iT邦幫忙

0

建置資安防護 - 預防公司檔案外流、勒索病毒、資料備份

20190904內文:
目前公司有25台Windows 10 PC、1台MAC、2台macbook、3台linux PC
電腦機型均為原價屋組裝 拿來跑3D美術軟體或是Tensorflow
使用中華電信 300M/100M 網路
公司內部均為區域網路,無固定IP,無網域控管
單機個人使用
有一台NAS 做為內部檔案交換及建Gitlab用

我們沒有MIS
工程師們的背景也不是專業的MIS
所以老闆要求我擔任規劃PM

=============================================================

老闆期待達到的功能:
1.建置資料備份
2.同仁無法上傳雲端、用line傳檔或用USB等設備,拷走公司檔案
(DLP 或是 DRM ?)
3.預防勒索病毒

=============================================================

稍微請教過我們的工程師後,了解我們的狀況並提供做法:

一、網路環境
1.內部防火牆、Switch、AP,其型號,無法達到MAC(Media Access Control Address)認證
(若全面更新,費用約需20來萬?)
2.全面改成wifi環境,避免員工自己私插有線到個人設備,去拷檔案或是破解server
3.不採用帳號、密碼登入的方式,因有可能被盜或是員工自帶筆電,就可以拷檔案
4.理想做法 - 限制被認證的PC主機、NB才可以進入伺服器
(但老闆願意花這20來萬嗎?)

二、PC設備的端點管理
1.現有的PC、NB等,均安裝DLP軟體(如endpoint protector)
2.把linux改成windows系統
3.鎖掉每一台的bios,禁止用bios、usb、網路開啟PC
(Secure Boot / Multiboot/ USB Boot)
4.限定每一台主機只能用Guest帳號登入,且無法變更。Admin帳號由我統一管理
5.白名單只開放工程師會用到的軟體,其餘雲端硬碟、usb槽等全關
6.確認工程師所用的軟體,不會有雲端備份功能
7.禁止使用teamviewer之類軟體

三、檔案瀏覽(如何避免外流)
1.因有需要提供code及作品給客戶,之後改成用server提供帳號、密碼方式供客戶登入
2.針對做為DEMO用的主機,開啟使用usb及遠端連回server功能

四、勒索病毒
1.採購防毒軟體並設置中控密碼,員工不能任意變更

五、資料備份
1.新購一台DELL伺服器作為內網,供員工檔案交換、建gitlab及備份之用
2.所有人憑帳號、密碼登入
3.異地備援(是否有便宜的雲端?)

六、事後追蹤
1.受限經費、規模,除了事前防範外,希望也從流量、傳檔內容做紀錄,以便事後追蹤
(希望知道是哪台電腦、傳了什麼檔)
2.更換fire server?

七、資安政策
1.禁止員工私帶設備筆電
2.機房管控 (上鎖、禁止員工進入、網路線不明顯露出)

看更多先前的討論...收起先前的討論...
1.基礎防護 大概 20萬還不能做得很完整,至少要兩百萬
2. 這些架 ad + gpo 就很好管了,你說的這些ad都能做得到
3. 你需要的是檔案加密保護系統,這個百萬起跳,而且還有年費
4. 完整的防護系統基本上一年幾十萬跑不掉
5. 先把資料整理好,該做的權限控管弄好,然後偷過檔案保護系統會比較好管理
不一定要買新伺服器來幹這件事
6. 這個有免費也有付費的,免費的大多是linux環境,付費的要啥有啥
7. 設備先管好,至於人要靠教育跟鞭子,沒有鞭子,還是一堆人是游離子
chsinzk iT邦新手 3 級 ‧ 2019-09-04 17:25:26 檢舉
同仁無法上傳雲端、用line傳檔.......那可以把外網鎖掉大家不要上網嗎?
優悠 iT邦新手 4 級 ‧ 2019-09-05 08:58:01 檢舉
我記得NAS比較高級的,功能剛好都符合你需求,你找找看吧
josephine iT邦新手 5 級 ‧ 2019-09-05 11:26:38 檢舉
在經費不足的情況下,檔案外流、勒索病毒、資料備份這三個可當一個問題來解決
特別是在沒有專業MIS的情況下,將人力依賴轉成系統依賴是最好的方式
之前我呆的SI就給一個中型非營利組織解決一個跟貴公司情況 很類似的案子
就是代為引進一套DLP系統,所有電腦安裝一支被控端午後,所有檔案就被管制了,不管是USB或網路途徑,就算是拆硬碟copy的也沒用(因為硬碟加密),所有檔案要授權才能離開公司,還可限制出去的時效及編修權限,加浮水印及授權 人給予 人等簽名。
就算是私人筆電要用於公務 ,也可劃分一個區域為公務加密區...
50人授權 大約是一個MIS的年薪多一點吧
可上網找DLP的資料 ,我剛才說的是台灣 公司
josephine iT邦新手 5 級 ‧ 2019-09-05 15:19:18 檢舉
忘了說,檔案進管之後,是有版本管理的,比如一個檔案設定最多100版本,那麼等於 是備了100份,當然最好是額外在公司外部備一份,以免版本管理那台也中毒。
萬一中了勒索病毒,直接重裝電腦,然後把備份的檔案蓋回來就好。

您上面那報價感覺只是公司提什麼SI就賣什麼,沒有進一步協助沒專業MIS的公司做整合,要知道許多系統都要上課才能會操作的,光是那個Endpoint DLP是哪家的就一清二楚,裡面的可操作空間非常大.....
goodnight iT邦研究生 4 級 ‧ 2019-09-05 21:29:19 檢舉
如果用手機拍照呢??
我記得有一種系統, 是集中管理映像檔, pc端只是處理畫面, 插 usb 隨身碟, 只能讀, 好像是雲端桌面的樣子
然後建置文管系統, 全面管理檔案, 只要離開公司就變亂碼
@josephine 大大,可以請問是哪個DLP系統嗎?
josephine iT邦新手 5 級 ‧ 2019-10-03 16:22:40 檢舉
#nomiamidfo 簡訊回您了喔

2 個回答

4
froce
iT邦大師 4 級 ‧ 2019-09-04 13:18:56

一、網路環境
1.內部防火牆、Switch、AP,其型號,無法達到MAC(Media Access Control Address)認證
(若全面更新,費用約需20來萬?)

換高級防火牆的確要20來萬,且還要每年續訂。
但以貴司規模,有必要嗎?這點請自行考量。
自己動手的話可以考慮OPNsense。

2.全面改成wifi環境,避免員工自己私插有線到個人設備,去拷檔案或是破解server

啥鬼,你要不要換家SI?改wifi隱憂更大好嗎...

3.不採用帳號、密碼登入的方式,因有可能被盜或是員工自帶筆電,就可以拷檔案

同上,這工程師大概只會賣硬體。
windows AD

4.理想做法 - 限制被認證的PC主機、NB才可以進入伺服器
(但老闆願意花這20來萬嗎?)

用windows AD或LDAP去做控管,目前有些NAS已經有自帶這些認證功能了。

1.現有的PC、NB等,均安裝endpoint protector軟體

這是需要

2.把linux改成windows系統

沒意見。不過linux也能加入windows AD,然後做帳號管控

3.鎖掉每一台的bios,禁止用bios、usb、網路開啟PC
(Secure Boot / Multiboot/ USB Boot)

該做

4.限定每一台主機只能用Guest帳號登入,且無法變更。Admin帳號由我統一管理

帳號管理重點不是只有禁止,大家都用Guest,哪天出事老闆要問你是誰流出去的,請問大家都用Guest你要怎追?

5.白名單只開放工程師會用到的軟體,其餘雲端硬碟、usb槽等全關
6.確認工程師所用的軟體,不會有雲端備份功能
7.禁止使用teamviewer之類軟體

企業版windows 10有軟體白名單功能。

總結一下,我個人覺得你們最迫切也最該做的是建立集中式的權限管控方式,AD或LDAP,硬體設備可以慢慢投資。
然後備份可以利用rsync去做

0
ak02
iT邦研究生 3 級 ‧ 2019-09-05 09:40:14

我覺的你直接將需求丟給si公司報價比較快,
不要浪費時間了.

我要發表回答

立即登入回答