iT邦幫忙

0

請問現在〔翻牆軟體〕那麼多,現在的公司網管資安到底要怎麼做?

cklin 2009-11-19 11:22:0925563 瀏覽

每年到了大陸十一期間,大陸官方總是會來一下封鎖網路,或者是三不五時就來一下綠霸、網特.....
因此大陸網民們發展出很多〔翻牆軟體〕,如 無界瀏覽、自由門、Puff、通道軟體tunnel...想辦法超越大陸官方網路管制的動作

最近台灣非死不可農場盛行,公司裡的農民也開始學對岸進行〔翻牆〕的動作了~
本來在自由台灣玩玩農場,主管睜隻眼閉隻眼 放過就算了,
但有許多是連上 即時通訊(IM)、網路硬碟(Web HDD)、外部郵件(Webmail)、P2P........
這些牽涉到敏感機密資料的傳送問題,IT人員被要求要有所防治的動作~
開明的主管雖然只是說:〔如果真的沒辦法防堵,至少先有紀錄;往後出問題時至少有舉證的紀錄。〕
但為人謀豈能不忠乎? 捧人家的飯碗,至少也要對得起那份薪水!

所以來此請各位前輩腦力激盪一下,能否出現一些創意的想法
在不完全限制員工上網行為的前提下,公司IT資安網管人員要怎麼做?

1.雖然 xx瀏覽 走的是標準的Port 80(HTTP)/443(HTTPS),有可能被公司的Proxy & Bluecoat 紀錄統計,Web/URL Filter的設備作用,可以防止一些,但還是跟不上網際網路變化的速度。

2.但還有很多xx Tunnel 是走 21(Telnet)/22(SSH)的通訊協定,這該如何管理呢?

圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
38
Ken(Bigcandy)
iT邦大師 1 級 ‧ 2009-11-19 19:31:12
最佳解答

現在企業,講究的是創意、速度,所以樓上的方案,個人不同意,上網還要換位置,很傳統、不需吸收即時訊息的公司可以,但是,通常~~不行。

我會建議:
1.架設的防火牆要包含關鍵字、網址過濾
2.提供專屬proxy,禁止其他proxy
3.自己有dns,利用dns可以改變很多域名、連線
4.網管、MIS自己多認命,遇到新的該擋的,動作快點
5.連線過濾、紀錄,同時,經過勞資彼此同意,也能加上『螢幕測錄』,做好這部份罰則
其他防止措施,算是常見了

至於,新的服務、網站層出不窮,網管人員疲於奔命?
1.矛與盾的戰爭,從來都不會停止
2.持續關注、報告、封鎖、維護資安,本就是網管、MIS的責任
(所以,這工作,不是人幹的~~順便抱怨一下)

cklin iT邦新手 2 級 ‧ 2009-11-20 11:11:54 檢舉

沒錯~這就是IT人員的宿命

自從大學填選科系選上〔資訊〕相關科系就要有這種認知,不斷要學新的東西,更新速度也要夠快
如果在學校已經知道不是吃這行飯的人,畢業後就已經離開IT這行業
有位同學在學時喜歡玩〔飛行模擬遊戲〕,畢業後就進入航空公司,現在是高級公車司機
有位同學在學時喜歡玩〔金錢遊戲〕,畢業後就在家炒股,現在是股市大亨
有位同學在學時喜歡玩 地產大亨,畢業後就進入房仲業,現在是豪宅專賣店經理

留在IT業界的就要認命,這個行業就是永遠不斷前進,一但停止前進就準備被淘汰退出
唯有透過〔自動化〕過程才能減少勞力/苦力的付出,這是IT的天則

哇,太猛了~~我是說您舉的案例,不但真實,而且文義生動!

我只記得喜歡文學....真的入錯行了
每天都很疲憊,唉。

36
cheng
iT邦好手 1 級 ‧ 2009-11-19 12:43:31

這部分就是所有電腦都不能上網
要上網查詢資料就是要到公用電腦使用
公用電腦還要設定時間限制
每個人每次只能使用多少時間
我想過這是最省成本的方法
畢竟透過MIS蒐集資訊
一定是要花些設備費用,MIS還要花時間過濾
這樣發費的經費是兩倍的成本....貴

另外就是大大有提到的.......捧人家的飯碗
你是拿別人薪水的,如果這麼愛玩非死不可
就不要在待在公司,自己開個公司玩得痛快
倒是你想想你的員工也是這樣玩非死不可
當老闆的會爽快嗎?........百分之80很不爽
這就是自我管理與責任問題了
公司明訂的規範一定有他的原因
很多人就是想不透,往往都是自己當了頭頭
才醒悟這樣的規定是必要的...........唉
以上是我覺得最省得方式啦!順便也說說自己的看法囉

cklin iT邦新手 2 級 ‧ 2009-11-19 13:34:07 檢舉

cheng 大大,
自我管理與責任的問題需要經過一些歷練才會有深切的體悟,
每個人體悟的時間點不一,
且在每個單位的文化與風氣可能造就出來的上網形式就不太一樣

人是有些惰性、喜歡比較的,且有時並不了解自身的條件
就像公司的RD同仁常喜歡拿Google 101辦公環境來比較,說人家環境多好又多好,而我們卻.....,但從來不曾檢視自己是否可以像Google員工一樣的條件,一樣的被對待
也常有人拿競爭對手公司上網管理多寬鬆,而我們多嚴格,但從不比較人家上班時間長,Project盯的比較緊

雖然大家都知道這種問題只能透過管理的手段來解決,
但這種IT環境所引發出來的問題,有些部分需要IT技術的輔佐,請IT邦幫忙

32
557557
iT邦新手 4 級 ‧ 2009-11-20 08:46:43

幹嘛要一直封鎖
就建議老闆 抓到上班時間違規上網玩遊戲的就開除或扣薪水就好了~

經濟不景氣 看他要回家玩遊戲還是要賺錢工作 讓員工自己選擇就好了~
我不信這樣規定之後還會有人敢去玩..

哪有那麼笨的 一昧的再封鎖限制問題上打轉老闆!

cklin iT邦新手 2 級 ‧ 2009-11-20 09:45:46 檢舉

現在重點是”抓”的方法,怎麼去做紀錄存證
如果是上千人分隔兩岸三地的公司,老闆巡廠一周就要耗掉半個月的時間
老闆一點都不笨,不靠兩條腿,只出一張嘴,
要有人可以搞定就可以了,抓得到耗子的就是好貓~

ray2095 iT邦新手 4 級 ‧ 2010-04-16 17:37:33 檢舉

我倒覺得重點並不在"抓"!
很多IT人(包括我自己在內)有時候會迷失在各種技術之間, 日復一日與User鬥法. 後來才發現, 老闆一道命令比什麼新技術新產品都有效. 沒錯, 就是紀律, 就是"殺雞儆猴".
三不五時來抓一下, 抓不到算你走運, 一但被抓到就打包走人, 而且公告週知, 有多少人會為了上班種菜拿自己的飯碗來賭的?
這招越是有制度的大公司越是有效. 但一定要爭取到老闆撐腰, 持之以恆就是了.
換個角度想, BSA不就是醬子玩嗎?

30
yyliu
iT邦研究生 2 級 ‧ 2009-11-20 09:03:43

MIS 在公司的地位輕微,如果不是直屬老闆,可能無法度悠悠之口,落到最後自己辛苦顧人怨眾人嫌,變成豬八戒兩面不討好.
最近公司有人拿 "I-Phone" 使用3G 吃到飽...也不知在做什麼,你也看不到!
公司禁用"IM" "Facebook" "Webmail" 有做垃圾郵件管理,有電話記錄與錄音還有錄影...那位 "I-Phone" 老兄,通通不甩你,反正我走 3G .MIS能奈他何???
這位老兄以要做美工之名義向老闆申請"I-MAC" 再加灌 WIN XPP...灌完後不能加入網域,不受IT群組原則控制..偏偏這位老兄也歸老闆管! MIS能奈他何???

解決方法:1擺爛 2同流合汙 3眼睛自動對"I-Phone" 老兄 視而不見
結語:少壯不努力,老大做IT 很無奈!

cklin iT邦新手 2 級 ‧ 2009-11-20 09:27:30 檢舉

現在擋 3G 有方法喔~

  1. 關USB,將USB改成唯讀
  2. IT群組原則 限制 user 安裝軟體的權限,就是不幫忙裝3G撥接執行程式
    不給Local Admin 權限,即使有3G撥接程式也無法使用
  3. End-Point Security Agent(如精品、神網)或防毒軟體(趨勢) 限制3G撥接執行程式
  4. 不加入網域的PC,透過DHCP鎖MAC方式獨立分配一個網段(Guest VLAN)給予有限功能
    不能用公司資源再來吵,要用資源就要依照規範走(加入網域+裝防毒...),否則File server中毒誰負責? 誰放行簽字誰負責~

IT管理必須有所堅持,若無法說服老闆認同,不如良禽擇木而居

sungshun iT邦新手 3 級 ‧ 2009-11-20 10:29:09 檢舉

同意cklin的說法, 誰放行簽字誰負責~
畢竟我們都只是執行人員而已

cheng iT邦好手 1 級 ‧ 2009-11-20 13:36:15 檢舉

現在對外服務設備真的太多了
3G或3.5G都一樣
有時候不在網域內的電腦要管控真的就給他@@
我想真的老闆同意簽字......

26
wawaho
iT邦新手 4 級 ‧ 2009-11-20 11:48:03

利用學校類似的廣播教學系統吧...
縮小螢幕...即時輪播監控所有人的...畫面吧...
這軟體已經有了像日本的calabo...雖然是有法有破拉...只是作到這樣
比學生還不如....要反省的我想是勞資雙方坐下來自己想一想
到底那裡出處..搞得公司像兵賊不二立....

32
RL
iT邦新手 3 級 ‧ 2009-11-20 16:15:16

我覺得公司的資安要管控到哪一個層級應該是要看老闆的意思
MIS要告知老闆資安控管得重要性以及必要性 提出專業的建議
但是
若是老闆不採納 說實在的 MIS也只是領薪水的小咖 就照辦囉
但我認為一定要跟老闆說明資安的重要性及....
不然出事了...老闆怪罪下來 MIS一定要負責

另外,現在連線方式確實多變 有的用3G網卡、手機...
但如果是用公司的電腦 一定要"外接"這些設備
我想從這邊下手管控設備 應該是比較容易的

至於對於上網的問題 我想應該視老板的重視程度以及擁有的設備來做衡量
如何達到老闆的目的又能花費最少的經費 每個MIS有不同的處理方式
也是MIS的價值所在囉!!

個人淺見

我要發表回答

立即登入回答