許多公司高層都會要求mis要有資訊安全機制,但是對於使用者的需求又要滿足,
公司基於前車之鑑,把mail inbound / outbound都設限為5mb.
但有些同仁對於廠商有大於5mb以上的傳送需求,架ftp or 其他技術上的傳送機制是ok.
但主管想知道的是,這件事上mis的管理機制
各位邦友,你們公司在這件事上的管理手法與管理精神是什麼呢?
(我預想的方法是,反事都要申請.一個event 申請一次,時間最多3個月)
(1) mail 設 inbound/outbound 上限的方法,只防君子,不防小人。 e-mail 可以很容易以 uuencode 的方法,將超過容量的 e-mail,改拆著數封 e-mail 送出。
(2) 所有對內對外的 e-mail 通通有 log 及備分,可以使用工具查詢。
(3) 無論是提供 FTP 或任何其他方法傳輸資料,最重要的一點是要有紀錄(log) 可以查核。對於 FTP 檔案,或是郵件的附件檔名,有時候是很好的稽核線索。
(4) 機密資料傳輸,如果是用 FTP 或是 SSH 只有特定的電腦才能執行,必要時透過 remote desktop 存取。
(5) 對於所謂的公司機密資料傳送,一定要有申請及紀錄,所有沒有紀錄的機密資料傳輸,ㄧ但發現,就是違反公司保密規定。
(6) MIS 部門有責任要隨時維護一份 log 跟申請紀錄,以備查詢(執行上有難度就是,需要業務單位配合)。
Hi,
基於安全性考量,建議必須要堅守原則,往對的方向走,不管是自己同仁、外部廠商,所有安全規範,均嚴格設定,例外從寬(但也不能太寬),也就是單一件申請,包含使用時間、IP來源!以你檔案與外部交換的需求來說,建議採用"虛擬帳號"達成該權限僅能FTP,無法LOGIN方式。