20190904內文:
目前公司有25台Windows 10 PC、1台MAC、2台macbook、3台linux PC
電腦機型均為原價屋組裝 拿來跑3D美術軟體或是Tensorflow
使用中華電信 300M/100M 網路
公司內部均為區域網路,無固定IP,無網域控管
單機個人使用
有一台NAS 做為內部檔案交換及建Gitlab用
我們沒有MIS
工程師們的背景也不是專業的MIS
所以老闆要求我擔任規劃PM
=============================================================
老闆期待達到的功能:
1.建置資料備份
2.同仁無法上傳雲端、用line傳檔或用USB等設備,拷走公司檔案
(DLP 或是 DRM ?)
3.預防勒索病毒
=============================================================
稍微請教過我們的工程師後,了解我們的狀況並提供做法:
一、網路環境
1.內部防火牆、Switch、AP,其型號,無法達到MAC(Media Access Control Address)認證
(若全面更新,費用約需20來萬?)
2.全面改成wifi環境,避免員工自己私插有線到個人設備,去拷檔案或是破解server
3.不採用帳號、密碼登入的方式,因有可能被盜或是員工自帶筆電,就可以拷檔案
4.理想做法 - 限制被認證的PC主機、NB才可以進入伺服器
(但老闆願意花這20來萬嗎?)
二、PC設備的端點管理
1.現有的PC、NB等,均安裝DLP軟體(如endpoint protector)
2.把linux改成windows系統
3.鎖掉每一台的bios,禁止用bios、usb、網路開啟PC
(Secure Boot / Multiboot/ USB Boot)
4.限定每一台主機只能用Guest帳號登入,且無法變更。Admin帳號由我統一管理
5.白名單只開放工程師會用到的軟體,其餘雲端硬碟、usb槽等全關
6.確認工程師所用的軟體,不會有雲端備份功能
7.禁止使用teamviewer之類軟體
三、檔案瀏覽(如何避免外流)
1.因有需要提供code及作品給客戶,之後改成用server提供帳號、密碼方式供客戶登入
2.針對做為DEMO用的主機,開啟使用usb及遠端連回server功能
四、勒索病毒
1.採購防毒軟體並設置中控密碼,員工不能任意變更
五、資料備份
1.新購一台DELL伺服器作為內網,供員工檔案交換、建gitlab及備份之用
2.所有人憑帳號、密碼登入
3.異地備援(是否有便宜的雲端?)
六、事後追蹤
1.受限經費、規模,除了事前防範外,希望也從流量、傳檔內容做紀錄,以便事後追蹤
(希望知道是哪台電腦、傳了什麼檔)
2.更換fire server?
七、資安政策
1.禁止員工私帶設備筆電
2.機房管控 (上鎖、禁止員工進入、網路線不明顯露出)
一、網路環境
1.內部防火牆、Switch、AP,其型號,無法達到MAC(Media Access Control Address)認證
(若全面更新,費用約需20來萬?)
換高級防火牆的確要20來萬,且還要每年續訂。
但以貴司規模,有必要嗎?這點請自行考量。
自己動手的話可以考慮OPNsense。
2.全面改成wifi環境,避免員工自己私插有線到個人設備,去拷檔案或是破解server
啥鬼,你要不要換家SI?改wifi隱憂更大好嗎...
3.不採用帳號、密碼登入的方式,因有可能被盜或是員工自帶筆電,就可以拷檔案
同上,這工程師大概只會賣硬體。
windows AD
4.理想做法 - 限制被認證的PC主機、NB才可以進入伺服器
(但老闆願意花這20來萬嗎?)
用windows AD或LDAP去做控管,目前有些NAS已經有自帶這些認證功能了。
1.現有的PC、NB等,均安裝endpoint protector軟體
這是需要
2.把linux改成windows系統
沒意見。不過linux也能加入windows AD,然後做帳號管控
3.鎖掉每一台的bios,禁止用bios、usb、網路開啟PC
(Secure Boot / Multiboot/ USB Boot)
該做
4.限定每一台主機只能用Guest帳號登入,且無法變更。Admin帳號由我統一管理
帳號管理重點不是只有禁止,大家都用Guest,哪天出事老闆要問你是誰流出去的,請問大家都用Guest你要怎追?
5.白名單只開放工程師會用到的軟體,其餘雲端硬碟、usb槽等全關
6.確認工程師所用的軟體,不會有雲端備份功能
7.禁止使用teamviewer之類軟體
企業版windows 10有軟體白名單功能。
總結一下,我個人覺得你們最迫切也最該做的是建立集中式的權限管控方式,AD或LDAP,硬體設備可以慢慢投資。
然後備份可以利用rsync去做