iT邦幫忙

3

請教公司ERP主機伺服器資安問題和規畫

mavintw 1 年前2794 瀏覽

問題有點多,請各位資深板友給點建議~感謝。
目前台北和新竹有兩家公司共用一台ERP主機,
主機是放在台北,平常我們用遠端桌面連進去操作ERP,
是請ERP公司規畫的(如下方圖片連結),
https://goo.gl/fZ3rBA
沒有裝防毒,只有手動備份新竹、台北各2台。

但在最近中勒索病毒2次,把ERP的資料毀損了。
我發現公司的資安問題很大。
後來有請委外的資訊廠商看,對方建議再用一台電腦進行每日自動全機備份,
然後再裝伺服器用的防毒。

不過我覺得這樣的處理還是不夠完善,
而我只是負責資材的聯絡窗口,
很多事情我沒法處理="=
公司預算也沒有很多可以加很多配備
ERP公司立場只處理ERP程式,
其他的要求不是要加錢就是拖。
目前急需處理的是下面的問題:

1.防火牆:有請委外資訊看防火牆的設置,但對方不會改,只知道現在設定是門戶洞開,ERP的工程師可改,但不負責看(沒有維護合約)。我感覺現在的委外資訊不擅資安這塊,之後如果要調整,我該另外請別的資安公司評估?還是有更好的處理方式?

2.防毒軟體:ERP公司建議我們不要裝,因為有可能會吃資源和檔掉部分程式,我們後來決定還是裝,但萬一被擋會很難處理@@,不裝又怕容易中毒

3.備份:我聽起來是另弄一台機器弄一塊硬碟專門自動備,再用一個沒接網路的硬碟備。是說勒索病毒會搜索連接的電腦,萬一中毒不就檔案全被鎖碼了@@。人工備又會有忘記備甚至會備不完全的狀況,我是有想到雲端備份,有比較好的推薦和配置建議嗎?

msnman iT邦研究生 5 級 ‧ 1 年前 檢舉
防毒軟體有純防毒還有防毒+防火牆兩種,如果怕會被擋那就就純防毒的那種,另外,WINDOWS內建的防火牆也可以嘗試作嚴僅一點的管控,而且一定要開。隱藏分享全都刪了C$D$之類的都不要。ERP程式通常都會用幾個特殊PORT在運作,可以把用不到的都關起來。剛開始設定會影響到使用者的運作,但設定好了以後整體的安全性才會得到較好的保障。
窮嘶發發發 iT邦高手 1 級 ‧ 1 年前 檢舉
公司在中和啊,我也在中和上班啊,有空可以泡泡茶聊聊天啊
1. 有沒有上 AD,有沒有做好權限管理,任何人都不該對所有的資料夾有讀寫的權力
2. 預設分享一定要砍了,但我目前確認,綁架病毒無法找到 加了 $ 符號的資料夾或是隱藏分享,但未來就不太確定
3. ERP 要看你們用哪一家的,可以的話把主機虛擬化吧,只要 VHD 開著,不開任何的網路分享,只開服務,綁架病毒也沒輒
4. 備份真的要做也要好好的規劃,權限要設定好,不該給的權限不能給,備份媒體備份完該取出就取出,定時快照
其實網路上有很多的作法,樓主可以找一下,只是這些事情,你們沒有專人負責,只想委外,那麼,要找廠商有能力接的鐵定不容易
就算找到,費用可能會高蠻多的,至於ERP 的維護費用,老實說,可有可無,最主要的還是日常的基本維護與備份
這些應該在導入時顧問都會講,照著做就好,至於程式 BUG 在簽約前就該要求必須無條件處理,不受維護合約影響
0
goodnight
iT邦研究生 5 級 ‧ 1 年前
最佳解答

1.防火牆, 並不能防止病毒的入侵, 只能防止主動式的攻擊, 防火牆設定並不難學
2.主機中毒, 是來自於工作站, 而非ERP本身問題, 主機裝不裝防毒, 基本上是沒有必要, 而且ERP主機不可以當作PC去操作, 所以本來就沒有必要裝防毒, 除非你們又拿ERP主機來操作
3.備份是一定要, 每天都要備, 而且一天一個檔, 一般是保留兩週, 我公司是保留18個月

防火牆分為兩種通訊
1.外對內, 也就是外部對內部的主動通訊, 一般是全鎖, 所以你公司的防火牆是好一點的, 就不用擔心, 因為看起來你公司只開於遠端通訊口
2.內對外, 也就是內部對外部的連線, 例如可以禁止個人電腦連上 FB, 這一般來說是全開
你如果可以提供防火牆的型號品牌, 和 ERP 軟體的名稱或公司, 或許比較好建議

綁架軟體大多來自於 E-MAIL 和中國部份的私人網站, 所以你們要加強的是個人工作站的防毒
如果公司沒有預算, 也不想增加預算來解決問題, 這也不關你的事, 你就做好你的資材工作, 電腦的問題, 就由貴公司的主管去處理, 再說遠端並不會讓主機中毒, 除非遠端連結了主機的硬碟

說實 在的, 中和也是需要固定ip會更好, 然後兩個地區用 vpn 連結, 就完全不用遠端的方式, 我不知道為何你公司的erp廠商沒有這麼做

另外防火牆是跟誰買的, 就找誰處理, 如果是 erp公司賣的, 他們就有責任處理, 他們沒有幫你們做vpn 就是他們的問題, 要不要再收費, 由你們的主管出面處理, 你必須向有能力負責資訊這方面的主管請他處理, 一般是管理部, 但你公司應該不小, 如果請不起資訊人員, 可以找外包的硬體I廠商, 基本上先把工作責任分清楚比較重要, 你要記得, 你是資材, 不是資訊

mavintw iT邦新手 5 級 ‧ 1 年前 檢舉

我目前觀察公司的連線方式是直接連接到ERP主機進行操作,所以等同是當PC使用了。防火牆品牌是Checkpoint,ERP公司是敦陽。合約內容沒有防火牆維護的項目,所以會考慮要另簽維護合約。

0
WilliamHuang
iT邦大師 1 級 ‧ 1 年前

看完後的建議...
因為您都沒有主控權~~~
所以被廠商吃定了~~~
(廠商基本上也不會派有經驗的跟你談)
但是廠商不只有一個

請內部或你自己開出一個想達到的方向
(ERP+維護+技術支援~~~一大堆的)

最後拿這一個方向跟目標
找廠商估價~~~(記得沒預算要分近 中 遠程目標)
(基本上有些不分大小單的好廠商不要價錢砍太兇都會接)

最後在按期程與目標付款
(千萬不要不付不然以後就沒廠商願意幫你們公司了)

goodnight iT邦研究生 5 級 ‧ 1 年前 檢舉

你們的防火牆看起來應該不錯, http://esmart.seed.net.tw/event/Pdf/Check%20Point%20600_2.pdf
應該不難維護, 應該找賣你們防火牆的去談維護和設定

1
darkslayer
iT邦好手 1 級 ‧ 1 年前

1.換一家委外廠商或重簽合約把這個部分含括進去, 也是有可能因為合約裡沒有所以不想理你.

2.裝吧! 有問題再移除, 多換幾種防毒軟體用看看, 現在大部分的防毒軟體都有試用期, 總該有一家的不會有衝突, 但也不排除你們那家ERP廠商自己的程式有問題而不敢讓你們裝防毒軟體.

3.人工備份完就拔除是最安全的, 忘了備份這件事就有待主管加強追蹤,雲端備份相對下成本就高很多,有錢當然雲端備份最好.

最後, 資安預算無上限, 有多少錢做多少事. 其他的就丟兩顆銅板吧!

0
mytiny
iT邦大師 7 級 ‧ 1 年前

版大一直靠"備份"來補漏洞,這樣是很好的辦法嗎?

常常被綁架病毒入侵,應該要正本清源解決貴公司人員的資安觀念

不然防毒軟體是不可能替你解決問題的

(要是有用,早就沒綁架病毒的災情,同時賣防毒軟體也發財了)

況且都用了名牌防火牆CheckPoint

可見不是沒花錢買好東西,而是不重視IT技術與網管資安

修電腦、管網路、搞資安是完全不同的一回事

請分別往不同的方向尋找適合的廠商來協助

G大神很厲害,隨便搜一下也知道代理商是誰,好歹去問問吧

0
vicentli
iT邦新手 4 級 ‧ 1 年前

請瞭解ERP的架構及用戶對DB檔或DB所在伺服器存取權限
照道理用戶中勒索,並不會影響DB,除非DB就在該用戶電腦或該用戶對DB有存取權限
只要DB檔不掛,其他問題都很好解決

勒索病毒大多不是主動入侵,而是被動
加強防火牆並不能嚇止勒索,最重要的還是在用戶端使用習慣、防毒軟體能不能偵測到
故在伺服器裝防毒軟體也不見得有效,因伺服器僅供存取,並不會主動去開啟勒索程式碼

建議1.強化資安宣導,這是最重要的 2.除業務上需用IE開啟的網站、其他網站瀏覽採用chrome、firefox等瀏覽器 3.關閉非必要的遠端桌面、遠端遙控軟體 4.DB備份採完整+差異,必要話再加上增量備份 5.自動化備份,存取備份儲存裝置時,僅在備份當下有存取權限,備份完後即離線

0
ctipde
iT邦高手 1 級 ‧ 1 年前

一分錢一分貨,版大也說了工作是負責資材的聯絡窗口,所以主話權並沒有太大,

從版大的內容來看,問題不是出在外部而是出在內部

  1. 請問遠端桌面連線方式是透過VPN還是透過Intelnet?
  2. 公司電腦是否可以上網?使用者是否有權限可以安裝軟體?
  3. 公司的電腦是否全部都有安裝防毒軟體?

內部先確定好沒問題,再去防止外部入侵

不然買了防火牆,還是有可能會再中的

備份方面(因不太清楚ERP運行方式),如果單純資料的話,可以買NAS,有提供類似陰影備份功能

建議找協力廠商(委外SI)來規劃會比較好

0
aleeon
iT邦新手 3 級 ‧ 1 年前

ERP建置
工作站與SERVER的防毒、防火牆、備份都是必要的

0
souda
iT邦新手 1 級 ‧ 1 年前

請問你的ERP SERVER 有對外連線嗎?

mavintw iT邦新手 5 級 ‧ 1 年前 檢舉

後來發現防火牆傳出和傳入都沒設定....= =...全部都是允許

souda iT邦新手 1 級 ‧ 1 年前 檢舉

我想直接將主機對外風險是最大的,是否可以嘗試看看讓使用者先使用vpn連線後再進行ERP作業.

0
ak02
iT邦研究生 4 級 ‧ 1 年前

我也覺的你們被ERP公司綁架了.
備援機制沒想像中那麼困難。

我要發表回答

立即登入回答