既上次 問題後 也衍伸這次的問題
後來公司買了Q牌的NAS 251+
https://ithelp.ithome.com.tw/questions/10193322#answer-355322
心裡也大概知道這個問題近乎無解 畢竟只防君子不防小人 但還是希望將危險性降到最低
USB 郵件 拍照 資料都可能外洩
先說說公司目前使用的方式吧~
NAS使用內部網路做共享資料夾 部門對部門資料夾可以做讀取寫入的動作
電腦也有分筆記型跟桌上型
以下就是自己想到的方式 但不知道能不能確實進行
https://ithelp.ithome.com.tw/questions/10192279
NAS上有一個連線紀錄 可以看到USER的使用動作 但無法確實知道這個使用者是複製或是其他動作 有看到這個文章 但試了很久 還是無法 希望有方式可以確實看到USER是複製檔案 又或是說大量異動時 能及時通知或是看到
還有一個是直接對USER的電腦直接做監控 (但這個方式感覺是很差 我也不太想這樣做)
或者在NAS可以正常開啟某個檔案 但是只要拉出NAS的資料夾以外 可能就是要密碼之類的
(當然缺點就是USER 可以直接複製內容到另一邊啦 備份時也有可能出問題 也相對像脫褲子放屁 )
NAS應該可以對某資料夾的特定檔案做唯讀?
USB在USER電腦禁止讀、存取? (但可能也會禁止到鍵盤或滑鼠)
已邀請的邦友 {{ invite_list.length }}/5
其實,我公司曾經也想叫我做這樣的規劃。
我說這真的很難辦到。
就我朋友曾經待過的一間大公司,他就是因為將資料帶出而被開除。
其原因是他們公司有明文規定不得用usb讀取。伺服器上會有記錄。
要用usb需要經由主管同意。
也順便鎖上了line、skype等一些可以對外連絡的方式。還有些區域是連外網也不行。
這就是他們保護資料的做法
但就我公司而言並不能這樣做。再加上這樣做其實也沒意義的。因為當時我朋友為了要找我幫忙。它特地用他的手機給他的電腦上網後。再將程式碼傳送給我。(只有一小部份他不懂的地方)
所以還是防不勝防。
一般我還是會建議你做讀取記錄就好了。
雖然,讀取記錄的方式我也是有招解決掉就是了,所以只有我不受這限制
但也相對的我就是得負責資安的人員之一。(唉~~~)
我倒覺得從網路監控層面下手比較快吧
以前有個女同事離職禮拜五撈公司所有NAS的專案資料放到他自己的雲端
一開始我以為他不會那麼天 自己弄事情出來
我只覺得畢竟每個人工作可能有需要的資料 備份一些是允許的
後來我禮拜一上班 看到網路有異常流量出現
我就先中斷了這條連線,然後去查IP到底是誰的電腦
後來找到那同事的電腦 登入後發現上傳卡住了XD
偏偏公司的網路就是慢 傳了好幾天傳不完
NAS的紀錄產生了10萬筆檔案讀取紀錄 都是他的帳號
我後來LINE他 跟他說系統抓到了這麼大筆的紀錄
叫他低調用 不要流出
其實暗示到這也不會出什麼事啦 應該也不會那麼笨的
離職後撈公司資料有些太敏感
那你要的是應該是文件管理系統,而不是NAS吧。
但是就沒辦法防拍照就是了。
防拍照比較難解決,我是有看到有資安在做定位拍照管控的,看介紹在那個範圍區塊內可以管控拍照與網路,看起來好像很厲害但沒用過
其他你可以找加密廠商處理,這樣檔案帶出去也開不起來,只是他是算User的,也不便宜
第一個 花錢找資安軟體公司買軟體控管,這個是老問題了早有廠商做,只是價格就...
第二個 用內部規劃加監控
我還沒有嘗試過,每個地方要求不一樣,但是我可以給方向,而且技術上做得到
1
NAS端那邊共用的資料,沒有需要的人直接禁止讀取,不能給唯讀,把連線紀錄拉出來
做稽核紀錄使用,注意一點你要自己轉換成方便查詢的LOG形式,別想在NAS機器上
查詢哪個時間點哪個使用者存取什麼資料夾,NAS的效能慢到爆炸就別想了。
2
GPO群組原則已經針對這塊做了不少更新,USB的鍵盤滑鼠跟USB抽取裝置分開使用了
所以不會有封鎖USB隨身碟造成USB鍵盤滑鼠無法使用的問題,但是要封就是封全部
你要特例只能用硬體ID(白名單)的方式,或者利用OU去規劃那些電腦可以不被套用
3
規劃USER端的電腦,能寫入的權限限縮在某幾個資料夾,例如:桌面、下載區 這類
把其他位置的資料夾寫入權限封鎖,當可寫入的範圍縮小,使用者能從NAS複製或者
從網路下載存到電腦的位置就會縮小,這樣就能利用Powershell去做文件系統的
監控,只要被監控的資料夾有任何異動,你都能設定要怎麼通知就怎麼通知
很麻煩我知道,資安本來就是這樣,所以不是什麼幾千人的大公司或者銀行金控這類的
乖乖的簡單資安防護做到就好,不然就是花錢解決吧。
寫一下自已的經驗,再請各位先進指教,以下簡略說明(有漏寫的後續補上)。
當初也是被老闆壓著做這項規劃,也分了二次實施,但本質上還是員工的素質及配合度,硬是要把資料背起來再手抄起來資料,還是可以得到想要的資料,所以就見仁見智囉。
首先把實施資安這個議題區分為三個方向
1.環境
監視器、進出入口(門禁)
監視器 - 主要通道(原本是抓小偷的也可以用到),請自行想像使用層面。
進出入口 - 門禁是很基本的資安管理,所以它是必需的。
研發室 - 除研究筆記本可進出,其它一律不可以。
2.管理
手機管理、儲存設備(族繁....)、筆電、相機...
手機 - 禁止入廠,是否統一管理呢?自行決定吧!
儲存設備 - 剛好購置的防毒軟體可以鎖USB使用,就用它吧
筆電 - 下班一律交回固定放置處,出差,行,在出差申請單上填寫申請。
相機 - 貼上廠內認證貼紙(SD卡要貼貼紙),SD卡等也等同USB一樣要管理(同儲存設備)。
3.系統
LDAP、MAIL、NAS(FTP)、防毒、資安軟體
LDAP - 帳號管理,廠內系統使用認證...
MAIL - 外送管理(累死主管),沒事直接禁外寄
NAS - 將研發實體切割,並與一般部門區分。
chrome - 直接禁用...它太強大了~
資安軟體 - 直接做檔案加密,並區分研發及一般部門流通。
以上,其實多少還是有漏洞,但都是防君子的。
以前公司舉例採用防範是websence+dlp+人員手機須裝XXX軟體名稱我忘記了,手機才能連公司網路及手機收發信,電腦端上就是我提到那兩套軟體user只要觸發設定條件後,會立即發信通知一級主管及資訊人員並有user端當時的動作及路徑,可以查證
iThome鐵人賽
看影片追技術