可以建LDAP讀取權限可以設定，也可以做到備份 : 只是願意花多少錢而已 : 而不是買一台server架fire server，你的授權勒？ 再次驚醒 其實NAS也可以完成我們想要的東西 不是一味的花錢 : 還是dell那台主機要架free NAS? : 便宜不見得好用 : Syslog，但要知道那麼細，請找si廠商有沒有相關的軟體 : 價格應該會很可觀，畢竟牽扯到ssl加密的關係 : 不然大部分流量、連結到那，防火牆也可做到 : 一樣是NAS　你的Fire　server的作業系統是？ 再次釐清一下自己 因為我外行 想的太複雜了 老闆要的是 【檔案不能外流】 所以我才想說要鎖員工電腦、鎖上傳、鎖傳檔、防火牆要能檔 謝謝回文大大的幾個建議 也許我可以先做 有端點管制功能的防毒軟體+防火牆 就好 七七八八的防範就可以做的到 資產管理、加密 都可以後續再處理 -- ※ 文章網址: https://webptt.com/m.aspx?n=bbs/MIS/M.1569305727.A.0BF.html 好 我跟SI廠商詢問一下 加密式的file server 抱歉 非技術人員 回來看了幾次 沒領會 除了買新的NAS外 還需要什麼呢? 謝謝大大提供方向 ※ 編輯: hooboa1122 (1.171.174.185 臺灣), 09/26/2019 18:50:25