iT邦幫忙

0

如何避免使用者在公司自行使用3G連上網?謝謝!

請教各位高手:
公司內部的網路電腦,如何避免使用者自行使用3G連上網?
已知的解法(卡控USB & 利用 Local admin 禁止安裝 3G 軟體 )請勿再提.

目前比較困擾的是,利用智慧型手機當成 wireless ap 分享給 NB 的部份,
不曉得有什麼方法可解?(利用干擾的方式也請勿提),thanks.

圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
24
tombo
iT邦高手 1 級 ‧ 2011-02-10 17:49:00
最佳解答

如果是這樣限制的話,恐怕公司只能花錢買專門的資安軟體來管制電腦能連接的無線網路基地台...

24
a218066
iT邦研究生 2 級 ‧ 2011-02-10 14:43:57

使用殺手鑒,就是把公司法訂出來使用公司以外的網路,抓出阿魯把哈哈............................................................................不要當真阿
用監控軟體去鎖定網路阿

34
Ray
iT邦大神 1 級 ‧ 2011-02-10 21:08:28

有個東西叫 Femtocell, 或許可以解決你的問題...

Femtocell 本身就是一個小型的 3G 基地台, 他可以與 3G 手機通訊, 然後經由 Ethernet 或 xDSL 將信號送回電信業者. 由於他將 3G 信號轉成有線信號, 於是公司就可以在有線這邊, 建立傳統的監測或攔檢機制, 來側錄或是防止某些行為.

如果在公司範圍內布建足夠數量的 Femtocell, 由於距離較近, 公司內的 3G 手機將會自動連到 Femtocell, 而不會去找距離比較遠的傳統基地台, 這樣就可以確保不會有人因為連到了外面的基地台, 而閃避了監控機制.

Femtocell 一台大約 US$250, 價格不貴, 不幸的是, 必須要有電信業者配合後端設定, 才可以使用. NCC 好像已經開放了, 市場傳言中華電信將會引進, 但尚不知目前進度與費用如何計算?

Femtocell 除了以上的應用之外, 也可以當成一般家用的基地台, 讓手機在外面是當手機用, 回到家裡就自動變成「家用無線話機」, 所有通話都自動轉換成家裡的市話來完成, 節省電話費. 據稱中華電信將會推出這類的 FMC 服務, 但我也不知目前進度如何?

看更多先前的回應...收起先前的回應...
shlee618 iT邦新手 5 級 ‧ 2011-02-11 00:41:26 檢舉

感謝 raytracy 大提供的訊息;
但,這樣的解法,會不會跟 Femtocell & CHT 的理念背道而馳,而且會不會違反電信法之第四十六條: "中華民國國民不得在中華民國領域外之船舶、航空器或其他浮於水面或空中之物體上,設置或使用無線廣播電臺或無線電視電臺發送射頻信息,致干擾無線電波之合法使用。"
因為到時可能會有一堆用戶去跟電信業者申訴收訊問題.

cmwang iT邦大師 1 級 ‧ 2011-02-11 05:21:42 檢舉

shlee618提到:
但,這樣的解法,會不會跟 Femtocell & CHT 的理念背道而馳

raytracy兄說的正是要行動業者到貴公司設Femtocell,但限制Femtocell下手機的部份通訊功能(i.e.僅允許語音通話,並不是直接干擾正常的訊號),但這麼做的確會和業者的商業利益有所衝突,而且是每個行動業者都得來設Femtocell才可能可以work而已....BTW,部份設備可能可以手動選擇連上某個基地台(尤其是在工程模式中),如果實際上收得到訊號又遇到會這麼用的user此法就破功了....

Ray iT邦大神 1 級 ‧ 2011-02-11 12:29:42 檢舉

shlee618提到:
而且會不會違反電信法之第四十六條

Femtocell 是 NCC 核准使用的射頻設備, 而且是由電信業者同意才裝設, 所以不會違反電信法.
但其他的問題則如 CM 兄所言, 需要所有業者都來設台, 而且無法限制懂得使用手機工程模式的人 ...

樓下, 捷洲業務所提的 VDI 架構則是另一種選擇, 可以有效防止桌機透過無線翻牆的問題; 但如果你不熟悉 VDI 管理的話, 建置初期的障礙排除可能會讓痛苦一陣子(當然, 痛苦過後, 以後的管理就很方便了, 好處還是很多); 此外, 這個方法可能也攔不住 NB 用戶.

NB用戶其實還也,我說明一下好了,假設NB上面的OS是XP,而公司的作業OS採用WIN7
而NB的使用者進入到VDI後會來到公司伺服器端所提供WIN7操作辦公環境。
而重點就在於NB上的XP資料及網路並不與WIN7互通,這樣就提供並進行控管了。
若要將資料轉存在NB只有透過第三方的方式,列如NAS設備或是E-mail
但是這第三方設備的隔離就相當簡單了。

另外別怪我來打廣告,置初期的障礙排除的痛苦可以包給我們來做,
要省錢當然就自己做,我在這邊只是告知有人這樣做,有這樣的服務罷了

20
ataru
iT邦研究生 1 級 ‧ 2011-02-11 07:13:23

簡單啊,限制手機機種
這不就搞定了?

26
Pankt
iT邦研究生 1 級 ‧ 2011-02-11 08:51:20

用技術不容易解決的問題,就用行政管理方式解決。
就如在公司內抽煙,會危害他人健康,自行用3G連上網,一經查獲依危害公司資安、洩密等論。

sula3065408 iT邦研究生 1 級 ‧ 2011-02-11 14:19:05 檢舉

3G的PAD與NB怎麼算?
一律禁用?
因為手機可以當成3G-AP?

18
summer05145
iT邦新手 1 級 ‧ 2011-02-11 10:48:04

有另一種解法,也就是小弟公司現在在推的私有雲服務
我下面簡單講大致的運作情況,如果要確定細節請在跟小弟聯絡
E-mail:sk.lai@jcnet.com.tw

*導入VDI
VDI在使用上有點像遠端桌面,但是穩定多了,小弟公司2月16日有體驗會

*為何能改善
1.因為VDI將運算及資料存放都在Server上,使用端方面的設備只要能開web畫面就行
就算是P3的CPU也能跑win7。

2.因為使用端的OS或硬體都跟實際作業OS及硬體都隔離了,就是使用端開無線上網也沒辦法讓實際作業的OS無線上網。

3.跟第2點原理一樣,因為使用端的硬體(USB)沒有跟實際作業OS做直接連結,所以使用端插上USB,但是實際作業的OS無法偵測到新的硬體(USB)。

4.實際作業OS跟硬體的對外控管,這邊就簡單多了,也是就從Server端下手,看是不裝對外網路,或是從防火牆限制因該很容易。

shlee618 iT邦新手 5 級 ‧ 2011-02-16 21:36:18 檢舉

pankt提到:
不容易解決的問題,就用行政管理方式解決。

這樣可能還得再投入不少預算,對於小規格的企業來講應可行,但中大型企業的話可能困難度很高.

22
sula3065408
iT邦研究生 1 級 ‧ 2011-02-11 13:27:14

想這麼管的話,不如叫守衛把手機、NB等通訊器材都收起來,出公司再還員工算了。

資安本來就是企業及軍事單位常面臨的問題

當兵的時候規定不能帶照相手機,但是還會有人想偷帶

公司是是用貨幣交換員工的產出物,所以產出物才會是公司的重要資產阿

今天如果你是老闆,而你花大錢買機器請員工,

但最後開發出來的設計圖被同業竊取進而投入生產

您還能冷靜嗎? 所以專利認證跟智慧財產權才那麼重要阿

sula3065408 iT邦研究生 1 級 ‧ 2011-06-30 17:57:18 檢舉

所以結論還是乾脆叫守衛搜身沒收嗎?

20
harrier7
iT邦研究生 2 級 ‧ 2011-02-11 17:49:57

用端點防護系統封鎖 USB 的 3G/WiFi 類產品。
不過,行政命令會更有效。

我個人認為行政命令是有效但不是絕對的
不然就不會有犯罪了

至於封鎖的話這的確不錯,現在也不少防毒程式有這方面功能
像這討論就有提到
http://ithelp.ithome.com.tw/question/10062691

但是軟體上的封鎖就有破解的方式,像我還是玩國軍online時就幹掉過小企鵝

18
oowo
iT邦高手 1 級 ‧ 2011-02-11 20:36:03

NB禁止藍牙、鎖定無線AP功能( USER權限只能使用預設的公司網路)
缺點...必須無私人NB或會帶出公司使用才可行
再加上全面禁止私人NB於公司內使用的話…自行使用3G上網大多鎖死了
當然…PC私自加裝硬體的部分也要上鎖才行

shlee618 iT邦新手 5 級 ‧ 2011-02-16 21:40:28 檢舉

這樣的方式只能限制到從NB透過usb、藍芽等裝置上網,但無法限制到 3G 手機模擬成AP 供NB wireless 連線出internet.

22
gavintw
iT邦新手 5 級 ‧ 2011-02-11 22:40:23

有一句話一定聽過:
道高一尺, 魔高一丈

若要保護IT自己, 行政命令會比較有效

20
alphaone
iT邦新手 5 級 ‧ 2011-02-11 22:41:06

這可以分為幾個面向來思考:

  1. 規範面:公司應該頒佈規章以及準則,呼籲所有人共同遵守。
  2. 教育訓練:提升所有人的資安觀念,強化遵循規章的意願以及配合模式。
  3. 技術面:請google關鍵字"3g 訊號阻斷器",可以得到很多解決方案。
Ray iT邦大神 1 級 ‧ 2011-02-12 10:29:56 檢舉

alphaone提到:
"3g 訊號阻斷器"

樓主已經下了前提: 不使用任何干擾的方式, 所以 "3g 訊號阻斷器" 無法解決樓主的問題.

而且, 信號一旦被阻斷, 等於所有人都不能接聽手機, 這樣公司要如何跟客戶運作?

18
pochengithom
iT邦新手 4 級 ‧ 2011-02-12 23:43:42

不知道貴公司是一家什麼樣子的公司,或是您是公司老闆還是只是一個MIS而己,這是我很好奇一個問題!! 本人本身是為程式開發者,連 Facebook 公司也沒有規定說不能上不能去奇摩,只要工作完成你要如何做,或是出去買東西公司也不會去管,就是因為不會管太多,員工有很多的好心情去完成工作,但連 3G 都要防那是不是連同電話也不能打了呢...

如果你們連網路都不能上什麼都不能用,再者如真的是很機密性的工作,那是不是進公司後請員工交出所有的手機,如果有什麼事就打電話到公司那就不用買什麼阻斷器,不交出來那就以行政規則去處理。 但要搞到這種地步,如果公司壞名聲傳出去沒有人敢來上班,現在人找工作也會上網看看這公司名聲與管理是不是太爛或是沒有人性化,這種公司也很多人在說...

不是所有公司的那樣開明
舉例來說google及yahoo對員工的辦公環境都超照顧的
但是相反來看,在竹科裡不准員工攜帶照相手機的也很多
不能單就一公司為例
google及yahoo是很大沒錯
但是能在竹科內設廠的也算不小的公司
公司型態跟老闆的想法不同
對於保密等要求自然不同

再者你身為程式開發者,想必很懂電腦吧,但您能保證您的電腦都無漏洞可以被入侵嗎?
就算您能保證,但是您能保證您的同事能做到同樣水準嗎?

有的USER連自己防毒程式是否正常運作都未必能了解,更何況保證他的電腦安全勒?

限制網路有時候不是因為怕員工偷懶,而是怕員工產出的資料外流了,
不管是不是該員工的刻意或無意,公司老闆都不想看到

我以一本小說當中提到的故事為例好了(來自哪我忘記了)
有2家航空公司在互相競爭
而A航空透過商業間諜成功取得B航空的客戶搭乘紀錄及聯絡資料
進而對B航空的客戶發出優惠聯絡及惡性競爭

若您是B航空的老闆您會做何感想?
因為我本身是業務人員
對我來說找到對的人是相當重要的
而台灣那麼多公司有大有小
我光花在找出會買機器及能握有決定能力的人上面
就佔我相當大工作時間

但是我如果能拿到我對手的交易過的客戶資料及交易紀錄等
想想我可以省下多少事?
如果我能知道對方的報價
那對我的成交機會又能加上多少?

那就是以你所說的這兩家公司己經使用了 "行政規定" 來告訴員工,公司在彈性提供你更好的福利與制度,即然 "行政規定" 己先告知但還是不去遵守 ,那就沒有什麼可以跟此員工談的!!

建築物、裝潢本身可以透過一些加工就可以達到阻止無線電波往外送,這會比較簡單處理你就問裝潢師父...

但就你所說的!! 方法還很多,要從公司內部偷取資料那不是難事,也不需要高深的技術..

而你所說的己經是系統層面了,就以我所設計的醫療系統任何人不當的處理或是大量的查詢病人資訊都會被直接關心。

您說的沒錯,透過加工來阻止無線電波,但是版大情況好像是希望手機能通
但是又想提高資訊安全
所以從系統面下手會比較理想

10
anita861
iT邦新手 5 級 ‧ 2011-02-17 08:50:51

還是需要行政命令去限制吧!!需要這份工作的人就會去遵守,人性化是在員工認真負責的前提下.....但人百百種,還是要去要求.....

行政命令去限制這是一定要的
可是回頭來看
以我為例
小時候爸媽不准我去外面打格鬥天王
但我是偷跑去
法律禁止未滿18歲觀看愛情動作片
但是18歲之前偷看的有多少
但是不能不說行政命令還是需要
因為這樣才能依法有據的去懲處
但是懲處只是補漏洞也就是被動的
公司主管當能希望有些主動的優勢作為出來
二者相輔公司老闆才會安心
話說回來安心是有代價的

bustrew iT邦新手 5 級 ‧ 2011-07-28 11:36:26 檢舉

我們公司最近也開始在尋找這方面相關的技術
行政命令總是會有漏洞
所以一般高階主管還是希望有一套系統或是設備能做監控與管制
最近有一些系統都還不錯
但是在這些系統中 管理3G 4G 手機當Wifi都只是附加的
好像還沒有一套可以正式主要管理
希望有哪位前輩有尋找到新的技術
請幫忙分享一下
小弟我已經快被老闆拿刀子追殺了

我要發表回答

立即登入回答