請位各位前輩,
公司目前使用趨勢的DLP發現效果與預期的有段落差,
想請問各位前輩,有無其他推薦的資安防護的產品?
之前公司曾經評估過精品的產品,想請問各位精品的X-FORT好用嗎?
目前公司的環境有AD,外點辦公室無AD,Client端約100台電腦(PC+筆電)
有無推薦的資安解決方案?
有使用加密保護資料的朋友可以分享嗎?
希望不要是大陸產品。謝謝
已邀請的邦友 {{ invite_list.length }}/5
從產品/技術來切入資安議題, 是錯誤的方向.
資安最大的難題, 來自風險的評估(威脅+弱點), 以及企業願意花費多少預算, 來對抗多大機率的風險?
產品/技術只能用來建立控制點(Control), 但是如果你的風險還沒有被正確的鑑別出來, 又怎知你所建立的控制點, 能夠有效的對抗風險呢?
要懂風險鑑別, 請參考 ISO 27001, 可以先去上一點初級的概念課就好 (不需要上到 Leader Auditor 主任稽核員認證), 或是去找 CISSP 初級的課程(不用上到認證班, 那會讓你想跳樓), 上過這些課之後, 你才會知道資安的 C/I/A 三者代表甚麼意義? 以及你要做到甚麼程度?
否則, 盲目的去做, 只是白花錢, 得不到商業上的效果.
舉例來說:
請問「資料備份」屬於資安 CIA 裡面哪一種控制? 對抗甚麼風險?
「定期更換密碼」屬於資安 CIA 裡面哪一種控制? 對抗甚麼風險?
「軟體授權管理」屬於資安 CIA 裡面哪一種控制? 對抗甚麼風險?
「封鎖USB埠」又屬於資安 CIA 裡面哪一種控制? 對抗甚麼風險?
你的企業發生風險 A 的機率有多少? 發生風險 B 的又機率有多少?
你的企業發生風險 A 之後的財損有多少? 風險 B 的財損又有多少?
這些問題, 大多不是 IT 人員能夠回答的, 所以請不要自作聰明, 拿自以為的認知, 就跳進技術裡面, 拼命規劃; 你應該要先問清楚, 公司的高層對公司風險的承受程度, 才知道要花多少錢來保護?
請問, 公司會花100萬預算, 來保護只有60萬的風險財損嗎?
你能只花 100 萬預算, 卻保護了高達 1,000 萬的風險財損嗎?
能否問個題外話,所以是已經導入了?,錢也付了,東西也買了 ,SERVER也上了,然後發現東西不好用???這樣不會怎樣嗎 ?
因為這樣少說幾十萬跑不掉吧???
您應該先將資安的需求說明一下,資安的設備是永遠買不完的。先訂定出目前公司的需求,以及該如何按部就班實現。
通常資安的達成需要一些資安/流程/policy得訂定配合設備。若直接用錢堆,需求目標不明確,就比較導入設備卻不符合期望。
換句話說瞭解自己的需求才有辦法對症下藥去survey。
公司有PC、NB、私人手機及公司派發的智慧型手機。除了禁用USB外,IM、EMAIL、雲端硬碟、NB的無線傳輸、列印這幾個常見的途徑希望也能做到控管。想做到讓員工無法將資料輕易的就帶走,相信再怎麼嚴謹的防護措施總有漏洞可鑽,萬不幸當資料真被帶走也希望能夠留下蛛絲馬跡。
行政流程:保密協定合約,這部分可以由IT先擬定草稿,並交付給法務審閱。其中可以提到著作權/專利/還有競業等條款。這個在新人進公司前可以簽訂,在外商的offer letter裡常出現。
評估DRM or DLP那個合適貴公司的流程。
DRM從檔案下手,但加解密會更改user既有作業流程。
DLP從外部防堵下手,但這塊趨勢的產品也能做到一定程度,有點好奇是哪一塊為符合您的預期。應該可搭配補強才是。
IM -> 透過AD安裝軟體權限
E-mail -> mail log
outside mail or free space -> web filter
wireless -> 是指非法ap嗎? or 私人手機
要不然thin client也是個方式。
iThome鐵人賽
看影片追技術